In fast jedem Gespräch über KI im Autohaus fällt irgendwann derselbe Satz: „Das dürfen wir doch gar nicht wegen DSGVO."
Manchmal stimmt das, oft nicht. Meistens ist es eine Mischung aus berechtigter Vorsicht, unklarer Rechtslage und einem pauschalen Misstrauen gegenüber allem, was „KI" heißt und aus den USA kommen könnte.
Das Ergebnis ist entweder Stillstand – kein KI-Einsatz, aus Angst vor dem Datenschutzbeauftragten – oder das genaue Gegenteil: unkritischer Einsatz von Consumer-Tools wie ChatGPT im Kundenkontakt, ohne dass irgendjemand im Haus genau weiß, was mit den Daten passiert.
Beide Extreme sind falsch. KI lässt sich im Autohaus sehr wohl DSGVO-konform einsetzen – aber nur, wenn man die Spielregeln kennt.
Dieser Artikel erklärt, welche Regeln das sind, welche Fehler am häufigsten passieren und worauf Entscheider bei der Auswahl einer Lösung konkret achten müssen.
KI-Einsatz im Autohaus ist DSGVO-konform möglich, wenn fünf Voraussetzungen erfüllt sind: eine saubere Rechtsgrundlage für die Verarbeitung, ein Auftragsverarbeitungsvertrag mit dem Anbieter, Datenhosting innerhalb der EU, der Ausschluss der Datennutzung für das Training fremder Modelle, und Transparenz gegenüber dem Kunden. Der EU AI Act ergänzt diese Anforderungen seit 2024 um risikobasierte Pflichten, die für typische Vertriebsanwendungen im Autohaus in der Regel jedoch keine zusätzlichen Hürden bedeuten.
Warum das Thema im Autohandel besonders sensibel ist
Autohäuser verarbeiten in jedem Leadprozess personenbezogene Daten – Name, Kontaktdaten, Fahrzeugwünsche, oft auch Angaben zu Beruf, Einkommen und Bonität.
Bei Leasing- und Finanzierungsanfragen kommen Selbstauskünfte hinzu, die nach DSGVO zu den besonders schützenswerten Kategorien grenzen können.
Gleichzeitig laufen diese Daten durch zahlreiche Systeme: Fahrzeugbörsen, Hersteller-Leadtools, CRM, DMS, E-Mail-Postfächer. Jede zusätzliche KI-Komponente in diesem Geflecht ist aus Datenschutzsicht ein weiterer Verarbeitungsvorgang, der sauber legitimiert und dokumentiert sein muss.
Dazu kommt: Die deutsche Aufsichtslandschaft ist im europäischen Vergleich strikt.
Landesdatenschutzbeauftragte haben in den vergangenen Jahren mehrfach den Einsatz bestimmter KI-Tools in Unternehmen explizit beanstandet – oft nicht wegen der KI selbst, sondern wegen fehlender Auftragsverarbeitungsverträge, unklarer Datentransfers in Drittländer oder mangelnder Transparenz gegenüber den Betroffenen.
Diese Fehler sind vermeidbar, aber nur, wenn man sie kennt.
Die DSGVO-Grundlagen für KI-Einsatz im Autohaus
Die DSGVO stellt an den Einsatz von KI keine grundsätzlich anderen Anforderungen als an jede andere Datenverarbeitung.
Das ist die gute Nachricht: Es gibt keinen „KI-Paragraphen", der alles komplizierter macht. Die bekannten Grundsätze gelten weiter – aber sie müssen beim KI-Einsatz besonders sauber durchgedacht werden.
Rechtsgrundlage klären
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Artikel 6 DSGVO.
Im typischen Autohaus-Leadprozess kommt dafür meistens Artikel 6 Absatz 1 Buchstabe b (Vertragsanbahnung) in Frage: Der Interessent hat ein Fahrzeug angefragt, die Bearbeitung seiner Anfrage ist Teil der Anbahnung eines möglichen Kaufvertrags.
Für diese Verarbeitung ist keine gesonderte Einwilligung nötig – der KI-Assistent darf die Anfrage bearbeiten, Rückfragen stellen und Daten ergänzen, solange dies der Anbahnung dient.
Anders sieht es bei der Reaktivierung alter Leads oder bei der Ansprache von Leasingausläufern aus. Hier ist die Rechtsgrundlage meist Artikel 6 Absatz 1 Buchstabe f (berechtigtes Interesse) – was eine dokumentierte Interessenabwägung erfordert – oder eine zuvor eingeholte Einwilligung für werbliche Ansprache.
Beides muss im Prozess sauber hinterlegt sein.
Auftragsverarbeitung sauber regeln
Sobald ein externer KI-Anbieter personenbezogene Daten im Auftrag des Autohauses verarbeitet, liegt eine Auftragsverarbeitung nach Artikel 28 DSGVO vor.
Das Autohaus braucht zwingend einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter. Dieser Vertrag muss festlegen, welche Daten verarbeitet werden, zu welchem Zweck, wie lange, in welchem Land und unter welchen technisch-organisatorischen Maßnahmen (TOM).
Ohne AVV ist jede Datenweitergabe ein formaler Verstoß – unabhängig davon, ob die Lösung technisch sauber ist.
Der Einsatz von ChatGPT, Gemini oder Claude im Kundenkontakt ohne Auftragsverarbeitungsvertrag und ohne geprüfte Business-Version ist einer der häufigsten DSGVO-Verstöße im deutschen Mittelstand. Die kostenlose oder Consumer-Variante dieser Tools darf im Regelbetrieb nicht mit personenbezogenen Kundendaten gefüttert werden – weder vom Verkäufer „mal eben" für eine E-Mail-Formulierung, noch in einem selbstgebauten Automatisierungsskript.
Datenhosting und Drittlandtransfer
Seit dem Schrems-II-Urteil des EuGH ist der Transfer personenbezogener Daten in die USA nur noch unter strengen Zusatzvoraussetzungen erlaubt.
Das EU-US Data Privacy Framework von 2023 hat die Lage etwas entspannt, aber nicht vollständig geklärt. Deutsche Aufsichtsbehörden empfehlen weiterhin, personenbezogene Daten möglichst innerhalb der EU – idealerweise in Deutschland – zu verarbeiten.
Für KI-Lösungen bedeutet das: Wenn die Modelle auf US-Cloud-Infrastruktur laufen und Daten dorthin fließen, ist zusätzlicher Aufwand nötig, um die Verarbeitung rechtssicher zu machen.
Lösungen mit vollständig in Deutschland betriebener Infrastruktur umgehen dieses Problem.
Transparenz gegenüber dem Kunden
Nach Artikel 13 DSGVO müssen Betroffene zum Zeitpunkt der Datenerhebung darüber informiert werden, wer ihre Daten wie verarbeitet.
Beim Einsatz eines KI-Assistenten bedeutet das: Die Datenschutzerklärung des Autohauses muss den Einsatz der KI nennen, den Anbieter benennen, den Zweck beschreiben und auf die Rechte der Betroffenen hinweisen.
Das ist kein Marketing-Text, sondern eine rechtliche Pflicht – und sie wird beim KI-Einsatz oft vergessen.
Keine Nutzung für Modelltraining
Ein Punkt, den die DSGVO nicht explizit regelt, der aber in der Praxis entscheidend ist: Werden die Kundendaten vom KI-Anbieter für das Training eigener oder fremder Modelle verwendet?
Bei Consumer-KI ist das häufig Standard, bei professionellen B2B-Lösungen darf es nicht sein.
Der AVV sollte ausdrücklich ausschließen, dass Daten des Autohauses in Trainingspipelines fließen – und der Anbieter sollte das technisch wie vertraglich belegen können.
Wenn ein KI-Anbieter nicht eindeutig und schriftlich zusichern kann, dass die Daten weder zum Training eigener Modelle verwendet noch an Dritte weitergegeben werden, ist die Lösung für den Einsatz im Autohaus nicht geeignet. Diese Zusicherung gehört in den AVV – nicht in eine Marketing-Broschüre.
Der EU AI Act – was neu dazukommt
Seit August 2024 gilt zusätzlich zur DSGVO der EU AI Act.
Viele Autohaus-Entscheider verwechseln beide Regelwerke oder glauben, der AI Act ersetze die DSGVO – beides ist falsch. Die DSGVO regelt den Umgang mit personenbezogenen Daten. Der AI Act regelt den Einsatz von KI-Systemen als solche, unabhängig davon, ob personenbezogene Daten im Spiel sind.
Beide gelten parallel.
Der AI Act folgt einem risikobasierten Ansatz: Je höher das Risiko einer KI-Anwendung, desto strenger die Pflichten.
Autohaus-Anwendungen wie Leadqualifizierung, automatische E-Mail-Antworten oder die Reaktivierung von Alt-Leads fallen in der Regel in die Kategorie „begrenztes Risiko". Das bedeutet vor allem eine Transparenzpflicht: Kunden müssen erkennen können, dass sie mit einer KI kommunizieren und nicht mit einem Menschen.
Dafür genügt in der Praxis ein entsprechender Hinweis in der automatisierten Kommunikation oder eine Erwähnung in der Datenschutzerklärung.
Kritischer wird es bei KI-Systemen, die Entscheidungen über Menschen treffen – etwa automatische Bonitätsbewertungen oder die Ablehnung von Finanzierungsanträgen ohne menschliche Prüfung. Solche Anwendungen können als „Hochrisiko-KI" eingestuft werden und unterliegen dann erheblich strengeren Pflichten.
Für die allermeisten Vertriebsanwendungen im Autohaus ist das aber kein Thema, solange die finale Entscheidung – Angebot, Finanzierungszusage, Vertragsabschluss – beim Menschen bleibt.
Solange ein KI-Assistent im Autohaus Kommunikation vorbereitet und Informationen sammelt, aber keine bindenden Entscheidungen über Kunden trifft, bewegt er sich im begrenzten Risikobereich des EU AI Act. Die wichtigste neue Pflicht ist die Transparenz: Der Kunde muss wissen, dass er mit einer KI spricht.
Die sieben häufigsten Fehler beim KI-Einsatz im Autohaus
Aus Gesprächen mit Autohäusern, Datenschutzbeauftragten und Aufsichtsbehörden lassen sich sieben Muster identifizieren, die in der Praxis immer wieder zu Problemen führen.
1. Consumer-KI im Regelbetrieb
Verkäufer nutzen ChatGPT, Gemini oder ähnliche Consumer-Tools, um E-Mail-Antworten an Kunden zu formulieren – und kopieren dabei vollständige Leaddaten inklusive Name, Kontaktdaten und Fahrzeugwunsch in die Eingabemaske.
Ohne Business-Vertrag und AVV ist das ein klarer DSGVO-Verstoß.
2. Fehlender Auftragsverarbeitungsvertrag
Die KI-Lösung ist technisch sauber, aber niemand hat einen AVV unterschrieben.
Bei einer Prüfung durch die Aufsichtsbehörde ist das der erste Punkt, der beanstandet wird.
3. Unklarer Datenstandort
Das Autohaus weiß nicht, wo die Daten tatsächlich verarbeitet werden.
„Cloud" ist keine Antwort – die Aufsicht will wissen, in welchem Land, bei welchem Anbieter, unter welchem Rechtsrahmen.
4. Keine Transparenz gegenüber Kunden
Die Datenschutzerklärung wurde seit Jahren nicht aktualisiert, der KI-Einsatz taucht dort nicht auf.
Auch die AI-Act-Pflicht zur Kennzeichnung automatisierter Kommunikation wird oft übersehen.
5. Unklare Rechtsgrundlage bei Alt-Lead-Reaktivierung
Das Autohaus reaktiviert automatisiert Leads, die teilweise seit Jahren nicht mehr angesprochen wurden – ohne zu prüfen, ob noch eine gültige Einwilligung vorliegt oder ob die Interessenabwägung trägt.
6. Keine Löschkonzepte
Die KI sammelt und speichert Daten, aber niemand hat festgelegt, wann welche Daten wieder gelöscht werden.
Artikel 5 DSGVO (Speicherbegrenzung) wird damit verletzt.
7. Verwechslung von Anbieter- und Auftraggeberverantwortung
Das Autohaus verlässt sich darauf, dass „der Anbieter sich schon um Datenschutz kümmert".
Tatsächlich bleibt das Autohaus als Verantwortlicher nach Artikel 4 DSGVO rechtlich in der Pflicht – der Anbieter ist nur Auftragsverarbeiter.
Checkliste für die Auswahl einer datenschutzkonformen KI-Lösung
Bevor ein Autohaus eine KI-Lösung einführt, sollten die folgenden Punkte geklärt und dokumentiert sein.
Diese Checkliste ersetzt keine rechtliche Prüfung, liefert aber die richtigen Fragen für das Erstgespräch mit einem Anbieter und für die Abstimmung mit dem Datenschutzbeauftragten.
Datenschutz-Checkliste KI im Autohaus
Auftragsverarbeitungsvertrag (AVV) vorhandenDer Anbieter stellt einen AVV nach Artikel 28 DSGVO zur Verfügung, der Zwecke, Datenarten, Speicherdauer und technisch-organisatorische Maßnahmen konkret beschreibt.
Hosting in der EU oder in DeutschlandDie Datenverarbeitung erfolgt nachweislich innerhalb der EU, idealerweise in Deutschland. Subunternehmer und deren Standorte sind transparent gelistet.
Kein Training mit KundendatenDer Anbieter schließt vertraglich aus, dass Daten des Autohauses für das Training eigener oder fremder KI-Modelle verwendet werden.
Rechtsgrundlage für jeden AnwendungsfallFür jede geplante Verarbeitung ist klar, ob sie auf Vertragsanbahnung, berechtigtem Interesse oder Einwilligung beruht – und wie das dokumentiert wird.
Datenschutzerklärung angepasstDie Datenschutzerklärung des Autohauses nennt den KI-Einsatz, den Anbieter, den Zweck und die Rechte der Betroffenen. Die Kennzeichnungspflicht nach EU AI Act ist berücksichtigt.
Löschkonzept definiertEs ist festgelegt, welche Daten wie lange gespeichert werden und nach welchen Kriterien sie gelöscht werden. Betroffenenrechte (Auskunft, Löschung, Widerspruch) sind prozessual abgebildet.
Menschliche LetztentscheidungDie KI bereitet Kommunikation und Informationen vor, trifft aber keine bindenden Entscheidungen über Kunden. Angebote, Finanzierungen und Verträge werden von Menschen freigegeben.
Abstimmung mit dem DatenschutzbeauftragtenVor der Einführung wurde der interne oder externe Datenschutzbeauftragte einbezogen und hat die Lösung freigegeben. Die Freigabe ist dokumentiert.
Wie carpilot.ai diese Anforderungen umsetzt
carpilot.ai wurde von Anfang an für den Einsatz in einem regulierten, datenschutzsensiblen Umfeld gebaut.
Die Lösung wird vollständig in Deutschland gehostet und arbeitet mit einer eigenen KI-Infrastruktur, statt auf Consumer-LLMs aus den USA aufzusetzen.
Kundendaten werden ausschließlich für die vereinbarten Prozesse im jeweiligen Autohaus verarbeitet und fließen weder in Trainingspipelines noch an Dritte.
Ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO ist Teil jedes Kundenverhältnisses, und die Lösung ist so ausgelegt, dass die menschliche Letztentscheidung über Angebote, Finanzierungen und Verträge immer beim Verkäufer bleibt.
Damit erfüllt carpilot.ai die zentralen Anforderungen aus DSGVO und EU AI Act direkt ab Werk – nicht als nachträgliches Zertifikat, sondern als Architekturentscheidung.
Für Autohäuser bedeutet das, dass die Datenschutzprüfung vor der Einführung meist deutlich schneller abgeschlossen ist als bei generischen KI-Tools, weil die kritischen Fragen schon im Produkt beantwortet sind.
Fazit: Datenschutz ist kein Hindernis, sondern ein Auswahlkriterium
Die Sorge vor dem Datenschutz ist im deutschen Autohandel berechtigt – aber sie sollte kein Grund sein, auf KI zu verzichten.
Sie sollte vielmehr der Filter sein, mit dem ungeeignete Lösungen frühzeitig aussortiert werden.
Wer die oben beschriebenen Punkte prüft, erkennt innerhalb weniger Gesprächsminuten, ob ein Anbieter für den produktiven Einsatz im Autohaus geeignet ist oder nicht.
Die einfache Regel lautet: Eine KI-Lösung, die konkret erklären kann, wo die Daten liegen, wer sie verarbeitet, wie der AVV aussieht und warum Training mit Kundendaten ausgeschlossen ist, ist ein seriöser Gesprächspartner.
Eine Lösung, die auf diese Fragen mit Marketing-Slogans antwortet, ist keiner. So einfach ist die Unterscheidung – und so wichtig.
Dieser Artikel ersetzt keine Rechtsberatung. Er gibt den Stand April 2026 wieder und richtet sich an Entscheider im Autohandel, die sich einen praxisnahen Überblick verschaffen möchten. Für die rechtliche Prüfung konkreter Einsatzszenarien empfehlen wir die Einbindung des internen oder externen Datenschutzbeauftragten sowie gegebenenfalls einer auf IT- und Datenschutzrecht spezialisierten Kanzlei.
