Datenschutz bei Probefahrten und Leasing — Praxischeck

Datenschutz bei Probefahrten und Leasing — Praxischeck

Datenschutz bei Probefahrten und Leasing: Der ultimative Leitfaden 2026

Inhaltsverzeichnis

Der Datenschutz bei Probefahrten und Leasing ist ein komplexes Feld, das sowohl für Kundinnen und Kunden als auch für Autohäuser und Leasinggesellschaften von entscheidender Bedeutung ist. Moderne Fahrzeuge sind rollende Computer, die eine Vielzahl von Daten erheben. Dieser Leitfaden bietet eine praxisorientierte Übersicht über die rechtlichen Anforderungen der Datenschutz-Grundverordnung (DSGVO, General Data Protection Regulation auf English, GDPR) und liefert konkrete Handlungsempfehlungen für das Jahr 2026 und darüber hinaus.

Kurzzusammenfassung für Teilnehmende

Für Sie als Fahrerin oder Fahrer ist das Wichtigste, zu wissen, welche Daten von Ihnen erhoben werden und warum. Vor einer Probefahrt muss das Autohaus Sie transparent darüber informieren. Typischerweise werden Ihr Name, Ihre Adresse sowie Daten von Ihrem Führerschein und Personalausweis erfasst, um den Vertrag zu erfüllen und das Fahrzeug abzusichern. Moderne Fahrzeuge können zusätzlich Standort-, Fahrverhaltens- oder sogar Videodaten aufzeichnen. Für jede Datenerhebung, die über die reine Vertragsdurchführung hinausgeht (z.B. für Werbezwecke), ist Ihre ausdrückliche und freiwillige Einwilligung erforderlich. Sie haben jederzeit das Recht auf Auskunft, Korrektur und Löschung Ihrer Daten.

Welche personenbezogenen Daten werden bei Probefahrten und im Leasing erhoben?

Die Bandbreite der erfassten Daten ist groß und technologisch bedingt wachsend. Es ist essenziell, zwischen den Phasen der Probefahrt und des anschließenden Leasings zu unterscheiden.

Daten bei der Probefahrt

  • Stammdaten: Name, Anschrift, Geburtsdatum, Kontaktdaten (Telefon, E-Mail).
  • Identifikationsdaten: Kopie oder Scan von Führerschein und Personalausweis (Achtung: Datensparsamkeit beachten!).
  • Fahrzeug- und Telematik Daten: GPS-Standortdaten zur Diebstahlsicherung, gefahrene Kilometer, Geschwindigkeit, eventuell Daten von Fahrerassistenzsystemen.
  • Video- und Audiodaten: Bei Fahrzeugen mit fest installierten Dashcams oder Innenraumkameras.

Daten im Leasingverhältnis

Zusätzlich zu den oben genannten Daten kommen hier weitere hinzu:

  • Bonitätsdaten: Daten aus Schufa-Abfragen oder von anderen Auskunfteien zur Prüfung der Kreditwürdigkeit.
  • Vertragsdaten: Leasingrate, Laufzeit, Bankverbindung, Fahrgestellnummer (FIN).
  • Nutzungsdaten: Kilometerstand (für die Abrechnung), Wartungs- und Reparaturhistorie, ggf. Verbrauchsdaten.

Rechtsgrundlagen und Rechtsfolgen nach der DSGVO

Jede Verarbeitung personenbezogener Daten benötigt eine rechtliche Grundlage gemäß Art. 6 DSGVO. Fehlt diese, ist die Verarbeitung rechtswidrig und kann hohe Bußgelder nach sich ziehen.

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Erhebung von Stammdaten, Führerscheindaten und Bankverbindung zur Durchführung des Probefahrt- oder Leasingvertrags ist hierdurch legitimiert.
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Die Erhebung von GPS-Daten während einer Probefahrt zur Diebstahlsicherung kann ein berechtigtes Interesse des Autohauses darstellen. Dies erfordert jedoch eine sorgfältige Abwägung mit den Interessen der betroffenen Person.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Für alle darüber hinausgehenden Verarbeitungen, wie Werbeansprachen oder die Analyse des Fahrverhaltens zu Marketingzwecken, ist eine explizite Einwilligung notwendig.
  • Art. 9 DSGVO (Besondere Kategorien): Werden Gesundheitsdaten verarbeitet, etwa durch intelligente Assistenzsysteme, die Müdigkeit erkennen, gelten strengste Anforderungen. Eine Verarbeitung ist hier in der Regel nur mit ausdrücklicher Einwilligung zulässig.

Einwilligung: Wann sie erforderlich ist und wie sie aussehen muss

Eine datenschutzkonforme Einwilligung ist das zentrale Instrument, wenn keine andere Rechtsgrundlage greift. Sie muss vier Kriterien erfüllen:

  1. Freiwilligkeit: Die Person darf nicht unter Druck gesetzt werden. Die Probefahrt darf nicht von einer Einwilligung in Werbemaßnahmen abhängig gemacht werden.
  2. Informiertheit: Der Zweck der Datenerhebung muss klar und verständlich kommuniziert werden. Wer erhält die Daten und wie lange werden sie gespeichert?
  3. Eindeutigkeit: Eine aktive Handlung ist erforderlich, z.B. das Setzen eines Häkchens in einer Checkbox. Vorangekreuzte Kästchen sind unzulässig.
  4. Widerruflichkeit: Die betroffene Person muss darauf hingewiesen werden, dass sie ihre Einwilligung jederzeit und ohne Angabe von Gründen für die Zukunft widerrufen kann.

DSFA-Kurzcheck: Risikobewertung für Telematik Daten

Sobald eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist eine Datenschutz-Folgenabschätzung (DSFA, Data Protection Impact Assessment auf English, DPIA) nach Art. 35 DSGVO erforderlich. Dies ist insbesondere bei systematischer und umfassender Überwachung der Fall.

Kurzcheck für Händler:

  • Video-/Audioaufzeichnung (Dashcams): Sehr hohes Risiko. Eine DSFA ist fast immer notwendig. Der Einsatz muss transparent kommuniziert und in der Regel auf konkrete Anlassfälle (z.B. Unfall) beschränkt werden.
  • Permanentes GPS-Tracking: Hohes Risiko. Ein permanentes Live-Tracking ist meist unverhältnismäßig. Eine Ortung zur Diebstahlsicherung nach Meldung ist eher legitim.
  • Analyse von Fahrverhaltensdaten: Mittleres bis hohes Risiko. Wenn Profile über Fahrer erstellt werden, steigt das Risiko. Der Zweck muss klar definiert und die Einwilligung eingeholt werden.

Technische und Organisatorische Maßnahmen (TOM) zum Schutz Ihrer Daten

Unternehmen sind verpflichtet, die Sicherheit der verarbeiteten Daten durch geeignete technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO zu gewährleisten.

  • Verschlüsselung: Daten auf Laptops, Servern und bei der Übertragung (z.B. an Leasingbanken) müssen verschlüsselt werden.
  • Zugriffskontrolle: Nur autorisierte Mitarbeiter dürfen Zugriff auf personenbezogene Daten haben. Ein Rollen- und Berechtigungskonzept ist unerlässlich.
  • Logging: Zugriffe auf Daten sollten protokolliert werden, um unbefugte Einsichtnahmen nachvollziehen zu können.
  • Datensparsamkeit: Es dürfen nur die Daten erhoben werden, die für den jeweiligen Zweck zwingend erforderlich sind. Eine Kopie des Personalausweises ist oft nicht nötig, die Einsichtnahme genügt.

Datenübermittlung an Dritte: Wer erhält die Daten?

Daten aus Probefahrten und Leasingverträgen werden oft an Dritte weitergegeben. Jede Weitergabe muss auf einer Rechtsgrundlage basieren.

  • Leasingpartner und Banken: Zur Bonitätsprüfung und Vertragsabwicklung (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO).
  • Versicherungen: Zur Schadensabwicklung im Falle eines Unfalls (Art. 6 Abs. 1 lit. b oder f DSGVO).
  • Werkstätten: Für Wartung und Reparaturen, die über den Leasingvertrag abgedeckt sind (Art. 6 Abs. 1 lit. b DSGVO).
  • Hersteller: Oft zur Garantie Abwicklung oder für Rückrufaktionen. Hier ist genau zu prüfen, welche Daten übermittelt werden.

Für jede Datenübermittlung muss sichergestellt sein, dass der Empfänger ebenfalls die DSGVO einhält, idealerweise durch einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, falls der Dritte als Dienstleister agiert.

Aufbewahrungsfristen und Löschkonzepte

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es der Zweck erfordert. Danach müssen sie sicher gelöscht werden. Ein Löschkonzept ist Pflicht.

Daten Art Zweck Beispiel-Aufbewahrungsfrist
Führerscheinkopie (Probefahrt) Identitätsprüfung Unmittelbar nach unversehrter Rückgabe des Fahrzeugs löschen.
Probefahrtvereinbarung Nachweis, Haftung Bis zum Ablauf der regelmäßigen Verjährungsfrist (3 Jahre).
GPS-Daten (Probefahrt) Diebstahlsicherung Wenige Tage nach der Probefahrt, z.B. 72 Stunden.
Leasingvertragsunterlagen Gesetzliche Pflicht 10 Jahre nach Vertragsende aufgrund steuer- und handelsrechtlicher Vorgaben.

Ihre Rechte als Betroffener: Eine Anleitung

Die DSGVO stattet Sie mit umfassenden Rechten aus. Unternehmen müssen Anfragen fristgerecht (in der Regel innerhalb eines Monats) beantworten.

  • Recht auf Auskunft (Art. 15): Sie können erfahren, welche Daten über Sie gespeichert sind.
  • Recht auf Berichtigung (Art. 16): Sie können die Korrektur falscher Daten verlangen.
  • Recht auf Löschung (Art. 17): “Recht auf Vergessenwerden”, wenn keine Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18): Unter bestimmten Voraussetzungen können Sie die Sperrung Ihrer Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20): Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
  • Widerspruchsrecht (Art. 21): Sie können der Verarbeitung Ihrer Daten, die auf berechtigtem Interesse beruht, widersprechen.

Mustervorlage für ein Auskunftsersuchen

Sehr geehrte Damen und Herren,

gemäß Art. 15 DSGVO bitte ich um Auskunft über die zu meiner Person gespeicherten Daten. Bitte teilen Sie mir insbesondere mit:

  1. Welche personenbezogenen Daten (z.B. Name, Adresse, Fahrzeugdaten) Sie über mich verarbeiten.
  2. Zu welchen Zwecken diese Daten verarbeitet werden.
  3. An welche Empfänger oder Kategorien von Empfängern diese Daten weitergegeben wurden oder werden.
  4. Wie lange die Speicherung der Daten geplant ist.

Meine Daten zur Identifikation: [Ihr Name], [Ihre Adresse], [Kundennummer/Vertragsnummer, falls bekannt].

Bitte stellen Sie mir eine Kopie der Daten zur Verfügung. Ich erwarte Ihre Antwort innerhalb der gesetzlichen Frist von einem Monat.

Mit freundlichen Grüßen,

[Ihr Name]

Praktische Checkliste für Händler und Leasinggeber

Dieser Plan hilft, den Datenschutz bei Probefahrten und Leasing systematisch sicherzustellen.

Vor der Probefahrt

  • [ ] Datenschutzinformationen (gem. Art. 13 DSGVO) gut sichtbar auslegen und/oder digital zur Verfügung stellen.
  • [ ] Probefahrtvereinbarung mit integrierten, aber separaten Einwilligungstexten für optionale Verarbeitungen (z.B. Werbung) vorbereiten.
  • [ ] Prozess zur Überprüfung von Führerschein und Ausweis definieren (Grundsatz: nur einsehen, nicht kopieren, es sei denn, es ist zwingend nötig und begründbar).
  • [ ] Mitarbeiter schulen: Welche Daten dürfen wofür erhoben werden?

Während der Probefahrt

  • [ ] Auf Datensparsamkeit achten. Keine unnötigen Daten erheben.
  • [ ] Bei Fahrzeugen mit Kameras oder permanentem Tracking den Fahrer aktiv und nachweislich darüber informieren.

Nach der Probefahrt / im Leasingprozess

  • [ ] Daten, die nicht mehr benötigt werden (z.B. Ausweiskopie), unverzüglich und sicher löschen.
  • [ ] Verträge und Einwilligungen revisionssicher archivieren.
  • [ ] Löschfristen im System hinterlegen und Löschroutinen etablieren.
  • [ ] Prozesse für die Bearbeitung von Betroffenenanfragen definieren (wer ist zuständig, wie wird die Identität geprüft?).

Musterformulierungen für die Praxis

Diese Textbausteine dienen als Orientierung und müssen an die jeweilige Situation angepasst werden.

Muster: Informationstext (Auszug für Probefahrt)

Informationen zur Datenverarbeitung bei Ihrer Probefahrt
Wir, die [Name des Autohauses], verarbeiten Ihre personenbezogenen Daten (Name, Anschrift, Führerscheindaten) zur Durchführung der Probefahrtvereinbarung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Zur Sicherung unseres Eigentums erheben wir zudem den Standort des Fahrzeugs während der Fahrt auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO). Diese Daten werden spätestens 72 Stunden nach Rückgabe des Fahrzeugs gelöscht. Vollständige Informationen nach Art. 13 DSGVO finden Sie in unserem ausliegenden Datenschutzhinweis oder auf unserer Webseite.

Muster: Einwilligungstext (für Werbung)

[ ] Ja, ich bin damit einverstanden, dass das [Name des Autohauses] meine Kontaktdaten (E-Mail, Telefon) nutzt, um mich über zukünftige Angebote und Neuigkeiten zu informieren. Diese Einwilligung ist freiwillig und kann jederzeit per E-Mail an [E-Mail-Adresse] widerrufen werden. Sie ist nicht Voraussetzung für die Durchführung der Probefahrt.

Dokumentation und Nachweisführung für Audits

Gemäß der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) müssen Unternehmen nachweisen können, dass sie die Datenschutzgrundsätze einhalten. Eine lückenlose Dokumentation ist daher unerlässlich. Dazu gehören:

  • Verzeichnis von Verarbeitungstätigkeiten (VVT): Eine Übersicht aller Prozesse, bei denen personenbezogene Daten verarbeitet werden.
  • Einwilligungsnachweise: Eingeholte Einwilligungen müssen so gespeichert werden, dass sie dem jeweiligen Kunden zugeordnet werden können.
  • Technische und Organisatorische Maßnahmen (TOM): Die getroffenen Sicherheitsmaßnahmen müssen schriftlich dokumentiert sein.
  • Löschkonzept: Ein Plan, der die regelmäßige Löschung von Daten gemäß den definierten Fristen sicherstellt.
  • Datenschutz-Folgenabschätzungen (DSFA): Wenn für risikoreiche Verarbeitungen durchgeführt, müssen diese dokumentiert werden.

Häufige Praxissituationen und deren datenschutzkonforme Lösung

Fall 1: Unfall während der Probefahrt.
Frage: Dürfen die GPS-Daten des Fahrzeugs zur Rekonstruktion des Unfallhergangs verwendet werden?
Lösung: Ja, dies ist in der Regel durch das berechtigte Interesse des Autohauses an der Aufklärung und Geltendmachung von Rechtsansprüchen gedeckt (Art. 6 Abs. 1 lit. f DSGVO). Der Fahrer sollte jedoch vorab über diese mögliche Nutzung informiert worden sein.

Fall 2: Ein Kunde möchte keine Ausweiskopie anfertigen lassen.
Frage: Kann das Autohaus die Probefahrt verweigern?
Lösung: Das Autohaus hat ein berechtigtes Interesse an der Identitätsfeststellung. Statt einer Kopie kann die Einsichtnahme mit einem Vermerk in der Akte (“Führerschein lag vor”) ausreichen. Dieser datensparsamere Ansatz ist vorzuziehen. Eine pauschale Verweigerung der Probefahrt könnte unverhältnismäßig sein.

Anhang: Wichtige Ressourcen und Ansprechpartner

Für weiterführende Informationen und bei spezifischen Fragen stehen Ihnen die Datenschutz-Aufsichtsbehörden zur Verfügung. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist die zuständige Bundesbehörde. Zusätzlich gibt es in jedem Bundesland eine Landesdatenschutzbehörde.

Fachliche Unterstützung bieten zudem Berufsverbände und Gesellschaften:

Dieser Leitfaden soll Ihnen eine solide Grundlage für den korrekten Umgang mit dem Datenschutz bei Probefahrten und Leasing bieten und die Umsetzung in Ihrem Unternehmen ab 2026 erleichtern. Bei komplexen Einzelfällen ist die Hinzuziehung eines externen Datenschutzbeauftragten oder eines Fachanwalts ratsam.

Weitere relevante Inhalte