Während wir die Funktionalität für Carsu entwickelt haben, sprachen wir mit einem Werkstattbetreiber in Deutschland, der über Jahre Kundendaten gesammelt hatte — Namen, Serviceverläufe, Kontaktdaten, Fahrzeuginformationen. Alles war vorhanden, um Saisonmitteilungen zu verschicken, nach Reparaturen nachzufassen und Kundenbeziehungen langfristig zu pflegen. Aber er versendete nie eine einzige Nachricht. Der Grund? Er fürchtete, gegen die DSGVO zu verstoßen.
Dieses Gespräch ist uns im Gedächtnis geblieben, weil es ein Problem aufzeigt, das wir branchenweit beobachten. Werkstattbetreiber wissen, dass die DSGVO existiert. Sie wissen, dass Bußgelder real sind. Aber ohne klare Anleitung, was sie tatsächlich dürfen, ist die Standardreaktion, gar nichts zu tun — und damit die Vorteile einer strukturierten, gut verwalteten Kundenbeziehung zu verlieren.
Dieser Leitfaden ist für jede Werkstatt in dieser Situation gedacht. Wenn Sie in Deutschland tätig sind, sind Sie ein Verantwortlicher nach der Datenschutz-Grundverordnung (DSGVO, GDPR). Sie verarbeiten personenbezogene Daten, wann immer ein Kunde einen Termin bucht, ein Fahrzeug abgibt oder eine Rechnung bezahlt. Das bringt spezifische rechtliche Pflichten mit sich — aber diese zu erfüllen ist unkomplizierter, als die meisten Werkstattbetreiber vermuten. Und wie Sie unten sehen werden, ist die richtige Umsetzung nicht nur eine Frage der Bußgeldvermeidung — sie eröffnet die Möglichkeit, mit Ihren Kunden angemessen zu kommunizieren.
Seit März 2026 haben europäische Datenschutzbehörden über 2.700 Bußgelder verhängt, die zusammen mehr als 6 Milliarden Euro ausmachen. Das häufigste Vergehen? Unzureichende Rechtsgrundlage für die Datenverarbeitung — genau die Lücke, die diese Checkliste schließt.
Für einen umfassenderen Überblick darüber, warum die DSGVO für den Kraftfahrzeugzubehör- und Reparaturmarkt wichtig ist, lesen Sie Die DSGVO-Chance, über die niemand in der Kfz-Nachmarktindustrie spricht.
Welche Rechtsgrundlage sollte eine Werkstatt für die Verarbeitung von Kundendaten nutzen?
Nach Artikel 6 der DSGVO benötigen Sie einen gültigen Grund — eine „Rechtsgrundlage" — um personenbezogene Daten einer Person zu verarbeiten. Für unabhängige Werkstätten decken drei der sechs verfügbaren Rechtsgrundlagen fast alles ab:
Vertrag. Wenn ein Kunde sein Auto zur Wartung bringt, besteht ein Vertrag — auch wenn dieser informell ist. Sie benötigen seinen Namen, Kontaktdaten und Fahrzeuginformationen, um die Arbeit auszuführen. Das ist Ihre Rechtsgrundlage für zentrale Servicedaten. Keine Zustimmungserklärung erforderlich.
Berechtigtes Interesse. Eine Erinnerung verschicken, dass Winterreifen fällig sind, oder dass ein Inspektionsintervall ansteht? Das liegt im Interesse sowohl Ihres Betriebs als auch des Kunden. Das berechtigte Interesse kann dies abdecken, sofern der Nutzen für Ihr Geschäft die Privatsphäre des Kunden nicht überwiegt. Eine Saisonmitteilung über Reifen an einen Bestandskunden ist ein angemessener Einsatz. Kundendaten mit nicht verwandten Dritten zu teilen, ist es nicht — das verstößt auf mehreren DSGVO-Ebenen gegen die Anforderungen, nicht nur beim Interessensabwägungstest.
Zustimmung. Marketing-E-Mails, Werbebotschaften, Newsletter — alles, was über die direkte Servicebeziehung hinausgeht, benötigt in der Regel explizite, freiwillig erteilte Zustimmung. Ein klares Opt-In. Nicht ein vorgekreuztes Kästchen. Nicht eine Klausel in Kleingedrucktem. Für zusätzliche Rechtssicherheit sollten Sie das Double-Opt-In-Verfahren (Doppelbestätigung) erwägen — der Kunde bestätigt sein Abonnement durch eine Nachfolgegespräch, bevor er Marketing-Inhalte erhält. Dies ist in Deutschland nicht formell durch die DSGVO erzwungen, doch in der Praxis und durch UWG-Rechtsprechung (speziell BGH-Entscheidungen) ist Double Opt-In der faktische Rechtsstandard in Deutschland für kommerzielle Kommunikation. Die Bundesgerichtshof-Rechtsprechung verlangt, dass Sie nachweisen können, dass ein Empfänger tatsächlich eine Einwilligung erteilt hat — eine einfache Anmeldung reicht nicht aus. Mit Double Opt-In erstellen Sie klare, nachweisbare Einwilligungsaufzeichnungen und vermeiden praktisch Beschwerden. Sie erfüllen damit nicht nur die Best Practice, sondern den deutschen Rechtsstandard.
Der häufigste Fehler: Alles als zustimmungsbasiert zu behandeln, was unnötige Formalitäten und Risiko schafft. Wenn Sie eine Rechtsgrundlage basierend auf einem Vertrag haben, nutzen Sie diese. Zustimmung ist für Situationen reserviert, die sie wirklich erfordern.
Was geschieht, wenn ein Kunde eine Auskunftsanfrage einreicht?
Ein Kunde sendet eine Nachricht: „Welche Daten haben Sie über mich?" Unter der DSGVO ist dies eine Auskunftsanfrage. Sie haben einen Kalendermonat Zeit, um zu antworten mit:
- Welche personenbezogenen Daten Sie gespeichert haben
- Warum Sie diese verarbeiten
- An wen Sie die Daten weitergegeben haben
- Wie lange Sie die Daten aufbewahren planen
- Woher die Daten stammen
- Ob automatisierte Entscheidungsfindung beteiligt ist
Denken Sie jetzt daran, wo Ihre Werkstatt Daten speichert. Ist alles in einem System? Oder verteilt auf Ihr Werkstattmanagementsystem, WhatsApp, E-Mail, eine Tabelle und Papierrechnungen in einer Schublade?
Wenn Sie nicht innerhalb eines Monats ein vollständiges Bild zusammenstellen können, haben Sie ein strukturelles Problem. Das Gleiche gilt für Löschanfragen — Sie müssen die Daten eines Kunden überall löschen, wo sie existieren.
Werkstätten, die das gut handhaben, sind diejenigen mit einem zentralen Datensystem — einer Plattform, auf der alle Kundendaten zentralisiert, suchbar und exportierbar sind.
Die DSGVO-Checkliste: Sieben Schritte für jede Werkstatt
1. Erstellen Sie ein Datenverzeichnis. Dokumentieren Sie, welche personenbezogenen Daten Sie erfassen, wo diese gespeichert sind und warum. Eine einfache Tabelle mit Datentypen, Speicherorten, Rechtsgrundlagen und Aufbewahrungsfristen reicht aus. Aber es muss schriftlich vorliegen.
2. Veröffentlichen Sie eine Datenschutzerklärung. Teilen Sie Ihren Kunden mit, was Sie mit ihren Daten tun. Ein gedrucktes Aushang in Ihrem Empfangsbereich, eine Seite auf Ihrer Website oder beides. In verständlicher Sprache: was Sie erfassen, warum, an wen Sie Daten weitergeben, wie lange Sie diese behalten und wie Kunden ihre Rechte geltend machen können.
3. Führen Sie Aufzeichnungen über Zustimmungen. Für jede zustimmungsbasierte Verarbeitung (Marketing, Newsletter) führen Sie Aufzeichnungen darüber, wann und wie die Zustimmung erteilt wurde. „Sie haben mir ihre E-Mail gegeben" ist keine Zustimmungsaufzeichnung. Ein zeitgestempeltes Opt-In ist es.
4. Legen Sie eine Aufbewahrungsrichtlinie fest. Bewahren Sie Daten nicht unbegrenzt auf. Definieren Sie, wie lange Sie Aufzeichnungen nach dem letzten Servicebesuch behalten — drei Jahre sind für Fahrzeugservicedaten üblich, aber die Aufbewahrungsfristen hängen von nationalen Verjährungsfristen für Schadensersatzansprüche ab, die je nach Land unterschiedlich sind. Prüfen Sie Ihre lokalen Anforderungen. Nach der Aufbewahrungsfrist löschen oder anonymisieren Sie die Daten.
5. Schließen Sie Auftragsverarbeitungsverträge. Jeder Cloud-Service oder jede Drittanbieterplattform, die Ihre Kundendaten verarbeitet, ist ein Auftragsverarbeiter. Sie benötigen einen Auftragsverarbeitungsvertrag (AVV) mit jedem. Die meisten seriösen SaaS-Anbieter enthalten diesen in ihren Bedingungen — aber stellen Sie sicher, dass der AVV die spezifischen Verarbeitungsaktivitäten abdeckt, die Sie mit dem Tool durchführen, nicht nur die Standardbedingungen.
6. Erstellen Sie einen Reaktionsplan für Datenverletzungen. Falls Kundendaten kompromittiert werden, müssen Sie dies innerhalb von 72 Stunden an Ihre Aufsichtsbehörde melden. Bereiten Sie einen Plan vor, bevor Sie ihn benötigen: wen Sie kontaktieren, was Sie dokumentieren und wie Sie betroffene Kunden benachrichtigen.
7. Bauen Sie Mitarbeiterbewusstsein auf. Jeder, der mit Kundendaten umgeht, muss die Grundlagen verstehen. Serviceberater sollten wissen, dass sie Kundendetails nicht in offenen WhatsApp-Gruppen weitergeben. Verwaltungsmitarbeiter sollten wissen, wie sie eine Datenanfrage erkennen und bearbeiten. Ein 30-minütiger Überblick einmal im Jahr hilft enorm.
Hinweis für deutsche Werkstätten: Wenn Ihre Werkstatt regelmäßig 20 oder mehr Personen beschäftigt, die mit Kundendaten umgehen, müssen Sie möglicherweise einen Datenschutzbeauftragten (DSB) bestellen. Dies ist eine Anforderung gemäß § 38 Bundesdatenschutzgesetz (BDSG). Prüfen Sie, ob dies auf Ihren Betrieb zutrifft.
Wer ist verantwortlich in Deutschland?
Innerhalb der EU variiert die Durchsetzung je nach Land. Die französische CNIL ist aggressiv bei Cookies. Der italienische Garante hat spezifische Anforderungen für Mitarbeiterdaten. Die spanische AEPD hat über 1.000 Bußgelder verhängt — mehr als jede andere EU-Behörde. Gleiche Verordnung, unterschiedliche Durchsetzungskulturen. Berücksichtigen Sie dies, wenn Sie über den deutschen Markt hinaus expandieren.
In Deutschland liegt die Durchsetzung sowohl beim Bundesdatenschutzbeauftragten (BfDI) auf Bundesebene als auch bei den Landesdatenschutzbehörden (Landesaufsichtsbehörden) jedes Bundeslandes. Die Landesdatenschutzbehörden sind in der Praxis oft die primären Anlaufstellen für Beschwerden und Durchsetzungsmaßnahmen.
Wie Carsu die DSGVO für Werkstätten umsetzt
Bei Carsu ist die DSGVO-Verwaltung in die Werkstattplattform eingebaut — nicht als Compliance-Add-on, sondern als Datenverwaltungsschicht, die alles andere funktionsfähig macht.
Das sieht in der Praxis so aus: Eingebaute Aufbewahrungsrichtlinien, automatisierte Zustimmungsverfolgung, Datenverarbeitungsverträge als Standard und die Möglichkeit, auf eine Auskunftsanfrage mit einem einzigen Export zu reagieren, anstatt fünf Systeme zu durchsuchen. Wenn ein Kunde fragt „Welche Daten haben Sie über mich?" — es ist ein Klick, nicht eine Woche, WhatsApp-Threads, Tabellen und Papierdateien zu durchsuchen.
Der Compliance-Vorteil ist ein Nebeneffekt davon, dass Sie saubere, strukturierte, gut verwaltete Kundendaten haben — ein Buchungsflow statt drei Kanäle, eine Aufbewahrungsrichtlinie statt verstreuter Regeln über mehrere Tools, einen durchsuchbaren Kundendatensatz statt Fragmente an fünf Orten.
Wenn Sie sehen möchten, wie das funktioniert, nehmen Sie Kontakt auf.
DSGVO-Checkliste für unabhängige Kfz-Werkstätten in Deutschland
Dieser Leitfaden fasst zusammen, wie Sie Kundendaten rechtssicher nutzen können, ohne auf wertvolle Kundenkommunikation zu verzichten.
1. Rechtsgrundlagen für die Verarbeitung von Kundendaten
Nach Art. 6 DSGVO brauchen Sie immer eine Rechtsgrundlage, um personenbezogene Daten zu verarbeiten. Für unabhängige Werkstätten sind drei Rechtsgrundlagen entscheidend: