Datenschutz bei Probefahrten und Leasing: Praxisorientierte Übersicht

Datenschutz bei Probefahrten und Leasing: Praxisorientierte Übersicht

Leitfaden 2025: Sicherer Datenschutz bei Probefahrten und Leasing

Inhaltsverzeichnis

Einleitung: Relevanz von Probefahrten und Leasing für den Datenschutz

Der Datenschutz bei Probefahrten und Leasing ist für Autohäuser und Leasinggesellschaften zu einer zentralen unternehmerischen Aufgabe geworden. Längst geht es nicht mehr nur um die Erfassung von Name und Adresse. Moderne Fahrzeuge generieren eine immense Menge an Telemetrie- und Standortdaten, und die Digitalisierung der Antragsstrecken erfordert eine sorgfältige Handhabung sensibler Finanzinformationen. Die Datenschutz-Grundverordnung (DSGVO) stellt klare Anforderungen an die Verarbeitung personenbezogener Daten. Ein Verstoß kann nicht nur zu empfindlichen Bußgeldern führen, sondern auch das Vertrauen der Kunden nachhaltig schädigen. Dieser Leitfaden bietet Ihnen eine praxisnahe Übersicht und konkrete Hilfestellungen, um die datenschutzrechtlichen Herausforderungen im Jahr 2025 und darüber hinaus sicher zu meistern.

Typische Verarbeitungsfälle bei Probefahrten und Leasing

Im Geschäftsalltag von Händlern und Leasinggebern entstehen zahlreiche Situationen, in denen personenbezogene Daten verarbeitet werden. Ein strukturierter Umgang mit dem Datenschutz bei Probefahrten und Leasing beginnt mit der Identifizierung dieser Prozesse:

  • Anfrage und Terminvereinbarung: Erfassung von Kontaktdaten zur Organisation der Probefahrt.
  • Identitäts- und Führerscheinkontrolle: Überprüfung und Dokumentation der Fahrerlaubnis zur Absicherung gegen Haftungsrisiken.
  • Probefahrtvereinbarung: Unterzeichnung eines Vertrags, der die Bedingungen der Fahrt regelt und weitere Daten erfasst.
  • Fahrzeug-Tracking: Erhebung von Standortdaten während der Probefahrt zur Diebstahlsicherung oder Analyse der Fahrzeugnutzung.
  • Leasingantrag: Umfassende Erhebung von persönlichen und finanziellen Daten zur Prüfung des Antrags.
  • Bonitätsprüfung: Übermittlung von Daten an Auskunfteien wie die SCHUFA.
  • Vertragsabschluss und -verwaltung: Speicherung und Nutzung von Daten zur Erfüllung des Leasingvertrags.

Kategorien personenbezogener Daten – übersichtlich erklärt

Um die rechtlichen Anforderungen korrekt anzuwenden, ist eine genaue Kenntnis der verarbeiteten Datenkategorien unerlässlich. Diese lassen sich wie folgt gliedern:

  • Stammdaten: Name, Anschrift, Geburtsdatum, E-Mail-Adresse, Telefonnummer.
  • Identifikationsdaten: Personalausweis- und Führerscheinnummer, Ausstellungsdatum und -behörde.
  • Vertragsdaten: Vertragsnummer, Laufzeit, Raten, Fahrgestellnummer (FIN) des Fahrzeugs.
  • Bonitätsdaten: Einkommensnachweise, SCHUFA-Score, Informationen zu bestehenden Verbindlichkeiten.
  • Fahrzeug- und Nutzungsdaten: GPS-Standort, Geschwindigkeit, Fahrverhalten (Beschleunigung, Bremsmanöver), Kilometerstand, Fehlermeldungen des Fahrzeugs.
  • Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): In Ausnahmefällen Gesundheitsdaten, z. B. bei der Notwendigkeit eines Fahrzeugumbaus aufgrund einer Behinderung.

Rechtliche Grundlagen: Art. 6 und Art. 9 DSGVO im Praxisbezug

Jede Verarbeitung personenbezogener Daten benötigt eine gültige Rechtsgrundlage gemäß der DSGVO. Für den Bereich Probefahrten und Leasing sind vor allem folgende relevant:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Erforderlich für Verarbeitungen, die über die reine Vertragsabwicklung hinausgehen, z. B. für Marketing-Newsletter oder die Analyse des Fahrverhaltens zu Werbezwecken. Die Einwilligung muss freiwillig, informiert, unmissverständlich und nachweisbar sein.
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die zentrale Rechtsgrundlage für die Kernprozesse. Darunter fällt die Datenerhebung zur Durchführung der Probefahrt (als vorvertragliche Maßnahme) und zur Abwicklung des Leasingvertrags.
  • Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Relevant für die Erfüllung gesetzlicher Aufbewahrungspflichten, z. B. aus dem Handels- oder Steuerrecht.
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Kann als Grundlage für Maßnahmen wie die GPS-Ortung zur Diebstahlsicherung dienen. Erfordert eine sorgfältige Abwägung zwischen dem Interesse des Unternehmens und den Rechten der betroffenen Person.
  • Art. 9 DSGVO (Besondere Kategorien): Die Verarbeitung von Gesundheitsdaten ist grundsätzlich verboten und nur unter strengen Voraussetzungen zulässig, z. B. mit einer ausdrücklichen Einwilligung der betroffenen Person.

Verarbeitungsübersicht (Tabelle): Zweck, Daten, Rechtsgrundlage, Dauer

Die folgende Tabelle bietet eine praxisnahe Übersicht typischer Verarbeitungsvorgänge und hilft bei der Erstellung des eigenen Verzeichnisses von Verarbeitungstätigkeiten (VVT).

Zweck der Verarbeitung Datenkategorien Rechtsgrundlage (DSGVO) Speicherdauer Mögliche Empfänger
Durchführung Probefahrt Stammdaten, Identifikationsdaten (Führerschein) Art. 6 Abs. 1 lit. b Bis Abschluss der Probefahrt; ggf. länger bei Schadensfall Versicherung (im Schadensfall)
Diebstahlschutz (GPS-Tracking) Standortdaten, Fahrzeug-ID Art. 6 Abs. 1 lit. f Maximal für die Dauer der Probefahrt Sicherheitsdienstleister, Polizei
Bonitätsprüfung für Leasing Stammdaten, Bonitätsdaten Art. 6 Abs. 1 lit. b Während des Prüfprozesses; bei Ablehnung unverzügliche Löschung Bonitätsauskunfteien, Leasingbank
Leasingvertragsverwaltung Stammdaten, Vertragsdaten, Bankdaten Art. 6 Abs. 1 lit. b, Art. 6 Abs. 1 lit. c Dauer des Vertrags + gesetzliche Aufbewahrungsfristen (6-10 Jahre) Leasinggesellschaft, Werkstätten, Versicherungen

Einwilligung, berechtigtes Interesse und Dokumentation

Eine rechtskonforme Einwilligung ist ein Eckpfeiler im Datenschutz bei Probefahrten und Leasing. Stellen Sie sicher, dass Ihre Einwilligungsprozesse transparent und nutzerfreundlich sind. Betroffene müssen klar verstehen, wofür sie ihre Zustimmung geben. Ebenso wichtig ist die Dokumentationspflicht: Sie müssen jederzeit nachweisen können, wer wann wofür eine gültige Einwilligung erteilt hat. Bei der Berufung auf ein berechtigtes Interesse ist die Durchführung und Dokumentation einer Abwägungsprüfung unerlässlich, die Ihre Interessen gegen die der betroffenen Person abwägt.

Spezialfall Gesundheitsdaten und Fahrtauglichkeit

Die Erhebung von Gesundheitsdaten ist ein hochsensibler Bereich und unterliegt den strengen Anforderungen des Art. 9 DSGVO. Eine Abfrage zur Fahrtauglichkeit oder zu körperlichen Einschränkungen ist nur dann zulässig, wenn sie für einen bestimmten, legitimen Zweck zwingend erforderlich ist – beispielsweise bei der Konfiguration eines behindertengerechten Fahrzeugs. In solchen Fällen ist eine ausdrückliche und separate Einwilligung der betroffenen Person zwingend erforderlich.

Datenweitergabe an Leasinggesellschaften, Werkstätten und Bonitätsauskunfteien

Die Weitergabe von Daten an Dritte muss stets zweckgebunden und auf einer validen Rechtsgrundlage erfolgen.

Leasinggesellschaften und Bonitätsauskunfteien

Die Übermittlung von Daten an die Leasingbank und an Auskunfteien zur Bonitätsprüfung ist zur Anbahnung und Durchführung des Leasingvertrags (Art. 6 Abs. 1 lit. b DSGVO) erforderlich. Die Kunden müssen hierüber transparent in den Datenschutzhinweisen informiert werden.

Werkstätten und Versicherungen

Im Rahmen der Vertragsabwicklung kann es notwendig sein, Daten an Partnerwerkstätten (z. B. für Wartung) oder Versicherungen (im Schadensfall) weiterzugeben. Auch hier bildet die Vertragserfüllung die primäre Rechtsgrundlage.

Technische und organisatorische Maßnahmen (TOMs) konkret erläutert

Der Schutz der erhobenen Daten muss durch geeignete TOMs gemäß Art. 32 DSGVO sichergestellt werden. Konkrete Beispiele sind:

  • Technische Maßnahmen:
    • Verschlüsselung von Datenbanken und Übertragungswegen (SSL/TLS).
    • Implementierung von starken Passwortrichtlinien und Zwei-Faktor-Authentifizierung.
    • Zugriffskontrollsysteme, die sicherstellen, dass Mitarbeiter nur auf die für sie relevanten Daten zugreifen können (Need-to-know-Prinzip).
    • Regelmäßige Sicherheitsupdates und Patch-Management für alle Systeme.
  • Organisatorische Maßnahmen:
    • Regelmäßige Schulung der Mitarbeiter zum Thema Datenschutz.
    • Erstellung und Durchsetzung interner Datenschutzrichtlinien (z. B. Clean-Desk-Policy).
    • Abschluss von Verträgen zur Auftragsverarbeitung (AVV) mit allen externen Dienstleistern.
    • Etablierung eines Prozesses zur Meldung von Datenschutzverletzungen.

Vertragliche Musterklauseln für Händler und Leasingpartner

Transparenz ist entscheidend. In Ihren Probefahrtvereinbarungen und Leasinganträgen sollten klare und verständliche Datenschutzklauseln enthalten sein.

Formulierungsbeispiel für eine Probefahrtvereinbarung (unverbindliches Muster):

“Ich bin damit einverstanden, dass die [Name des Autohauses] meine personenbezogenen Daten (Name, Anschrift, Führerscheindaten) zur Durchführung und Abwicklung der Probefahrt gemäß Art. 6 Abs. 1 lit. b DSGVO verarbeitet. Mir ist bekannt, dass zur Diebstahlsicherung das Fahrzeug während der Probefahrt per GPS geortet werden kann. Rechtsgrundlage hierfür ist das berechtigte Interesse des Autohauses gemäß Art. 6 Abs. 1 lit. f DSGVO. Die Standortdaten werden unmittelbar nach ordnungsgemäßer Rückgabe des Fahrzeugs gelöscht. Weitere Informationen zur Datenverarbeitung und zu meinen Rechten finde ich in den Datenschutzhinweisen.”

Löschfristen, Archivierung und Aufbewahrungspläne

Der Grundsatz der Speicherbegrenzung verlangt, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den Zweck ihrer Erhebung erforderlich ist. Ein strukturiertes Löschkonzept ist daher unerlässlich. Es muss definieren, welche Daten wann gelöscht werden müssen. Während Daten aus einer reinen Probefahrtanfrage ohne Vertragsabschluss zeitnah zu löschen sind, unterliegen leasingrelevante Unterlagen gesetzlichen Aufbewahrungsfristen (z. B. 10 Jahre für steuerrechtlich relevante Dokumente).

Betroffenenrechte: Verfahren zur Auskunft, Löschung und mehr

Kunden haben umfassende Rechte bezüglich ihrer Daten, darunter das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Autohäuser und Leasinggesellschaften müssen interne Prozesse etablieren, um diese Anfragen fristgerecht (in der Regel innerhalb eines Monats) und korrekt bearbeiten zu können. Die Zuständigkeiten hierfür sollten klar definiert und die Mitarbeiter entsprechend geschult sein.

Auditcheckliste für Händler und Leasinggeber

Nutzen Sie diese kurze Checkliste, um den Status quo des Datenschutzes in Ihrem Unternehmen schnell zu überprüfen:

  • ✅ Liegt ein aktuelles Verzeichnis von Verarbeitungstätigkeiten (VVT) vor?
  • ✅ Werden Einwilligungen nachweisbar und für den jeweiligen Zweck getrennt eingeholt und dokumentiert?
  • ✅ Existiert ein dokumentiertes Löschkonzept mit definierten Fristen?
  • ✅ Sind alle Mitarbeiter, die mit personenbezogenen Daten arbeiten, regelmäßig geschult?
  • ✅ Wurden mit allen externen Dienstleistern (z. B. IT-Support, Marketingagenturen) Verträge zur Auftragsverarbeitung (AVV) geschlossen?
  • ✅ Sind die Datenschutzhinweise auf der Webseite und in den Vertragsdokumenten aktuell und verständlich?
  • ✅ Gibt es einen etablierten Prozess zur Bearbeitung von Betroffenenanfragen?

FAQ für Betroffene und Aufsichtsbehörden

Darf das Autohaus meinen Personalausweis für die Probefahrt kopieren?

Das Anfertigen einer Kopie des Personalausweises ist in der Regel nicht zulässig. Das Bundesministerium des Innern stellt klar, dass nur der Inhaber sich selbst damit identifizieren darf. Erlaubt ist hingegen, dass ein Mitarbeiter die für die Identifikation notwendigen Daten (Name, Adresse, Gültigkeit) einsieht, notiert und mit den Angaben des Interessenten abgleicht. Das Festhalten der Ausweisnummer ist zulässig, wenn es zur eindeutigen Identifizierung im Haftungsfall erforderlich ist.

Wie lange dürfen meine Daten nach einer Probefahrt gespeichert werden?

Wenn aus der Probefahrt kein weiteres Geschäftsverhältnis entsteht, müssen die Daten, die ausschließlich zur Durchführung der Fahrt erhoben wurden (z. B. Führerscheindaten, kurzfristige Kontaktdaten), unverzüglich nach Beendigung des Zwecks gelöscht werden. Eine längere Speicherung, z. B. für Werbezwecke, bedarf Ihrer ausdrücklichen Einwilligung.

Welche Daten werden während der Fahrt durch das Fahrzeug selbst erhoben?

Moderne Fahrzeuge erheben eine Vielzahl von Daten, von GPS-Koordinaten über Fahrstil-Analysen (Beschleunigungs- und Bremsverhalten) bis hin zu technischen Diagnosedaten. Der Fahrzeughersteller und das Autohaus sind verpflichtet, Sie transparent darüber zu informieren, welche Daten zu welchem Zweck erhoben und an wen sie übermittelt werden. Diese Informationen finden sich in der Regel in den Datenschutzhinweisen des Fahrzeugs oder des Herstellers.

Anhang: Weiterführende Links

Für weiterführende Informationen und offizielle Stellungnahmen empfehlen wir die Webseiten der folgenden Institutionen:

Weitere interessante Beiträge

Stand: 20251121