Ein „simpler“ Autokauf – aus Datenschutz-Sicht ist das heutzutage ein komplex choreografiertes Großereignis. Denn bei einer typischen Customer Journey gehen auch unzählige Personendaten auf die Reise. Datenströme fließen nicht nur zwischen dem Kunden und den beteiligten Unternehmen wie Händler, Autobank und OEM, sondern auch zwischen diesen Playern selbst. Daten fallen schon bei der ersten Testfahrt an, stammen aus der Einholung eines Finanzierungsangebots oder ergeben sich durch technische Infos aus Bordelektronik oder Werkstatt. Vom Kunden sind über Name und Adresse hinaus viele weitere Dinge bekannt, so etwa Kredit-Score und Ausstattungspräferenzen, Nutzungsdetails und Fahrgewohnheiten. Und diese werden zwischen den beteiligten Unternehmen rege hin- und hergereicht. Nicht nur um den ursprünglichen Kauf abzuwickeln, sondern auch um die neuen datengetriebenen Geschäftsmodelle der Zukunft zu ermöglichen, auf die diese Branche wie viele andere angewiesen sein wird.
Durch die vielfältigen Verästelungen von Informationsflüssen – oft über gemeinsam genutzte IT-Systeme – entsteht eine datenschutzrechtliche Gemengelage. Auch wenn etwa ein Autohändler für sein Unternehmen schon eine EU-DSGVO-Strategie aufgesetzt hat: Wird diese auch der mehrfachen Weiterverarbeitung der Kunden- und Interessentendaten durch Hersteller und Autobank gerecht? Der springende Punkt ist hier die Erlaubnis des Verbrauchers für eine Verwendung der Daten, die über den unmittelbaren Zweck, etwa den Autokauf, hinausgeht. Kann sich z.B. der Hersteller darauf verlassen, dass der Händler diese Erlaubnis ordnungsgemäß eingeholt hat, wenn er dessen Datensätze weiterverwenden möchte? Solche Fragen werden umso drängender, wenn auch noch die weiteren Akteure betrachtet werden, die mit Kundendaten arbeiten, etwa Versicherungen, Connected-Car-Dienstleister oder Software-Hersteller – ob es um fortgeschrittenes Customer Experience Management geht, um digitales Marketing oder um nutzungsbasierte Versicherungspolicen.
Und es wird noch komplizierter. Unter der EU-DSGVO ergibt sich hier die zusätzliche Problematik, dass die beteiligten Unternehmen je nach Vorgang in der Datenverarbeitungskette eine von drei definierten Rollen mit je unterschiedlichen Pflichten einnehmen. Agieren sie als Verantwortliche, als gemeinsame Verantwortliche oder als Auftragsverarbeiter? Oft übernehmen sie verschiedene Rollen im Wechsel, je nach dem Zweck der momentan relevanten Aktion. So stellt die Bank dem Händler vielleicht ein IT-System für die Kaufabwicklung zur Verfügung und fungiert insofern als Auftragsverarbeiter. Zugleich erzeugt der Händler für die Bank u.U. auf demselben System einen Kreditvertrag und wird hierbei seinerseits zu ihrem Auftragsverarbeiter. Spielt man die Thematik mit allen Anwendungsfällen konsequent durch, ergeben sich unzählige Rollenkonstellationen mit unterschiedlichen Informations- und Dokumentationspflichten, auf die jeder Partner vorbereitet sein muss. Auch Datenlöschung und die Umsetzung von Verbraucherrechten sind kritische Bereiche.
Eine verzwickte Situation, bei der Fehler des jeweils verantwortlichen Unternehmens fatale Folgen haben können – und zwar auch für die Partnerunternehmen. Deswegen haben alle Beteiligten ein vitales Eigeninteresse an der Compliance auch der Partner. Das Risiko liegt weniger in den medienwirksam publizierten Höchstbußgeldern, die in der Praxis wohl nur selten so drakonisch zur Anwendung kommen werden. Viel bedrohlicher sind Sanktionen der Behörden etwa durch Einschränkung oder gar Untersagung der Datenverarbeitung. Das kann operativ z.B. für die Beziehung zwischen Banken und Händlern weitreichende Folgen haben. Dazu kommen denkbare Schadensersatzforderungen durch Nutzer sowie Reputationsschäden. Letztere betreffen hauptsächlich den Hersteller, da Probleme in der öffentlichen Wahrnehmung an dessen Marke haften bleiben könnten, selbst wenn sie von einem anderen Akteur verursacht wurden. In Deutschland ist das Compliance-Risiko dabei übrigens noch höher als in anderen EU-Staaten: Hier können Verstöße auch von nicht betroffenen Gruppen wie etwa Verbänden abgemahnt werden.
Ein erhebliches Risiko also, das in seiner Bedeutsamkeit derzeit noch nicht genug gewürdigt wird. Das aber zugleich auch ein Potenzial für eine attraktive Aufwertung der Marke darstellt, wenn sich eine Unternehmenskonstellation durch ein wegweisendes Datenschutz-Konzept profilieren kann. Diese Aufgabe hat eminente strategische Dimension, denn nur ein gutes Image in Sachen Privacy schafft das nötige Vertrauen von Kunden und Interessenten in Integrität und Datenkompetenz. Und das wiederum ist die Voraussetzung für eine Erlaubnis zu weiterführender Datennutzung, die überhaupt erst den Weg in die Zukunft der digitalen Business Models eröffnet. Daher ist es jetzt höchste Zeit für die beteiligten Unternehmen, eine strategische Datenpartnerschaft einzugehen. Sie sind in Sachen Datenschutz-Compliance schlicht aufeinander angewiesen.
Aus Sicht der Experten von Deloitte erfolgt die operative Umsetzung dieser Strategie am besten in vier Schritten. Zunächst müssen die unterschiedlichen Anwendungsfälle und Datenflüsse in der Kooperation der Unternehmen analysiert werden. Zweitens ist eine Erfassung und Definition der unterschiedlichen Rollenkonstellationen im Sinne der EU-DSGVO notwendig, die sich in der Zusammenarbeit ergeben. Natürlich muss diese zwischen den beteiligten Playern abgestimmt werden, um Konflikte durch abweichende Sichtweisen auszuräumen. Dann werden auch IT-Systeme auf ihre Datenschutz-Eignung geprüft, z.B. was die Prinzipien der Datensparsamkeit angeht oder die Auslagerung von Daten in Drittländer. Drittens sind konkrete Verträge zwischen den Parteien aufzusetzen, in denen ihre Datenschutzpflichten je nach Rolle und Anwendungsfall dokumentiert werden. Gemeinsame IT-Systeme bieten sich an, die außerdem Kosten- und Qualitätsvorteile ermöglichen. Da es sehr viel mehr Händlerunternehmen gibt als Hersteller und Autobanken, ist eine Einbindung des Vertrags in den üblichen Prozess zum Abschluss eines Händlervertrags sinnvoll. Alternativ können auch gemeinsam mit Händlerverbänden standardisierte Verträge entwickelt werden. Vierter und letzter Schritt: die Einrichtung eines kontinuierlichen Change Managements, das die Verträge je nach aktuellem Bedarf anpasst. Denn die rechtliche Lage und die konkrete Auslegung durch Rechtsprechung und Aufsichtsbehörden wird sich in Zukunft ebenso weiterentwickeln wie die Anwendungsfälle für Datenaustausch im Rahmen digitaler Geschäftsmodelle.
Daten mögen das neue Öl sein, der Rohstoff der Digitalisierung. Aber Vertrauen ist der wahre Schatz, den Unternehmen auf dem Weg in eine datengetriebene Zukunft heben müssen. Wenn die Autobranche die Compliance-Erfordernisse der EU-DSGVO für den wechselseitigen Datenaustausch ernst nimmt, wird sie auch den Kunden überzeugen. Die Datenpartnerschaft schafft eine bündige Grundlage für eine effektive Kommunikation, die dem Verbraucher das implementierte Datenschutzregime in der Vertriebskette näherbringt. So kann die Branche dann auch die zukunftsweisenden neuen Produkte und Dienstleistungen entwickeln, die für den Kunden attraktiv sind – und die ihr selbst einen profitablen Übergang in die neue Zeit sichern. Ein einheitliches Rollenmodell und standardisierte Verträge haben für die beteiligten Parteien aber auch noch weitere, praktische Vorteile: Sie sind kostengünstiger und einfacher zu auditieren.
Bei der Realisierung empfiehlt Deloitte ein pragmatisches Vorgehen. Denn die Datenpartnerschaft ist ein deutlich komplexeres Projekt als etwa eine individuelle EU-DSGVO-Maßnahme bei einem einzelnen Handelsunternehmen. Die Datenschutz-Kooperation kann deshalb auch noch im Nachgang zur EU-DSGVO-Implementierung entwickelt und umgesetzt werden. Kontinuierliche Anpassung wird hier sowieso auch in Zukunft nötig bleiben. Generell gilt für das neue Datenschutzregime wie für die digitale Geschäftswelt insgesamt: Permanente Veränderung ist die neue Grundkonstante. Mit einer strategischen Datenpartnerschaft sind Unternehmen aus der Autobranche für eine wesentliche Dimension dieser Zukunft bestens aufgestellt. Erfahren Sie mehr dazu im Whitepaper zum Download.