Die Zukunft der Mobilität wird u. a. durch die digitale Vernetzung geprägt – von der digitalen Produktion und digitalen Prozessen bis hin zu datenbasierten Angeboten für die Kundenbetreuung sowie das Fahrerlebnis. In diesem Rahmen werden umfassende Nutzerdaten erhoben. Daher hat ein verantwortungsvoller Umgang mit den erhobenen Daten und der bestmögliche Schutz der personenbezogenen Angaben von Kundinnen und Kunden für den Porsche AG Konzern eine hohe Priorität. Der Porsche AG Konzern erachtet die digitale Selbstbestimmung seiner Kundinnen und Kunden als sehr wichtig für den Erfolg des Unternehmens im digitalen Zeitalter. Denn Kundinnen und Kunden messen ihre Freiheit und Souveränität künftig nicht nur an der Exklusivität der Fahrzeuge, der Beschleunigung und dem Abtrieb bei Kurvenfahrten, sondern auch daran, wie groß ihre Selbstbestimmung bei der Nutzung digitaler Produkte und Verwendung der Kundendaten ist.
Entsprechend eng ist das Thema Datenschutz mit der Strategie 2030 Plus sowie den Kernprozessen des Porsche AG Konzerns verzahnt. Ziel ist es, die digitale Transformation in den Dienst von Beschäftigten, Kundinnen und Kunden sowie der Gesellschaft zu stellen. Zudem sollen die Produkte in Einklang mit dem Datenschutz und Schwerpunkt auf „Privacy by Design“ weiterentwickelt sowie von vornherein so gestaltet werden, dass die Kundinnen und Kunden auf den Schutz ihrer Daten vertrauen können.
Datenschutzmanagement
Der Porsche AG Konzern legt großen Wert auf einen kundenzentrierten Datenschutz und hat sich ambitionierte Vorgaben gesetzt. Dem Schutz von Kundendaten kommt auch im Zusammenhang mit der Luxuspositionierung der Marke Porsche („Modern Luxury“) eine tragende Bedeutung im Bereich „Customer Experience“ zu. „Privacy“ – insbesondere das Recht auf digitale Selbstbestimmung – ist ein wesentlicher Bestandteil des Fahrerlebnisses der Kundinnen und Kunden des Porsche AG Konzerns. Porsche soll als Marke für Souveränität und den Schutz von Persönlichkeitsrechten stehen und zugleich die Datenverfügbarkeit unterstützen, um ein digitales Porsche-Erlebnis zu ermöglichen. Der Vorstand der Porsche AG verantwortet die Porsche Strategie 2030 Plus und somit auch die darin formulierten Ambitionen in Verbindung mit dem Datenschutz und der Datenschutzstrategie.
Das „Privacy & Preference Center“ von „My Porsche“ ist ein zentraler und leicht zugänglicher Ort, an dem Kundinnen und Kunden sowie Interessenten den Umgang mit personenbezogenen Daten aktiv bestimmen können. Sie haben die Möglichkeit, ihre Einwilligungen und Präferenzen zu verwalten und Einfluss darauf zu nehmen, für welche Zwecke der Porsche AG Konzern diese Daten verwenden kann. Dabei sind die Einwilligungen und Präferenzen im „Privacy & Preference Center“ in vier Kategorien strukturiert: Einwilligungen, Drittanbieter, Abonnements und Interessen.
Hier können Kundinnen und Kunden sowie Interessenten beispielsweise die Einwilligung für die Datenverwendung zur Produktverbesserung und anderen Verarbeitungszwecken verwalten oder festlegen, auf welchem Weg und zu welchen Zwecken sie zur individuellen Kunden- und Interessentenbetreuung kontaktiert werden möchten. Auch die Datenfreigaben gegenüber Drittanbietern steuern die Kundinnen und Kunden sowie Interessenten im „Privacy & Preference Center“. Dort können datenbasierte Dienste wie nutzungsorientierte Versicherungstarife, ein digitales Fahrtenbuch oder Smart-Charging-Anwendungen verwaltet werden. Unter „Abonnements“ kann eine Übersicht über alle verfügbaren Newsletter eingesehen und ihr Bezug verwaltet werden. Im Berichtsjahr wurden die Einstellungen um die Kategorie „Interessen“ zur Verwaltung von Interessen und Präferenzen erweitert. Die Optionen im „Privacy & Preference Center“ werden stetig weiterentwickelt.
Neben weiteren Daten, die auf Basis anderweitiger Rechtsgrundlagen datenschutzrechtlich konform verarbeitet werden, sind die freiwillig bereitgestellten Daten ein wesentlicher Baustein für die Zwecke der Entwicklung und Verbesserung von Produkten, Fahrzeugfunktionen oder Dienstleistungen, in der Fehleranalyse und der Störungsbehebung. Die Nutzung der Daten steht damit auch hier im Dienst der Kundinnen und Kunden.
Der Porsche AG Konzern trägt Sorge dafür, die gespeicherten personenbezogenen Daten der Kundinnen und Kunden richtig und vollständig zu erfassen und stets auf dem neuesten Stand zu halten. Hierzu werden regelmäßige Überprüfungen, automatisierte Aktualisierungen und interne Kontrollen durchgeführt, um die Datenqualität sicherzustellen.
Die Aktualität erhobener Daten wird auf Ebene der erhobenen Fahrzeugdaten bereits dadurch sichergestellt, dass regelmäßig lediglich Daten zum konkreten Fahrzeugzustand zum Zeitpunkt der Ausleitung verarbeitet werden. Diese liefern eine Auskunft über den jeweiligen Zeitpunkt, die Aktualität solcher Daten ändert sich deshalb nicht.
Auf Grundlage der Daten des „Porsche Communication Management“ (PCM) wird z. B. fortlaufend die Menüführung des PCM über „Privacy by Design“-Veröffentlichungen optimiert. Die verbesserte Bedienbarkeit kommt somit den Porsche-Fahrerinnen und -Fahrern zugute.
Kundinnen und Kunden haben die Möglichkeit, in aktuellen Porsche-Modellen auch die Datenverarbeitungen ihres Fahrzeugs durch Auswahloptionen in einem „Privacy-Menü“ zu steuern. Beispielsweise lässt sich das Fahrzeug in den „Privat-Modus“ setzen. Somit finden nur noch gesetzliche oder für den Betrieb des Fahrzeugs erforderliche Datenübermittlungen statt, wie z. B. das Notrufsystem „eCall“.
Fahrzeugdaten werden, abgesehen von solchen, die zwingend für kundenseitig gebuchte Dienste erforderlich sind, deren Ausleitung für die Erfüllung gesetzlicher Anforderungen oder zwingender Sicherheitsmaßnahmen notwendig sind oder auf Grundlage von berechtigten Interessen der Porsche AG erhoben werden, nur nach vorheriger, ausdrücklicher Einwilligung der Kundinnen und Kunden aus dem Fahrzeug verwendet.
Datenschutzorganisation
Der Datenschutz wird strategisch gesteuert, berichtet und weltweit mit einem einheitlichen und auf die Datenschutzstrategie ausgerichteten Datenschutzmanagementsystem umgesetzt, um Haftungs- und Datenschutzrisiken effektiv reduzieren zu können. Die Gestaltung des Managementsystems ist aus den Vorgaben des IDW Standards PS 980, aus dem IDW Prüfungshinweis (IDW PH 9.860.1) sowie aus dem COSO-Framework abgeleitet.
Die Konzernrichtlinie Datenschutz beschreibt die Grundprinzipien des Porsche AG Konzerns im Umgang mit personenbezogenen Daten, definiert Rollen und Kompetenzen in der weltweiten Datenschutzorganisation des Porsche AG Konzerns und gibt den Rahmen für eine standardisierte Vorgehensweise vor. Sie beruht auf der Datenschutz-Grundverordnung (DSGVO), zu deren Einhaltung sich die Porsche AG im Rahmen der Umsetzung dieser Richtlinie verpflichtet hat, und berücksichtigt lokale datenschutzrechtliche Vorgaben der jeweiligen Länder.
Die Konzernrichtlinie Datenschutz richtet sich an die Gesellschaften des Porsche AG Konzerns. Konzerngesellschaften sind dazu angehalten, sie in eine entsprechende Gesellschaftsrichtlinie umzusetzen. Der Vorstand der Porsche AG trägt die Verantwortung für die Einhaltung der anwendbaren Datenschutzanforderungen. Diese sind für die Porsche AG bindend und von den Beschäftigten einzuhalten. Für die Mitarbeitenden der Porsche AG werden die betreffenden Konzernrichtlinien und Dokumente im Intranet zur Verfügung gestellt.
Die Organisation, Prozessgestaltung, Umsetzung, Beratung, Schulung sowie Sensibilisierung und Überwachung des Datenschutzes im Porsche AG Konzern obliegt dem Fachbereich Datenschutz sowie den lokalen Datenschutzeinheiten in den Märkten. Die Fachexpertinnen und -experten unterstützen und beraten die für den Datenschutz verantwortlichen Fachbereiche und Konzerngesellschaften, die Kundendaten verarbeiten, bei der Umsetzung der maßgeblichen nationalen und internationalen Datenschutzstandards in ihren internen Prozessen und führen zudem regelmäßig für alle permanenten Angestellten sowohl verpflichtende als auch freiwillige Schulungen und Sensibilisierungsmaßnahmen zum Thema Datenschutz durch. Im Berichtsjahr wurden die Schulungs- und Informationsangebote für alle Beschäftigten der Porsche AG umgesetzt und das Web-based Training für Datenschutz aktualisiert.
Die Einhaltung der Datenschutzanforderungen im Porsche AG Konzern wird mithilfe regelmäßig durchgeführter Monitorings auf nationaler und internationaler Ebene überwacht. Dabei werden u. a. die Datenschutzmanagementsysteme der Konzerngesellschaften und operative Datenverarbeitung sowie anlassbezogen weitere Sachverhalte geprüft. Die Datenschutz-Monitorings werden jährlich risikobasiert geplant und durchgeführt. Die kontinuierliche Anpassung des Ansatzes an neue Datenschutzanforderungen soll in der Porsche AG über eine turnusmäßige Überprüfung des Datenschutzmanagements sichergestellt werden.
Datenschutzrisiken werden Porsche AG konzernweit erfasst und auf Grundlage erhobener Kennzahlen zu den jeweiligen Datenschutzprozessen aktiv mitigiert. Das konzernweite Datenschutz-Reporting macht frühzeitig auf Fehlentwicklungen aufmerksam, sodass rechtzeitig gegensteuernde Maßnahmen ergriffen werden können. Auf Grundlage des angewandten PDCA-Zyklus (Plan – Do – Check – Act) werden die Reifegrade in den Datenschutzprozessen ständig verbessert. So wurden im Berichtsjahr bei der Porsche AG u. a. die Verarbeitungstätigkeiten überprüft und der Reifegrad im Prozess Betroffenenrechte erhöht.
Auf Grundlage der konzernweit einheitlichen Datenschutzprozesse bietet die Porsche AG den Tochtergesellschaften im Rahmen des „Privacy Governance und Shared Service“-Modells Leistungen an, um die Qualität bei der Bearbeitung von Datenschutzanfragen auf hohem Niveau sicherzustellen und somit Risiken zu vermeiden.
Um Datenschutz nicht nur als Rechtskonformität zu verstehen, sondern Datenschutz auch im Interesse der Kundinnen und Kunden auszugestalten, führt der Porsche AG Konzern in ausgewählten Regionen situativ Kundenbefragungen durch. Dabei werden u. a. die Kriterien Fairness, Kontrolle und Transparenz bewertet. Das Feedback der Kundinnen und Kunden wird statistisch ausgewertet, um künftig relevante und bedarfsgerechte Maßnahmen zur Verbesserung der Kundenzufriedenheit in Bezug auf Datenschutz abzuleiten.
Rechte von Verbrauchern und Endnutzern
Der Porsche AG Konzern erfüllt die gesetzlichen Verpflichtungen zum Datenschutz und bemüht sich, durch eine ausgeprägte Datenschutzkultur und ein effektives Datenschutzmanagement die Zukunfts-, Digitalisierungs- und Datenstrategien der Porsche AG zu fördern, Risiken zu minimieren und Schaden abzuwenden.
Auf den Webseiten der Porsche AG sowie an anderen Kontaktpunkten werden Datenschutzerklärungen bereitgestellt, die Verbraucher und Endnutzer explizit über die Verarbeitung ihrer persönlichen Daten, Zwecke und Rechtsgrundlagen und ihre Rechte als Betroffene informieren. Darüber hinaus gibt es die Datenschutzerklärung Connect, die den Verbraucher und Endnutzer über die Datenverarbeitung im Fahrzeug und die Nutzung der digitalen Systeme im Fahrzeug informiert. Davon umfasst sind nicht nur Informationen zur Datenverarbeitung während der Fahrzeugnutzung, sondern auch über die Weiterverarbeitung der erhobenen Daten. Diese Datenschutzerklärung ist über das „PCM“ einsehbar, eine Bereitstellung auch außerhalb des Fahrzeugs (insbesondere im Connect-Store) ist für das kommende Jahr geplant. Ergänzend zur Datenschutzerklärung Connect werden spezifische Datenschutzhinweise für jede einzelne Funktion und für jeden Markt, in dem diese angeboten werden, bereitgestellt. Die Datenschutzerklärungen des Porsche Konzerns weisen stets die relevanten Verantwortlichkeiten aus und werden durch die jeweils relevanten Tochtergesellschaften bereitgestellt.
Den Verbrauchern und Endnutzern stehen für mögliche Beschwerden in Bezug auf Datenschutz die allgemeinen Kommunikationskanäle der Porsche AG zur Verfügung. Die Konzerngesellschaften verfügen aufgrund der lokal abweichend geltenden Anforderungen und aufsichtsbehördlichen Vorgaben über eigene Beschwerdekanäle und Anlaufstellen. Zudem gibt es zum Thema Datenschutz/Datenverarbeitung spezielle Kanäle, über die Verbraucher und/oder Endnutzer ihre Anliegen äußern oder prüfen lassen können. Potenzielle Verstöße können intern an das Porsche Privacy Service Center und extern via die E-Mail-Adresse sowie über ein Online-Kontaktformular gemeldet werden, auch der Fachbereich der Informationssicherheit nimmt entsprechende Meldungen entgegen. Mitarbeitende der Porsche AG können zudem die interne Hotline der Informationssicherheit nutzen, die permanent erreichbar ist.
Die Porsche AG hat angemessene Maßnahmen zum Schutz von personenbezogenen Daten implementiert. Im Rahmen der technischen Datenschutzberatung werden relevante technische und organisatorische Maßnahmen berücksichtigt sowie deren Umsetzung von den Verantwortlichen eingefordert. Durch die umfangreichen Beratungsprozesse innerhalb der Porsche AG werden datenschutzrechtliche Anforderungen wie Datenminimierung und Privacy by Design gezielt und frühzeitig adressiert, um im Rahmen einer Umsetzung implementiert werden zu können.
Die Porsche AG verfügt über einen umfassenden Incident-Management-Prozess zur Bearbeitung von Datenschutzvorfällen. Verdachtsmeldungen werden nach einem Incident-Response-Plan bearbeitet und dokumentiert. Begegnet wird den Meldungen mit geeigneten Maßnahmen. Diese sind entweder reaktiv bzw. ad hoc, wie beispielsweise die Löschung von Dokumenten, oder proaktiv bzw. präventiv, wie beispielsweise anlassbezogene Schulungen. Die Porsche AG ist gesetzlich verpflichtet, meldepflichtige Datenschutzvorfälle abhängig von den anwendbaren rechtlichen Vorgaben innerhalb von 72 Stunden an die Behörde zu melden.
Durch interne Kontrollmaßnahmen und aufmerksame Mitarbeitende wurden intern Vorfälle erkannt und über die etablierten Meldekanäle gemeldet. Die interne Melderate nahm im Vergleich zu den Vorjahren etwas ab – auch aufgrund stetiger Sensibilisierungsmaßnahmen und Trainings der Beschäftigten oder aufgrund kontinuierlicher Prozessverbesserungen. In allen begründeten Fällen leitete die Porsche AG Maßnahmen zur Ursachenbehebung sowie zur Vermeidung künftiger vergleichbarer Vorfälle ein.
Die Porsche AG setzt die Rechte Betroffener gemäß der DSGVO um. Betroffene Personen können die ihnen jeweils zustehenden Betroffenenrechte ausüben und diese gegenüber der Porsche AG und ausgewählten deutschen Konzerngesellschaften geltend machen. Diese Rechte umfassen u. a. das Recht auf Auskunft, Löschung, Berichtigung oder Widerspruch zu einer Datenverarbeitung. Es gibt unterschiedliche Wege, ein Betroffenenbegehren geltend zu machen, so z. B. über ein Web-Formular, das auf der Porsche-Webseite in unterschiedlichen Landessprachen verfügbar ist, sowie je nach Nutzungskontext auch über andere Eingangskanäle, wie z. B. über eine formlose Nachricht an das Betroffenenrechte-E-Mail-Postfach.
