GDPR, CCPA, LPPD – immer mehr Länder verabschieden umfangreiche Datenschutzbestimmungen, denen insbesondere lokal agierende Unternehmen Folge zu leisten haben. Für Betreiber global vernetzter Connected-Car-Flotten kann dies zu enormen Herausforderungen in Bezug auf Plattformsetup und Compliance Management führen. Warum gerade die Automobilindustrie ein besonderes Augenmerk auf Datenschutz legen sollte und wie mit diesen Anforderungen umgegangen werden kann, diskutieren wir mit Jörg Tischler, verantwortlich für den Connected-Car-Bereich bei T-Systems.
Detecon: Herr Tischler, warum müssen sich Automobilhersteller so intensiv mit Datenschutzfragestellungen auseinandersetzen?
Jörg Tischler: Moderne Fahrzeuge sind hochgradig komplexe Systeme. Sie bringen mich nicht nur von A nach B, sondern erheben auf dem Weg dahin eine beeindruckende Menge hochinteressanter Daten – meine GPS-Historie, die Titel der aktuellen Spotify-Playlist oder auch biometrische Datensätze in Richtung Eyetracking und Sprachmuster. Das ist in erster Linie vernetzten Services geschuldet: je mehr Daten hier eingebunden werden können, desto stärker kann ich Services personalisieren, um Kundenbedürfnissen gerecht zu werden. Diese Personalisierung eröffnet mir als Anbieter neue Möglichkeiten, bringt aber umgekehrt auch die Notwendigkeit eines soliden Datenschutzkonzepts mit sich.
Welche weiteren Systeme müssen hier neben dem Fahrzeug an sich betrachtet werden?
Connected Cars stehen typischerweise im starken Austausch mit einer backendseitigen Connected-Service-Plattform. Viele der Services, die in Headunit oder Mobile App verfügbar sind, werden hier zentral koordiniert und mit den notwendigen Informationen versorgt. Ein solches Backend muss also zwingend die jeweiligen Datenschutzbestimmungen erfüllen, um einen sicheren Datenaustausch mit dem Fahrzeug zu ermöglichen. Die Konnektivität zwischen Fahrzeug und Backend spielt ebenfalls eine essentielle Rolle. Mobile Datenverbindungen, beispielsweise über integrierte SIM-Karten oder Dongle-Lösungen müssen entsprechend abgesichert werden, um auch während des Transports Datenverluste oder Leaks zu vermeiden.
Die meisten Automobilhersteller adressieren mittlerweile globale Absatzmärkte. Wie gehe ich als Hersteller mit teilweise äußerst heterogenen regionalen Datenschutzvorgaben um?
Zwei Punkte: Hohe interne Standards und eine leistungsfähige, flexible Plattformarchitektur. Ein modulares, hyperscaler-agnostisches System bleibt auch angesichts divergierender regulatorischer Anforderungen einsatzfähig und skalierbar. Kombiniert mit gleichbleibend hohen Anforderungen an die interne Organisations- und Prozessgestaltung können sich Automotive OEMs so als verlässliche Data Stewards auch in regulatorisch anspruchsvollen Märkten etablieren, ohne auf ineffiziente regionale Sonderlösungen oder verminderte Funktionsumfänge zurückfallen zu müssen.
Was macht Data Stewardship aus und wo liegen die Vorteile im Vergleich zu opportunistischeren Datenschutzansätzen?
Data Stewardship basiert auf der Erkenntnis, dass hochqualitative und gut strukturierte Datensätze, essentielle Voraussetzungen für den langfristigen Erfolg digitaler Service- und Plattformmodelle darstellen. Im Kontext des Datenschutzes liegt der Fokus natürlich auf personenbezogenen Daten, das grundlegende Konzept bleibt aber gleich – ein verantwortungsvoller Umgang mit den im Unternehmen vorhandenen Datensätzen. Dazu gehört natürlich auch das Einholen der notwendigen Kundeneinwilligungen und umfassende Schutzmaßnahmen gegen unbefugte Nutzung dieser Daten. Eine konsequente Orientierung an den Verantwortungen des Data Stewards und generellen Data Governance Best Practices bereitet die Organisation auf eine langfristig und sorgfältig ausgelegte Datenverarbeitung vor, was durchaus im Sinne vieler Datenschutzframeworks ist. Diese proaktive Vorgehensweise kann zwar initial zu Zusatzinvestitionen führen, ist aber wesentlich resilienter als reaktive Compliancebemühungen, die zwangsläufig von architektonischen Kernprinzipien abweichen müssen und somit eine Zunahme zukünftiger Legacykomponenten verursachen. Der Einsatz dieser unzureichend integrierten Plattformen und Sonderlösungen führt langfristig betrachtet zu signifikanten Ineffizienzen und damit verbundenen höheren Betriebskosten.
Ein vorbildliches Datenschutzsystem dürfte natürlich auch den Endkunden gefallen…
Richtig. Automobilhersteller haben sich in der Vergangenheit stark über Sicherheit und Komfort positioniert. Datenschutz ist Sicherheit – übertragen auf den digitalen Raum. Und Komfort bedeutet auch, dass meine Kontaktdaten nicht in Folge von Datenlecks missbraucht werden. Solides Datenschutzmanagement ist schlicht und ergreifend eine Kernvoraussetzung für jegliche Geschäftsmodelle rund um digitale Plattformen und Servicesubskriptionen. Das gilt gerade für die Automobilindustrie.
Müssen wir in Zukunft damit rechnen, vor jedem Motorstart einen Datenschutzdisclaimer über uns ergehen zu lassen?
Ich hoffe nicht. Wie Datenschutz nicht funktionieren sollte, haben ja bereits zahlreiche Web-Anbieter mit Disclaimern und Cookie-Regelungen sehr überzeugend demonstriert. Im Connected-Car-Kontext sehen wir bereits sehr vielversprechende Ansätze, um effektiv und unaufdringlich Nutzereinwilligungen abzufragen, in die relevanten Businessprozesse einzuspeisen und diese entsprechend abzusichern. Die notwendigen Ideen und Konzepte sind vorhanden. Die Ausgestaltung erfordert Fokus und konkrete Planung. Diese Art von Projekten und Anforderungen starten gerade bei unseren Kunden und erfordern ein hohes fachliche und technisches Integrationswissen.
Vielen Dank für das Interview!
Für tiefere Einblicke rund um Datenschutz im Connected Car Kontext empfehlen wir einen Blick in unser Whitepaper „Global Privacy Management for Connected Vehicle Fleets“.