Datenschutz bei uns.

Ihr Daten sind uns wichtig. (Ohne vor allem technische Daten ist keine Reparatur möglich)

DATENSCHUTZ IM KFZ-BETRIEB
Stand: 25. Mai 2018
Die gesetzlichen Vorgaben gelten ab 25. Mai 2018
Datenschutz-Grundverordnung kurz DS-GVO

Als mündige Bürger/in im Internet sollte Ihnen bekannt sein, dass es eine 100 % Sicherheit

im Internet nicht gibt/ nicht geben kann. Gehen Sie also verantwortlich mit der Herausgabe Ihrer personenbezogenen Daten um!

Es wird immer ein Wettlauf zwischen Sicherheitssoftware und Hacker sein.

Da bei unserer Verarbeitung in der Software aber nicht mehr als z.B. im Telefonbuch steht,

ist ein "Datenmissbrauch" aus unserer Sicht auszuschliessen.

Die dafür zur Zeit technische Möglichkeiten, Ihre Daten zu schützen, setzen wir ein.

Durch die Teilnahme an überregionalen Datendiensten/Messenger wie z.B. "Whats-App" akzeptieren Sie deren Datenverarbeitung (irgend wo auf deren Servern), auf diesen Umstand haben wir keinen Einfluss.

WAS SIND PERSONENBEZOGENE DATEN?
Personenbezogene Daten sind alle Informationen, durch die auf irgendeine Art und Weise Rückschlüsse auf
eine natürliche Person gezogen werden können. Dabei genügt bereits die Möglichkeit zu einer indirekten,
d.h. unter Nutzung von Zusatzwissen erfolgenden Identifizierung, so dass auch Online-Kennungen wie
IP-Adresse, Cookie-Kennungen oder rein technische Daten (z.B. Status des Gurtstraffers) darunter fallen
können.
WER IST FÜR DEN DATENSCHUTZ VERANTWORTLICH?
Für die Einhaltung der Datenschutzbestimmungen ist grundsätzlich der Betriebsinhaber bzw. die Geschäftsleitung verantwortlich.

1. GRUNDSÄTZE DES DATENSCHUTZES
Halten Sie beim Umgang mit personenbezogenen Daten
stets die wichtigsten Grundsätze des Datenschutzes im Auge:
■ Rechtmäßigkeit
Die Verarbeitung personenbezogener Daten ist nur
rechtmäßig, wenn entweder
- die betroffene Person in die Verarbeitung ihrer Daten
freiwillig eingewilligt hat oder
- die Verarbeitung zur Erfüllung eines Vertrags erforderlich
ist (z.B. Abwicklung eines Kaufvertrags oder
Durchführung einer Kfz-Reparatur) oder
- die Verarbeitung zur Durchführung vorvertraglicher
Maßnahmen erforderlich ist, die auf Anfrage der betroffenen
Person erfolgen (z.B. Übersendung von Prospekten) oder
- die Verarbeitung zur Erfüllung rechtlicher Pflichten
(z.B. gesetzliche Aufbewahrungspflicht) erforderlich
ist oder - die Verarbeitung im Rahmen eines überwiegenden
berechtigten Interesses des Unternehmens (z.B. Werbemaßnahmen
bei Bestandskunden) erfolgt.
■ Transparenz
Die Verarbeitung der personenbezogenen Daten muss
in einer für die betroffene Person nachvollziehbaren
Weise erfolgen.
■ Zweckbindung
Die personenbezogenen Daten dürfen nur für festgelegte,
eindeutige und legitime Zwecke erhoben werden.
■ Datenminimierung
Die Erhebung und Verarbeitung der personenbezogenen
Daten ist auf das notwendige Maß zu beschränken.
■ Richtigkeit
Die personenbezogenen Daten müssen sachlich richtig
und erforderlichenfalls auf dem neuesten Stand sein.
Daten, die im Hinblick auf den Zweck ihrer Verarbeitung
unrichtig sind, sind unverzüglich zu löschen oder zu
berichtigen.
■ Speicherbegrenzung
Personenbezogene Daten müssen in einer Form gespeichert
werden, die die Identifizierung der betroffenen
Personen nur so lange ermöglicht, wie es für den Verarbeitungszweck
erforderlich ist.
■ Integrität und Vertraulichkeit
Personenbezogene Daten müssen so verarbeitet werden,
dass eine angemessene Sicherheit der personenbezogenen
Daten gewährleistet ist.

2. VERZEICHNIS DER VERARBEITUNGSTÄTIGKEITEN
Erstellen Sie ein Verarbeitungsverzeichnis, in dem Sie alle
Tätigkeiten, bei denen personenbezogene Daten verarbeitet
werden, in Ihrem Unternehmen dokumentieren. Das
Verzeichnis muss Angaben wie z.B. Name und Kontaktdaten
des Verantwortlichen, Zweck der Verarbeitung oder auch
Kategorien der betroffenen Personen und Empfänger enthalten.
Wie ein solches Verarbeitungsverzeichnis aussehen
soll, können Sie dem Muster „Verarbeitungsverzeichnis“
oder dem beispielhaften „Verarbeitungsverzeichnis Kfz-
Werkstatt“ entnehmen.

3. DATENSCHUTZVERPFLICHTUNG VON BESCHÄFTIGTEN
Spätestens am ersten Arbeitstag sind Beschäftigte, die mit
personenbezogenen Daten umgehen, zu informieren und
dahingehend zu verpflichten, dass die Verarbeitung der
personenbezogenen Daten auch durch sie nach den Grundsätzen
der Datenschutz-Grundverordnung erfolgt. Aus
Nachweisgründen sollte die Verpflichtung schriftlich oder
in elektronischem Format erfolgen (s. Muster „Verpflichtung
von Beschäftigten auf Vertraulichkeit“). Zur laufenden
Sensibilisierung empfiehlt es sich darüber hinaus
– beispielsweise im Rahmen von Schulungen oder in der
Betriebszeitung – regelmäßig an die Datenschutzverpflichtung
zu erinnern.

4. INFORMATIONSPFLICHTEN GEGENÜBER BETROFFENEN PERSONEN
Schon bei der Datenerhebung sind die betroffenen Personen
über die Verarbeitung ihrer personenbezogenen
Daten zu informieren. Im Rahmen der Datenschutz-Grundverordnung
wurde der Umfang der Informationspflichten
erheblich erweitert. So sind darüber hinaus beispielsweise
So sind Sie datenschutzrechtlich auf der sicheren Seite!
Name und Kontaktdaten des Kfz-Betriebs sowie des eventuell
vorhandenen Datenschutzbeauftragten zu nennen
oder auch auf das Auskunfts-, Löschungs- sowie Berichtigungsrecht
des Betroffenen hinzuweisen.
■ Stellen Sie sicher, dass Ihnen von jedem Kunden eine
datenschutzrechtliche Einwilligungserklärung vorliegt.
Verwenden Sie ab sofort nur noch die um die neuen
Informationspflichten ergänzten neuen Muster der
datenschutzrechtlichen Einwilligungserklärungen
(Muster „Datenschutzrechtliche Einwilligungserklärung
ohne Übermittlung an Dritte“ bzw. Muster
„Datenschutzrechtliche Einwilligungserklärung bei
zusätzlicher Übermittlung an Dritte (Hersteller,
etc.)“). In der Vergangenheit eingeholte damalig rechtswirksame
Einwilligungserklärungen behalten weiterhin
ihre Gültigkeit. Es wird jedoch empfohlen, auch diese
nach und nach gegen die Erklärungen nach neuem Datenschutzrecht
auszutauschen.
■ Ergänzen Sie die auf Ihrer Firmenwebseite hinterlegte
Datenschutzerklärung um die neuen Informationspflichten.
Dazu zählen beispielsweise die Rechtsgrundlage
für die Datenverarbeitung, das Auskunfts-, Korrektur-
und Löschungsrecht, der Widerrufshinweis, das
Recht auf Einschränkung der Verarbeitung und auf
Datenübertragbarkeit, das Widerspruchs- und Beschwerderecht
bei einer Aufsichtsbehörde, die Speicherdauer
oder auch die Nennung der Kontaktdaten des möglicherweise
vorhandenen Datenschutzbeauftragten. Setzen
Sie sich umgehend mit Ihrem IT-Dienstleister bzw. den
für die Erstellung Ihrer Internetseite verantwortlichen
Ansprechpartner in Verbindung, um die Datenschutzbestimmungen
fristgerecht dem neuen Datenschutzrecht
anzupassen. Eine Musterdatenschutzerklärung mit vertiefenden
Hinweisen finden Sie unter http://www.
uni-muenster.de/Jura.itm/hoeren/itm/wp-content/
uploads/Musterdatenschutzerk%C3%Ausführung-nachder-
DSGVO.docx. Bedenken Sie, dass gerade bei Datenschutzerklärungen
im Internet eine erhöhte Abmahngefahr besteht!

5. AUSKUNFTSPFLICHT
Jede betroffene Person hat das Recht, Auskunft zu erhalten,
zu welchen Zwecken ihre personenbezogenen Daten verarbeitet
werden, wie lange diese gespeichert werden und wer
die Empfänger der personenbezogenen Daten sind. Neben
den inhaltlichen Auskunftspflichten wurden mit dem neuen
Datenschutzrecht auch die formalen Anforderungen
hinsichtlich der Auskunftserteilung erweitert:
■ Antragsteller und betroffene Person müssen identisch
sein. Um missbräuchliche Auskunftsverlangen zu vermeiden,
ist es erforderlich, sich vorab von der Identität
des Antragstellers zu überzeugen und im Zweifelsfall
einen weiteren Identitätsnachweis anzufordern.
■ Die Auskunftserteilung sollte nach Möglichkeit schriftlich
erfolgen, bei elektronischen Anfragen sind die
Informationen in einem gängigen elektronischen Format
zur Verfügung zu stellen.
■ Die Auskunftserteilung muss unverzüglich, spätestens
innerhalb eines Monats erfolgen.
■ Die Auskunftserteilung hat unentgeltlich zu erfolgen.
Sensibilisieren Sie Ihre Mitarbeiter für den Fall von entsprechenden
Anfragen und stellen Sie organisatorisch sicher,
dass die Auskünfte fristgerecht und in vorgeschriebener
Form zur Verfügung gestellt werden können (s. Muster
„Auskunftserteilung“).

6. PFLICHT ZUR BERICHTIGUNG SO WIE EINSCHRÄNKUNG DER VERARBEITUNG
Sind personenbezogene Daten falsch, nicht mehr aktuell
oder unvollständig, müssen Sie auf Verlangen der betroffenen
Person diese unverzüglich korrigieren bzw. vervollständigen.
Ebenso kann die betroffene Person in bestimmten
Fällen verlangen, dass sämtliche erhobenen Daten
fortan nicht mehr weiterverwendet werden dürfen.

7. PFLICHT ZUR DATENLÖSCHUNG
Die personenbezogenen Daten sind zu löschen, wenn
■ sie für die Zwecke, für die sie erhoben wurden, nicht
mehr notwendig sind,
■ der Betroffene seine Einwilligung widerrufen hat,
■ die personenbezogenen Daten unrechtmäßig verarbeitet
wurden.
Dies gilt jedoch nur, wenn keine gesetzliche Grundlage
(z.B. steuerliche oder handelsrechtliche Aufbewahrungspflicht)
gegen die Löschung spricht. In diesem Fall dürfen
dann die Daten vorerst gespeichert bleiben, jedoch nicht
mehr verwendet werden.
Wurden die Daten an einen Dritten weitergegeben, muss
dieser über die Löschung informiert werden, damit dort
ebenfalls die Löschung vorgenommen werden kann (Recht
auf „Vergessenwerden“).

8. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
Als Verantwortlicher sind Sie verpflichtet, den Risiken
angemessene Maßnahmen zu ergreifen, um die Datenschutzgrundsätze
wirksam umzusetzen und die Rechte der betroffenen
Personen zu schützen. Dazu zählen beispielsweise
Maßnahmen zur Verhinderung, dass Datenverarbeitungssysteme
von Unbefugten genutzt werden, Löschungskonzepte,
E-Mail-Verschlüsselung, Virenscanner, usw. Die Maßnahmen
müssen dem Stand der Technik entsprechen, was jedoch
nicht bedeutet, dass nur solche Techniken zum Einsatz
kommen, die gerade neu entwickelt wurden. Vielmehr muss
die jeweilige Maßnahme ihre Geeignetheit und Effektivität
in der Praxis bewiesen haben und einen ausreichenden
Sicherheitsstandard gewährleisten. Eine Hilfestellung für
die zu ergreifenden Maßnahmen bietet Ihnen unsere Checkliste
„Technische und organisatorische Maßnahmen“.

9. VERTRÄGE MIT AUFTRAGSVERARBEITERN
Sofern Ihr Unternehmen personenbezogene Daten durch
einen externen weisungsgebundenen Dienstleister verarbeiten
lässt, ist ein schriftlicher Vertrag zur Auftragsverarbeitung
erforderlich. Solche Auftragsverarbeiter können
beispielsweise Callcenter, Marketingagenturen, IT-Supports
oder Rechenzentren sein. Keine Auftragsverarbeiter sind
hingegen z.B. Rechtsanwälte, Steuerberater, externe Betriebsärzte,
Wirtschaftsprüfer, Inkassobüros oder Bankinstitute,
da diese in der Regel nicht weisungsgebunden
tätig sind.
Nach der Datenschutz-Grundverordnung dürfen Sie nur mit
solchen Auftragsverarbeitern zusammenarbeiten, die hinreichend
Garantien dafür bieten, dass geeignete technische
und organisatorische Maßnahmen zur Einhaltung des Datenschutzes
durchgeführt werden. Subunternehmer darf der
Auftragnehmer nur mit Ihrer Zustimmung einsetzen. Ferner
muss der Auftragnehmer ein eigenes Verarbeitungsverzeichnis
führen.
Überprüfen Sie, ob entsprechende Verträge zur Auftragsverarbeitung
vorhanden sind. Bestehende Auftragsverarbeitungsverträge
sollten durch dem neuen Datenschutzrecht
angepasste Verträge ersetzt werden. (s. Muster „Vertrag
zur Auftragsverarbeitung“).

10. DIREKTWERBUNG
Nach dem neuen Datenschutzrecht ist die Verarbeitung von
personenbezogenen Daten zu Werbezwecken nur zulässig,
wenn
■ eine Einwilligung des Betroffenen vorliegt oder
■ das Ergebnis einer Interessenabwägung zugunsten des
Werbenden ausfällt.
Ein berechtigtes Interesse des Werbenden kann in der
Regel bei Werbemaßnahmen angenommen werden, die
gegenüber Bestandskunden erfolgen. Um dem Transparenzerfordernis
und dem Grundsatz der Zweckbindung zu genügen,
sollte der Kunde bei erstmaliger Datenerhebung
dann allerdings auf die Möglichkeiten einer späteren Direktwerbung
hingewiesen werden. Da dem Kunden ein
Widerspruchsrecht zusteht, ist dieser zudem spätestens im
Zeitpunkt der ersten Werbemaßnahme über sein Widerspruchsrecht
zu informieren. Und was Sie dabei auch nicht
vergessen dürfen: Für bestimmte Werbeformen wie z.B.
E-Mail, Telefon, Fax, SMS ist aus wettbewerbsrechtlichen
Gründen stets eine vorherige ausdrückliche Einwilligung
der betroffenen Person erforderlich.
Trotz der Möglichkeit zur Durchführung der Werbemaßnahmen
auf Grundlage einer Interessenabwägung empfiehlt
sich zur Vermeidung von Rechtsunsicherheiten
und Rechtsnachteilen dringendst die Einholung von
Einwilligungserklärungen.
Aus Nachweisgründen sollten diese nach Möglichkeit
schriftlich erfolgen (s. Muster „Datenschutzrechtliche
Einwilligungserklärung ohne Übermittlung an Dritte“
bzw. Muster „Datenschutzrechtliche Einwilligungserklärung
bei zusätzlicher Übermittlung an Dritte (Hersteller,
etc.)“). Nach der Datenschutz-Grundverordnung
stellen Stillschweigen oder bereits angekreuzte Kästchen
grundsätzlich keine Einwilligung mehr dar! Die neuen
Muster der datenschutzrechtlichen Einwilligungserklärungen
sehen daher auch für die postalische Werbung ein Ankreuzkästchen
vor.

11. MELDE- UND INFORMATIONSPFLICHTEN BEI DATENPANNEN
Kommt es bei der Verarbeitung der personenbezogenen
Daten zu Sicherheitsvorfällen (z.B. Diebstahl, Hacking oder
Verlust von Tablet mit unverschlüsselten Kundendaten) so
muss dies unverzüglich und möglichst binnen 72 Stunden,
nachdem die Verletzung bekannt wurde, der zuständigen
Aufsichtsbehörde gemeldet werden. Die Meldung beim
Bayerischen Landesamt für Datenschutzaufsicht ist online
über den Link https://www.lda.bayern.de/de/datenpanne.
html möglich.

12. VIDEOÜBERWACHUNG
Videoüberwachung des öffentlich zugänglichen Betriebsgeländes
ist grundsätzlich zulässig, soweit sie zur Wahrnehmung
eines berechtigten Interesses – beispielsweise
dem Schutz vor Einbrüchen, Diebstählen oder Vandalismus
– erforderlich ist und keine anderen Maßnahmen wie z.B.
Umzäunung ausreichend sind. Bei der Beschaffung, der
Installation und dem Betrieb der Videoüberwachungsanlage
ist auf sichere und datenschutzfreundliche Gestaltung
zu achten. Insbesondere ist zu prüfen, inwieweit eine Videoüberwachung
zeitlich eingeschränkt werden kann und
welche Bereiche der Überwachung ausgeblendet oder
verpixelt werden können. Nicht benötigte Funktionalität
wie z.B. freie Schwenkbarkeit, Zoomfähigkeit, Funkübertragung,
Internetveröffentlichung oder Audioaufnahmen
sollten nicht unterstützt oder zumindest bei der Inbetriebnahme
deaktiviert werden.
Nehmen Sie die Videoüberwachung als Verarbeitungstätigkeit
in das Verarbeitungsverzeichnis auf. Führen Sie
dabei die einzelnen Videokameras jeweils extra auf.
Weisen Sie am Ort der Überwachung an gut sichtbarer
Stelle durch ein entsprechendes Schild (Piktogramm Kamerasymbol)
auf den Umstand der Videoüberwachung hin.
Sorgen Sie dafür, dass die Daten der Videoüberwachung
unverzüglich gelöscht werden, wenn sie zur Erreichung
der Zwecke, für die sie erhoben wurden, nicht mehr notwendig
sind. Unter dem Gesichtspunkt der Datenminimierung
sollte eine Löschung grundsätzlich nach 48 Stunden
erfolgen.

13. DATENSCHUTZBEAUFTRAGTER
Überprüfen Sie, ob Sie einen Datenschutzbeauftragten
bestellen müssen.
Dies ist grundsätzlich der Fall, wenn in Ihrem Betrieb
mindestens zehn Personen ständig mit der automatisierten
Verarbeitung personenbezogener Daten beschäftigt
sind. Unter automatisierte Verarbeitung können beispielsweise
Tätigkeiten wie Lohnabrechnung, Personalverwaltung,
der Betrieb der Firmenwebseite, die digitale
Auftragsverwaltung inkl. Kundenstamm und Fahrzeugdaten,
der IT-Support oder auch das Auslesen von Fehlerspeichern
fallen.
Neu ist, dass darüber hinaus jeder Betrieb, der als AUWerkstatt
hoheitliche Aufgaben erfüllt, zur Bestellung
eines Datenschutzbeauftragten verpflichtet ist, selbst wenn
nur zwei oder drei Mitarbeiter mit der automatisierten
Verarbeitung von personenbezogenen Daten beschäftigt
sind. Der Verband des Kraftfahrzeuggewerbes Bayern versucht
aktuell hier eine Lösung für die betroffenen Betriebe
zu finden, gegebenenfalls über Datenschutzbeauftragte der
Innungen für diesen Teilbereich.
Die Bestellung des Datenschutzbeauftragten sollte aus
Nachweis- und Dokumentationsgründen schriftlich erfolgen
(s. Muster „Benennung eines betrieblichen Datenschutzbeauftragten“).
Wie bisher kann sowohl ein Beschäftigter
des Unternehmens als auch ein externer Experte zum Datenschutzbeauftragten
bestellt werden.
Die Kontaktdaten des Datenschutzbeauftragten müssen
sowohl innerhalb des Unternehmens (z.B. über das Intranet
oder Organisationspläne) als auch für außenstehende Dritte
(z.B. über die Unternehmenswebseite) veröffentlicht
werden. Für Unternehmensgruppen besteht die Möglichkeit
eines gemeinsamen Datenschutzbeauftragten, sofern dieser
von jeder Niederlassung leicht erreichbar ist.
Darüber hinaus sind die Kontaktdaten der zuständigen
Aufsichtsbehörde, dem Bayerischen Landesamt für Datenschutzaufsicht
mitzuteilen. Zu den Kontaktdaten zählen
Adresse, Telefonnummer und E-Mail-Adresse des Datenschutzbeauftragten,
nicht jedoch zwingend der Name.

Aus praktischen Gründen empfiehlt sich eine Namensneutrale
E-Mail-Adresse: datenschutz@autohaus-hartmann.com

Postanschrift: Autohaus Elmar Hartmann, Zum Hellbach 7, 97723 Oberthulba

Telefon: 09736-378

14. DOKUMENTATIONS- UND RECHENSCHAFTSPFLICHTEN
Sie müssen jederzeit die Rechtskonformität der Datenverarbeitung
in rechtlicher wie in technischer und organisatorischer
Sicht nachweisen können. Hierzu ist es unerlässlich,
alle datenschutzrechtlichen relevanten Vorgänge im
Unternehmen sorgfältig zu dokumentieren. Es empfiehlt
sich deshalb ein Datenschutz-Managementsystem in Ihrem
Unternehmen zu etablieren.
Bestandteile eines solchen Datenschutz-Managements sind:
■ Zuweisung von datenschutzrechtlichen Zuständigkeiten
im Betrieb
■ Sensibilisierung und regelmäßige Schulung der Mitarbeiter
■ Regeln für Kontrollen, Optimierung und Anpassung aller
Datenschutzmaßnahmen
■ Einsatz „datenschutzfreundlicher“ Technologien
■ IT-Sicherheit nach dem Stand der Technik
■ Dokumentationspflichten, insbesondere
- Verarbeitungsverzeichnis
- Datenschutz-Organisation
- Interne Datenschutzregeln und IT-Sicherheitsrichtlinien
- Datenschutzverstöße/-vorfälle
- Zuständigkeiten

WEITERFÜHRENDE INFOS:
Bayerischen Landesamtes für Datenschutzaufsicht
unter https://www.lda.bayern.de/de/kleine-unternehmen.html

Auf identifizierbare Anfrage geben wir im Rahmen der Gesetze Auskunft über

die von Ihnen gespeicherten Daten. Sie können jederzeit die Zustimmung zur

Datenspeicherung und Verarbeitung sowie Anschreiben und Anrufen widerrufen.

Nach der gesetzlichen Speicherfrist (z.B. durch das Finanzamt meistens 10 Jahre) werden dann Ihre Daten gelöscht. Sollten sich beim Speichern Ihrer Daten Fehler eingeschlichen haben, werden wir diese natürlich auf Wunsch/ bei Kenntnis sofort beseitigen.

Im Autohaus Elmar Hartmann haben zum Bearbeiten ihrer Daten nur Frau Elisabeth Hartmann und KFZ-Meister Elmar Hartmann zugriff.

Zulieferer und Fremdarbeit-Dienstleister bekommen keine personenbezogene Daten.

Für die hoheitlichen Überprüfungen der Fahrzeuge "Hauptuntersuchung" durch Prüforganisationen wie GTÜ und TÜV-Bayern müssen kraft Gesetz die Fahrzeugscheine vorgelegt werden. Diese vom Gesetzgeber autorisierten Prüforganisationen verfügen über ein eigenes Datensicherheitskonzept, auf das wir keinen Einfluss nehmen können.

So erreichen Sie uns:

Autohaus Thulbatal GbR

Michael und Nico Pielesch

Kfz-Meisterbetrieb

Zum Hellbach 7

97723 Oberthulba

Tel: (0 97 36) 3 78

Fax: (0 97 36) 71 16

Handy: 01 60 80 50 454

Aktuelle Fahrzeug Angebote >>>

https:// Partnerangebote

Unsere Öffnungszeiten:

Montag - Donnerstag:

07:30 - 12:00 Uhr

13:00 - 17:00 Uhr

Freitag:

07:30 - 12:00 Uhr

13:00 - 16:30 Uhr

Samstag:

Geschlossen