TISAX Zertifizierung: Was Sie wissen sollten

Datenschutz VerstehenSo gelingt die TISAX-Zertifizierung

Kurze Einleitung:

Informationssicherheit und Datenschutz gewinnen immer mehr an Bedeutung für wettbewerbsfähige Unternehmen. Insbesondere die Auftraggeber in der Automobilbranche beachten sehr sensibel die Einhaltung und Umsetzung der Sicherheitsmaßnahmen. Erst kürzlich stellte das Bundeskriminalamt im „Bundeslagebild Cybercrime 2021“ vor, dass die Zahl der Cybercrime-Delikte im Jahresvergleich um mehr als zwölf Prozent auf insgesamt 146.363 Fälle gestiegen ist. Dieser Höchstwert unterstreicht das vorsichtige Verhalten der Automobilkonzerne. Einer von vielen Gründen, wieso die TISAX-Zertifizierung von einigen Auftragnehmern der Automobilbranche zunehmend angestrebt wird. Wir klären in diesem Beitrag über alle wichtigen Informationen rund um TISAX auf.

Hinweis: TISAX® ist eine eingetragene Marke der ENX Association. Keyed steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment an. Die ENX Association übernimmt keine Verantwortung für die auf der Keyed-Website dargestellten Inhalte.

Datenschutz eBook
Unsere Datenschutz eBooks

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Was ist die TISAX Zertifizierung?

TISAX (Trusted Information Security Assessment Exchange) definiert die Pflichtanforderungen an ein Informationssicherheits-Management-System (ISMS) sowie die datenschutzrechtlichen Mindestanforderungen in der Automobilindustrie. Hierbei orientieren sich die Anforderungen an das ISMS im Sinne der ISO-27001. Datenschutzrechtlich liegt eine ähnliche Grundlage, wie aus der Datenschutz-Grundverordnung (DSGVO) bekannt, vor. Vor dem Hintergrund sind Unternehmen, welche einen externen Datenschutzbeauftragten bestellt haben, in der Regel für den datenschutzrechtlichen Teil eines TISAX Assessments bereits gewappnet. 

Grundsätzlich kann man also festhalten, dass es sich bei dem TISAX Assessment um eine Informationssicherheits-, Datenschutz- und Compliance-Überprüfung bzw. Gutachten handelt, das sich an dem branchenspezifischen Standardkatalog VDA-ISA orientiert, welcher durch den Verband der Automobilindustrie (VDA) veröffentlicht wird. Die ENX Association managt und überwacht dabei die Qualität der Durchführung und die Ergebnisse der TISAX Assessments, die für den Erhalt einer Informationssicherheitszertifizierung der Automobilindustrie notwendig ist. Bei der ENX Association handelt es sich einen Zusammenschluss europäischer Automobilhersteller, -zulieferer und Verbände. Die TISAX Überprüfung betrifft also die sichere Verarbeitung von Informationen von Geschäftspartnern, den Schutz von Prototypen und den Datenschutz gemäß DSGVO. Die Prüfung dieser Thematiken innerhalb des Unternehmens erfolgt in der Regel durch externe TISAX Prüfdienstleister, wobei die ENX Association als Governance-Organisation agiert. 

Wer benötigt eine TISAX Zertifizierung?

Grundsätzlich ist eine TISAX Zertifizierung nicht gesetzlich vorgeschrieben. Außerdem ist es theoretisch nicht verpflichtend, ein TISAX-konformes ISMS einzuführen und dieses im Rahmen eines TISAX Assessments nachzuweisen. Jedoch kann dies praktisch zur Pflicht werden, da die Automobilindustrie sowie deren Zulieferer und Partner eine TISAX Zertifizierung als unverzichtbare Bedingung für eine Zusammenarbeit ansehen. Dabei ist die Unternehmensgröße irrelevant. Denn auch für kleine Unternehmen ist diese sinnvoll, um eine Zusammenarbeit mit der Automobilindustrie zu ermöglichen. 

TISAX Anforderungen: Was müssen Unternehmen beachten?

Unternehmen, die mit der Automobilindustrie zusammenarbeiten oder zusammenarbeiten wollen, sollten darauf Wert legen, ein speziell auf die Automobilindustrie abgestimmtes ISMS zu implementieren, welches sich an der ISO 270001 orientiert und zusätzliche Datenschutzvorgaben und den Schutz von Prototypen erfüllt. So existieren innerhalb von TISAX grundlegend drei Assessment Level bzw. Anforderungstypen. Das Level orientiert sich an dem notwendigen Schutzbedarf der Informationen, die zwischen den einzelnen Unternehmen ausgetauscht werden. Je nachdem, ob der Schutzbedarf der Information als normal (Level 1), hoch (Level 2) oder sehr hoch (Level 3) eingestuft wird, sind andere Methoden und Aufwände für die Prüfung von Bedeutung. Dabei steigen der Prüfumfang sowie der aufzubringende Aufwand mit jedem Level:

  • Level 1: Grundprüfung: Selbstauskunft (Self Assessment). 
  • Level 2: Hier kommt ein von der ENX Association akkreditierter Prüfleister dazu, dieser sichtet die Selbstauskunft und führt eine Plausibilitätsprüfung durch und stellt Fragen.
  • Level 3: Der Prüfleister prüft die Self Assessments und das Managementsystem vor Ort. 

Generell wird als Erstes geprüft, welche Sicherheitsaspekte absolviert werden müssen, wobei die Prüfung der Informationssicherheit Pflicht ist. Die Prüfung der Thematiken Daten- und Prototypenschutz ist abhängig von der Geschäftstätigkeit und Leistungen des jeweiligen Unternehmens. Daneben sind Standard- und allgemeine Sicherheitsanforderungen zu erfüllen. Auch kann das Level abhängig davon sein, was die Kunden für eine mögliche Zusammenarbeit fordern. Dies bedeutet, dass je höher das erfüllte Level ist, desto besser ist die Marktchance für mögliche Aufträge.

Datenschutz-Managementsystem
Jetzt Ihren Datenschutzbeauftragten kennenlernen.

Wir erklären Ihnen in einem persönlichen Erstgespräch den Ablauf einer Datenschutz-Optimierung. Sie lernen unsere zertifizierten Juristen kennen, welche als Datenschutzbeauftragte für Sie tätig werden. Wir freuen uns auf Sie!

+0

Über 450 Unternehmen vertrauen international unserem Team aus Datenschutzbeauftragten.

0%

Über 72% effizienter als marktüblich optimieren wir Ihre Datenschutz-Organisation.

externer Datenschutzbeauftragter - Termin buchen

TISAX Datenschutz Voraussetzungen

Inwieweit ist die Umsetzung des Datenschutzes durch einen Datenschutzbeauftragten organisiert?

Die Umsetzung des Datenschutzes wird durch den Datenschutzbeauftragten organisiert, welcher durch das Unternehmen intern oder extern bestellt wird. Die Pflicht zur Bestellung eines Datenschutzbeauftragten gilt ab einer Anzahl von mindestens 20 Mitarbeitenden, die ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Dies trifft auch zu, wenn die Kerntätigkeit des Unternehmens eine umfangreiche oder systematische Beobachtung von Personen beinhaltet oder umfangreich besonders sensible personenbezogene Daten verarbeitet werden, wie bspw. Daten, aus denen die ethnische Herkunft hervorgehen, sowie für die Verarbeitung von genetischen, biometrischen Daten oder Daten zur Gesundheit. Werden somit sensible Daten mit dem Ziel verarbeitet, z. B. Bonitäts- oder Bewegungsprofile zu erstellen, entfällt die oben genannte Mitarbeitergrenze. Solche Unternehmen benötigen also grundsätzlich einen Datenschutzbeauftragten. Im Kern übernimmt dieser neben der Koordination von datenschutzrechtlichen Aufgaben des Unternehmens außerdem die Zusammenarbeit mit Aufsichtsbehörden sowie die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeitenden. Essenziell ist auch, dass ein Datenschutzbeauftragter eine fachliche Qualifikation vorweisen muss und nicht im Interessenkonflikt stehen darf. Um einen reibungslosen Arbeitsablauf zu gewährleisten, sollte der Datenschutzbeauftragte zuerst in die Unternehmensstruktur eingegliedert und zudem zur Unterstützung ihm direkt zugeordnete Mitarbeiter oder Datenschutzkoordinatoren in den einzelnen Unternehmensbereichen zugeteilt werden.

Inwieweit sollten technische und organisatorische Maßnahmen (TOM) getroffen werden, damit die Verarbeitung personenbezogener Daten gesetzeskonform erfolgt?

Um die gesetzeskonforme Verarbeitung personenbezogener Daten zu gewährleisten, sollten innerhalb des Unternehmens technische und organisatorische Maßnahmen getroffen werden. Dazu zählt die Festlegung von Grundsätzen zum Datenschutz (bspw. über Verarbeitung personenbezogener Daten) in einer unternehmensinternen, dokumentierten Datenschutz-Strategie (z. B. eine unternehmensinterne Richtlinie), aber auch unternehmensinterne Arbeitsanweisungen oder datenschutzrechtliche Handbücher für spezielle Aufgabengebiete sowie die Verpflichtung der Mitarbeitenden (inkl. evtl. Unterauftragnehmer) zur Vertraulichkeit. Zudem sollten unternehmensinterne Gremien oder klare Verantwortlichkeiten, unter Mitarbeit des Datenschutzbeauftragten, geschaffen werden, in denen datenschutzrelevante Themen behandelt werden. Bei datenschutzrelevanten Themen (wie etwa im Rahmen einer Datenschutzfolgenabschätzung oder der Umsetzung von Löschkonzepten) ist weiterhin die Implementierung von Prozessen von hoher Bedeutung. Insbesondere sollte bei datenschutzrechtlichen Belangen die rechtzeitige Involvierung des Datenschutzbeauftragten sichergestellt sein sowie ein Dokumentationsprozess von Verarbeitungsvorgängen beim Umgang mit personenbezogenen Daten, Weisungen, Stellungnahmen und Kommentaren des Datenschutzbeauftragten hinsichtlich datenschutzrechtlicher Bewertungen erfolgen. Beim Umgang mit Betroffenenrechten sollten weitere Maßnahmen zur Unterstützung des Verantwortlichen implementiert werden, soweit dies möglich und der Verarbeitung angemessen ist. Außerdem sollten Meldeprozesse für eine unverzügliche Meldung geschaffen werden, sodass gesetzliche Meldefristen für Datenschutzvorfälle eingehalten werden können. Abschließend ist noch ein Verfahren im Unternehmen zur regelmäßigen Überprüfung, Bewertung und Evaluierung dieser und weiterer TOM zu integrieren.

Inwieweit wird sichergestellt, dass die internen Prozesse bzw. Arbeitsabläufe gemäß den jeweils aktuell gültigen Datenschutzbestimmungen ablaufen und dies regelmäßig einer Qualitätsprüfung unterzogen wird?

Um die Sicherstellung der Rechtskonformität der internen Prozesse bzw. Arbeitsabläufe, der Umsetzung der datenschutzrelevanten Verträge und Weisungen des Auftraggebers zu gewährleisten, sollte ein Nachweis einer regelmäßigen Überprüfung und Optimierung des Datenschutzmanagementsystems und des Unternehmens (z. B. durch eine Zertifizierung) stattfinden. Dazu sollten die Maßnahmen zur Einhaltung der Vertraulichkeit und Integrität bei der Verarbeitung personenbezogener Daten überprüft und angemessene Schutzmechanismen zur Verringerung des unberechtigten Zugriffs auf personenbezogene Daten implementiert werden. Außerdem sind verpflichtende jährliche Schulungen der Mitarbeitenden durchzuführen, die mit der Verarbeitung personenbezogener Daten betraut sind (z. B. durch E-Learning Schulungen der Mitarbeiterschule, WBT).

Inwieweit werden die einschlägigen Verarbeitungen hinsichtlich datenschutzrechtlicher Zulässigkeit dokumentiert?

Die Dokumentation ist wesentlicher Teil, um die datenschutzrechtliche Konformität eines Unternehmens sicherzustellen. Dabei sind bei der Dokumentation der wesentlichen Tätigkeiten bzgl. der Verarbeitung personenbezogener Daten die gesetzlichen Anforderungen einzuhalten. Auch sollten die Prozesse, die zur Unterstützung des Auftraggebers bei der Durchführung von Datenschutzfolgenabschätzungen und der daraus resultierenden Ergebnisse dokumentiert werden. Dabei sind auch die Informationen, bspw. bei der Feststellung rechtswidriger Datenverarbeitungen ggf. unter Berücksichtigung unterschiedlicher nationaler Gesetzgebungen zu beachten.

Gerne unterstützen unsere zertifizierten Branchenexperten Sie auch bei der datenschutzrechtlichen Optimierung Ihres Unternehmens und begleiten Sie bei den einzelnen Prozessen und der Umsetzung, um etwaige Verstöße zu vermeiden. Hierzu können Sie ganz einfach einen kostenfreien Beratungstermin buchen.

TISAX Vorbereitungen

Als erste Vorbereitungsmaßnahme sollte auf Fachwissen zurückgegriffen werden. So ist es hilfreich, Experten für die internen Audits in den Bereichen Datenschutz, Informationssicherheit und Compliance zu beauftragen. Notwendig ist dies, da es nahezu unmöglich ist, nur anhand der Guidelines und Onlineratgeber die TISAX Zertifizierung zu bestehen. Allgemeine Leitfäden sind aufgrund der Individualität der TISAX-Maßnahmen eher ungeeignet. Die Maßnahmen sollten auf die Geschäftstätigkeit und unternehmensinternen Prozesse abgestimmt werden. Wichtig ist außerdem, dass Unternehmen ein TISAX Projektteam aufstellen, indem alle relevanten Unternehmensbereiche repräsentiert sind. Auch dauert die TISAX Vorbereitung im Durchschnitt ein Jahr. Innerhalb dessen sollten ermittelte Schwachstellen behoben und das Managementsystem so lange optimiert werden, bis das Unternehmen bereit für das TISAX Audit ist. Daher benötigt ein Unternehmen entsprechend eigene Ansprechpartner oder einen externen Partner mit Expertise.

Datenschutz-Managementsystem
Datenschutz-Management-System

Wir führen Sie individuell durch unsere Datenschutz-Management-Software (DSMS). Wir geben Ihnen Einblicke in verschiedene Funktionen des DSMS und zeigen Ihnen auf, welche Vorteile Sie mit einem DSMS erzielen.

0

Über 200 globale Vorlagen helfen Ihnen in Ihrer täglichen Arbeit. Sie können beliebig viele Vorlagen erstellen.

0%

Über 62% Effizienzsteigerung werden von unseren Kunden in der Optimierung des Datenschutzes verzeichnet.

Datenschutz-Management-System

Generell lässt sich der Assessment Prozess eines TISAX Audits wie folgt gliedern:

  1. Unternehmen fordert Assessment an oder freiwilliges Assessment
  2. Definition der einzelnen Prüfziele
  3. Registrierung beim ENX (Zusammenschluss europäischer Automobilhersteller, -zulieferer und Verbände)
  4. Self-Assessment Durchführung
    1. erhalt des TISAX Fragenkatalogs
    2. Team erstellen
    3. Auswahl des Prüfdienstleisters
    4. Auditor führt Bewertung der Informationssicherheit durch
  5.  Corrective Action Plan
    1. Maßnahmenplan erstellen, um ggf. Nachbesserungen durchzuführen
  6. Geplante Maßnahmen umsetzen
  7. Follow-Up Nachweisprüfung
    1. Prüflabel wird erteilt und in der entsprechenden Plattform gemeldet

TISAX Kosten

Die Kosten einer TISAX Zertifizierung sind variabel und abhängig von vielen Faktoren. Dabei lässt sich durch die Wahl eines externen Prüfdienstleisters Zeit und Geld einsparen. Zum Beispiel beeinflusst die Teamgröße die Kosten, denn je größer das TISAX Team, desto schneller wird das Ziel erreicht. Dabei sinken die Kosten für externe Berater, jedoch steigen die internen Kosten. Weitere Einflussfaktoren sind insbesondere die Unternehmensgröße, die Komplexität der Geschäftsprozesse, bereits vorhandene Maßnahmen zur Informationssicherheit, zum Datenschutz und Prototypenschutz. 

Zudem ist eine GAP-Analyse von Vorteil, um im Voraus zu ermitteln, was im Unternehmen benötigt wird, um die Zertifizierung zu erhalten und demnach unnötige Kosten zu vermeiden (Kosten: ca. 3.000 bis 5.000 EUR). Die weiteren einzelnen Verfahren einer TISAX Zertifizierung wie die Vorbereitung, die Selbsteinschätzung, eine technische und physikalische Sicherheitsanalyse liegen ungefähr bei Kosten zwischen 8.000 und 20.000 EUR. Dazu kommen dann im Anschluss Prozesse wie bspw. die Erstellung von Richtlinien, die Einrichtung von IT-Prozessen sowie notwendige Dokumentationen und die Auditbegleitung, welche nochmal Kosten in Höhe von 6.000 bis 15.000 EUR verursachen können. Die Erneuerung des TISAX Audit ist nur alle 3 Jahre notwendig, wodurch dementsprechend Kosten gegenüber jährlichen Audits eingespart werden. 

TISAX Zertifizierung Vorteile

Eine TISAX Zertifizierung bietet Unternehmen neben der Reduktion von bestehenden Risiken durch gesteigerte Sicherheitsstandards viele weitere Vorteile wie etwa Transparenz und eine höhere Vertrauenswürdigkeit für Kunden und Geschäftspartner. Die TISAX Zertifizierung ist zudem weltweit anerkannt, wodurch diese auch fürs Marketing von Bedeutung sein kann. Des Weiteren werden durch die Umsetzung der TISAX Vorgaben bei einem entsprechendem Audit generell die IT entlastet und laufende Aufwände und Kosten durch erleichterte Tagesabläufe der implementieren standardisierten Prozesse reduziert. Da diese wie bereits erwähnt, als Voraussetzung für die Zusammenarbeit mit der Automobilindustrie angesehen werden, bestätigt die TISAX Zertifizierung deren Sicherheitsniveau und Qualitätsstandards. Außerdem werden dadurch teure und aufwändige Mehrfachprüfungen verhindert, da ein Audit nach den TISAX Vorgaben nur noch alle drei Jahre durchgeführt werden muss. So können bspw. Ersparnisse bei den sonst üblichen, mehrfach im Jahr durchgeführten Lieferantenaudits erzielt werden. Es lässt somit festhalten, dass eine TISAX Zertifizierung einen Wettbewerbsvorteil generieren kann.

TISAX vs. ISO 27001

Sowohl TISAX als auch ISO 27001 beschreiben beide Anforderungen an den Aufbau, die Umsetzung und den Betrieb eines ISMS. Die Grundlagen dafür sind in ISO 27001 definiert, worauf auch TISAX basiert. Dementsprechend sind die Anforderungen an die Informationssicherheit nahezu identisch. Unterschiede finden sich jedoch in den zusätzlichen Thematiken des Datenschutzes und des Prototypenschutzes des TISAX. Somit handelt es sich theoretisch um eine Ausbaustufe der ISO 27001 speziell für die Automobilindustrie.

TISAX Fragenkatalog

Die Grundlage für die TISAX Anforderungsvorgaben ist ein “Katalog” vom VDA-ISA. Beim “VDA Information Security Assessment” (kurz: VDA-ISA) handelt es sich um einen standardisierten Fragenkatalog mit zusätzlichen Abfragen für die Überprüfung des “Information Security Management Systems” (kurz: ISMS). Insgesamt besteht dieser aus drei Teilen: Informationssicherheit, Datenschutz und Prototypenschutz. Zu Beginn müssen innerhalb des ISA-Dokuments die Prüfziele und das angestrebte Level angegeben werden. Hierbei gibt es acht Prüfziele, unter anderem zählen dazu Informationen mit hohem bis sehr hohem Schutzbedarf, Schutz von Prototypen, Schutz von personenbezogenen Daten.

Falls Sie Interesse an weiteren Thematiken oder aktuellen News aus den Themengebieten der Informationssicherheit und des Datenschutzes besitzen, können Sie hier interessante Beiträge finden!

Fazit

Eine TISAX Zertifizierung ist zwar nicht gesetzlich verpflichtend, jedoch eine notwendige Bedingung für die Zusammenarbeit mit Unternehmen der Automobilindustrie. Eine fehlende Zertifizierung des Unternehmens oder der Entzug dieser kann jedoch auch einige Konsequenzen mit sich führen. Auch können mögliche Verstöße gegen die DSGVO (bspw. aus Art. 32 Abs. 1 lit. b) DSGVO i. V. m. Art. 39 DSGVO) durch den datenschutzrechtlichen Teil des TISAX präventiv unterbunden werden. Eine Nichterfüllung der TISAX-Standards führt in erster Linie dazu, dass ein Unternehmen für Automobilhersteller und -lieferanten als nicht mehr beauftragungsfähig gilt, da die meisten eine Zertifizierung voraussetzen. Auch werden bestehende Beauftragungen sukzessiv auf die TISAX-Konformität überprüft. So kann ein Nichtvorhandensein der TISAX Zertifizierung einen existenzbedrohenden Faktor für das Unternehmen darstellen. Ein Verstoß gegen datenschutzrechtliche Bestimmungen wie Art. 32 Abs. 1 lit. b) DSGVO können gem. Art. 83 Abs. 4 DSGVO zu Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres führen sowie Reputationsschäden verursachen. Eine TISAX Zertifizierung ist somit ein relevanter Wettbewerbsfaktor, wobei es auch von Bedeutung ist, sich proaktiv zu zertifizieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.

Informationen zur Verarbeitung deiner personenbezogenen Daten im Zusammenhang mit dem Verfassen eines Kommentares findest du in unserer Datenschutzerklärung.

Menü