Datenschutz in Kfz‑Werkstätten: Praxisleitfaden für Inhaber

Datenschutz in Kfz-Werkstätten: Der Praxisleitfaden 2025 für DSGVO-Konformität

Inhaltsverzeichnis

• Kurz-Executive-Summary: Ihre Pflichten in 3 Sätzen
• Rechtsgrundlagen und Pflichten für Kfz-Werkstätten
• Übersicht typischer Werkstattdaten: Welche Daten entstehen wo?
• Verarbeitungsverzeichnis: Vorlage und Ausfüllhinweise für Werkstätten
• Reparaturauftrag und Probefahrt: Musterformulierungen und Einwilligungen
• Kundenkommunikation: Regeln für E-Mail, SMS und Messenger
• Foto und Video in der Werkstatt: Einwilligung und Alternativen
• Videoüberwachung auf dem Betriebsgelände
• Datenweitergabe an Dritte: AVV-Checkliste
• Technische und organisatorische Maßnahmen (TOMs): Ein Muss für jede Werkstatt
• Aufbewahrungsfristen nach Datentyp: Praxisempfehlungen
• Ablauf bei einem Datenschutzvorfall: Ein Plan für den Ernstfall
• Mitarbeiterzugriff und Schulung: Das schwächste Glied stärken
• Onboarding neuer Kunden und DSGVO-konforme Prozesse
• Prüfliste für Audits: Schnellcheck für Betriebsleiter
• Druckbare Checkliste: Kurzversion für die Werkstattpraxis
• FAQ: Häufige Fragen zum Datenschutz in Kfz-Werkstätten
• Anhang: Mustertexte und Verantwortliche
• Quellen und weiterführende Links

Kurz-Executive-Summary: Ihre Pflichten in 3 Sätzen

Als Betreiber einer Kfz-Werkstatt müssen Sie die personenbezogenen Daten Ihrer Kunden, Mitarbeiter und Lieferanten gemäß der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) schützen. Dies erfordert eine transparente Dokumentation aller Datenverarbeitungsprozesse, die Implementierung geeigneter technischer Sicherheitsmaßnahmen und die strikte Einhaltung von Zweckbindung und Datensparsamkeit. Ein proaktiver Umgang mit dem Datenschutz in Ihrer Kfz-Werkstatt minimiert Haftungsrisiken und stärkt das Vertrauen Ihrer Kunden.

Rechtsgrundlagen und Pflichten für Kfz-Werkstätten

Der rechtliche Rahmen für den Datenschutz wird primär durch zwei Gesetze bestimmt: die EU-weit geltende Datenschutz-Grundverordnung (DSGVO auf Englisch: General Data Protection Regulation, GDPR) und das deutsche Bundesdatenschutzgesetz (BDSG). Für Werkstätten sind insbesondere folgende Artikel der DSGVO relevant:

• Art. 5 DSGVO (Grundsätze): Verlangt, dass Daten rechtmäßig, fair, transparent, zweckgebunden und auf das Notwendigste beschränkt verarbeitet werden.
• Art. 6 DSGVO (Rechtmäßigkeit): Definiert, wann eine Datenverarbeitung erlaubt ist, z. B. zur Vertragserfüllung (Reparaturauftrag), aufgrund einer Einwilligung oder zur Wahrung berechtigter Interessen.
• Art. 32 DSGVO (Sicherheit der Verarbeitung): Fordert Sie auf, geeignete technische und organisatorische Maßnahmen (TOMs) zu ergreifen, um die Daten zu schützen (z. B. Verschlüsselung, Zugriffskontrollen).
• Art. 33 DSGVO (Meldepflicht): Verpflichtet Sie, Datenschutzverletzungen (Datenpannen) innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden.
• Art. 37 DSGVO (Datenschutzbeauftragter): Die Benennung eines Datenschutzbeauftragten ist für die meisten Kfz-Werkstätten nicht zwingend, kann aber bei einer hohen Anzahl von Datenverarbeitungen sinnvoll sein.

Das BDSG ergänzt die DSGVO mit nationalen Regelungen, beispielsweise im Bereich des Mitarbeiterdatenschutzes.

Übersicht typischer Werkstattdaten: Welche Daten entstehen wo?

In einer typischen Kfz-Werkstatt fallen an verschiedenen Stellen personenbezogene Daten an. Eine saubere Trennung und Kenntnis dieser Daten ist der erste Schritt zu einem funktionierenden Datenschutzkonzept.

Datenkategorie	Beispiele	Entstehungsort
Kundendaten (Stammdaten)	Name, Anschrift, Telefonnummer, E-Mail-Adresse, Bankverbindung	Reparaturauftrag, Kundenmanagementsystem (CRM), Rechnungssoftware
Fahrzeugdaten	Fahrgestellnummer (FIN), Kennzeichen, Kilometerstand, Diagnosedaten, GPS-Daten (aus Infotainment)	Fahrzeug selbst, Diagnosegerät, Reparaturauftrag, Fotos/Videos
Kommunikationsdaten	E-Mail-Verkehr, SMS-Nachrichten, Notizen aus Telefongesprächen	E-Mail-Programm, Mobiltelefon, CRM-System
Bild- und Videodaten	Fotos zur Schadensdokumentation, Videos von Probefahrten (Dashcam), Bilder für Social Media	Smartphone, Digitalkamera, Überwachungskamera
Mitarbeiterdaten	Name, Adresse, Gehaltsdaten, Arbeitszeiten, Urlaubsanträge	Personalakte, Zeiterfassungssystem, Lohnbuchhaltung
Lieferantendaten	Kontaktdaten von Ansprechpartnern, Bankverbindungen	Buchhaltungssoftware, Bestellsystem

Verarbeitungsverzeichnis: Vorlage und Ausfüllhinweise für Werkstätten

Jeder Verantwortliche muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) führen (Art. 30 DSGVO). Dies ist das zentrale Dokument, das alle Datenflüsse in Ihrer Werkstatt beschreibt. Es dient als Nachweis gegenüber den Aufsichtsbehörden.

Bestandteile eines VVT für eine Kfz-Werkstatt:

• Name und Kontaktdaten des Verantwortlichen: Ihre Werkstatt.
• Zwecke der Verarbeitung: z. B. „Durchführung von Reparaturaufträgen“, „Kundenverwaltung und Rechnungsstellung“, „Personalverwaltung“.
• Beschreibung der betroffenen Personengruppen: z. B. „Kunden“, „Mitarbeiter“, „Lieferanten“.
• Beschreibung der Datenkategorien: z. B. „Kontaktdaten“, „Vertragsdaten“, „Fahrzeugidentifikationsdaten“.
• Empfänger der Daten: z. B. „Steuerberater“, „Teilelieferant“, „Abrechnungsdienstleister“.
• Fristen für die Löschung: Wann werden die Daten gelöscht (siehe Abschnitt Aufbewahrungsfristen).
• Beschreibung der technischen und organisatorischen Maßnahmen (TOMs): Ein Verweis auf Ihr TOM-Dokument genügt.

Reparaturauftrag und Probefahrt: Musterformulierungen und Einwilligungen

Transparenz ist entscheidend. Informieren Sie Ihre Kunden direkt bei der Auftragsannahme über die Datenverarbeitung. Integrieren Sie klare und verständliche Klauseln in Ihre Formulare.

Musterformulierung für den Reparaturauftrag

Fügen Sie folgenden Passus in Ihren Reparaturauftrag ein:

„Datenschutzhinweis: Wir verarbeiten Ihre personenbezogenen Daten (Name, Anschrift, Kontaktdaten) sowie Ihre Fahrzeugdaten (FIN, Kennzeichen, Diagnosedaten) zur Erfüllung dieses Reparaturauftrags gemäß Art. 6 Abs. 1 lit. b DSGVO. Detaillierte Informationen zur Datenverarbeitung, Ihren Rechten und unseren Kontaktdaten finden Sie in unseren Datenschutzhinweisen [Link zur Webseite oder Aushang in der Werkstatt].“

Zusatz für Probefahrten und Diagnosedaten

Wenn während einer Probefahrt oder Diagnose potenziell sensible Daten (z. B. Standortdaten) erfasst werden, ist eine explizite Information ratsam:

„Ich nehme zur Kenntnis, dass zur Fehlerdiagnose und Qualitätssicherung eine Probefahrt durchgeführt werden kann, bei der technische Fahrzeugdaten und ggf. Standortdaten erfasst werden. Diese Daten werden ausschließlich zur Auftragsdurchführung verwendet und anschließend gelöscht.“

Kundenkommunikation: Regeln für E-Mail, SMS und Messenger

Die Kommunikation mit Kunden unterliegt ebenfalls den Datenschutzregeln.

• E-Mail: Senden Sie Rechnungen oder sensible Diagnosen nur über eine transportverschlüsselte Verbindung (TLS). Bieten Sie alternativ eine passwortgeschützte PDF-Datei an.
• SMS: Geeignet für kurze Status-Updates („Ihr Fahrzeug ist fertig.“). Vermeiden Sie die Übermittlung sensibler Details.
• Messenger (z. B. WhatsApp): Vorsicht! Die private Nutzung von WhatsApp für die geschäftliche Kommunikation ist aus Datenschutzsicht hochproblematisch, da das Adressbuch ausgelesen wird. Setzen Sie auf offizielle Business-Lösungen oder alternative, sichere Messenger, bei denen Sie einen Auftragsverarbeitungsvertrag (AVV) abschließen können. Holen Sie immer eine nachweisbare Einwilligung des Kunden ein, bevor Sie ihn über diesen Kanal kontaktieren.

Foto und Video in der Werkstatt: Einwilligung und Alternativen

Fotos von Schäden sind zur Dokumentation oft unerlässlich. Hier gilt es, den Zweck zu beachten.

• Interne Dokumentation: Das Fotografieren eines Schadens zur internen Dokumentation und zur Abrechnung mit der Versicherung ist in der Regel durch das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) gedeckt. Achten Sie darauf, dass keine Personen oder andere nicht relevante Details (z. B. private Gegenstände im Auto) erkennbar sind.
• Werbung und Social Media: Für die Veröffentlichung von Bildern, auf denen das Fahrzeug (insbesondere mit Kennzeichen) oder der Kunde erkennbar ist, benötigen Sie eine ausdrückliche, schriftliche und jederzeit widerrufbare Einwilligung.

Mustertext für eine Fotoeinwilligung

„Ich willige ein, dass die [Name der Werkstatt] Fotos meines Fahrzeugs [Marke, Modell, Kennzeichen] anfertigt und für Werbezwecke auf der Webseite [Ihre Webseite] und den Social-Media-Kanälen (Facebook, Instagram) unbefristet veröffentlicht. Mir ist bekannt, dass ich diese Einwilligung jederzeit ohne Angabe von Gründen schriftlich widerrufen kann.“

Videoüberwachung auf dem Betriebsgelände

Eine Videoüberwachung zum Schutz vor Diebstahl oder Vandalismus kann ein berechtigtes Interesse darstellen. Beachten Sie dabei strikt:

• Erforderlichkeit: Die Überwachung muss wirklich notwendig sein.
• Kennzeichnungspflicht: Bringen Sie gut sichtbare Schilder an, die über den Umstand der Überwachung, den Verantwortlichen und den Zweck informieren.
• Datensparsamkeit: Überwachen Sie nur die wirklich kritischen Bereiche (z. B. Einfahrt, Ersatzteillager), nicht aber Pausenräume oder öffentliche Gehwege.
• Speicherdauer: Die Aufnahmen dürfen nur so lange wie nötig gespeichert werden, in der Regel maximal 72 Stunden.

Datenweitergabe an Dritte: AVV-Checkliste

Sie geben regelmäßig Daten an Dritte weiter (z. B. Steuerberater, externe Abrechnungsstellen, Teilelieferanten, Softwareanbieter für Ihr CRM). Handeln diese Dienstleister in Ihrem Auftrag, benötigen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.

Checkliste für Ihre Dienstleister:

• Habe ich mit meinem Softwareanbieter (CRM, Buchhaltung) einen AVV abgeschlossen?
• Habe ich mit der externen Lohnbuchhaltung einen AVV?
• Habe ich mit dem Abschleppdienst, der in meinem Auftrag fährt, einen AVV?
• Regelt der AVV die Weisungsgebundenheit, die Vertraulichkeit, die implementierten Sicherheitsmaßnahmen und die Vorgehensweise nach Vertragsende?

Technische und organisatorische Maßnahmen (TOMs): Ein Muss für jede Werkstatt

Der Schutz der Daten muss praktisch umgesetzt werden. Hier sind konkrete Mindestanforderungen für eine Kfz-Werkstatt ab 2025:

• Verschlüsselung: Ihre Webseite muss per HTTPS (TLS) erreichbar sein. Festplatten von Laptops und Servern sollten verschlüsselt sein.
• Zugriffskontrolle: Vergeben Sie Passwörter, die den aktuellen Sicherheitsstandards entsprechen. Richten Sie für jeden Mitarbeiter ein eigenes Benutzerkonto ein.
• 2-Faktor-Authentifizierung (2FA): Sichern Sie den Zugang zu wichtigen Systemen wie E-Mail-Konten und Cloud-Speichern zusätzlich per 2FA ab.
• Backup-Strategie: Erstellen Sie regelmäßig Backups Ihrer wichtigen Daten (Kunden-, Rechnungsdaten). Speichern Sie mindestens eine Kopie an einem sicheren, räumlich getrennten Ort (z. B. externer Dienstleister mit AVV).
• Rollen- und Berechtigungskonzept: Ein Mechaniker benötigt keinen Zugriff auf die Lohnbuchhaltung. Vergeben Sie Zugriffsrechte nach dem „Need-to-know“-Prinzip.
• Sichere Hardware: Sichern Sie Serverräume ab und lassen Sie Laptops nicht unbeaufsichtigt. Entsorgen Sie alte Datenträger fachgerecht.

Aufbewahrungsfristen nach Datentyp: Praxisempfehlungen

Daten dürfen nicht ewig gespeichert werden. Nach Ablauf des Zwecks und gesetzlicher Fristen müssen sie gelöscht werden.

• Rechnungen und Buchungsbelege: 10 Jahre (gemäß Abgabenordnung und Handelsgesetzbuch).
• Reparaturaufträge: Mindestens für die Dauer der Gewährleistungsfristen (i. d. R. 2-3 Jahre). Eine längere Aufbewahrung kann im Einzelfall wegen Produkthaftung gerechtfertigt sein.
• Bewerbungsunterlagen (abgelehnte Bewerber): Maximal 6 Monate nach Abschluss des Bewerbungsverfahrens.
• Daten aus Videoüberwachung: In der Regel maximal 72 Stunden.

Ablauf bei einem Datenschutzvorfall: Ein Plan für den Ernstfall

Ein Laptop wird gestohlen, ein Virus verschlüsselt Ihre Kundendaten, eine E-Mail mit einer Rechnung geht an den falschen Empfänger. Das ist eine Datenpanne. Handeln Sie sofort und strukturiert.

1. Sofortmaßnahmen: Sichern Sie die betroffenen Systeme. Ändern Sie Passwörter. Versuchen Sie, den Schaden zu begrenzen (z. B. falsch gesendete E-Mail zurückrufen).
2. Interne Dokumentation: Dokumentieren Sie den Vorfall lückenlos: Was ist wann passiert? Welche Daten sind betroffen? Welche Maßnahmen wurden ergriffen?
3. Risikobewertung: Schätzen Sie das Risiko für die Rechte und Freiheiten der betroffenen Personen ein. Ein falsch versandter Newsletter ist weniger kritisch als der Verlust einer kompletten Kundendatenbank mit Adressen und Rechnungsdaten.
4. Meldung an die Aufsichtsbehörde (Art. 33 DSGVO): Besteht ein Risiko, müssen Sie den Vorfall innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Landesdatenschutzbehörde melden.
5. Benachrichtigung der Betroffenen (Art. 34 DSGVO): Besteht ein hohes Risiko, müssen Sie auch die betroffenen Personen unverzüglich informieren.

Mitarbeiterzugriff und Schulung: Das schwächste Glied stärken

Ihre Mitarbeiter sind ein entscheidender Faktor für den Datenschutz in Ihrer Kfz-Werkstatt. Schulen Sie Ihr Team regelmäßig und schaffen Sie Verbindlichkeit.

• Vertraulichkeitsverpflichtung: Lassen Sie alle Mitarbeiter bei Arbeitsbeginn eine Verpflichtung zur Wahrung des Datengeheimnisses unterzeichnen.
• Regelmäßige Schulungen: Führen Sie mindestens einmal jährlich eine kurze Schulung durch. Themen: Sichere Passwörter, Erkennen von Phishing-Mails, Umgang mit Kundendaten am Telefon.
• Klare Anweisungen: Erstellen Sie klare Arbeitsanweisungen (z. B. „Schreibtisch aufräumen“, „Bildschirme sperren bei Verlassen des Arbeitsplatzes“).

Onboarding neuer Kunden und DSGVO-konforme Prozesse

Integrieren Sie den Datenschutz von Anfang an in Ihre Abläufe. Wenn ein Neukunde Ihre Werkstatt betritt, sollten die Prozesse klar sein:

1. Datenerfassung am Tresen: Erfassen Sie nur die Daten, die für den Auftrag unbedingt notwendig sind (Name, Adresse, Telefon, Fahrzeugdaten).
2. Reparaturauftrag mit Datenschutzhinweis: Der Kunde unterzeichnet den Auftrag, der den klaren Hinweis auf die Datenverarbeitung enthält.
3. Einwilligung für Zusatzleistungen: Fragen Sie aktiv nach einer Einwilligung für Marketing (z. B. Newsletter, Erinnerung an HU/AU) und dokumentieren Sie diese separat.
4. Dateneingabe im System: Die Daten werden in das gesicherte CRM-System übertragen. Der Papierauftrag wird sicher abgelegt.

Prüfliste für Audits: Schnellcheck für Betriebsleiter

• Ist unser Verarbeitungsverzeichnis aktuell und vollständig?
• Verwenden wir aktuelle, DSGVO-konforme Formulare (Reparaturauftrag, Einwilligungen)?
• Haben wir mit allen relevanten Dienstleistern Auftragsverarbeitungsverträge (AVV) abgeschlossen?
• Sind unsere technischen Schutzmaßnahmen (Backups, Virenscanner, Passwörter) auf dem Stand der Technik?
• Kennen alle Mitarbeiter die grundlegenden Datenschutzregeln und sind sie auf die Vertraulichkeit verpflichtet?
• Gibt es einen dokumentierten Prozess für den Umgang mit Datenpannen?
• Werden die Löschfristen für Altdaten eingehalten?
• Ist eine eventuelle Videoüberwachung korrekt beschildert und dokumentiert?

Druckbare Checkliste: Kurzversion für die Werkstattpraxis

Tägliche Routine:

• [ ] Bildschirme bei Verlassen des Arbeitsplatzes sperren.
• [ ] Kundendokumente nicht offen liegen lassen.
• [ ] Sensible Gespräche nicht vor anderen Kunden führen.
• [ ] Nur offizielle Kommunikationskanäle (Telefon, Firmen-E-Mail) nutzen.

Bei der Kundenannahme:

• [ ] Nur notwendige Daten abfragen.
• [ ] Auf Datenschutzhinweise im Auftrag aufmerksam machen.
• [ ] Für Werbung (Newsletter, etc.) eine separate, aktive Einwilligung einholen.

Bei Fotos/Videos:

• [ ] Für interne Zwecke: Keine Personen oder private Details fotografieren.
• [ ] Für Veröffentlichung (Webseite, Social Media): Immer schriftliche Einwilligung einholen!

FAQ: Häufige Fragen zum Datenschutz in Kfz-Werkstätten

Darf ich meinem Kunden ein Foto des Schadens per WhatsApp schicken?

Nur wenn der Kunde dem ausdrücklich und nachweisbar zugestimmt hat und Sie ihn über die Risiken (Datenübertragung in die USA etc.) aufgeklärt haben. Sicherer ist die Übermittlung per E-Mail oder einem datenschutzfreundlichen Messenger.

Was muss ich mit den Daten im Infotainment-System des Kundenfahrzeugs machen?

Sie sollten den Kunden darauf hinweisen, dass er seine persönlichen Daten (z. B. gekoppeltes Handy, Adressbuch, Navigationsziele) nach der Reparatur selbst löschen sollte. Greifen Sie ohne Auftrag nicht auf diese Daten zu. Wenn ein Zurücksetzen für die Reparatur notwendig ist, informieren Sie den Kunden vorab.

Muss ich für die Erinnerung an den Hauptuntersuchungstermin eine extra Einwilligung haben?

Ja. Die Erinnerung an die HU/AU ist eine werbliche Maßnahme und geht über die reine Vertragserfüllung hinaus. Hierfür benötigen Sie eine separate, freiwillige und protokollierte Einwilligung des Kunden.

Anhang: Mustertexte und Verantwortliche

Verantwortliche Stelle:

[Name Ihrer Kfz-Werkstatt]
[Straße und Hausnummer]
[PLZ und Ort]
[E-Mail-Adresse]
[Telefonnummer]

Aktualisierungslog:
Letzte Prüfung und Aktualisierung dieses Leitfadens: 15.11.2025

Quellen und weiterführende Links

Für vertiefende Informationen und die Originaltexte der Gesetze empfehlen wir die offiziellen Seiten der Aufsichtsbehörden und des Gesetzgebers.

• Volltext der EU-Datenschutz-Grundverordnung (DSGVO)
• Volltext des Bundesdatenschutzgesetzes (BDSG)
• Webseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)