Die Aufsichtsbehörde für menschliche Umwelt und Verkehr (ILT) stellt strenge Anforderungen an IKT-Dienstleister, die Taxitransportdaten an die Central Taxi Transport Database (CDT) liefern.
Eine wichtige Voraussetzung ist, dass diese Dienstleister nach ISO 27001 zertifiziert sein müssen, eine Zertifizierung, die höchste Standards im Bereich der Informationssicherheit garantiert. Unsere Untersuchungen bei mehreren Unternehmen zeigen, dass diese Anforderung angesichts der Sensibilität der Daten zwar verständlich ist, kleinere Softwareunternehmen auf dem Markt jedoch erheblich unter Druck setzt.
ISO 27001 ist ein umfassender Standard, der über die üblichen technischen Sicherheitsmaßnahmen hinausgeht, die von Plattformen wie Apple und Google gefordert werden. Das Zertifikat bedeutet, dass eine Organisation ein vollständiges Informationssicherheits-Managementsystem implementieren muss. Dazu gehören Risikomanagement, kontinuierliche Überwachung und detaillierte Dokumentation der Prozesse. Dies kann eine große Belastung für kleine Softwareunternehmen sein, die oft nicht an derart umfangreiche Compliance-Frameworks gewöhnt sind.
Das ILT schreibt außerdem vor, dass IKT-Dienstleister jährlich bzw. bei jeder Funktionserneuerung ihrer Systeme eine Selbstauskunft vorlegen müssen. Diese Selbstbewertungen müssen nachweisen, dass der Dienstleister weiterhin die erforderlichen Anforderungen, einschließlich der ISO 27001, erfüllt. Dadurch wird sichergestellt, dass die an das CDT übermittelten Daten korrekt, vollständig und sicher sind und vor unbefugtem Zugriff, Verlust oder Manipulation geschützt sind.
unverhältnismäßige Auswirkungen
Obwohl die Absicht des ILT klar ist, die Sicherheit sensibler Taxidaten zu gewährleisten, hat diese Anforderung unverhältnismäßige Auswirkungen auf kleinere Unternehmen. Die Erlangung der ISO 27001-Zertifizierung ist ein kostspieliger und zeitaufwändiger Prozess. Kleine Unternehmen sind oft gezwungen, externe Berater zu beauftragen, die sie bei der Umsetzung des Standards unterstützen, was je nach Komplexität der Organisation zu Kosten zwischen 10.000 und 50.000 US-Dollar führen kann. Hinzu kommen interne Kosten, etwa für den Aufbau und die Aufrechterhaltung eines Informationssicherheitssystems sowie die eigentliche Prüfung und Zertifizierung, die ebenfalls Tausende von Euro kosten können.
Durch die Einführung der Anforderung einer ISO 27001-Zertifizierung kann das ILT die Verantwortung für einen Großteil dieser komplexen technischen Prüfungen an externe Zertifizierungsstellen delegieren, die auf die Bewertung von Informationssicherheitssystemen spezialisiert sind.
Neben der Anfangsinvestition fallen auch laufende Kosten im Zusammenhang mit der Aufrechterhaltung der Zertifizierung an, beispielsweise jährliche Neubewertungen und Systemaktualisierungen. Diese wiederkehrenden Kosten können mehrere tausend Euro pro Jahr betragen, was insbesondere für kleinere Unternehmen eine erhebliche finanzielle Belastung bedeutet.
Wettbewerbsposition
Daher haben viele kleinere Softwareunternehmen Schwierigkeiten, die Zertifizierungskosten wieder hereinzuholen, insbesondere wenn ihr Kundenstamm auf kleinere Taxiunternehmen beschränkt ist, die möglicherweise nicht bereit sind, für eine zertifizierte Lösung einen Aufpreis zu zahlen. Dadurch entsteht eine unfaire Wettbewerbsposition, in der größere Unternehmen, die über die Ressourcen verfügen, diese Anforderungen zu erfüllen, klar im Vorteil sind.
De strenge Anforderungen des ILT kann als eine Möglichkeit gesehen werden, die Verantwortung für die Informationssicherheit weitgehend den Dienstleistern zu übertragen. Dies hilft dem ILT möglicherweise dabei, seine eigenen Überwachungs- und Prüfungskosten zu senken, da es sich auf die Zertifizierungen anerkannter Prüfstellen verlassen kann. Müsste das ILT selbst die Sicherheit und Compliance jeder Softwarelösung prüfen, würde dies viel Zeit, Fachwissen und Geld erfordern.
Dennoch wirft die Anforderung einer ISO 27001-Zertifizierung Fragen hinsichtlich ihrer Verhältnismäßigkeit auf, insbesondere angesichts der Auswirkungen auf kleinere Softwareunternehmen. Es lässt sich argumentieren, dass das ILT weniger strenge, aber dennoch wirksame Sicherheitsstandards in Betracht ziehen könnte, die der Größe und den Ressourcen kleinerer Unternehmen im Taxisektor besser gerecht werden. Dies könnte beispielsweise darin bestehen, andere Formen der Zertifizierung oder Sicherheitsstandards zu akzeptieren oder einen schrittweisen Ansatz zu verfolgen, bei dem kleinere Unternehmen schrittweise auf ISO 27001 umsteigen können.
Die aktuelle Situation schränkt Innovation und Wettbewerb ein, da kleinere Unternehmen aufgrund der hohen Kosten und der Komplexität der ISO 27001-Zertifizierung vom Markt ausgeschlossen sind. Dies untergräbt nicht nur die Vielfalt und Dynamik des Sektors, sondern kann auch die Entwicklung erschwinglicher und innovativer Lösungen für den Taximarkt behindern.
Der Taximarkt kämpft mit steigenden Kosten, der Konkurrenz durch neue Mobilitätsdienste wie Uber und wirtschaftlichen Herausforderungen. Dies macht es für viele Taxiunternehmen schwierig, zusätzliche Kosten zu tragen, was ein wichtiger Gesichtspunkt bei der Beurteilung der Machbarkeit neuer Softwarelösungen ist.
Viele Taxiunternehmen arbeiten mit geringen Margen, insbesondere unter den aktuellen Marktbedingungen. Die Einführung zusätzlicher Kosten für Software, die strenge Sicherheitsanforderungen erfüllt, kann auf Widerstand stoßen, insbesondere wenn diese Kosten nicht sofort als notwendig angesehen werden oder den Service nicht direkt verbessern. Darüber hinaus sind viele kleine bis mittlere Taxiunternehmen möglicherweise nicht bereit, deutlich mehr für eine Lösung zu zahlen, insbesondere wenn sie derzeit günstigere Alternativen oder sogar den vorhandenen, teuren Taxi-Bordcomputer (BCT) nutzen.
Rentabilität
Angenommen, ein Softwareunternehmen bietet seine Lösung für eine Lizenzgebühr von 20 € pro Monat und Treiber an. Dieser Betrag wurde gewählt, um auf dem Markt wettbewerbsfähig zu bleiben und gleichzeitig die Preissensibilität der Taxiunternehmen zu berücksichtigen. Wenn wir davon ausgehen, dass die monatlichen Betriebskosten für das Softwareunternehmen einschließlich der Kosten für ISO 27001-Zertifizierung, Wartung und Support beispielsweise 10.000 € pro Monat betragen, können wir die Mindestanzahl an Treibern berechnen, die erforderlich ist, um profitabel zu sein.
Die Anzahl der Fahrer, die zur Deckung der Kosten benötigt werden, lässt sich nach folgender Formel berechnen:
Das bedeutet, dass das Softwareunternehmen mindestens 500 Fahrer als Kunden haben muss, um die Kosten zu decken und die Gewinnschwelle zu erreichen. Jeder zusätzliche Treiber über dieser Zahl würde zur Rentabilität des Unternehmens beitragen.
Datenplan
Zusätzlich zu den Kosten für die Softwarelizenz müssen Taxifahrer auch die zusätzlichen Kosten für ihr obligatorisches Datenabonnement berücksichtigen, da die Lösung eine Bereitstellung der Daten in Echtzeit an die Zentrale Datenbank für Taxitransporte (CDT) des ILT erfordert. Das bedeutet, dass Fahrer ständig über ihr Mobilfunknetz mit dem Internet verbunden sein müssen, was zusätzliche Kosten verursacht.
Die Kosten für einen Datentarif können je nach verwendeter Datenmenge und Tarifen des Mobilfunkanbieters variieren. Geht man von einem durchschnittlichen Datentarif aus, der ausreicht, um eine kontinuierliche Verbindung zum Senden von Echtzeitdaten zu haben, könnte dies beispielsweise für einen Fahrer zusätzliche 10 bis 20 Euro pro Monat kosten.
Die gesamten Mehrkosten pro Monat für einen Taxifahrer oder Selbstständigen würden dann variieren zwischen:
Für ein Taxiunternehmen mit mehreren Fahrern können sich diese Kosten schnell summieren. Bei einem kleinen Taxiunternehmen mit 10 Fahrern würden die monatlichen Gesamtkosten beispielsweise zwischen 300 und 400 € betragen. Dieser Betrag kommt zu den anderen Fixkosten hinzu, die das Unternehmen bereits zu tragen hat, wie z. B. Fahrzeugwartung, Treibstoff, Versicherung und bestehende Lizenz- oder Leasingkosten für andere notwendige Ausrüstung.
Angesichts des aktuellen finanziellen Drucks auf dem Taximarkt werden viele Fahrer und Taxiunternehmen wahrscheinlich zögern, diese zusätzlichen Kosten zu akzeptieren, es sei denn, die neue Lösung bietet erhebliche Vorteile. Gerade wenn die Rentabilität von Taxifahrten bereits unter Druck steht, können bereits relativ geringe Zusatzkosten die Marge weiter schmälern.
Schlussfolgerung
Die Notwendigkeit einer ständigen Internetverbindung für die Echtzeit-Datenlieferung an das ILT führt zu einem zusätzlichen Kostenelement, das die monatlichen Gesamtkosten für Fahrer erheblich erhöht. Für kleine Taxiunternehmen und selbständige Fahrer können diese zusätzlichen Kosten ein wichtiger Gesichtspunkt bei der Entscheidung sein, ob sie auf eine neue Lösung umsteigen, die den Anforderungen des ILT entspricht.
Für kleinere Softwareunternehmen bedeutet dies, dass sie eine beträchtliche Anzahl von Treibern gewinnen müssen, um die Kosten der ISO 27001-Zertifizierung und andere Betriebsausgaben zu rechtfertigen. In einer Branche, in der viele Taxiunternehmen bereits unter finanziellem Druck stehen, kann es schwierig sein, diese Größenordnung schnell zu erreichen, insbesondere wenn die Kosten für die Lizenz als zusätzliche Belastung angesehen werden.
Es ist wahrscheinlich, dass viele Taxiunternehmen zögern werden, diese zusätzlichen Kosten zu tragen, es sei denn, die neue Lösung bietet erhebliche Vorteile gegenüber bestehenden Alternativen. Für Softwareunternehmen kann dies eine Herausforderung sein und erfordert eine sorgfältig ausgearbeitete Strategie, um einen ausreichend großen Kundenstamm aufzubauen. Dies unterstreicht, wie wichtig es ist, einen Mehrwert zu bieten und möglicherweise nach Möglichkeiten zur Kostensenkung zu suchen, beispielsweise durch die Zusammenarbeit mit größeren Unternehmen oder die Erzielung von Skaleneffekten.
