Datenschutzbeauftragter für Autohändler: Pflicht, Aufgaben & Kosten im Überblick

13. Juli 2026

Ein Datenschutzbeauftragter für Autohändler ist immer dann Pflicht, wenn im Betrieb mindestens 20 Personen regelmäßig personenbezogene Daten verarbeiten. Er berät die Geschäftsführung, schult Mitarbeiter und schützt das Autohaus vor Bußgeldern bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Ein externer Datenschutzbeauftragter ist für die meisten Autohäuser die wirtschaftlichste und rechtssicherste Lösung.

Autohäuser arbeiten täglich mit hochsensiblen Kundendaten. Vom Ausweis bei der Probefahrt über Bonitätsauskünfte bei der Finanzierung bis zu Fahrzeugdaten aus vernetzten Systemen sammelt sich in jedem Betrieb eine erhebliche Menge personenbezogener Informationen an. Wer diese Daten verarbeitet, trägt rechtliche Verantwortung. Dieser Ratgeber zeigt Ihnen, wann ein Datenschutzbeauftragter Autohändler gesetzlich vorgeschrieben ist, welche Aufgaben er übernimmt, welche Kosten anfallen und wie Sie Bußgelder zuverlässig vermeiden.

Inhaltsverzeichnis

Warum ist Datenschutz im Autohandel besonders sensibel?

Autohäuser verarbeiten eine außergewöhnlich breite Palette personenbezogener Daten und arbeiten dabei eng mit Herstellern, Banken und Versicherern zusammen. Diese Verflechtung macht den Autohandel zu einer Branche mit überdurchschnittlichem Datenschutzrisiko.

Anders als ein klassischer Einzelhändler erhebt ein Autohaus nicht nur Name und Anschrift. Es verarbeitet Bonitätsdaten, Ausweiskopien, Führerscheindaten, Bankverbindungen, Schufa-Auskünfte und zunehmend auch technische Fahrzeugdaten. Hinzu kommt der Austausch mit Herstellern und Finanzdienstleistern, der eine saubere Auftragsverarbeitung nach Art. 28 DSGVO voraussetzt. Schon ein einziger unklarer Datenfluss kann zu einer meldepflichtigen Datenpanne werden.

Welche personenbezogenen Daten verarbeitet ein Autohaus?

Ein Autohaus verarbeitet Stammdaten, Vertragsdaten, Finanzierungsdaten, Kommunikationsdaten und zunehmend auch fahrzeugbezogene technische Daten. Im Verkaufsprozess fallen Name, Anschrift, Geburtsdatum, Führerschein und Ausweisdaten an. Bei Leasing und Finanzierung kommen Bankverbindungen, Einkommensnachweise und Bonitätsauskünfte hinzu. Die Werkstatt speichert Fahrzeugidentifikationsnummern, Wartungshistorien und Diagnosedaten. Marketingabteilungen verarbeiten Einwilligungen, Newsletter-Anmeldungen und Interaktionsdaten aus Tracking-Tools. Jede dieser Verarbeitungen muss eine Rechtsgrundlage nach Art. 6 DSGVO besitzen und im Verzeichnis von Verarbeitungstätigkeiten dokumentiert sein.

Was gilt bei Telematik, Leasing, Finanzierung und Probefahrten?

Diese vier Bereiche zählen zu den größten Risikofeldern im Autohaus, weil hier besonders viele sensible Informationen zusammenlaufen. Bei Probefahrten kopieren viele Betriebe noch immer ungeprüft Führerscheine, ohne die Speicherdauer zu begrenzen oder eine Rechtsgrundlage zu prüfen. Bei Finanzierung und Leasing werden Bonitätsdaten an Drittanbieter übermittelt, was eine saubere Einwilligung und transparente Information voraussetzt. Vernetzte Fahrzeuge übertragen Standort-, Nutzungs- und Diagnosedaten an Hersteller. Wenn das Autohaus an dieser Datenverarbeitung beteiligt ist, etwa über Service-Apps oder Connected-Car-Dienste, wird es zur verantwortlichen Stelle oder zum gemeinsam Verantwortlichen nach Art. 26 DSGVO. Auch die Einbindung von Bewertungs- und Standortdiensten wie Google Maps auf der Händler-Website löst datenschutzrechtliche Pflichten aus.

Brauchen Autohändler einen Datenschutzbeauftragten?

In den meisten Fällen lautet die Antwort: Ja. Sobald ein Autohaus mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ist die Bestellung eines Datenschutzbeauftragten gesetzlich verpflichtend.

Was schreiben DSGVO und BDSG vor?

Maßgeblich sind Art. 37 DSGVO und § 38 BDSG, die gemeinsam regeln, wann ein Unternehmen einen Datenschutzbeauftragten benennen muss. Art. 37 DSGVO verlangt einen Datenschutzbeauftragten, wenn die Kerntätigkeit eines Unternehmens in einer umfangreichen Verarbeitung besonderer Datenkategorien oder in einer regelmäßigen systematischen Überwachung besteht. § 38 BDSG ergänzt diese europäische Vorgabe um eine deutsche Besonderheit: Sobald mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, ist die Bestellung Pflicht. Diese Schwelle wird in Autohäusern mit Verkauf, Service, Buchhaltung und Marketing schnell erreicht.

Ab wann ist ein Datenschutzbeauftragter im Autohaus Pflicht?

Die sogenannte 20-Mitarbeiter-Regel greift, sobald 20 Personen regelmäßig am Bildschirm mit personenbezogenen Daten arbeiten. Dazu zählen Verkäufer, Servicemitarbeiter, Buchhaltung, Disposition und Marketing. Auch Teilzeitkräfte, Auszubildende und Aushilfen werden mitgezählt, sofern sie regelmäßig mit personenbezogenen Daten umgehen. Mehrere Filialen werden bei einheitlicher Trägergesellschaft zusammengerechnet. Wer also drei kleinere Standorte mit je acht Mitarbeitenden betreibt, überschreitet die Schwelle und unterliegt der Bestellpflicht.

Wann ist ein Datenschutzbeauftragter unabhängig von der Mitarbeiterzahl Pflicht?

Unabhängig von der Mitarbeiterzahl wird ein Datenschutzbeauftragter immer dann zwingend, wenn das Autohaus eine Datenschutz-Folgenabschätzung durchführen muss oder umfangreiche Profilbildung betreibt. Das betrifft beispielsweise systematisches Scoring von Leasingkunden, umfangreiches Video-Monitoring auf dem Gelände oder den Einsatz von KI-gestützten Verkaufsanalysen. Auch wer personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung verarbeitet, fällt unter die Pflicht. Im Zweifel sollten Sie diese Frage durch eine fachkundige Prüfung klären lassen, weil eine falsche Einschätzung ein bußgeldbewehrter Verstoß ist.

Welche Aufgaben hat der Datenschutzbeauftragte im Autohaus?

Der Datenschutzbeauftragte ist die zentrale Schnittstelle zwischen Geschäftsführung, Mitarbeitern, Kunden und Aufsichtsbehörde. Seine Hauptaufgaben sind Beratung, Schulung, Überwachung und Kommunikation.

Wie berät der Datenschutzbeauftragter die Geschäftsführung?

Der Datenschutzbeauftragte unterstützt die Leitung bei allen strategischen und operativen Datenschutzentscheidungen. Er prüft neue Verarbeitungsprozesse vor der Einführung, etwa bei der Auswahl eines neuen Dealer-Management-Systems oder bei der Anbindung an Hersteller-Plattformen. Er erstellt oder begleitet das Verzeichnis von Verarbeitungstätigkeiten, prüft Auftragsverarbeitungsverträge mit Werbeagenturen, IT-Dienstleistern oder Finanzpartnern und führt die Datenschutz-Folgenabschätzung durch, sobald ein Verarbeitungsvorgang ein hohes Risiko birgt.

Wie schult der Datenschutzbeauftragter die Mitarbeiter?

Regelmäßige Schulungen sind eine Kernpflicht und gleichzeitig der wirksamste Schutz vor Datenpannen. Der Datenschutzbeauftragte sensibilisiert Verkaufs- und Serviceteams für den richtigen Umgang mit Ausweiskopien, Probefahrtformularen, E-Mail-Anhängen und Kundengesprächen am offenen Verkaufstresen. Eine dokumentierte Schulung wirkt im Ernstfall bußgeldmindernd, weil sie organisatorische Sorgfalt belegt.

Wie überwacht der Datenschutzbeauftragter die DSGVO-Konformität?

Die Überwachung umfasst regelmäßige Audits, Stichproben und die laufende Kontrolle technischer und organisatorischer Maßnahmen. Dazu gehören Berechtigungskonzepte, Löschroutinen, Backup-Strategien und die Prüfung der Website auf rechtskonforme Einbindung von Diensten wie Google Analytics, Google Tag Manager, Google Maps oder Werbetools von Meta Platforms. Der Datenschutzbeauftragte dokumentiert seine Prüfungen schriftlich und berichtet direkt an die Geschäftsführung.

Wer ist Ansprechpartner für Kunden und Aufsichtsbehörden?

Der Datenschutzbeauftragte ist die offizielle Kontaktstelle für betroffene Personen und für die zuständige Landesdatenschutzbehörde. Kunden, die ihr Recht auf Auskunft, Berichtigung oder Löschung geltend machen, wenden sich an ihn. Bei einer Datenpanne koordiniert er die Meldung innerhalb der 72-Stunden-Frist nach Art. 33 DSGVO und kommuniziert mit der Behörde. Diese Funktion erfordert juristische Präzision und Erfahrung im Krisenfall.

Interner oder externer Datenschutzbeauftragter, was ist besser?

Für die meisten Autohäuser ist ein externer Datenschutzbeauftragter die bessere Wahl, weil er unabhängig, spezialisiert und wirtschaftlich kalkulierbar ist. Die interne Lösung lohnt sich nur in größeren Händlergruppen mit eigener Compliance-Abteilung.

Welche Vor- und Nachteile hat ein interner Datenschutzbeauftragter für Autohändler?

Ein interner Datenschutzbeauftragter kennt die Abläufe im Haus genau und ist jederzeit verfügbar. Er muss jedoch umfassend ausgebildet werden, regelmäßig Fortbildungen besuchen und genießt einen besonderen Kündigungsschutz nach § 6 Abs. 4 BDSG. Ein Interessenkonflikt entsteht, sobald die betreffende Person zugleich eine leitende Funktion in IT, Personal oder Geschäftsführung innehat. Ein Verkaufsleiter oder IT-Leiter darf deshalb nicht zugleich Datenschutzbeauftragter sein.

Welche Vor- und Nachteile hat ein externer Datenschutzbeauftragter für Autohändler?

Ein externer Datenschutzbeauftragter bringt spezialisiertes Fachwissen, branchenübergreifende Erfahrung und volle Unabhängigkeit mit. Er steht nicht in einem Abhängigkeitsverhältnis zur Geschäftsführung und kann Konflikte sachlich klären. Die Kosten sind planbar, weil sie meist als monatliche Pauschale vereinbart werden. Zudem entfällt der Aufwand für Ausbildung, Fortbildung und Vertretung im Urlaubs- oder Krankheitsfall. Die ALPHATECH Consulting GmbH übernimmt diese Rolle als zertifizierter externer Datenschutzbeauftragter und begleitet Autohäuser von der Bestandsaufnahme bis zur laufenden Betreuung.

Darf der Geschäftsführer selbst Datenschutzbeauftragter sein?

Nein, das ist rechtlich ausgeschlossen. Die Geschäftsführung entscheidet über Zwecke und Mittel der Datenverarbeitung und kann sich deshalb nicht selbst kontrollieren. Aufsichtsbehörden haben in mehreren Verfahren bestätigt, dass diese Doppelrolle einen unzulässigen Interessenkonflikt darstellt und mit Bußgeld geahndet werden kann.

Welche Qualifikation muss ein Datenschutzbeauftragter mitbringen?

Art. 37 Abs. 5 DSGVO verlangt vom Datenschutzbeauftragten berufliche Qualifikation und Fachwissen im Datenschutzrecht. Im Autohandel kommt umfassende Branchenkenntnis hinzu.

Welche Fachkunde im Datenschutzrecht ist erforderlich?

Erforderlich sind fundierte Kenntnisse der DSGVO, des BDSG sowie der einschlägigen Rechtsprechung und Behördenpraxis. In der Praxis erkennt man Fachkunde an anerkannten Zertifizierungen, etwa nach TÜV-Standard oder vergleichbaren Programmen, sowie an einer juristischen oder informatischen Ausbildung. Wer als Datenschutzbeauftragter Autohändler agiert, muss zusätzlich Sicherheit im Umgang mit Auftragsverarbeitung, Drittlandtransfers und Beschäftigtendatenschutz mitbringen.

Warum sind Branchenkenntnisse im Autohandel entscheidend?

Datenschutz im Autohaus unterscheidet sich deutlich von Datenschutz in einer Arztpraxis oder einem Onlineshop. Wer die Abläufe zwischen Verkauf, Werkstatt, Hersteller und Bank nicht kennt, übersieht die branchentypischen Risiken. Probefahrt-Dokumentation, Hersteller-Schnittstellen, Garantieabwicklung und Kundenbindungsprogramme erfordern spezifische Lösungen, die ein erfahrener Berater pragmatisch und rechtssicher gestalten kann.

Was kostet ein Datenschutzbeauftragter für Autohändler?

Die Kosten hängen von Betriebsgröße, Filialstruktur und Komplexität der Datenverarbeitung ab. Externe Lösungen sind in nahezu allen Größenordnungen günstiger als eine interne Vollzeit- oder Teilzeitstelle.

Was kostet ein interner Datenschutzbeauftragter für Autohändler ?

Ein interner Datenschutzbeauftragter verursacht neben dem anteiligen Gehalt auch erhebliche Nebenkosten. Zur Grundausbildung kommen jährliche Fortbildungen, Fachliteratur, Software für das Verarbeitungsverzeichnis sowie Vertretungsregelungen. Realistisch liegen die Gesamtkosten für eine interne Lösung mit ausreichend freigestellter Arbeitszeit bei mindestens 15.000 bis 30.000 Euro pro Jahr.

Was kostet ein externer Datenschutzbeauftragter für Autohändler ?

Ein externer Datenschutzbeauftragter wird in der Regel über eine monatliche Pauschale abgerechnet, die sich an Mitarbeiterzahl und Datenintensität orientiert. Kleine Autohäuser mit bis zu 25 Beschäftigten bewegen sich häufig zwischen 200 und 400 Euro monatlich. Mittlere Betriebe mit 50 bis 100 Mitarbeitern liegen zwischen 400 und 800 Euro. Größere Händlergruppen mit mehreren Standorten kalkulieren individuell, meist auf Basis eines klar definierten Leistungspakets. Die genauen Preise stimmen Sie im Rahmen eines kostenlosen Erstgesprächs ab.

Welche Faktoren beeinflussen den Preis?

Den Preis bestimmen vor allem die Mitarbeiterzahl, die Anzahl der Standorte, die Komplexität der eingesetzten IT-Systeme und der Umfang besonderer Verarbeitungen wie Videoüberwachung, Connected-Car-Daten oder umfangreiches Marketing-Tracking. Auch der gewünschte Leistungsumfang spielt eine Rolle, etwa ob jährliche Audits, Schulungen vor Ort oder die Begleitung bei Datenpannen eingeschlossen sind.

Wie wird der Datenschutzbeauftragte bestellt und gemeldet?

Die Bestellung erfolgt schriftlich durch die Geschäftsführung und muss anschließend der zuständigen Aufsichtsbehörde gemeldet werden. Beide Schritte sind verpflichtend und werden von der Behörde geprüft.

Wie läuft die Bestellung des Datenschutzbeauftragten in der Automobilbranche ab?

Zunächst wählt die Geschäftsführung eine fachkundige Person oder einen externen Dienstleister aus und schließt einen schriftlichen Bestellvertrag. Dieser Vertrag regelt Aufgaben, Vergütung, Weisungsfreiheit und Haftung. Im nächsten Schritt veröffentlicht das Autohaus die Kontaktdaten des Datenschutzbeauftragten auf der Website und im Impressum, damit Kunden und Mitarbeiter ihn erreichen können.

Wie erfolgt die Meldung an die Landesdatenschutzbehörde?

Die Meldung erfolgt über ein Online-Formular der jeweils zuständigen Landesdatenschutzbehörde, etwa des LfDI oder der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen. Übermittelt werden Name, Kontaktdaten und Funktion des Datenschutzbeauftragten. Jede Änderung muss zeitnah aktualisiert werden, weil veraltete Angaben als Verstoß gegen die gesetzlichen Vorgaben gewertet werden können.

Welche Bußgelder und Haftungsrisiken drohen bei Verstößen?

Verstöße gegen die DSGVO können nach Art. 83 DSGVO mit Geldbußen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes geahndet werden. Hinzu kommen zivilrechtliche Schadensersatzansprüche betroffener Kunden und Reputationsschäden.

Wie hoch sind die Bußgelder konkret?

Die Bußgeldhöhe richtet sich nach Schwere, Dauer und Vorsatz des Verstoßes. Schon das Fehlen eines pflichtgemäßen Datenschutzbeauftragten kann mit fünfstelligen Beträgen sanktioniert werden. Eine unzureichende Information der Kunden über die Datenverarbeitung, fehlende Auftragsverarbeitungsverträge oder unrechtmäßiger Einsatz von Tracking-Tools auf der Website wurden in den vergangenen Jahren regelmäßig mit Bußgeldern im fünf- bis sechsstelligen Bereich belegt.

Welche Praxisbeispiele gibt es aus dem Autohandel?

Aufsichtsbehörden haben Autohäuser bereits wegen unverschlüsselter E-Mail-Kommunikation mit Bonitätsdaten, unzulässige Aufzeichnung von Telefongesprächen im Kundenservice, unzulässiger Videoüberwachung von Verkaufsflächen und Mitarbeitern sowie wegen ungesicherter Speicherung von Führerscheinkopien sanktioniert. Auch fehlerhafte Cookie-Banner mit aktiver Einbindung von Tracking-Diensten ohne wirksame Einwilligung führen regelmäßig zu Beanstandungen.

Welche Datenschutz-Fehler treten in Autohäusern besonders häufig auf?

Wiederkehrende Schwachstellen sind ein lückenhaftes Verzeichnis von Verarbeitungstätigkeiten, fehlende oder veraltete Auftragsverarbeitungsverträge mit Werbeagenturen und IT-Dienstleistern, automatisierte Einzelfallentscheidungen über Autofinanzierungen,  ein nicht rechtskonformer Cookie-Banner sowie unklare Löschroutinen für Kundendaten. Hinzu kommen ungeschulte Mitarbeiter, die Ausweiskopien lose ablegen, Probefahrtformulare nicht datenschutzkonform aufbewahren oder Kundendaten per unverschlüsselter E-Mail an Hersteller weiterleiten. Ein Datenschutzbeauftragter erkennt diese Schwachstellen im Audit, priorisiert sie nach Risiko und begleitet die Umsetzung praxisgerechter Lösungen, ohne die täglichen Abläufe im Verkauf und Service zu blockieren.

Fazit: Wann lohnt sich ein externer Datenschutzbeauftragter für Autohändler?

Ein externer Datenschutzbeauftragter Autohändler lohnt sich für nahezu jeden Betrieb, der die 20-Mitarbeiter-Schwelle erreicht oder mit sensiblen Daten wie Bonitätsauskünften, Telematik und umfangreichem Marketing arbeitet. Die Kombination aus rechtlicher Sicherheit, planbaren Kosten und sofort verfügbarem Fachwissen schützt vor Bußgeldern und stärkt das Vertrauen Ihrer Kunden. Die ALPHATECH Consulting GmbH übernimmt diese Rolle als zertifizierter externer Datenschutzbeauftragter, begleitet Sie bei Audits, Schulungen und Datenpannen und sorgt für einen pragmatischen Datenschutz ohne unnötige Bürokratie. Vereinbaren Sie ein kostenloses Erstgespräch über das Kontaktformular.

 FAQ: Datenschutzbeauftragter im Autohaus

Muss jedes Autohaus einen Datenschutzbeauftragten haben?

Nein. Pflicht besteht ab 20 Beschäftigten, die regelmäßig automatisiert personenbezogene Daten verarbeiten, oder bei besonderen Risikoverarbeitungen unabhängig von der Mitarbeiterzahl.

Was kostet ein externer Datenschutzbeauftragter für ein kleines Autohaus?

Üblich sind monatliche Pauschalen zwischen 200 und 400 Euro für Betriebe mit bis zu 25 Mitarbeitern, abhängig vom Leistungsumfang.

Reicht ein Datenschutzbeauftragter für mehrere Filialen?

Ja. Ein Datenschutzbeauftragter kann eine ganze Händlergruppe mit mehreren Standorten betreuen, sofern er ausreichend Zeit und Ressourcen für jede Niederlassung hat.

Welche Strafen drohen ohne Datenschutzbeauftragten?

Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes nach Art. 83 Abs. 4 DSGVO sowie Anordnungen der Aufsichtsbehörde.

Wie schnell kann ein externer Datenschutzbeauftragter bestellt werden?

Die Bestellung ist innerhalb weniger Tage möglich. Vertrag, Meldung an die Aufsichtsbehörde und Veröffentlichung der Kontaktdaten lassen sich in der Regel binnen einer Woche umsetzen.

Kann der Steuerberater oder Rechtsanwalt des Autohauses die Rolle übernehmen?

Grundsätzlich ja, sofern Fachkunde im Datenschutzrecht und Branchenkenntnis vorliegen und kein Interessenkonflikt besteht. In der Praxis ist eine spezialisierte Datenschutzberatung meist passgenauer.

Wie oft sollte ein Datenschutz-Audit im Autohaus stattfinden?

Ein vollständiges Audit empfiehlt sich einmal jährlich, ergänzt durch anlassbezogene Prüfungen bei Einführung neuer IT-Systeme oder Marketingkanäle.

UNVERBINDLICHES UND KOSTENLOSES ERSTGESPRÄCH VEREINBAREN

ÜBER DEN AUTOR

Yanick Röhricht

Yanick Röhricht ist Senior Consultant bei ALPHATECH Consulting. Als Berater unterstützt er Unternehmen bei der Umsetzung gesetzlicher Datenschutzvorgaben sowie beim Aufbau eines Informationssicherheits-Managements. Als Wirtschaftsjurist (LL.M.) und mit Zertifizierungen als Datenschutzbeauftragter (TÜV) und IT-Sicherheitsbeauftragter (DGI) verfügt er über fundierte Fachkenntnisse und langjährige Erfahrung in diesem Bereich.

Mehr zu diesem Thema erfahren

Verwandte Blogbeiträge

Kontaktieren Sie uns!
Gerne beantworten wir Ihre Fragen zum Thema Datenschutz und IT-Sicherheit.

Ihr Ansprechpartner

Yanick Röhricht LL.M.

Zertifizierter Datenschutzbeauftragter (TÜV), zertifizierter Informationssicherheitsbeauftragter (DGI)

ALPHATECH
Consulting GmbH

Taunusstraße 11
65183 Wiesbaden

Telefon

+49 611 445 010 04

Wir arbeiten zertifiziert

Social Media