Branchen

Ist Ihr Autohaus FTC-konform?

Die Anforderungen an die Cybersicherheit und den Datenschutz von Autohändlern wachsen rasant. Autohändler - von denen viele große Mengen sensibler personenbezogener Daten verarbeiten - müssen nun bestimmte obligatorische Sicherheits- und Datenschutzmaßnahmen ergreifen, um den Schutz von Kundendaten zu gewährleisten. Im Oktober 2021 setzte die FTC die neuen Anforderungen zusammen mit strengeren Strafen für die Nichteinhaltung um, die sich auf 11.000 US-Dollar pro Tag und Vorfall belaufen.

Eine Zusammenfassung der neuen Anforderungen ist wie folgt:

  • Die Autohändler müssen einen Programmkoordinator benennen, der für die Überwachung der Einhaltung der Vorschrift verantwortlich ist.
  • Autohändler müssen eine Risikobewertung durchführen.
  • Autohändler müssen ein Informationssicherheitsprogramm entwickeln und dieses schriftlich dokumentieren.
  • Autohändler müssen ihre Dienstleister beaufsichtigen.
  • Autohändler müssen ihr Informationssicherheitsprogramm aktualisieren, pflegen und schulen.

Die neue Regelung erfordert sowohl eine finanzielle als auch eine zeitliche Investition, um die Vorschriften einzuhalten. Autohändler können entweder einen Dritten beauftragen, um diesen Druck abzumildern, oder sich intern Fachwissen aneignen; letzteres ist die kostspieligere Option.

Warum die Vorschriften einhalten?

Wenn Sie z. B. Leasing-, Kredit- oder andere Finanzdienstleistungen oder Beratung anbieten, fallen alle personenbezogenen Daten, die Sie zur Erbringung dieser Dienstleistungen erheben, unter die Datenschutzrichtlinie. Die größte Auswirkung, die die Verordnung auf Händler haben kann, sind die Geldstrafen in Höhe von 11.000 Dollar pro Tag und Vorfall.

Häufig gestellte Fragen.

Gelten einige der Bestimmungen der Datenschutzrichtlinie auch für mich?

Autohändler unterliegen den Anforderungen der Datenschutzrichtlinie, wenn sie:

  • Kreditvergabe an einen Kunden (z. B. durch einen Ratenvertrag) im Zusammenhang mit dem Kauf eines Fahrzeugs für den persönlichen Gebrauch, für die Familie oder für den Haushalt;
  • Treffen Sie Vorkehrungen, damit jemand ein Fahrzeug für den persönlichen Gebrauch, die Familie oder den Haushalt bezahlt oder least;
  • Bereitstellung von finanzieller Unterstützung oder Beratung für Einzelpersonen;
  • Vermitteln Sie jemanden, der das Fahrzeug bezahlt oder least.

Auch wenn die betreffende Person keinen Antrag im herkömmlichen Sinne stellt, unterliegen Sie dennoch den Anforderungen der Privacy Rule, wenn Sie im Zusammenhang mit der möglichen Finanzierung oder dem Leasing eines Fahrzeugs personenbezogene Daten über sie sammeln. Wenn eine Person ein Auto mit Bargeld kauft oder die Finanzierung selbst über einen anderen Kreditgeber arrangiert, gilt die Datenschutzrichtlinie nicht für Sie, da dies als private Transaktion betrachtet wird.

Muss ich jedem Kunden, der meinen Ausstellungsraum betritt, einen Hinweis zum Datenschutz geben?

Eine Person, die lediglich ihr Interesse am Kauf eines Autos bei Ihnen bekundet oder grundlegende Fragen zur Finanzierung oder zum Leasing stellt, muss von Ihnen unter keinen Umständen einen Datenschutzhinweis erhalten. Wenn eine Person Ihnen jedoch im Zusammenhang mit einer potenziellen Transaktion ihre personenbezogenen Daten mitteilt, auch wenn sie keinen förmlichen Antrag ausfüllt - wenn sie Ihnen beispielsweise ihre personenbezogenen Daten mitteilt, um ein Angebot für ein Finanzpaket einzuholen -, haben Sie möglicherweise weitere Verpflichtungen zu erfüllen. Wenn der Kunde Ihnen beispielsweise seine persönlichen Daten mitteilt, um ein Angebot für ein Finanzpaket einzuholen, sind Sie unter Umständen verpflichtet, diese Daten an die zuständigen Behörden weiterzugeben. Weitere Informationen hierzu finden Sie in Frage 3.

Unter welchen Umständen bin ich verpflichtet, jemandem einen Datenschutzhinweis zu geben?

Die Antwort hängt davon ab, ob die betreffende Person als "Verbraucher" oder als "Kunde" betrachtet wird, beides Begriffe, die in der Datenschutzrichtlinie unterschiedlich definiert werden. Wenn eine Person Ihnen personenbezogene Daten im Zusammenhang mit der Finanzierung oder dem Leasing eines Fahrzeugs zur Verfügung stellt, gilt diese Person als "Verbraucher". Sie sind nur dann verpflichtet, Ihren Kunden einen Datenschutzhinweis (sowie eine Opt-out-Benachrichtigung) zu geben, wenn Sie beabsichtigen, ihre personenbezogenen Daten an Dritte weiterzugeben, die nicht mit Ihrem Unternehmen verbunden sind.

Es gibt jedoch einige Ausnahmen von dieser Verpflichtung, die in den Abschnitten 313.14 und 313.15 der Datenschutzrichtlinie aufgeführt sind. Zu diesen Ausnahmen gehören Offenlegungen, die mit Zustimmung des Verbrauchers erfolgen, Offenlegungen, die für Strafverfolgungszwecke notwendig sind, und Offenlegungen, die zur Durchführung einer vom Verbraucher angeforderten Transaktion vorgenommen werden. Wenn jemand mit Ihnen einen Kaufvertrag für ein Auto abschließt und Sie ihm entweder einen Kredit gewähren oder dafür sorgen, dass jemand anderes ihm einen Kredit gewährt, können Sie diese Person als "Kunden" bezeichnen. Nach der Unterzeichnung eines Leasingvertrags mit Ihnen gilt eine Person als "Kunde" in dem Sinne, dass sie ein Produkt oder eine Dienstleistung von Ihnen erwirbt. Selbst wenn Sie nicht die Absicht haben, die persönlichen Daten des Kunden an Dritte weiterzugeben, müssen Sie ihm vor der Unterzeichnung des Ratenzahlungsvertrags oder des Leasingvertrags einen Datenschutzhinweis geben. Dies gilt unabhängig davon, ob Sie einen Leasingvertrag oder einen Kredit für den Kunden abschließen.

Ich vermiete Kraftfahrzeuge an Privatpersonen. Welche Bestimmungen der Datenschutzrichtlinie sind für meine Situation relevant?

Sie unterliegen den Anforderungen der Datenschutzrichtlinie, wenn Sie Autos auf nicht-operativer Basis leasen und der erste Zeitraum des Leasingvertrags mindestens neunzig Tage lang ist. Wenn ein Leasingvertrag als "nicht-operativ" bezeichnet wird, bedeutet dies, dass der Vertrag im Gegensatz z. B. zu Autovermietungen keinerlei Wartungs- oder Reparaturleistungen umfasst. Die in Frage 3 dargelegten Leitlinien gelten auch für Sie, wenn es darum geht, ob Sie einer Person einen Datenschutzhinweis geben müssen oder nicht.

Gilt die Datenschutzrichtlinie für alle Informationen, die ich im Zusammenhang mit dem Kauf oder Leasing eines Fahrzeugs erhebe?

Grundsätzlich umfasst die Datenschutzrichtlinie alle personenbezogenen Daten, die Sie im Rahmen der Finanzierung oder des Leasings eines Fahrzeugs für Ihren eigenen persönlichen, häuslichen oder familiären Gebrauch erheben. Sie umfasst jedoch nicht: l personenbezogene Daten, die im Zuge eines Verkaufs erhoben werden, den Sie nicht mitfinanzieren (z. B. wenn die Person ihre eigene Finanzierung sichergestellt oder bar bezahlt hat); l Verkaufszahlen, die keine personenbezogenen Daten enthalten; und l allgemeine Verkaufsdaten, die nicht aus Informationen darüber abgeleitet werden, wie Personen ihre Autos finanziert oder geleast haben.

Um Ihnen ein Beispiel zu geben, wie dies funktioniert: Die Regel gilt nicht für eine Liste aller Einzelhandelskunden, die bei Ihnen Autos gekauft haben, vorausgesetzt, dass die Liste nicht die Art und Weise offenlegt, mit der die Kunden das Auto bezahlt haben, und nicht aus Informationen über die Art und Weise abgeleitet wird, wie die Käufer ihre Käufe finanziert haben. Wenn aus der Liste hingegen hervorgeht, welche Verbraucher ihre Fahrzeuge finanziert oder geleast haben, erfüllt sie die Anforderungen der Vorschrift. Eine Liste der Personen, die bei Ihnen einen Antrag auf Autofinanzierung oder -leasing gestellt haben, ist ebenfalls in diesem Bericht enthalten.

loslegen

Sind Sie bereit, loszulegen?

Fragen Sie hier nach, um mit einem Mitglied des Teams zu sprechen
Vielen Dank! Ihr Beitrag ist eingegangen!
Huch! Beim Absenden des Formulars ist etwas schief gelaufen.
mehr Ressourcen

Bleiben Sie mit unserem Blog auf dem Laufenden.

Verständnis des Managements von Netzwerkschwachstellen
5. Januar 2023
5 Minuten
Bewertung der Schwachstellen von Anwendungen: Identifizierung und Abschwächung von Risiken in Ihren Anwendungen
5. Januar 2023
5 Minuten
Software zur Schwachstellenbewertung: Die besten Tools zur Identifizierung von Cybersecurity-Risiken
5. Januar 2023
4 Minuten

SubRosa ist ein Anbieter von Cybersicherheitslösungen, der sich auf Cyber-Bewertungen, Risiken und Compliance spezialisiert hat.

Unternehmen
Über unsWhitepapersRFP einreichenSicherheitDatenschutzrichtlinienKundenbetreuungKontakt
Dienstleistungen
SicherheitsprüfungenSozialtechnikSchulungen zum Cyber-Bewusstseinverwaltetes SOCAssurance von DrittenReaktion auf VorfälleCybersecurity-Compliance
Branchen
FinanzenGesundheitswesenGastgewerbeVersicherungReisen und TransportÖl und GasFertigung
Kontakt
+888-893-1983Cleveland, OHLondon, UK
© SubRosa 2022. Alle Rechte vorbehalten.
Startseite
Fähigkeiten
Über
Kontakt