Ein Überblick über die FTC Safeguards Rule

Autohäuser sind nahezu unwiderstehliche Ziele für Cyberkriminelle. Die enorme Menge an Verbraucherdaten, die in Händlerverwaltungssystemen gesammelt, verarbeitet und gespeichert werden – Sozialversicherungsnummern, Adressen, Kreditbewertungen und Finanzierungsinformationen – ist ein Datenschatz für Übeltäter und Identitätsdiebe. Die Federal Trade Commission berichtete kürzlich 2021 von mehr als 70.000 Fällen von Identitätsdiebstahl im Zusammenhang mit Autokrediten und -leasing. 

Die neuen Standards der FTC zum Schutz von Kundeninformationen (genannt die Safeguards Rule) sind eine Reihe von Daten- und Informationssicherheitsanforderungen, die zum Schutz von Verbraucher- und persönlichen Daten entwickelt wurden. Jedes Finanzinstitut, das der Zuständigkeit der FTC unterliegt und nicht einem anderen Regulierer nach dem Gramm-Leach-Bailey-Gesetz untersteht, muss die FTC Safeguards Rule einhalten, einschließlich Autohäusern. 

Die Ankündigung der FTC Safeguards Rule hat viele Autohäuser dazu gebracht, ihre Anforderungen zu verstehen und Sicherheitsmaßnahmen vor der drohenden Compliance-Frist im Juni umzusetzen. Anstatt die Regeln als weitere regulatorische Hürden zu betrachten, sollten Autohäuser diese neuen Anforderungen sowohl als kurzfristigen als auch als langfristigen Vorteil für ihr Geschäft und ihre Kunden betrachten. Die FTC Safeguards Rule bietet Autohäusern eine verlockende Gelegenheit, ihre Geschäfte zu optimieren und die Grundlage für signifikantes Geschäftswachstum zu schaffen.

Ein Überblick über die FTC Safeguards Rule

Die FTC Safeguards Rule, die ab dem 9. Juni 2023 vollständig für Autohäuser gilt, verlangt von Autohäusern, geeignete Maßnahmen zu ergreifen, um die Sicherheit der Kundendaten zu gewährleisten, einschließlich Informationen wie Sozialversicherungsnummern, Adressen und Führerscheindaten. 

Autohäuser müssen angemessene Sicherheitsverfahren einrichten, um persönliche Informationen, die sich in ihrem Besitz befinden, vor unbefugtem Zugriff, Nutzung oder Offenlegung sowie vor unbefugter Zerstörung oder versehentlichem Verlust zu schützen.

Die FTC Safeguards Rule besteht aus vier Hauptkomponenten:

1. Datensicherheitsanforderungen: Autohäuser müssen angemessene Sicherheitsmaßnahmen zum Schutz der Daten implementieren und diese Maßnahmen fortlaufend aufrechterhalten. Insbesondere müssen sie schriftliche Richtlinien und Verfahren haben, die die Sicherheit der Kundendaten betreffen, und Mitarbeiter mit Zugang zu Kundendaten anweisen, Maßnahmen zum Schutz der Daten zu ergreifen. Diese Richtlinien und Verfahren sollten enthalten:

• Datenschutzrichtlinie und -praktiken, einschließlich wo persönliche Informationen gesammelt und gespeichert werden, wer darauf zugreifen kann, wie lange sie aufbewahrt werden und wie Verbraucher auf ihre persönlichen Informationen zugreifen oder Korrekturen verlangen können
• Verfahren zum Schutz von Kundendaten vor unbefugtem Zugriff, d.h. Datenverschlüsselung
• Verfahren zur Erkennung von Sicherheitsvorfällen
• Verfahren zur angemessenen Reaktion im Falle eines Sicherheitsvorfalls

2. Schulung zu Sicherheit und Datenschutz für alle Mitarbeiter mit Zugang zu Kundendaten: Das Personal muss über bewährte Verfahren zur Sicherung sensibler Daten informiert werden und sich der häufigsten Bedrohungen bewusst sein.

3. Jährliche Bewertungen der Effektivität dieser Richtlinien und Verfahren: Autohäuser sind dafür verantwortlich, sicherzustellen, dass die eingeführten Schutzmaßnahmen weiterhin wie vorgesehen funktionieren, um das Risiko zu verringern.

4. Benachrichtigungspflichten: Wenn ein Autohaus einen Verstoß gegen Verbraucherinformationen erfährt — das bedeutet, dass es zu einem unbefugten Zugriff oder einer unbefugten Offenlegung von Verbraucherdaten kommt —, muss es die betroffenen Verbraucher innerhalb von 30 Tagen benachrichtigen, es sei denn, es hat sie bereits über einen früheren, verwandten Verstoß informiert.

5 Vorteile der Einhaltung der FTC-Sicherheitsvorschriften für Autohäuser

Obwohl es für Autohäuser einfach wäre, die Sicherheitsvorschriften als bloße Pflichtaufgaben zur Erfüllung der Anforderungen der FTC zu betrachten, bietet die Einhaltung dieser Vorschriften den Autohäusern überzeugende Vorteile. Ein robustes Sicherheits- und Compliance-Programm wirkt sich positiv auf nahezu jeden Aspekt des Unternehmens aus, von der Stärkung des Kundenvertrauens und der Kundenbindung bis hin zur Straffung der Abläufe und der Risikominimierung.

1. Reduzierung des Risikos durch Aufbau einer reifen Sicherheits- und Datenschutzhaltung

Autohäuser werden durchschnittlich von 153 Viren und 84 bösartigen Spam-E-Mails pro Tag angegriffen. Es braucht nur einen, um eine potenziell verheerende Datenpanne zu verursachen.

Zu viele Autohäuser haben nicht die richtigen Kontrollen und Ausgleiche, die mit einem formellen Sicherheits- und Datenschutzprogramm einhergehen. Sicherheitsrisiken sind überall und werden immer häufiger. Mit der Zunahme der Angriffe an Volumen, Komplexität und Schwere müssen Autohäuser sich für eine größere Reife ihrer Datenschutz- und Sicherheitsprogramme verpflichten.

Die FTC-Sicherheitsvorschriften bieten wertvolle Leitlinien für Autohäuser zur Übernahme von Sicherheits- und Datenschutz-Best Practices, einschließlich formeller Risiko- und Änderungsmanagementprozesse, eines Reaktionsplans für Zwischenfälle und Zugangskontrollen, neben anderen grundlegenden Sicherheitskontrollen. Insgesamt hilft eine reife Sicherheits- und Datenschutzhaltung Autohäusern, finanzielle, rechtliche, regulatorische und Reputationsrisiken in ihrem Geschäft zu reduzieren.

2. Verbesserung der Betriebseffizienz

Die Reduzierung des Organisationsrisikos und die Etablierung solider Sicherheits- und Datenschutzprozesse führen letztendlich zu einer besseren Betriebseffizienz im gesamten Unternehmen.

Neben der Vermeidung kostspieliger Verstöße und der Erfüllung rechtlicher und vertraglicher Verpflichtungen helfen die Implementierung von Sicherheits- und Datenschutz-Best Practices Autohäusern, optimierte, skalierbare interne Prozesse zu schaffen, die nachhaltiges Wachstum unterstützen. Compliance-Aktivitäten halten Sie über wesentliche Geschäftsrisiken informiert, helfen Ihnen, Redundanzen in Software und Verfahren zu identifizieren und stellen sicher, dass das Personal ordnungsgemäß geschult ist, um vertrauliche Informationen zu schützen.

Die FTC-Sicherheitsvorschriften verlangen, dass Organisationen, die mit Finanzinformationen von Verbrauchern umgehen, Maßnahmen zur sicheren Speicherung, Verarbeitung und Entsorgung dieser Daten implementieren. Ein Nebeneffekt der Einhaltung der Sicherheitsvorschriften ist effektivere und effizientere Datenmanagementprozesse, -richtlinien und -praktiken, die zu einer verbesserten Datenqualität und fundierteren Entscheidungen im gesamten Unternehmen führen.

3. Modernisierung von Prozessen und Beseitigung der Abhängigkeit von Papierunterlagen

Das Automobil-Einzelhandelsmodell entwickelt sich weiter, und Autohäuser, die den Wunsch der Verbraucher nutzen, mehr vom Autokaufprozess online zu erledigen, werden davon profitieren. Online-Finanzierungsbestätigungen, Fahrzeugbewertungen und Kaufangebote werden mit den richtigen Sicherheits- und Datenschutzkontrollen alle sicherer gemacht. Durch die Übernahme der FTC-Sicherheitsvorschriften können Autohäuser bedeutende Schritte unternehmen, um den Kaufprozess zu optimieren und die Kundenerfahrung im Verkauf zu verbessern.

Während der Pandemie investierten viele Autohäuser in die Verbesserung des Transaktionsprozesses und der damit verbundenen Technologie-Workflows und digitalisierten den Prozess, wo immer dies möglich war. Doch selbst mit diesen Veränderungen bleiben viele Aspekte des Autokaufprozesses papierbasiert.

Eine Plattform für Sicherheits- und Datenschutzkonformität kann diese Abhängigkeit von Papieraufzeichnungen beseitigen und als einzige Quelle der Wahrheit als Sicherheits- und Datenschutzkonformitätssystem des Autohauses dienen. Durch kontinuierliche Überwachung Ihrer Sicherheitslage, Nachverfolgung der Mitarbeiterschulung und Richtlinienakzeptanz sowie automatische Beweissammlung können Sie Ihre Sicherheits-, Datenschutz- und Konformitätsprogramme mit einem einzigen Tool überwachen. Wenn ein Autohaus jemals einer Prüfung unterzogen wird, hat es alles, was benötigt wird, um die Einhaltung nachzuweisen.

4. Vertrauen und Loyalität der Kunden aufbauen

Laut einer Umfrage von Total Dealer Compliance würden mehr als 80 % der Verbraucher kein Auto von einem Autohaus mit einer aufgezeichneten Datenschutzverletzung kaufen.

Die Einhaltung der Safeguards-Regel ermöglicht es Autohäusern, Sicherheits- und Datenschutzprozesse nach Industriestandards zu entwickeln und umzusetzen, die für Kunden nachweisbar sind. Sicherheitsbewusstseinsschulungen sind nur ein Beispiel — 73 % der Verbraucher geben an, dass sie sich wohler fühlen, mit Mitarbeitern eines Autohauses zusammenzuarbeiten, die eine Sicherheitsschulung abgeschlossen und diese Zertifikate auf ihren Schreibtischen ausgestellt haben.

Autohäuser, die nachweisen können, dass sie durch ein robustes Sicherheits- und Datenschutzprogramm die besten Interessen ihrer Kunden im Auge haben, können einen überzeugenden Wettbewerbsvorteil gewinnen, um das Vertrauen der Kunden zu gewinnen, die Kundenloyalität zu stärken und Wiederholungskäufe zu fördern.

5. Kosten senken und Beratungsausgaben reduzieren

Sicherheitsberater mögen wie ein schneller Weg zu einer stärkeren Sicherheitslage erscheinen, aber die übermäßige Abhängigkeit von einem externen Berater kann Ihr Team daran hindern, Sicherheits- und Datenschutzbest Practices in ihre täglichen Arbeitsgewohnheiten und Denkweisen zu integrieren.

Berater können 200-300 Dollar pro Stunde kosten, bieten jedoch keine langfristige Lösung für Autohäuser, die nach Best Practices für Informationssicherheit und Datenschutz suchen. Der Berater kann in den Anfangsphasen Fachwissen einbringen, aber es liegt weiterhin am Autohaus, Richtlinien und Prozesse in die Praxis umzusetzen, zu validieren, dass sie funktionieren, und sie auf dem neuesten Stand zu halten.

Die Safeguards-Regel bietet Autohäusern einen spezifischen Rahmen für eine starke Sicherheits- und Datenschutzkonformitätshaltung, ohne sich vollständig auf Berater zu verlassen. Die Anforderungen spezifizieren Best Practices für Cybersicherheit, einschließlich Informationsanlagenverwaltung, Datenverschlüsselung, Zugangskontrollen, sichere Datenentsorgung und andere konkrete Schritte zur Etablierung einer starken Sicherheits- und Datenschutzhaltung.

Die Wachstumschance der Sicherheits- und Datenschutzkonformität nutzen

Autohäuser, die die Einhaltung der FTC Safeguards Rule als eine Reihe von Kontrollkästchen betrachten, riskieren, deren potenziellen Wert zu übersehen. Richtig umgesetzt kann sie schnelles Wachstum in mehreren Bereichen freisetzen: Kundengewinnung und -loyalität, interne Skalierbarkeit und Marktdifferenzierung. Zukunftsorientierte Autohäuser, die diese Gelegenheit nutzen, können die vollen Vorteile eines starken Daten- und Sicherheitsprogramms ernten.

Viele Autohändler wenden sich an All-in-One-Compliance-Plattformen, um ihre Sicherheits- und Datenschutzprogramme aufzubauen, Richtlinien zu entwerfen, Mitarbeiter zu schulen und interne Sicherheitsbewertungen zu optimieren, um die Einhaltung der FTC-Sicherheitsregeln zu erreichen und aufrechtzuerhalten. Eine All-in-One-Plattform, die kontinuierliche Überwachung, Personalmanagement, Lieferantenmanagement und Risikomanagement bietet und mehr, gepaart mit einem Anbieter, der über tiefes Wissen in den Bereichen Sicherheit, Datenschutz und Compliance verfügt, um bei der Einhaltung der Vorschriften zu helfen, wird Autohändlern helfen, mehr aus ihrem Sicherheits- und Datenschutz-Compliance-Programm herauszuholen und diese enorme Wachstumschance zu nutzen.