Geschäftsbericht 2024

Kundinnen und Kunden

Der Schutz von Verkehrsteilnehmenden sowie die Sicherheit unserer Kundinnen und Kunden steht für den Volkswagen Konzern im Fokus.

WESENTLICHE AUSWIRKUNGEN UND IHR ZUSAMMENSPIEL MIT DER STRATEGIE UND DEM GESCHÄFTSMODELL

Auswirkungen im Bereich persönliche Sicherheit von Kundinnen und Kunden

Der Volkswagen Konzern hat im Rahmen der Wesentlichkeitsanalyse eine tatsächliche und potenzielle positive Auswirkung in der nachgelagerten Wertschöpfungskette auf Kundinnen und Kunden im Bereich der persönlichen Sicherheit identifiziert. Diese steht unter anderem im Zusammenhang mit Gesundheitsschutz in Fahrzeugen. Im Folgenden werden unter der verwendeten Bezeichnung Kundinnen und Kunden, Konsumenten und (End)nutzer im Sinne der ESRS zusammengefasst. Zu den betrachteten Arten von Kundinnen und Kunden zählen Fahrzeugführende und -insassen. Des Weiteren steht der Schutz von verletzlichen Verkehrsteilnehmenden (zum Beispiel Radfahrern, Fußgängern) und weiteren möglichen Unfallbeteiligten im Fokus. Aktive und passive Sicherheitssysteme leisten einen positiven Beitrag dazu, die Zahl der Getöteten und Schwerverletzten infolge von Verkehrsunfällen zu reduzieren. Die Dauer der potenziellen positiven Auswirkung wird als langfristig eingeordnet.

Außerdem hat die Wesentlichkeitsanalyse im Themenfeld Produktsicherheit eine tatsächliche und potenzielle negative Auswirkung in Form von individuellen Vorfällen in der nachgelagerten Wertschöpfungskette ergeben. Die Teilnahme am Straßenverkehr beinhaltet für Nutzer von Fahrzeugen aller Hersteller die Möglichkeit, dass es zu Unfällen kommen kann. Dadurch könnten Fahrzeugführende und Insassen eine negative Auswirkung auf ihre Gesundheit erleiden. Der Volkswagen Konzern ist sich seiner Verantwortung bewusst und arbeitet stetig daran, zur Vermeidung von Unfällen und zur Verringerung der Unfallfolgen beizutragen. Bei der Bewertung der Auswirkungen werden diverse Nutzer- und Insassengruppen betrachtet. Dabei wird untersucht, ob besondere Anforderungen an bestimmte Benutzergruppen vorliegen und ob diese Beachtung finden müssen. Mit der zunehmenden Relevanz von Software und Konnektivität in Fahrzeugen steigt auch die abstrakte Gefahr eines unbefugten Zugriffs, mit möglichen Auswirkungen auf die Sicherheit des Fahrzeuges und damit auch für die verbundenen Rechtsgüter von Kundinnen und Kunden. Die potenzielle Auswirkung wird als langfristig wirkend eingeschätzt.

Zusammenspiel mit Strategie und Geschäftsmodell

Die im Rahmen der Wesentlichkeitsanalyse identifizierten Auswirkungen haben Einfluss auf das Geschäftsmodell, die Strategie und die Wertschöpfungskette des Konzerns. Übergeordnet ist das Thema Fahrzeugsicherheit im Rahmen der Sicherheitsstrategie verankert. So steht die Sicherheit unserer Kundinnen und Kunden weltweit im Fokus. Ein dazu eingerichteter Arbeitskreis Sicherheitssystem (AKS) koordiniert markenübergreifend die Sicherheitsthemen im Volkswagen Konzern und legt die Anforderungen fest.

Der Volkswagen Konzern reagiert auf den Einfluss seiner in der Wesentlichkeitsanalyse identifizierten Auswirkungen auf das Geschäftsmodell, die Strategie und die Wertschöpfungskette im Bereich Kundinnen und Kunden mit folgenden Maßnahmen:

Die positive Auswirkung auf Kundinnen und Kunden im Bereich Persönliche Sicherheit soll durch interne Sicherheitsvorgaben und die Implementierung von Sicherheitstechnologien gestärkt werden.

Im AKS wird die Sicherheitsstrategie erarbeitet und dem Konzern Vorstandsausschuss Technologie zur Freigabe vorgelegt. Die Sicherheit der inverkehrgebrachten Produkte ist Gegenstand der Arbeit des Ausschusses Produktsicherheit (APS). Über die konzernweit umzusetzenden Richtlinie Produktsicherheit- und -konformität wird die Einrichtung eines APS bei den verantwortlichen Herstellern vorgegeben und ebenso auch die Verpflichtung, dass der APS bei sicherheitsrelevanten Vorgängen einzuschalten ist.

Eine ausführliche Darstellung und Erläuterung der Maßnahmen in diesem Handlungsbereich erfolgen unter „Maßnahmen: Persönliche Sicherheit von Kundinnen und Kunden“.

MANAGEMENTKONZEPTE: PERSÖNLICHE SICHERHEIT VON KUNDINNEN UND KUNDEN

Um die Anzahl und Schwere von Verkehrsunfällen mit ihren Fahrzeugen kontinuierlich zu reduzieren, hat der Volkswagen Konzern unterschiedliche ineinandergreifende Managementsysteme aufgesetzt, die ein konzernweites Governance-Konzept für Fahrzeugsicherheit darstellen. Dieses Konzept bildet die Grundlage für ein hohes Maß an Produktqualität und die Einhaltung von unter anderem gesetzlichen und behördlichen Vorschriften, internen Sicherheitsvorgaben sowie Verbraucherschutzanforderungen.

Hierzu zählt unter anderem die kontinuierliche Ausrichtung an hohen Sicherheitsstandards für die mechanischen, mechatronischen und elektronischen Systeme sowie die funktionale Sicherheit der Fahrzeuge. Daran anknüpfend sind eine Reihe von Managementsystemen über Konzernrichtlinien vorgegeben, die diese Sicherheitsstandards, geltende Normen sowie den Stand der Technik systematisch in Design, Entwicklung, Fertigung und Prüfung von Fahrzeugen in den Markengesellschaften verankern. Hierbei sind stets alle drei Level, gesetzliche Vorgaben, interne Sicherheitsvorgaben und Verbraucherschutzstandards adressiert. Dieses Kapitel stellt die Sicherheitsstrategie und Konzernrichtlinien vor.

Sicherheitsstrategie

Um die existierenden Systeme für Fahrzeugsicherheit noch stärker im strategischen Konzept des Volkswagen Konzerns zu verankern, gibt es eine konzernweite Sicherheitsstrategie, die vom Vorstand verabschiedet wurde.

Das Zielbild der Sicherheitsstrategie ist es, einen Beitrag für die Verkehrssicherheit weltweit zu leisten. Damit einher geht die Reduzierung von Schwerverletzten und Getöteten bei Unfällen mit Fahrzeugen der Marken des Volkswagen Konzerns. Zur Unfallverhütung (aktive Sicherheit) und zur Minderung von Unfallfolgen (passive/integrale Sicherheit) werden relevante aktuelle Sicherheitsthemen erarbeitet und entwickelt.

Die Sicherheitsstrategie zielt darauf ab, auf ein hohes Schutzniveau für Kundinnen und Kunden sowie weitere Unfallbeteiligte hinzuwirken. Dies wird durch die Anwendung moderner Technik erreicht. Dadurch wird dazu beigetragen, dass Verbraucherschutzanforderungen sowie interne und externe Sicherheitsanforderungen und gesetzliche Vorgaben mit dem gebündelten zur Verfügung stehenden Know-how adressiert und konzernübergreifend marktspezifisch umgesetzt werden. Tatsächliche und potenzielle negative Auswirkungen auf die Gesundheit und Sicherheit der Kundinnen und Kunden können zum Beispiel durch Mängel oder Qualitätsprobleme entstehen. Mit dem Erfüllen der adressierten Sicherheitsanforderungen wirkt der Volkswagen Konzern diesen Auswirkungen entgegen. So soll die Zahl der Getöteten und Schwerverletzten verringert und damit die tatsächliche und potenzielle positive Auswirkung erzielt werden.

Über die Sicherheitsentwicklungen in den Marken erfolgt die strategische Ausrichtung anhand der Sicherheitsstrategie. Diese wird unter anderem im Konzerngremium AKS verfolgt.

Ergeben sich Aktualisierungsbedarfe in der Sicherheitsstrategie, werden diese von den Leitungen der Sicherheitsentwicklung aus den Marken geprüft und die Strategie bei Bedarf entsprechend nachgeschärft.

Konzernrichtlinie Automotive Cyber Security Management System

Um der Gefahr eines unbefugten Zugriffs auf Fahrzeuge und deren digitalen Angebote, entgegenzuwirken, hat der Volkswagen Konzern über die Konzernrichtlinie Automotive Cyber Security Management System (ACSMS) Vorgaben über ein Automotive-Cyber-Security-Managementsystem erarbeitet. Damit wird der potenziellen negativen Auswirkung auf die Gesundheit und Sicherheit der Kundinnen und Kunden in Form von Manipulation digitaler Systeme entgegengewirkt. Durch gesetzliche Vorgaben, unter anderem aus der Regelung 155 Cybersicherheit und Cybersicherheitsmanagementsystem Sicherheitsregulierung (UN-R 155) der United Nations Economic Commission for Europe (UNECE), ergeben sich Anforderungen an die Fahrzeug- sowie Softwareentwicklungen, die ebenfalls große Auswirkungen auf die IT-Systeme haben.

Um das Risiko von Cyberangriffen auf Fahrzeuge auch in Zukunft zu steuern und um angemessen reagieren zu können, optimiert der Volkswagen Konzern die Automotive-Cyber-Security-Managementsysteme fortlaufend in allen Konzernmarken. Es existiert ein markenübergreifender Austausch, der sowohl prozessual als auch produktbezogen stattfindet. Dabei steht vor allem der Schutz der Kundinnen und Kunden im Fokus.

Ziel des ACSMS ist außerdem die Stärkung der automobilen Cybersicherheit über den Produktlebenszyklus eines Fahrzeugs und dessen digitalen Ökosystems. Mit der zunehmenden Digitalisierung des Fahrzeuges, Konnektivität und Share Mobility weist das Thema Cyber Security auch zunehmend einen Bezug zur Gesundheit und Sicherheit der Kundinnen und Kunden.

Das ACSMS legt in Form von Richtlinien und Kontrollmaßnahmen fest, wie die automobile Cybersicherheit aufgebaut und aufrechterhalten werden soll, um unberechtigten Zugriffen vorzubeugen. Die Wirksamkeit des ACSMS mit einer entsprechenden Zertifizierung wurde jeweils durch die für die Konzernmarken zuständigen Typgenehmigungsbehörden bestätigt. Vorausgegangen war jeweils ein externes Audit, welches die Einhaltung der UNECE-Regulierung UN-R 155 zum Gegenstand hatte. Innerhalb des Gültigkeitszeitraums werden jährliche Überwachungsaudits durchgeführt.

Die Richtlinie ACSMS gilt als Mindestanforderung für sämtliche kontrollierten Gesellschaften des Volkswagen Konzerns, welche Typgenehmigungen für Fahrzeuge erwirken, Schnittstellen beziehungsweise relevante Prozesse zu Gesellschaften haben, die Typgenehmigungen beantragen und/oder Teile des digitalen Ökosystems für diese Fahrzeuge entwickeln oder betreiben oder Software-Updates für Fahrzeuge bereitstellen und durchführen.

Für die Definition dieses Managementkonzepts ACSMS ist die Leitung Konzern Qualitätsmanagement, Digitalisierung und IT verantwortlich. Die oberste Leitung (Vorstand oder Geschäftsleitung) jeder relevanten Konzerngesellschaft ist für die Umsetzung verantwortlich.

Konzernrichtlinie Produktsicherheit und -konformität

Die Konzernrichtlinie Produktsicherheit und -konformität spielt insbesondere im Hinblick auf die Persönliche Sicherheit von Kundinnen und Kunden eine wichtige Rolle. Sie definiert konzernweit einheitliche Standards, um gesetzliche Verpflichtungen und unseren eigenen Anspruch in Bezug auf die Erfüllung der Produktverantwortung für in Verkehr gebrachte Produkte wahrzunehmen: Für Produkte sind die geltenden gesetzlichen und behördlichen Vorschriften sowie sonstige rechtlich verbindliche Standards einzuhalten, für die in Verkehr gebrachten Produkte ein System zur aktiven und passiven Produktbeobachtung vorzuhalten und etwaige Gefahren, die von solchen Produkten ausgehen könnten, im Rahmen des Möglichen und Zumutbaren abzuwehren.

Die Umsetzung der Konzernrichtlinie Produktsicherheit und -konformität obliegt den Volkswagen Konzerngesellschaften, die als verantwortliche Hersteller Fahrzeuge produzieren beziehungsweise herstellen lassen und in den Verkehr bringen. Im Volkswagen Konzern sind das die Markengesellschaften und Vollfunktionsgesellschaften beziehungsweise Co-Entrepreneure. Diese sind dafür verantwortlich, die Konzernrichtlinie in eigene Regelungen, zum Beispiel Organisationsrichtlinien, und Standards zu überführen und umzusetzen.

Die Verantwortung für die Sicherheit und Konformität der Produkte liegt bei den herstellenden Marken- und Vollfunktionsgesellschaften beziehungsweise Co-Entrepreneuren. Das Leitungsorgan der Markengesellschaft delegiert die Verantwortung zur rechtzeitigen Veranlassung von Maßnahmen, die gegebenenfalls erforderlich sind, um die Sicherheit und Konformität der in Verkehr gebrachten Produkte abzusichern, auf einen bei der Markengesellschaft eingerichteten oder einzurichtenden APS. Das Leitungsorgan oder die Geschäftsführung einer Vollfunktionsgesellschaft beziehungsweise des Co-Entrepreneurs delegiert diese Aufgaben über einen Dienstleistungsvertrag mit der Markenobergesellschaft seiner Marke auf den APS der entsprechenden Markengesellschaft.

Bekenntnis zu Menschenrechten

Die Achtung von Menschenrechten ist für den Volkswagen Konzern ein zentrales Anliegen. Wir sind der Überzeugung, dass nachhaltiges Wirtschaften nur durch ethisches und integres Handeln möglich ist. Im Rahmen unserer unternehmerischen Tätigkeit bekennen wir uns umfassend zu unserer Menschenrechtsverantwortung. Eine detaillierte Beschreibung der Menschenrechtsbekenntnisse erfolgt im Kapitel „Beschäftigte und Fremdarbeitskräfte“ unter „Managementkonzepte: Beschäftigte und Fremdarbeitskräfte“. Der Austausch mit Betroffenen findet über das Hinweisgebersystem und die Einleitung von Abhilfemaßnahmen statt. Eine detaillierte Beschreibung dessen erfolgt im Kapitel „Informationen zur Unternehmensführung“ unter „Hinweisgebersystem“.

VERFAHREN: EINBEZIEHUNG VON KUNDINNEN UND KUNDEN

Berücksichtigung von Aktivitäten der Verbraucherschutzorganisationen

Um die Interessen, Erfahrungen oder Perspektiven der Nutzer seiner Fahrzeuge kennenzulernen und zu berücksichtigen, arbeitet der Volkswagen Konzern auf Markenebene mit unterschiedlichen nationalen und internationalen Verbraucherschutzorganisationen als glaubwürdige Stellvertretende der Fahrzeugnutzerinnen und -nutzer zusammen. Die übergreifende Organisation zur Zusammenarbeit mit Verbraucherschutzbehörden und Industrievereinigungen zum Thema Sicherheit übernimmt der AKS. Die Kooperation findet zum Beispiel mit dem Insurance Institute for Highway Safety (IIHS), dem China Insurance Safety Index und den jeweiligen Landes- und Regionalverbänden des New Car Assessment Programs (NCAP) statt.

Für die Marke VW PKW ist beispielsweise geregelt, dass Kontaktpersonen oder Verbindungsbüros mit entsprechenden Ansprechpersonen für die Verbraucherschutzorganisationen implementiert sind. Die Verantwortung liegt bei dem oder der Global-Safety-Affairs-Verantwortlichen der Hauptabteilung Entwicklung Sicherheitssystem der Volkswagen AG. Die Erarbeitung resultierender Anforderungen erfolgt im Austausch aller Konzernmarken über den AKS. So wird darauf hingewirkt, dass alle vorhandenen Informationen im Volkswagen Konzern bekannt sind. Neuerungen beziehungsweise Änderungen im Ratingverfahren werden im AKS erarbeitet und berichtet.

Die jeweiligen NCAPs veröffentlichen im Zuge der kontinuierlichen Anpassung ihrer Standards regelmäßige Aktualisierungen in Form von sogenannten Roadmaps. Die Updates werden über Industriemeetings, Veröffentlichungen auf Homepages oder Mitteilungen über E-Mails kommuniziert. Der Austausch und die Treffen mit den Verbraucherschutzorganisationen finden themen- und projektbezogen statt. Die Regelmäßigkeit ist dabei abhängig von der Roadmap des jeweiligen NCAPs. Die Informationen und Anforderungen der NCAPs sind Bestandteil der Sicherheitsstrategie und finden Anwendung in der Produktentwicklung. Diese Prozesse werden unter „Verfahren: Abhilfeprozesse und Meldekanäle“ beschrieben.

Die Wirksamkeit der Zusammenarbeit ist durch den Erhalt der Fahrzeugbewertungen durch Verbraucherschutzorganisationen, zum Beispiel der NCAP-Sternebewertung, nachweisbar.

Zusammenarbeit im Rahmen der Abhilfeprozesse

Zwei weitere Austauschformate mit Kundinnen und Kunden, die von einem sicherheitsrelevanten Sachverhalt oder einer Cyber-Security-Lücke betroffen sind, existieren im Rahmen der passiven Produktbeobachtung und im notwendigen Falle durch Sachverhaltsaufklärung und Maßnahmenumsetzung. Der Abhilfeprozess einschließlich Austauschformate für beide Prozesse wird unter „Verfahren: Abhilfeprozesse und Meldekanäle“ beschrieben.

VERFAHREN: ABHILFEPROZESSE UND MELDEKANÄLE

Abhilfeprozess für sicherheitsrelevante Sachverhalte

Ergeben sich aus der passiven oder aktiven Produktbeobachtung Hinweise auf einen sicherheitsrelevanter Sachverhalt, so wird dieser in den Fachbereichen (zum Beispiel Technische Entwicklung, Produktion) analysiert. Dabei werden Aspekte wie die Häufigkeit des Auftretens, die Schadensursache, die Bauteilbetroffenheit und die Betroffenheit anderer Modelle im Konzern berücksichtigt.

Bestätigt sich die Sicherheitsrelevanz, ist nach den im Konzern geltenden Vorgaben der APS einzuschalten, der über die erforderlichen und zweckmäßigen Maßnahmen bezüglich der Sicherheit und Konformität der in Verkehr gebrachten Produkte entscheidet. Dabei kann es sich beispielsweise um die Entscheidung zur Durchführung eines Rückrufs, eine Servicemaßnahme in der Werkstatt, erweiterte Garantieleistungen oder einen Auslieferungsstopp handeln.

Die Umsetzung der im APS entschiedenen Maßnahmen wird durch die Abteilung Produktsicherheit initiiert und koordiniert. Zu den wesentlichen Aufgaben dieser Abteilung gehören die Identifikation der betroffenen Fahrzeuge, die Erstellung und Abstimmung von Arbeitsanleitungen, die Beauftragung der Bevorratung von Ersatzteilen sowie die Festlegung des Starttermins der Maßnahme.

Die operative Verantwortung für die Umsetzung hängt von der Art der entschiedenen Maßnahmen ab. In den meisten Fällen handelt es sich hierbei um Maßnahmen im Feld, die von den Handelsorganisationen und deren Partnerbetrieben umgesetzt werden. Die Betreuung und das Controlling der Umsetzung erfolgen durch die Importeure. Die Effektivität der Umsetzung wird durch die aktive und passive Produktbeobachtung erfasst. Zudem erfolgt ein Monitoring anhand der Umsetzungsquote der Maßnahmen.

Die im APS beschlossenen Aufträge und Maßnahmen sind für alle Bereiche, einschließlich der von einem Vorgang gegebenenfalls betroffenen Gesellschaften, verbindlich. Die Überwachung der fristgerechten Umsetzung der vom APS beschlossenen Aufträge und Maßnahmen erfolgt durch die APS-Geschäftsstelle. Bei Bedarf berichtet die APS-Geschäftsstelle an den APS zum Stand der Abwicklung.

Austauschformate

Ein Austausch mit Kundinnen und Kunden erfolgt an unterschiedlichen Stellen des Prozesses. Über die passive Produktbeobachtung werden zum Beispiel Kundenbeschwerden beim Fahrzeughändler oder in der Werkstatt, auf Social Media oder in Forenbeiträgen sowie Eingänge über die Kundenhotline und Kundenbetreuung der jeweiligen Marken bei der Sachverhaltsklärung berücksichtigt. Die Verantwortung für die Kommunikation mit den Kundinnen und Kunden liegt während des gesamten Prozesses bei den jeweiligen Fachbereichen, zum Beispiel des After Sales, des Marketings und der Kommunikation.

Ein weiterer Austausch kann bei Umsetzung einer Abhilfemaßnahme im Markt stattfinden. Werden Maßnahmen vom APS entschieden, sind die Importeure zur Umsetzung der Maßnahmen über ihre Partnerbetriebe nach dem Importeursvertrag verpflichtet. Die betroffenen Fahrzeughaltenden werden bei diesem Prozess über die notwendigen Schritte zu Beseitigung der potenziellen Sicherheitsthemen informiert (zum Beispiel über den Postweg oder direkte Ansprache beim Werkstattbesuch). Das kann zum Beispiel den Austausch eines fehlerhaften Bauteils in der Werkstatt umfassen.

Abhilfeprozess für Cyber-Security-Sachverhalte

Kundinnen und Kunden können sich mit ihren Anliegen aus dem Bereich Cyber Security an die Autohäuser wenden. Die Autohäuser nehmen die Beanstandungen auf und leiten diese im Bedarfsfall über den Importeur an den Hersteller weiter. Auf der Seite des Herstellers sind Prozesse etabliert, die die Beanstandungen an das jeweilige Incident-Management weiterleiten. Sollten dort Abstellmaßnahmen entschieden und eingeleitet werden, greifen für Feldmaßnahmen die beschriebenen Abhilfeprozesse im Rahmen des APS. Bei Änderungen am Produkt greifen die Standardmaßnahmen aus den Entwicklungsprozessen, wie Tests und qualitätssichernde Maßnahmen. Es sind Überprüfungen etabliert, um zu überwachen, inwiefern die Fälle innerhalb der Supportstruktur korrekt bearbeitet worden sind. Anhand dieser Analysen können Anpassungen an den Prozessen und der Supportstruktur durchgeführt werden.

Es sind Awareness-Maßnahmen und Schulungen für Importeure und Autohäuser etabliert, sodass die dortigen Beschäftigten geschult sind, um entsprechend reagieren zu können. Dies geschieht unter anderem anhand von Beispielfällen, mit Hilfe derer die dortigen Beschäftigten das Vorgehen besser nachvollziehen können.

Austauschformat

Über den eingerichteten Security-Kontakt haben Kundinnen und Kunden sowie Sicherheitsforscherinnen und Sicherheitsforscher (beispielweise Nichtregierungsorganisationen oder Privatpersonen) die Möglichkeit, Verdachtsfälle zu Security-Schwachstellen unter https://www.volkswagen.de/de/mehr/rechtliches/kontakt-cyber-security.html zu melden. Kundinnen und Kunden können darüber hinaus Meldungen über ihre Autohäuser und die Kundensupport-Hotline abgeben. Ein solcher Vorgang wird über die etablierte Supportstruktur an das jeweilige Incident-Management weitergeleitet, analysiert und entsprechend mit Maßnahmen belegt. Sofern konkrete APS Maßnahmen getroffen werden müssen, werden die betroffenen Fahrzeughalter über die notwendigen Schritte zur Beseitigung der potenziellen Sicherheitsthemen informiert. Das kann zum Beispiel ein Software-Update sein. Das Ziel der Zusammenarbeit ist, Schwachstellen in den Produkten bezüglich Cyber Security frühzeitig zu erkennen und Maßnahmen zuzuleiten, um ein Ausnutzen der Schwachstelle durch Dritte zu vermeiden. Die operative Verantwortung für den Car-Security-Incident-Prozess (CSI) liegt innerhalb der Qualitätssicherung der jeweiligen Marke. Die Kundeninteraktion erfolgt über die zuständigen Abteilungen, zum Beispiel Customer Experience oder After Sales.

Meldekanäle

Das Hinweisgebersystem kann ebenfalls genutzt werden, um Verstöße gegen Produktsicherheits- und Zulassungsvorschriften zu melden. Sicherheitsrelevante Hinweise werden in die beschriebenen Abhilfeprozesse überführt. Die Verfügbarkeit des Hinweisgebersystems und der Schutz von Hinweisgebenden sind im Kapitel „Informationen zur Unternehmensführung“ näher beschrieben.

Für Beschwerden beziehungsweise Rückmeldungen zu Fahrzeugen und Dienstleistungen des Volkswagen Konzerns können sich Kundinnen und Kunden via E-Mail oder Telefonhotline an uns wenden. Die Webseiten der jeweiligen Marken führen Kontaktwege auf, die es Kundinnen und Kunden ermöglichen, ihre Anliegen direkt zu platzieren. Im Rahmen dessen ist jede Marke für die Überprüfung der Wirksamkeit ihrer Kanäle selbst zuständig.

Im Bereich Cyber Security strebt der Volkswagen Konzern an, relevante Security-Schwachstellen zu identifizieren und entsprechend zu bearbeiten. In diesem Zusammenhang nimmt er Hinweise seiner Kundinnen und Kunden sowie Sicherheitsforscherinnen und -forscher entgegen. Sollten Kundinnen und Kunden Hinweise auf eine Security-Schwachstelle in den Produkten entdeckt haben, können sie diese direkt über die Kanäle der jeweiligen Marken kommunizieren. Im Rahmen der in den Marken etablierten Klärungsprozesse wird den Hinweisen dann in den Marken nachgegangen.

  • vulnerability@volkswagen.de (Volkswagen PKW und Volkswagen Nutzfahrzeuge)
  • vulnerability@audi.de (Audi)
  • security@skoda-auto.cz (Škoda)
  • vulnerability@seat.es (SEAT)
  • security@porsche.de (Porsche)

Die an die Meldekanäle der Marken vorgebrachten sicherheitsrelevanten Beanstandungen der Kundinnen und Kunden werden von den Marken verfolgt und überwacht. Im Rahmen dessen ist jede Marke für die Überprüfung der Wirksamkeit ihrer Kanäle selbst zuständig.

Eine Überprüfung dessen, ob Kundinnen und Kunden die Kundenportale kennen, ihnen trauen und vor Repressalien geschützt sind, findet daher auf Konzernebene nicht statt.

MASSNAHMEN: PERSÖNLICHE SICHERHEIT VON KUNDINNEN UND KUNDEN

Zusätzlich zu den vorgestellten Richtlinien und der Sicherheitsstrategie ergreift der Volkswagen Konzern Maßnahmen, um dazu beizutragen, dass die Fahrzeuge auf dem aktuellen Stand der Sicherheitstechnik sind, insbesondere in Bezug auf Unfallvermeidung und Unfallfolgenabmilderung. Zu diesen Maßnahmen zählen die Forschungsaktivitäten zur Fahrzeugsicherheit, die Erarbeitung von sicherheitsrelevanten Themen, unter anderem über die Arbeitskreisstruktur des AKS, und die Integration der Inhalte in die Projekte im Verlauf des Produktentwicklungsprozesses (PEP). Durch die Zusammenarbeit mit den regionalen Verbraucherschutzorganisationen verpflichtet sich der Volkswagen Konzern zu Sicherheitsstandards. So wird die tatsächliche und potenzielle positive Auswirkung auf die Sicherheitsstandards für Fahrzeugsicherheit bewirkt, die durch Unfallvermeidung und Unfallabmilderung Einfluss auf die Gesundheit unserer Kundinnen und Kunden nehmen kann. Im Sinne der ESRS versteht der Volkswagen Konzern diejenigen Maßnahmen, die zur Einhaltung der Sicherheitsvorgaben beitragen, als Maßnahmen, die zur Verhinderung, Milderung und Behebung potenzieller und tatsächlicher negativen Auswirkungen seiner Produkte beitragen. Diejenigen Maßnahmen, die dazu beitragen, Sicherheitsstandards über die gesetzlichen Mindestanforderungen hinaus umzusetzen, werden als Maßnahmen mit einem positiven Beitrag auf die Fahrzeugsicherheit angesehen. Die Mitarbeit in Verbraucherschutzorganisationen und die erhöhten internen Sicherheitsvorgaben des Volkswagen Konzerns führen zur Erhöhung der generellen Sicherheitsstandards von Fahrzeugen und können somit zu mehr Verkehrssicherheit beitragen. Der Volkswagen Konzern bewegt sich in Fragen der Fahrzeugsicherheit mindestens auf dem Level geltenden Rechts. Somit gibt es keine internen Prozesse, die mit der Erfüllung dieser Vorgaben in Konflikt stehen.

Da es dennoch zu Sicherheitslücken kommen kann, gibt es eine Reihe an Maßnahmen, die für bereits in Verkehr gebrachte Fahrzeuge greifen und im Fall eines Sicherheitsrisikos zu Abhilfe führen. So wird der potenziellen und tatsächlichen negativen Auswirkung auf die Gesundheit und Sicherheit von Kundinnen und Kunden entgegengewirkt, die durch Sicherheitslücken entsteht und entstehen können. Im Fall von Cyber-Security-Themen besteht die Möglichkeit zur Zusammenarbeit mit Kundinnen und Kunden sowie Sicherheitsforscherinnen und -forschern, die potenzielle Sicherheitslücken melden können. Diese werden innerhalb des CSI-Prozesses bewertet und bei entsprechender Notwendigkeit geschlossen. Als Ergebnis des Lessons-Learned-Prozesses kann die Klärung eines Sachverhaltes neben der Abhilfemaßnahme auch Auswirkungen auf die Strategie, das ACSMS oder die Produktentwicklung haben. Das Incident-Management hat eine Prozessschnittstelle zur Produktentwicklung, worüber Lessons Learned mit Relevanz für die Entwicklung zukünftiger Produkte direkt integriert werden. Der Austausch findet im Kontext der Auswertung anlassbezogen statt. Mittels aktiver und passiver Produktbeobachtung werden bereits in Verkehr gebrachte Fahrzeuge auf zuvor unerkennbare Produktrisiken überwacht. Der APS ist dafür verantwortlich, über für die Sicherheit und Konformität der in Verkehr gebrachten Produkte gegebenenfalls erforderliche Maßnahmen zu entscheiden. Die APS-Mitglieder informieren ihre jeweiligen Geschäftsbereiche eigenverantwortlich über die Tätigkeit des APS sowie über die aus den Vorgängen gegebenenfalls für den jeweiligen Geschäftsbereich gewonnenen Erkenntnisse (Lessons Learned). Über den Lessons-Learned-Prozess ist ein Rückfluss der gewonnenen Erkenntnisse in die vorgelagerten Prozesse (zum Beispiel Entwicklung neuer Produkte) möglich, sodass der gesamte Prozess kontinuierlich verbessert wird.

Für die Umsetzung und Definition von Maßnahmen im Themenfeld Fahrzeugsicherheit und Cyber Security sind im Volkswagen Konzern das Konzerngremium AKS sowie ACSMS und APS zuständig, die durch ihre personellen Ressourcen kontinuierlich auf die wesentlichen Auswirkungen auf die Kundinnen und Kunden positiven Einfluss nehmen. Teils obliegt die Umsetzung auch den Marken. Es ist geplant, alle beschriebenen Maßnahmen in der Zukunft beizubehalten.

Maßnahmen im Rahmen der Sicherheitsstrategie

Die folgenden Maßnahmen im Rahmen der Sicherheitsstrategie tragen dazu bei, negative wie positive Auswirkungen auf die Sicherheit unserer Kundinnen und Kunden im Bereich Produktentwicklung zu steuern. In diesem Kontext findet eine Zusammenarbeit mit unter anderem Verbraucherschutzorganisationen, Lieferanten, Forschungseinrichtungen und weiteren relevanten Stakeholdern in der Fahrzeugsicherheit statt und erfolgt eine Zusammenarbeit von weiteren unternehmensinternen Stakeholdern wie der Technischen Entwicklung, der Qualitätssicherung, dem Rechtswesen, et cetera.

Arbeitskreis Sicherheitssystem

Das konzernübergreifende Gremium Arbeitskreis Sicherheitssystem (AKS) befasst sich mit der Koordination und Festlegung von den in der Sicherheitsstrategie festgelegten markenübergreifenden Sicherheitsanforderungen. Das Gremium setzt sich aus Vertretungen der Entwicklung Sicherheitssystem der Marken- sowie Agenda-bezogenen variierenden Teilnehmenden zusammen. Insbesondere befasst sich das Gremium mit folgenden Themen und Aufgaben:

  • Definition und Abstimmung der Sicherheitsanforderungen zu allen Themen der integralen Sicherheit (beinhaltet: aktive und passive Sicherheit sowie Pre- und Post-Crash) sowie deren Zuweisung zu thematischen Schnittstellenbereichen und verantwortlichen Organisationseinheiten der Entwicklung in den Marken
  • Synchronisierung zu Themen von Verbraucherschutzorganisationen, wie zum Beispiel
  • die Positionierung bei neuen Anforderungen oder die Erarbeitung sowie Abstimmung zu neuen Verbraucherschutzanforderungen
  • Identifikation und Koordination von Vorentwicklungen, Komponenten- und Funktionsentwicklungen weltweit
  • Koordination und Verfolgung von Forschungsaktivitäten zu allen Themen der integralen Sicherheit

Die quartalsweisen Treffen im Jahr und die darüber erarbeiteten Inhalte sind eine zentrale Maßnahme in der Umsetzung der Sicherheitsstrategie. Da es sich um die Erarbeitung von externen und internen Sicherheitsvorgaben sowie Verbraucherschutzvorgaben handelt, wirkt sich diese auf die Fahrzeugsicherheit aus.

Die Bearbeitung aktueller sicherheitsrelevanter Themen erfolgt in den einzelnen themenbezogenen Arbeitskreisen sowie der Querschnitt-Arbeitsgruppe, die sich ebenfalls aus Vertretungen der Produktentwicklung der unterschiedlichen Marken zusammensetzen. Themen können entweder von den Arbeitskreisen proaktiv erarbeitet und in die Agenda des AKS eingebracht werden, oder sie werden vom zentralen Team des AKS beauftragt. Anlässe für die Untersuchung von Themen können zum Beispiel erneute Prüfungen von Rating-relevanten Themen, die Untersuchung der Auswirkung gesetzlicher Änderungen, Tests von neuen Sicherheitstechnologien oder themenbezogene Wettbewerbsanalysen sein. Insgesamt gibt es 19 verschiedene Arbeitskreise und Querschnitt-Arbeitsgruppen, die sich jeweils mit verschiedenen Sicherheitsbereichen, wie zum Beispiel Kindersicherheit, Fußgängerschutz, E-Mobilität oder Airbags, beschäftigen und drei- bis viermal im Jahr zusammenkommen, um diese Themen zu erarbeiten.

Erfüllung und Umsetzung der Sicherheitsziele

Die Umsetzung der Sicherheitsziele (intern, extern und durch den Verbraucherschutz vorgegeben) integriert sich in den Produktentwicklungsprozess (PEP). Im Rahmen des PEP gibt es Prozesse, um die Ableitung und Erstellung der Sicherheitsziele zu definieren und somit die Sicherheitsstrategie in das Produkt zu überführen. Die notwendigen Sicherheitsmaßnahmen bei der Entwicklung eines neuen Modells werden unter anderem in Form einer technischen Produktbeschreibung festgeschrieben und zur Umsetzung in den Produkten kommuniziert.

In diesem Kontext ist ein wesentlicher Schritt des PEP die Erstellung einer technischen Produktbeschreibung. Hier wird systematisch erfasst, welche gesetzlichen, internen und Verbraucherschutzziele erfüllt werden sollen. In dem Dokument wird entsprechend der zu erfüllenden Anforderungen festgelegt, welche aktiven und passiven Sicherheitstechnologien in einem Modell verbaut werden müssen.

Der PEP ist eine Empfehlung des Volkswagen Konzerns, der unter Berücksichtigung der rechtlichen und organisatorischen Besonderheiten der jeweiligen Gesellschaft entsprechend anzupassen und durch Einbindung in das jeweilige Qualitätsmanagementsystem umzusetzen ist.

Konzernunfallforschung

Die Konzernunfallforschung hat genau wie die Hauptabteilung Entwicklung Sicherheitssystem das Leitbild eines Verkehrssystems ohne Schwerverletzte oder Getötete in den Grenzen der technischen Machbarkeit. Forschungsthemen, die diesem Leitbild zuträglich sind, werden bearbeitet.

Aktiv wird dazu an unterschiedlichen Themen geforscht. Zu nennen sind die Themen der Sicherheit für Menschengruppen mit unterschiedlichen Eigenschaften (beispielsweise Sicherheit verschiedener Gewichtstypen, Größen, diverser Altersspezifika) sowie die Kompatibilität zwischen Unfallgegnern (beispielsweise Fahrzeug gegen Fußgänger, schwerer Sport Utility Vehicle (SUV) gegen leichtes Stadtauto), um bestehende Forschungsergebnisse einordnen und Ableitungen vornehmen zu können.

Die Themen werden aktiv von den Entwicklungsabteilungen der Konzerngesellschaften bei der Konzernunfallforschung angefragt oder proaktiv von der Konzernunfallforschung vorgeschlagen. Oft werden konkrete Fragestellungen zu Themen, die der Sicherheitsentwicklung schon bekannt sind, an die Unfallforschung herangetragen. Diese werden daraufhin entsprechend wissenschaftlicher Standards beantwortet. Die Konzernunfallforschung ist als Konzernstelle markenübergreifend tätig.

Maßnahme im Rahmen der Konzernrichtlinie Automotive Cyber Security Management System

Car-Security-Incident-Prozess

Der CSI-Prozess soll darauf hinwirken, dass die Ursache für einen Fahrzeugsicherheitsvorfall identifiziert, fachlich bewertet und durch die Umsetzung geeigneter Maßnahmen behoben wird. Zu den Grundsätzen unseres Automotive-Cyber-Security-Managementsystems zählt unter anderem, Fahrzeuge und deren digitales Ökosystem über ihren Lebenszyklus auf Cyberbedrohungen hin zu überprüfen und zu überwachen. Weiterhin ist eine adäquate Risikobewertung von Cyber-Security-Risiken aufrechtzuerhalten sowie für die Erkennung von und die Reaktionsfähigkeit auf Cyber-Security-Vorfälle zu sorgen. Diese Grundsätze münden in den in allen Marken wirkenden CSI-Prozess. Über interne (zum Beispiel technische Entwicklung) und externe Quellen (Internet, Melder), die kontinuierlich betrachtet werden, erlangt das Unternehmen Kenntnis über potenzielle Vorfälle. Der Prozess dient auch als Treiber und Koordinator zwischen den unterstützenden Bereichen, um die Schwachstelle zu analysieren und geeignete Maßnahmen zuzuführen. Risikoabschätzungen werden getroffen sowie Reaktionspläne erstellt und verfolgt. Sollte die Notwendigkeit einer Feldaktion erkannt werden, wird der Vorgang an den zuständigen APS übergeben. Zur Unterstützung der Umsetzung des Prozesses wurden Methoden zur Erkennung, Nachverfolgung und Nachbereitung entwickelt sowie Entscheidungs- und Kontrollgremien etabliert. Der Prozess ist vollständig implementiert und wird durchgängig umgesetzt.

Der Fokus der Maßnahme liegt auf Produkten, die bereits in Verkehr gebracht wurden und gilt für alle Märkte, in denen die Produkte des Volkswagen Konzerns vertrieben werden. Die Ausführung des CSI ist ereignisorientiert bei Vorfällen und Meldungen. Das Monitoring von Schwachstellen hingegen stellt einen kontinuierlichen Prozess dar. Mit diesem Vorgehen soll dazu beigetragen werden, dass möglichst keine Schwachstelle, die Produkte des Volkswagen Konzerns betrifft, unerkannt bleibt.

Unter „Verfahren: Abhilfeprozesse und Meldekanäle“ werden die Prozesse hin zu einer Abhilfemaßnahme in weiterem Detail ausgeführt.

Maßnahme im Rahmen der Konzernrichtlinie Produktsicherheit und -konformität

Produktbeobachtung

Der Volkswagen Konzern hat ein umfassendes Produktbeobachtungssystem implementiert, das von den zuständigen Organisationseinheiten nach den festgelegten Vorgaben betrieben wird. Diese Maßnahme umfasst sowohl aktive als auch passive Produktbeobachtung, um die Sicherheit und Konformität der in Verkehr gebrachten Produkte zu gewährleisten.

Die aktive Produktbeobachtung beinhaltet die regelmäßige und selbsttätige Erfassung und Auswertung von Daten und Informationen im Zusammenhang mit möglicherweise sicherheitsrelevanten Sachverhalten. Dies erfolgt mit der Durchführung angemessener Prüfmaßnahmen wie Stichproben, der Analyse fahrzeugbezogener Massendaten, dem Monitoring von Fachpresse und Internet, einschließlich Social Media, sowie durch Meldungen von Marktüberwachungsbehörden.

Die passive Produktbeobachtung umfasst die systematische Erfassung möglicherweise sicherheitsrelevanter Sachverhalte, wie zum Beispiel Hinweise auf eine Gefahr für Leib und Leben, Gesundheit oder das Eigentum von Personen, durch Einzelfallmeldungen, Meldungen von Importeuren und Händlern, Kundenreklamationen, Beanstandungen von Behörden sowie Unfallnachrichten.

Das Ziel dieser Maßnahmen ist es, mögliche Sicherheitsrisiken in Verkehr gebrachter Fahrzeuge frühzeitig zu erkennen. Sobald sicherheitsrelevante Sachverhalte vorliegen, werden die erfassten Daten und Informationen unverzüglich einer näheren technischen Analyse sowie gegebenenfalls einer Risikobewertung unterzogen. Auf Basis des ermittelten Sachverhaltes werden Maßnahmen getroffen, die dem Schutz der Personen dienen, die mit dem Produkt in Berührung kommen.

Die Wahrnehmung dieser Produktbeobachtungsverantwortung erfolgt durch eine oder mehrere vom Leitungsorgan der jeweiligen Gesellschaft des Volkswagen Konzerns bestimmte Organisationseinheit(en). Der Umfang der Produktbeobachtung sowie der Umfang der daraus abgeleiteten Maßnahmen richten sich insbesondere nach dem Grad des Gefahrenrisikos. Dabei bedürfen Kraftfahrzeuge und ihre Ersatzteile sowie Zubehör aufgrund ihres erhöhten Gefahrenpotenzials einer intensiveren und umfangreicheren Beobachtung als andere Produkte.

ZIELE: PERSÖNLICHE SICHERHEIT VON KUNDINNEN UND KUNDEN

In Bezug auf Fahrzeugsicherheit sind keine messbaren ergebnisorientierten Ziele im Sinne der ESRS festgelegt.

Die Effektivität der Managementkonzepte und Maßnahmen in Bezug auf die im Rahmen der diesjährig erstmals durchgeführten doppelten Wesentlichkeitsanalyse identifizierten positiven und negativen Auswirkungen werden aktuell nicht nachverfolgt.

Gleichwohl tragen die vorgestellten Managementkonzepte und Maßnahmen in Summe dazu bei, einen Beitrag für die Verkehrssicherheit der Kundinnen und Kunden zu leisten. Damit verfolgt der Volkswagen Konzern sein Zielbild der Sicherheitsstrategie. Zur Ermittlung der Wirksamkeit sind die folgenden Maßnahmen und Prozesse etabliert.

Produktentwicklung

Die Effektivität und das Ambitionslevel werden durch das Einhalten von internen und externen Sicherheitsvorgaben sowie durch das Verfolgen von Fahrzeugbewertungen durch Verbraucherschutzorganisationen, zum Beispiel der Euro NCAP Sternebewertung, nachverfolgt. Die Technische Produktbeschreibung legt in der Entwicklung eines Modells Zielvorgaben für die Sicherheitsstandards fest. Die Produktentwicklung richtet sich unter anderem nach diesen Zielen aus.

Konzernunfallforschung

Die Wirksamkeit der Sicherheitstechnologien wird zum einen über eine 24/7-Rufbereitschaft ermittelt, mittels derer in den Bundesländern Niedersachsen und Sachsen-Anhalt Unfälle erhoben werden. Dazu besteht eine enge Kooperation mit den Ministerien für Inneres und Sport der beiden Länder und der jeweiligen nachgeschalteten Landespolizei. Zum einen werden verunfallte Fahrzeuge durch die Unfallforschung genau begutachtet und Sicherheitstechnologien auf ihre Wirksamkeit hin untersucht. Zum anderen werden Unfallforschungsdaten, wie zum Beispiel die Unfallstatistiken unterschiedlicher Länder und Unfalldatenbanken, unter anderem die German In-Depth Accident Study (GIDAS)-Datenbank, gesichtet und ausgewertet. Sowohl positives Feedback, zum Beispiel wenn Maßnahmen den gewünschten Erfolg zeigen, als auch negatives Feedback, in Form von Verbesserungsideen, werden dabei in regelmäßigen Abständen bewertet. Die Ergebnisse werden sowohl in den entsprechenden Abteilungen als auch im AKS und dem speziell eingerichteten Unfallforschungstag kommuniziert.

Car-Security-Incident-Prozess

Im Rahmen einer Wirksamkeitsprüfung wird abgefragt, ob die Maßnahmen auch bei den relevanten Stellen, wie beispielsweise der technischen Entwicklung, angekommen sind und Eingang in die Fahrzeugproduktion gefunden haben. Im Anschluss an die Abarbeitung eines Vorfalls durchlaufen die CSI-Gremien bedarfsweise einen Lessons-Learned-Prozess, um den CSI-Prozess ebenfalls zu überprüfen.

Rating
Systematische Bewertung von Unternehmen im Hinblick auf ihre Bonität. Das Rating wird durch Bewertungsstufen ausgedrückt, die die verschiedenen Rating-Agenturen unterschiedlich definieren.
Glossar anzeigen
Weiterführende Links