Kundinnen und Kunden

Der Schutz von Verkehrsteilnehmenden sowie die Sicherheit unserer Kundinnen und Kunden stehen für den Volkswagen Konzern im Fokus.

Wesentliche Auswirkungen und ihr Zusammenspiel mit der Strategie und dem Geschäftsmodell

Die in der Wesentlichkeitsanalyse analysierten Auswirkungen betreffen insbesondere den Gesundheitsschutz im Fahrzeugkontext. Unter dem Begriff „Kundinnen und Kunden“ werden im Sinne der ESRS auch Konsumentinnen und Konsumenten sowie (End-)Nutzerinnen und Nutzer zusammengefasst. Zu den betrachteten Gruppen zählen Fahrzeugführende und -insassen. Darüber hinaus richtet sich der Fokus auf den Schutz verletzlicher Verkehrsteilnehmender wie Radfahrer und Fußgänger sowie weiterer potenzieller Unfallbeteiligter. Bei der Bewertung dieser Auswirkungen werden unterschiedliche Nutzer- und Insassengruppen berücksichtigt. Dabei wird insbesondere geprüft, ob bestimmte Gruppen besondere Anforderungen stellen, die entsprechend berücksichtigt werden müssen.

Durch die Teilnahme am Straßenverkehr können Nutzerinnen und Nutzer von Fahrzeugen aller Hersteller grundsätzlich in Unfälle verwickelt werden. Dies kann gesundheitliche Beeinträchtigungen zur Folge haben. Der Volkswagen Konzern ist sich seiner Verantwortung bewusst und arbeitet stetig daran, zur Vermeidung von Unfällen und zur Verringerung der Unfallfolgen beizutragen.

Zusammenspiel mit Strategie und Geschäftsmodell

Die im Rahmen der Wesentlichkeitsanalyse identifizierten Auswirkungen wirken sich unmittelbar auf das Geschäftsmodell, die strategische Ausrichtung sowie die Wertschöpfungskette des Volkswagen Konzerns aus. Das Thema Fahrzeugsicherheit ist dabei übergeordnet in der konzernweiten Sicherheitsstrategie verankert, in deren Zentrum die Sicherheit der Kundinnen und Kunden weltweit steht. Zur Koordination der sicherheitsrelevanten Themen ist ein markenübergreifender Arbeitskreis Sicherheitssystem (AKS) eingerichtet, der konzernweit Anforderungen definiert und deren Umsetzung begleitet.

Auf die im Rahmen der Wesentlichkeitsanalyse identifizierten Auswirkungen auf Geschäftsmodell, Strategie und Wertschöpfungskette reagiert der Volkswagen Konzern im Bereich Kundinnen und Kunden mit gezielten Maßnahmen:

So sollen die positiven Auswirkungen im Bereich der persönlichen Sicherheit durch interne Sicherheitsvorgaben sowie durch die konsequente Implementierung moderner Sicherheitstechnologien weiter gestärkt werden. Die Ausarbeitung der Sicherheitsstrategie erfolgt im Arbeitskreis Sicherheitssystem (AKS), der die erarbeiteten Inhalte dem Konzern Vorstandsausschuss Technologie zur Freigabe vorlegt. Die Verantwortung für die Sicherheit der in Verkehr gebrachten Produkte liegt beim Ausschuss Produktsicherheit (APS). Eine konzernweit gültige Richtlinie zur Produktsicherheit und -konformität schreibt die Einrichtung eines APS bei den jeweils verantwortlichen Herstellern verbindlich vor. Zudem besteht die Verpflichtung, den APS bei sicherheitsrelevanten Vorgängen einzubeziehen, um eine einheitliche und wirksame Umsetzung sicherheitsbezogener Maßnahmen im gesamten Konzern zu gewährleisten.

Eine ausführliche Darstellung der konkreten Maßnahmen in diesem Handlungsfeld erfolgt im Abschnitt „Maßnahmen: Persönliche Sicherheit von Kundinnen und Kunden“.

Managementkonzepte: persönliche Sicherheit von Kundinnen und Kunden

Um die Anzahl und Schwere von Verkehrsunfällen mit Fahrzeugen des Konzerns kontinuierlich zu reduzieren, hat der Volkswagen Konzern ein ineinandergreifendes System von Managementstrukturen etabliert. Diese ergeben ein konzernweites Governance-Konzept für Fahrzeugsicherheit, das die Grundlage für ein hohes Maß an Produktqualität sowie die Einhaltung gesetzlicher und behördlicher Vorgaben, interner Sicherheitsvorgaben und Anforderungen des Verbraucherschutzes bildet.

Zentraler Bestandteil dieses Konzepts ist die kontinuierliche Ausrichtung an hohen Sicherheitsstandards für mechanische, mechatronische und elektronische Systeme sowie für die funktionale Sicherheit der Fahrzeuge. Aufbauend darauf sind konzernweit Managementsysteme über Konzernrichtlinien definiert, die diese Sicherheitsstandards, geltende Normen sowie den Stand der Technik systematisch in den Prozessen der Fahrzeugentwicklung, -fertigung und -prüfung innerhalb der Markengesellschaften verankern. Dabei werden stets alle drei Ebenen – gesetzliche Vorgaben, interne Sicherheitsvorgaben und Verbraucherschutzstandards – berücksichtigt. Dieses Kapitel stellt die zugrunde liegende Sicherheitsstrategie sowie die relevanten Konzernrichtlinien im Detail vor.

Sicherheitsstrategie

Um die bestehenden Systeme zur Fahrzeugsicherheit noch stärker im strategischen Gesamtkonzept des Volkswagen Konzerns zu verankern, wurde eine konzernweite Sicherheitsstrategie entwickelt und vom Vorstand verabschiedet.

Ziel dieser Strategie ist es, einen nachhaltigen Beitrag zur weltweiten Verkehrssicherheit zu leisten. Im Mittelpunkt steht dabei die Reduzierung der Zahl von Schwerverletzten und Getöteten bei Unfällen mit Fahrzeugen der Konzernmarken. Zur Erreichung dieses Ziels werden sowohl Maßnahmen zur Unfallvermeidung (aktive Sicherheit) als auch zur Minderung von Unfallfolgen (passive/integrale Sicherheit) kontinuierlich weiterentwickelt.

Die Sicherheitsstrategie verfolgt das Ziel, ein hohes Schutzniveau für Kundinnen und Kunden sowie weitere potenzielle Unfallbeteiligte zu gewährleisten. Dies geschieht durch den gezielten Einsatz moderner Technologien, mit denen interne und externe Sicherheitsanforderungen, gesetzliche Vorgaben sowie Verbraucherschutzstandards adressiert und marktspezifisch umgesetzt werden. Tatsächliche und potenzielle negative Auswirkungen auf die Gesundheit und Sicherheit der Kundinnen und Kunden können beispielsweise durch technische Mängel oder Qualitätsprobleme entstehen. Durch die konsequente Erfüllung der definierten Sicherheitsanforderungen wirkt der Volkswagen Konzern diesen Auswirkungen aktiv entgegen. Auf diese Weise soll die Zahl der Unfallopfer verringert und gleichzeitig eine tatsächliche und potenziell positive Auswirkung im Sinne der Wesentlichkeitsanalyse erzielt werden.

Die Ausrichtung der Sicherheitsentwicklungen in den Marken des Volkswagen Konzerns erfolgt auf Basis der konzernweiten Sicherheitsstrategie. Diese wird unter anderem im Konzerngremium „Arbeitskreis Sicherheitssystem“ (AKS) verfolgt und weiterentwickelt.

Sollte sich ein Anpassungsbedarf ergeben, prüfen die Leitenden der Sicherheitsentwicklungen in den jeweiligen Marken die Notwendigkeit einer Aktualisierung. Bei Bedarf wird die Strategie entsprechend angepasst, um weiterhin ein hohes Schutzniveau und die Einhaltung aller relevanten Anforderungen sicherstellen zu können.

Konzernrichtlinie Automotive Cyber Security Management System

Um der Gefahr unbefugter Zugriffe auf Fahrzeuge und deren digitalen Angebote entgegenzuwirken, hat der Volkswagen Konzern im Rahmen der Konzernrichtlinie „Automotive Cyber Security Management System“ (ACSMS) ein Automotive-Cyber-Security-Managementsystem etabliert. Ziel dieses Systems ist es, potenziellen negativen Auswirkungen auf die Gesundheit und Sicherheit der Kundinnen und Kunden, insbesondere durch Manipulation digitaler Fahrzeugfunktionen, entgegenzuwirken. Die zunehmende Digitalisierung und Vernetzung von Fahrzeugen bringen neue Herausforderungen mit sich, insbesondere im Hinblick auf die Integrität und Sicherheit softwarebasierter Systeme. Gesetzliche Vorgaben, wie etwa die Regelung UN-R 155 zur Cybersicherheit und zum Cybersicherheitsmanagementsystem der United Nations Economic Commission for Europe (UNECE), stellen verbindliche Anforderungen an die Fahrzeug- sowie Softwareentwicklung. Diese Anforderungen haben weitreichende Auswirkungen auf die IT-Systeme und die gesamte Sicherheitsarchitektur moderner Fahrzeuge.

Um das Risiko von Cyberangriffen auf Fahrzeuge auch in Zukunft zu steuern und angemessen darauf reagieren zu können, optimiert der Volkswagen Konzern seine Automotive-Cyber-Security-Managementsysteme kontinuierlich in allen Konzernmarken. Ein markenübergreifender Austausch findet statt, sodass sowohl prozessuale als auch produktbezogene Aspekte der Cybersicherheit gemeinsam weiterentwickelt werden. Im Mittelpunkt steht dabei stets der Schutz der Kundinnen und Kunden.

Ein zentrales Ziel des ACSMS ist es, die Cybersicherheit über den gesamten Produktlebenszyklus eines Fahrzeugs und seines digitalen Ökosystems hinweg zu stärken. Mit der zunehmenden Digitalisierung, zunehmender Konnektivität und der Entwicklung neuer Mobilitätsformen wie Shared Mobility gewinnt das Thema Cyber Security zunehmend an Bedeutung – auch im Hinblick auf die Gesundheit und Sicherheit der Nutzerinnen und Nutzer.

Das ACSMS definiert in Form von Richtlinien und Kontrollmaßnahmen, wie die Cybersicherheit im Fahrzeugbereich aufgebaut, umgesetzt und dauerhaft gewährleistet werden soll. Ziel ist es, unberechtigte Zugriffe auf Fahrzeuge und deren digitale Systeme wirksam zu verhindern. Die Wirksamkeit des ACSMS mit einer entsprechenden Zertifizierung wurde durch die jeweils zuständigen Typgenehmigungsbehörden der Konzernmarken bestätigt. Grundlage hierfür waren externe Audits, die die Einhaltung der UNECE-Regelung UN-R 155 zum Gegenstand hatten. Innerhalb des Gültigkeitszeitraums der Zertifizierung erfolgen jährliche Überwachungsaudits zur Sicherstellung der kontinuierlichen Konformität.

Die ACSMS-Richtlinie gilt konzernweit als Mindestanforderung für alle kontrollierten Gesellschaften des Volkswagen Konzerns, welche Typgenehmigungen für Fahrzeuge beantragen oder relevante Schnittstellen zu solchen Gesellschaften aufweisen. Dies umfasst auch Unternehmen, die Teile des digitalen Ökosystems entwickeln oder betreiben sowie Software-Updates für Fahrzeuge bereitstellen und durchführen.

Für die Definition und Weiterentwicklung des Managementkonzepts ACSMS ist die Leitung Konzern Qualitätsmanagement, Digitalisierung und IT verantwortlich. Die Umsetzung innerhalb der jeweiligen Konzerngesellschaft obliegt der obersten Leitungsebene, also dem Vorstand oder der Geschäftsführung.

Konzernrichtlinie Produktsicherheit und -konformität

Die Konzernrichtlinie „Produktsicherheit und -konformität“ spielt insbesondere im Hinblick auf die persönliche Sicherheit von Kundinnen und Kunden eine zentrale Rolle. Sie legt konzernweit einheitliche Standards fest, um sowohl gesetzliche Verpflichtungen als auch den eigenen Anspruch des Volkswagen Konzerns an die Produktverantwortung für in den Verkehr gebrachte Produkte zu erfüllen. Sämtliche geltende gesetzliche und behördliche Anforderungen sind einzuhalten. Darüber hinaus verpflichtet die Richtlinie zur Einrichtung eines Systems zur aktiven und passiven Produktbeobachtung. Ziel ist es, potenzielle Gefahren, die von Produkten ausgehen könnten, frühzeitig zu erkennen und im Rahmen des Möglichen und Zumutbaren abzuwehren. Die Umsetzung der Konzernrichtlinie „Produktsicherheit und -konformität“ obliegt den Gesellschaften des Volkswagen Konzerns, die als verantwortliche Hersteller Fahrzeuge produzieren oder produzieren lassen und in den Verkehr bringen. Diese sind verpflichtet, die Konzernrichtlinie in eigene Regelwerke, wie etwa Organisationsrichtlinien und interne Standards, zu überführen und die Umsetzung sicherzustellen. Die Verantwortung für die Sicherheit und Konformität der Produkte liegt bei den herstellenden Marken- und Vollfunktionsgesellschaften. Das jeweilige Leitungsorgan der Markengesellschaft überträgt diese Verantwortung auf einen eigens eingerichteten oder einzurichtenden Ausschuss Produktsicherheit (APS). Dieser ist dafür zuständig, rechtzeitig Maßnahmen zu veranlassen, die erforderlich sind, um die Sicherheit und Konformität der in Verkehr gebrachten Produkte zu gewährleisten. Das Leitungsorgan der Marken- beziehungsweise Vollfunktionsgesellschaft delegiert diese Aufgaben auf einen bei der Marken- beziehungsweise Vollfunktionsgesellschaft eingerichteten oder einzurichtenden Ausschuss Produktsicherheit.

Bekenntnis zu Menschenrechten

Die Achtung der Menschenrechte ist für den Volkswagen Konzern ein zentrales Anliegen. Wir sind überzeugt, dass nachhaltiges Wirtschaften nur durch ethisches und integres Handeln möglich ist. Im Rahmen unserer unternehmerischen Tätigkeit bekennen wir uns umfassend zu unserer Verantwortung für die Wahrung der Menschenrechte. Eine ausführliche Darstellung unserer menschenrechtlichen Selbstverpflichtungen findet sich im Kapitel „Beschäftigte und Fremdarbeitskräfte“ unter „Managementkonzepte: Beschäftigte und Fremdarbeitskräfte“. Der Dialog mit potenziell Betroffenen erfolgt über das konzernweite Hinweisgebersystem, das auch die Grundlage für die Einleitung geeigneter Abhilfemaßnahmen bildet. Eine detaillierte Beschreibung dessen ist im Kapitel „Informationen zur Unternehmensführung“ unter „Hinweisgebersystem“ enthalten.

Verfahren: Einbeziehung von Kundinnen und Kunden

Berücksichtigung von Aktivitäten der Verbraucherschutzorganisationen

Um die Interessen, Erfahrungen und Perspektiven der Nutzerinnen und Nutzer seiner Fahrzeuge besser zu verstehen und angemessen zu berücksichtigen, arbeitet der Volkswagen Konzern auf Markenebene mit verschiedenen nationalen und internationalen Verbraucherschutzorganisationen zusammen. Diese Organisationen fungieren als glaubwürdige Vertretende der Fahrzeugnutzerinnen und -nutzer. Die übergreifende Koordination der Zusammenarbeit mit Verbraucherschutzbehörden und Industrievereinigungen im Bereich Fahrzeugsicherheit übernimmt der AKS. Die Kooperation erfolgt unter anderem mit dem Insurance Institute for Highway Safety (IIHS), dem China Insurance Safety Index sowie den jeweiligen Landes- und Regionalverbänden des New Car Assessment Programs (NCAP). Für die Marke Volkswagen PKW ist beispielsweise festgelegt, dass Kontaktpersonen oder Verbindungsbüros mit entsprechenden Ansprechpersonen für Verbraucherschutzorganisationen eingerichtet sind. Die Verantwortung für diese Schnittstellen liegt bei der oder dem Global-Safety-Affairs-Verantwortlichen der Hauptabteilung Entwicklung Sicherheitssystem der Volkswagen AG. Die Ableitung und Ausarbeitung daraus resultierender Anforderungen erfolgt im engen Austausch aller Konzernmarken über den AKS. Auf diese Weise wird darauf hingewirkt, dass relevante Informationen konzernweit bekannt sind und berücksichtigt werden. Änderungen oder Neuerungen im Ratingverfahren werden im AKS erarbeitet und berichtet. Die jeweiligen NCAPs veröffentlichen im Rahmen der kontinuierlichen Weiterentwicklung ihrer Standards regelmäßig Aktualisierungen in Form von sogenannten Roadmaps. Diese Updates werden über Industriemeetings, Mitteilungen per E-Mail oder Veröffentlichungen auf den jeweiligen Internetseiten kommuniziert. Der Austausch mit den Verbraucherschutzorganisationen erfolgt themen- und projektbezogen, wobei die Häufigkeit der Treffen von der jeweiligen Roadmap abhängt. Die von den NCAPs bereitgestellten Informationen und Anforderungen sind integraler Bestandteil der Sicherheitsstrategie des Volkswagen Konzerns und fließen direkt in die Produktentwicklung mit ein. Die entsprechenden Prozesse sind im Abschnitt „Verfahren: Abhilfeprozesse und Meldekanäle“ näher beschrieben.

Die Wirksamkeit dieser Zusammenarbeit lässt sich unter anderem an den erhaltenen Fahrzeugbewertungen durch Verbraucherschutzorganisationen – wie etwa der NCAP-Sternebewertung – nachvollziehen.

Zusammenarbeit im Rahmen der Abhilfeprozesse

Zwei weitere Austauschformate mit Kundinnen und Kunden, die von einem sicherheitsrelevanten Sachverhalt oder einer Cyber-Security-Schwachstelle betroffen sind, bestehen im Rahmen der passiven Produktbeobachtung sowie im Bedarfsfall – im Zuge der Sachverhaltsaufklärung und Umsetzung entsprechender Maßnahmen. Der zugrunde liegende Abhilfeprozess einschließlich der Austauschformate für beide Fälle ist im Abschnitt „Verfahren: Abhilfeprozesse und Meldekanäle“ näher beschrieben.

Verfahren: Abhilfeprozesse und Meldekanäle

Abhilfeprozess für sicherheitsrelevante Sachverhalte

Ergeben sich im Rahmen der passiven oder aktiven Produktbeobachtung Hinweise auf einen sicherheitsrelevanten Sachverhalt, so wird dieser in den Fachbereichen, etwa der Technischen Entwicklung der Produktion, analysiert. Dabei fließen verschiedene Faktoren in die Bewertung ein, darunter die Häufigkeit des Auftretens, die zugrunde liegende Schadensursache, die betroffenen Bauteile sowie die mögliche Relevanz für weitere Modelle innerhalb des Konzerns.

Bestätigt sich die Sicherheitsrelevanz des Sachverhalts, ist gemäß den konzernweit geltenden Vorgaben der APS einzuschalten. Dieser entscheidet über die erforderlichen und zweckmäßigen Maßnahmen zur Sicherstellung der Sicherheit und Konformität der betroffenen Produkte. Solche Maßnahmen können beispielsweise einen Rückruf, eine Servicemaßnahme in der Werkstatt, erweiterte Garantieleistungen oder einen Auslieferungsstopp umfassen. Die Umsetzung der im APS beschlossenen Maßnahmen wird durch die Abteilung Produktsicherheit initiiert und koordiniert. Zu den zentralen Aufgaben dieser Abteilung zählen die Identifikation der betroffenen Fahrzeuge, die Erstellung und Abstimmung von Arbeitsanleitungen, die Beauftragung der Bevorratung von Ersatzteilen sowie die Festlegung des Starttermins für die jeweilige Maßnahme.

Die operative Verantwortung für die Umsetzung hängt von der Art der entschiedenen Maßnahmen ab. In der Regel handelt es sich um sogenannte Feldmaßnahmen, die durch die Handelsorganisationen und deren Partnerbetriebe umgesetzt werden. Die Betreuung und das Controlling dieser Umsetzung erfolgen durch die Importeure. Die Effektivität der Maßnahmen wird sowohl durch aktive als auch durch passive Produktbeobachtung erfasst. Zusätzlich erfolgt ein Monitoring, um die Wirksamkeit der Maßnahmen systematisch zu überprüfen.

Die im APS beschlossenen Aufträge und Maßnahmen sind für alle betroffenen Bereiche sowie für gegebenenfalls involvierte Konzerngesellschaften verbindlich. Die Überwachung der fristgerechten Umsetzung dieser Maßnahmen obliegt der APS-Geschäftsstelle.

Austauschformate

Ein Austausch mit Kundinnen und Kunden erfolgt an verschiedenen Stellen des Prozesses. Im Rahmen der passiven Produktbeobachtung werden beispielsweise Kundenbeschwerden berücksichtigt, die über Fahrzeughändler oder Werkstätten, über Social-Media-Kanäle, Forenbeiträge sowie über die Kundenhotlines und Kundenbetreuung der jeweiligen Marken eingehen. Diese Rückmeldungen fließen in die Sachverhaltsklärung ein und können wichtige Hinweise zu sicherheitsrelevanten Themen liefern. Die Verantwortung für die Kommunikation mit den Kundinnen und Kunden liegt während des gesamten Prozesses bei den jeweils zuständigen Fachbereichen, wie etwa After Sales, Marketing und der Unternehmenskommunikation. Ein weiterer Austausch mit Kundinnen und Kunden kann im Zuge der Umsetzung einer Abhilfemaßnahme im Markt erfolgen. Wird eine Maßnahme durch den APS beschlossen, sind die Importeure gemäß den vertraglichen Vereinbarungen mit dem Volkswagen Konzern verpflichtet, diese über ihre Partnerbetriebe umzusetzen. Im Rahmen dieses Prozesses werden die betroffenen Fahrzeughaltenden über die erforderlichen Schritte zur Behebung des potenziellen Sicherheitsthemas informiert, beispielsweise per Post oder durch direkte Ansprache bei einem Werkstattbesuch. Eine solche Maßnahme kann etwa den Austausch eines fehlerhaften Bauteils in der Werkstatt umfassen.

Abhilfeprozess für Cyber-Security-Sachverhalte

Kundinnen und Kunden können sich mit Anliegen im Bereich Cyber Security an die Autohäuser wenden. Diese erfassen entsprechende Beanstandungen und leiten sie bei Bedarf über den jeweiligen Importeur an die entsprechende Marke weiter. Aufseiten der Marken sind strukturierte Prozesse etabliert, die sicherstellen sollen, dass eingehende Meldungen an das zuständige Incident-Management weitergeleitet werden. Werden dort Maßnahmen zur Behebung des Problems beschlossen und eingeleitet, greifen im Falle von Feldmaßnahmen die im Rahmen des APS beschriebenen Abhilfeprozesse. Bei produktbezogenen Änderungen kommen die standardisierten Verfahren aus den Entwicklungsprozessen zur Anwendung, darunter Tests und qualitätssichernde Maßnahmen. Zur Sicherstellung einer korrekten Bearbeitung innerhalb der Supportstruktur sind Überprüfungsmechanismen etabliert. Auf Basis der gewonnenen Erkenntnisse können bei Bedarf Anpassungen an den Prozessen und der Supportstruktur vorgenommen werden. Zur Unterstützung eines wirksamen Umgangs mit sicherheitsrelevanten Vorfällen im Bereich Cyber Security wurden konzernweit Awareness-Maßnahmen und Schulungen für Importeure und Autohäuser etabliert. Ziel ist es, die dortigen Beschäftigten so zu schulen, dass sie im Bedarfsfall angemessen reagieren können. Dies erfolgt unter anderem anhand praxisnaher Beispielfälle, die es den Mitarbeitenden ermöglichen, das Vorgehen besser nachzuvollziehen und einzuordnen.

Austauschformat

Über den eingerichteten Security-Kontakt haben Kundinnen und Kunden sowie Sicherheitsforscherinnen und Sicherheitsforscher, darunter auch Nichtregierungsorganisationen oder Privatpersonen, die Möglichkeit, Verdachtsfälle zu potenziellen Security-Schwachstellen zu melden. Dies kann über die folgende Webseite erfolgen: https://www.volkswagen.de/de/mehr/rechtliches/kontakt-cyber-security.html. Darüber hinaus besteht für Kundinnen und Kunden die Möglichkeit, entsprechende Hinweise über die Autohäuser oder die Kundensupport-Hotline einzureichen. Solche Meldungen werden über die etablierte Supportstruktur an das zuständige Incident-Management weitergeleitet, dort analysiert und, sofern erforderlich, mit geeigneten Maßnahmen beantwortet.

Sofern konkrete APS-Maßnahmen erforderlich sind, werden die betroffenen Fahrzeughaltenden über die notwendigen Schritte zur Behebung potenzieller Sicherheitsrisiken informiert, beispielsweise durch ein Software-Update. Ziel der Zusammenarbeit ist es, Schwachstellen im Bereich Cyber Security frühzeitig zu identifizieren und geeignete Maßnahmen einzuleiten, um eine Ausnutzung durch unbefugte Dritte zu verhindern. Die operative Verantwortung für den Car-Security-Incident-Prozess (CSI) liegt bei der Qualitätssicherung der jeweiligen Marke. Die Kommunikation mit den Kundinnen und Kunden erfolgt über die zuständigen Fachbereiche, wie etwa Customer Experience oder After Sales.

Meldekanäle

Über das Hinweisgebersystem können auch Verstöße gegen Produktsicherheits- und Zulassungsvorschriften gemeldet werden. Relevante Hinweise fließen in den beschriebenen Abhilfeprozess ein. Details zur Verfügbarkeit des Hinweisgebersystems und zum Schutz der Hinweisgebenden finden sich im Kapitel „Informationen zur Unternehmensführung“. Für Beschwerden oder Rückmeldungen zu Fahrzeugen und Dienstleistungen des Volkswagen Konzerns können sich Kundinnen und Kunden per E-Mail oder über die Telefonhotline an die entsprechende Marke wenden. Auf den Webseiten der jeweiligen Marken sind Kontaktmöglichkeiten aufgeführt, über die Anliegen direkt eingereicht werden können. Jede Marke ist im Rahmen dieses Prozesses eigenverantwortlich für die Überprüfung der Wirksamkeit ihrer Kommunikationskanäle zuständig. Im Bereich Cyber Security verfolgt der Volkswagen Konzern das Ziel, sicherheitsrelevante Schwachstellen frühzeitig zu identifizieren und angemessen zu bearbeiten. In diesem Zusammenhang werden Hinweise von Kundinnen und Kunden sowie von Sicherheitsforscherinnen und -forschern entgegengenommen. Sollten Kundinnen und Kunden eine potenzielle Schwachstelle in einem Produkt feststellen, können sie diese über die Kommunikationskanäle der jeweiligen Marken melden. Im Rahmen der dort etablierten Klärungsprozesse werden die Hinweise geprüft und weiterverfolgt.

Sicherheitsrelevante Beanstandungen, die über die Meldekanäle der Marken eingehen, werden von den jeweiligen Marken erfasst, verfolgt und überwacht. Jede Marke ist dabei entsprechend ihrer festgelegten Prozesse eigenverantwortlich für die Überprüfung der Wirksamkeit ihrer Kommunikationskanäle. Eine konzernweite Prüfung, ob Kundinnen und Kunden die Kundenportale kennen, ihnen vertrauen und sich vor möglichen Repressalien geschützt fühlen, findet nicht statt.

Maßnahmen: persönliche Sicherheit von Kundinnen und Kunden

Ergänzend zu den bestehenden Richtlinien und der Sicherheitsstrategie ergreift der Volkswagen Konzern Maßnahmen, um dazu beizutragen, dass seine Fahrzeuge dem aktuellen Stand der Sicherheitstechnik entsprechen, insbesondere im Hinblick auf Unfallvermeidung und die Minderung von Unfallfolgen. Dazu zählen Forschungsaktivitäten im Bereich Fahrzeugsicherheit, die Bearbeitung sicherheitsrelevanter Themen, unter anderem im Rahmen der Arbeitskreisstruktur des AKS sowie die Integration dieser Inhalte in die Projekte entlang des Produktentwicklungsprozesses (PEP). Auch die Zusammenarbeit mit regionalen Verbraucherschutzorganisationen trägt dazu bei.

Dadurch wird eine tatsächliche und potenzielle positive Auswirkung auf die Sicherheitsstandards in der Fahrzeugsicherheit erzielt, die durch Unfallvermeidung und -minderung zur Gesundheit unserer Kundinnen und Kunden beitragen kann. Im Sinne der ESRS versteht der Volkswagen Konzern Maßnahmen zur Einhaltung von Sicherheitsvorgaben als Beitrag zur Vermeidung und Behebung potenzieller und tatsächlicher negativer Auswirkungen seiner Produkte. Maßnahmen, die über gesetzliche Mindestanforderungen hinausgehen, gelten als positiver Beitrag zur Fahrzeugsicherheit.

Die Mitarbeit in Verbraucherschutzorganisationen sowie die erhöhten internen Sicherheitsvorgaben des Volkswagen Konzerns tragen zur Anhebung der allgemeinen Sicherheitsstandards von Fahrzeugen bei und leisten damit einen Beitrag zur Verkehrssicherheit. In Fragen der Fahrzeugsicherheit bewegt sich der Volkswagen Konzern mindestens auf dem Niveau der geltenden gesetzlichen Anforderungen. Da Sicherheitslücken trotz aller Vorsorgemaßnahmen nicht vollständig ausgeschlossen werden können, hat der Volkswagen Konzern eine Reihe an Maßnahmen etabliert, die auch für bereits im Verkehr befindliche Fahrzeuge greifen und im Falle eines Sicherheitsrisikos Abhilfe schaffen. So wird potenziellen und tatsächlichen negativen Auswirkungen auf die Gesundheit und Sicherheit von Kundinnen und Kunden entgegengewirkt, die durch solche Schwachstellen entstehen können. Im Bereich Cyber Security besteht zudem die Möglichkeit zur Zusammenarbeit mit Kundinnen und Kunden sowie mit Sicherheitsforscherinnen und –forschern, die potenzielle Schwachstellen melden können.

Innerhalb des CSI-Prozesses werden gemeldete Sicherheitsvorfälle bewertet und bei entsprechender Notwendigkeit geschlossen. Im Rahmen des Lessons-Learned-Prozesses kann die Klärung eines Sachverhaltes neben der Umsetzung von Abhilfemaßnahmen auch Auswirkungen auf die strategische Ausrichtung, das ACSMS oder die Produktentwicklung haben. Das Incident-Management ist dabei direkt mit der Produktentwicklung verknüpft, sodass relevante Erkenntnisse unmittelbar in die Entwicklung zukünftiger Produkte einfließen können.

Der Austausch erfolgt anlassbezogen im Rahmen der Auswertung. Mittels aktiver und passiver Produktbeobachtung werden bereits in Verkehr gebrachte Fahrzeuge auf Produktrisiken überwacht. Der APS ist dafür verantwortlich, über gegebenenfalls notwendige Maßnahmen zur Sicherstellung der Sicherheit und Konformität dieser Produkte zu entscheiden.

Die APS-Mitglieder informieren ihre jeweiligen Geschäftsbereiche eigenverantwortlich über die Aktivitäten des APS sowie über Erkenntnisse aus den bearbeiteten Vorgängen (Lessons Learned), die für den jeweiligen Geschäftsbereich relevant sind. Über den Lessons-Learned-Prozess fließen diese Erkenntnisse in vorgelagerte Prozesse wie etwa die Entwicklung neuer Produkte zurück, wodurch eine kontinuierliche Verbesserung des Gesamtprozesses ermöglicht wird. Für die Definition und Umsetzung von Maßnahmen im Bereich Fahrzeugsicherheit und Cyber Security sind im Volkswagen Konzern das Konzerngremium AKS sowie die Gremien ACSMS und APS verantwortlich. Teils obliegt die Umsetzung auch den Marken. Es ist vorgesehen, alle beschriebenen Maßnahmen auch künftig beizubehalten.

Maßnahmen im Rahmen der Sicherheitsstrategie

Die folgenden Maßnahmen im Rahmen der Sicherheitsstrategie dienen dazu, sowohl negative als auch positive Auswirkungen auf die Sicherheit unserer Kundinnen und Kunden im Bereich Produktentwicklung gezielt zu steuern. In diesem Zusammenhang arbeitet der Volkswagen Konzern mit verschiedenen externen Partnern wie Verbraucherschutzorganisationen, Lieferanten, Forschungseinrichtungen und weiteren relevanten Stakeholdern im Bereich Fahrzeugsicherheit zusammen. Ergänzend erfolgt eine enge Kooperation mit internen Fachbereichen wie der Technischen Entwicklung, der Qualitätssicherung, dem Rechtswesen und weiteren beteiligten Einheiten.

Arbeitskreis Sicherheit

Das konzernübergreifende Gremium „Arbeitskreis Sicherheitssystem“ (AKS) befasst sich mit der Koordination und Festlegung der in der Sicherheitsstrategie definierten markenübergreifenden Sicherheitsanforderungen. Das Gremium setzt sich aus Vertreterinnen und Vertretern der sicherheitsrelevanten Entwicklungsbereiche der Marken sowie Agenda-bezogenen variierenden Teilnehmenden zusammen. Im Fokus des Gremiums stehen insbesondere folgende Themen und Aufgaben:

• Definition und Abstimmung von Sicherheitsanforderungen zu allen Aspekten der integralen Sicherheit, einschließlich aktiver und passiver, Pre- und Post-Crash-Sicherheit, sowie deren Zuordnung zu thematischen Schnittstellenbereichen und verantwortlichen Organisationseinheiten innerhalb der Entwicklungsbereiche der Marken
• Abstimmung mit Verbraucherschutzorganisationen, insbesondere zur Positionierung bei neuen Anforderungen sowie zur Erarbeitung und Abstimmung neuer Verbraucherschutzvorgaben
• Identifikation und Koordination von Vorentwicklungen, Komponenten- und Funktionsentwicklungen auf globaler Ebene
• Koordination und Nachverfolgung von Forschungsaktivitäten zu sämtlichen Themen der integralen Sicherheit

Die in der Regel quartalsweise stattfindenden Treffen sowie die dabei erarbeiteten Inhalte stellen eine zentrale Maßnahme zur Umsetzung der Sicherheitsstrategie dar. Da hierbei sowohl externe als auch interne Sicherheits- und Verbraucherschutzvorgaben entwickelt werden, leisten sie einen direkten Beitrag zur Verbesserung der Fahrzeugsicherheit. Die Bearbeitung aktueller sicherheitsrelevanter Themen erfolgt in themenspezifischen Arbeitskreisen sowie in bereichsübergreifenden Querschnittarbeitsgruppen. Diese setzen sich aus Vertretenden der Produktentwicklung verschiedener Konzernmarken zusammen. Themen können entweder proaktiv durch die Arbeitskreise erarbeitet und in die Agenda des AKS eingebracht oder vom zentralen AKS-Team gezielt beauftragt werden.

Anlässe zur Untersuchung sicherheitsrelevanter Themen können zum Beispiel erneute Bewertungen von ratingrelevanten Themen, die Analyse gesetzlicher Änderungen, Tests neuer Sicherheitstechnologien oder themenspezifische Wettbewerbsanalysen sein. Insgesamt bestehen 19 verschiedene Arbeitskreise und Querschnittarbeitsgruppen, die sich jeweils mit spezifischen Sicherheitsbereichen, wie beispielsweise Kindersicherheit, Fußgängerschutz, E-Mobilität oder Airbags befassen. Diese Gremien treffen sich drei- bis viermal jährlich, um entsprechende Themen zu bearbeiten und weiterzuentwickeln.

Erfüllung und Umsetzung der Sicherheitsziele

Die Umsetzung der Sicherheitsziele (intern, extern und durch den Verbraucherschutz vorgegeben) ist in den Produktentwicklungsprozess (PEP) integriert. Innerhalb des PEP sind Prozessschritte definiert, die die Ableitung und Festlegung dieser Ziele ermöglichen und so die Sicherheitsstrategie systematisch in die Produktentwicklung überführen. Die erforderlichen Sicherheitsmaßnahmen für ein neues Modell werden unter anderem in Form einer technischen Produktbeschreibung dokumentiert und zur Umsetzung in den jeweiligen Produkten weitergegeben. Ein wesentlicher Schritt des PEP ist die Erstellung einer technischen Produktbeschreibung. In diesem Dokument wird systematisch festgehalten, welche gesetzlichen, internen und verbraucherschutzbezogenen Ziele erfüllt werden sollen. Auf Basis dieser Anforderungen wird definiert, welche aktiven und passiven Sicherheitstechnologien in einem Modell verbaut werden müssen.

Der PEP stellt eine konzernweite Empfehlung des Volkswagen Konzerns dar. Er ist unter Berücksichtigung der rechtlichen und organisatorischen Besonderheiten der jeweiligen Gesellschaft anzupassen und durch Integration in das jeweilige Qualitätsmanagementsystem umzusetzen.

Konzernunfallforschung

Die Konzernunfallforschung verfolgt ebenso wie die Hauptabteilung „Entwicklung Sicherheitssystem“ das Leitbild eines Verkehrssystems ohne Schwerverletzte oder Getötete im Rahmen der technischen Machbarkeit. Forschungsthemen, die diesem Leitbild zuträglich sind, werden gezielt bearbeitet.

Aktiv wird an verschiedenen Aspekten der Fahrzeugsicherheit geforscht. Dazu zählen unter anderem die Sicherheit von Personengruppen mit unterschiedlichen Eigenschaften, etwa in Bezug auf Gewicht, Körpergröße oder altersbedingte Besonderheiten sowie die Kompatibilität zwischen unterschiedlichen Unfallgegnern, wie beispielsweise zwischen Fahrzeug und Fußgänger oder zwischen einem schweren Sport Utility Vehicle (SUV) und einem leichten Stadtauto. Ziel ist es, bestehende Forschungsergebnisse einzuordnen und daraus gezielte Maßnahmen abzuleiten. Die Themen werden entweder aktiv von den Entwicklungsabteilungen der Konzerngesellschaften bei der Konzernunfallforschung angefragt oder proaktiv von dieser vorgeschlagen. Häufig handelt es sich dabei um konkrete Fragestellungen zu bereits bekannten sicherheitsrelevanten Aspekten, die an die Unfallforschung herangetragen werden. Diese werden anschließend nach wissenschaftlichen Standards bearbeitet und beantwortet. Als Konzernstelle ist die Konzernunfallforschung markenübergreifend tätig.

Maßnahme im Rahmen der Konzernrichtlinie Automotive Cyber Security Management System

Car-Security-Incident-Prozess

Der CSI-Prozess zielt darauf ab, die Ursache eines sicherheitsrelevanten Vorfalls am Fahrzeug zu identifizieren, fachlich zu bewerten und durch geeignete Maßnahmen zu beheben. Zu den Grundsätzen des Automotive-Cyber-Security-Managementsystems (ACMS) zählt unter anderem die kontinuierliche Überprüfung und Überwachung von Fahrzeugen und ihrem digitalen Ökosystem auf potenzielle Cyberbedrohungen über den gesamten Lebenszyklus hinweg. Darüber hinaus umfasst das System die kontinuierliche Risikobewertung von Cyber-Security-Risiken sowie die Sicherstellung der Erkennung und Reaktionsfähigkeit bei Cyber-Security-Vorfällen.

Diese Grundsätze münden in den markenübergreifend wirksamen CSI-Prozess. Über interne Quellen, wie etwa der Technischen Entwicklung, sowie externe Hinweise, beispielsweise aus dem Internet oder durch Meldungen von Dritten, erlangt das Unternehmen kontinuierlich Informationen über potenzielle Vorfälle. Der CSI-Prozess fungiert als zentraler Treiber und Koordinator zwischen den beteiligten Fachbereichen, um Schwachstellen zu analysieren und geeignete Maßnahmen einzuleiten.

Im Rahmen der CSI-Prozesse werden Risikoabschätzungen vorgenommen sowie Reaktionspläne erstellt und konsequent verfolgt. Wird dabei die Notwendigkeit einer Feldaktion erkannt, erfolgt die Übergabe des Vorgangs an den zuständigen APS. Zur Unterstützung der Prozessumsetzung wurden Methoden zur Erkennung, Nachverfolgung und Nachbereitung entwickelt sowie Entscheidungs- und Kontrollgremien etabliert. Der Prozess ist vollständig implementiert und wird durchgängig umgesetzt. Der Fokus dieser Maßnahme liegt auf bereits in Verkehr gebrachte Produkte und erstreckt sich auf sämtliche Märkte, in denen die Produkte des Volkswagen Konzerns vertrieben werden. Die Umsetzung des CSI ist ereignisbezogen – also bei konkreten Vorfällen oder Meldungen. Im Gegensatz dazu ist das Monitoring von Schwachstellen als kontinuierlicher Prozess angelegt. Dieses Vorgehen soll sicherstellen, dass potenzielle Schwachstellen, die Produkte des Volkswagen Konzerns betreffen, frühzeitig erkannt und nicht übersehen werden.

Im Abschnitt „Verfahren: Abhilfeprozesse und Meldekanäle“ werden die Abläufe zur Einleitung von Abhilfemaßnahmen detaillierter beschrieben.

Maßnahme im Rahmen der Konzernrichtlinie Produktsicherheit und -konformität

Produktbeobachtung

Der Volkswagen Konzern hat ein umfassendes System zur Produktbeobachtung etabliert, das von den zuständigen Organisationseinheiten gemäß festgelegter Richtlinien durchgeführt wird. Dieses System umfasst sowohl aktive als auch passive Maßnahmen der Produktbeobachtung, um die Sicherheit und Rechtskonformität der in Verkehr gebrachten Produkte zu gewährleisten. Ziel hierbei ist es, potenzielle Sicherheitsrisiken bei in Verkehr gebrachten Fahrzeugen frühzeitig zu erkennen und Fehlerquellen zu identifizieren. Sobald sicherheitsrelevante Sachverhalte festgestellt oder sich sonstige Hinweise auf Nichteinhaltung gesetzlicher und behördlicher Vorschriften ergeben, erfolgt umgehend eine detaillierte technische Analyse sowie gegebenenfalls eine Risikobewertung der erfassten Daten und Informationen. Auf Grundlage der gewonnenen Erkenntnisse werden Maßnahmen ergriffen, um Personen zu schützen, die mit dem Produkt in Kontakt kommen, und die Konformität der Produkte wiederherzustellen.

Die aktive Produktbeobachtung umfasst unter anderem die regelmäßige und eigenständige Erfassung sowie Auswertung von Daten und Informationen im Zusammenhang mit potenziell sicherheitsrelevanten Sachverhalten. Dies schließt geeignete Prüfmaßnahmen wie Stichproben, die Analyse fahrzeugbezogener Massendaten sowie Meldungen von Marktüberwachungsbehörden ein. Die passive Produktbeobachtung beinhaltet unter anderem Maßnahmen wie die Sichtung und Analyse von sicherheitsrelevanten Einzelfallmeldungen der Handelsorganisation (Werkstätten) und Importeure sowie das Monitoring von Fachpresse, Onlinequellen, sozialen Medien oder sonstigen Quellen für Beanstandungen von Kundinnen und Kunden. Der Umfang der Produktbeobachtung sowie der Umfang der daraus abgeleiteten Maßnahmen richtet sich insbesondere nach dem jeweiligen Gefahrenrisiko. Kraftfahrzeuge, ihre Ersatzteile sowie Zubehör unterliegen aufgrund ihres erhöhten Gefahrenpotenzials einer besonders intensiven und umfassenden Beobachtung im Vergleich zu anderen Produkten.

Ziele: persönliche Sicherheit von Kundinnen und Kunden

Ziele werden grundsätzlich vom Volkswagen Konzern dort entwickelt, wo ein Bezug zu seinen Strategien besteht. In Bezug auf Fahrzeugsicherheit sind keine messbaren ergebnisorientierten Ziele im Sinne der ESRS festgelegt.

Die Effektivität der Managementkonzepte und Maßnahmen in Bezug auf die im Rahmen der im Berichtsjahr durchgeführten doppelten Wesentlichkeitsanalyse identifizierten positiven und negativen Auswirkungen werden aktuell nicht nachverfolgt.

Gleichwohl tragen die vorgestellten Managementkonzepte und Maßnahmen in Summe dazu bei, einen Beitrag für die Verkehrssicherheit der Kundinnen und Kunden zu leisten. Damit verfolgt der Volkswagen Konzern sein Zielbild der Sicherheitsstrategie. Zur Ermittlung der Wirksamkeit sind die folgenden Maßnahmen und Prozesse etabliert.

Produktentwicklung

Die Effektivität sowie das Ambitionsniveau werden anhand der Einhaltung interner und externer Sicherheitsvorgaben sowie durch die Beobachtung von Fahrzeugbewertungen durch Verbraucherschutzorganisationen, wie etwa der Euro-NCAP-Sternebewertung, überprüft. In der technischen Produktbeschreibung werden bereits in der Entwicklung eines Modells konkrete Zielvorgaben für die Sicherheitsstandards definiert. Die Produktentwicklung orientiert sich unter anderem an diesen Vorgaben.

Konzernunfallforschung

Die Wirksamkeit der Sicherheitstechnologien wird unter anderem durch eine 24/7-Rufbereitschaft erfasst, über die Unfälle in den Bundesländern Niedersachsen und Sachsen-Anhalt dokumentiert werden. Grundlage hierfür ist eine enge Zusammenarbeit mit den Innen- und Sportministerien beider Länder sowie den jeweils nachgeordneten Landespolizeibehörden. Verunfallte Fahrzeuge werden im Rahmen der Unfallforschung detailliert analysiert, um die Effektivität der eingesetzten Sicherheitstechnologien zu bewerten.

Darüber hinaus werden Unfallforschungsdaten, wie etwa nationale Unfallstatistiken und internationale Unfalldatenbanken, darunter die German In-Depth Accident Study (GIDAS)-Datenbank, systematisch ausgewertet. Sowohl positives Feedback, zum Beispiel bei erfolgreich umgesetzten Maßnahmen, als auch negatives Feedback, in Form von Verbesserungsvorschlägen, werden regelmäßig analysiert und bewertet. Die gewonnenen Erkenntnisse werden sowohl in den zuständigen Fachabteilungen als auch im AKS sowie im eigens eingerichteten Unfallforschungstag kommuniziert.

Car-Security-Incident-Prozess

Im Rahmen einer Wirksamkeitsprüfung wird überprüft, ob die ergriffenen Maßnahmen bei den relevanten Stellen, wie etwa der technischen Entwicklung, angekommen und in die Fahrzeugproduktion eingeflossen sind. Im Anschluss an die Bearbeitung eines Vorfalls durchlaufen die CSI-Gremien bei Bedarf einen Lessons-Learned-Prozess, um auch den CSI-Prozess selbst kritisch zu hinterfragen und weiterzuentwickeln.