Nachweisbarer Datenschutz ist für Unternehmen so wichtig wie die Steuer-ID: ohne geht es nicht. Schon gar nicht in der Automobilbranche. KMUs, die in der Wertschöpfungskette der großen Hersteller aktiv sein möchten, müssen den TISAX®-Standard erfüllen – und in diesem ist der Datenschutz ein eigenständiges Prüfziel und wichtiger Bestandteil im Assessment nach TISAX®. Ein Überblick in Fragen und Antworten.
Warum ist ein Assessment nach TISAX® für KMU in der Automobilbranche unerlässlich?
Aus mehreren Gründen. Der wichtigste lautet: Weil das Label nach TISAX® die Voraussetzung für die Zusammenarbeit mit den Herstellern und Zulieferern der deutschen Automobilindustrie ist. Es gibt zwar keine gesetzliche Verpflichtung zum TISAX®-Nachweis, dennoch fordern diesen immer mehr Unternehmen von ihren Partnern. Innerhalb der Wertschöpfungskette werden inzwischen sogar Subzulieferer ohne direkten Kontakt zu Automobilherstellern gebeten, beim Datenschutz ein angemessenes Sicherheitsniveau per Label nach TISAX® nachzuweisen.
Dies ist angesichts der sich ausweitenden Industriespionage im Automobilsektor auch ein mehr als nachvollziehbares Anliegen. Gut zu wissen: Wer die Anforderungen erfüllen möchte, findet sie im VDA ISA Katalog exakt beschrieben und erfährt dort auch, in welchen Punkten TISAX® über die Vorgaben der ISO 27001 hinausgeht und diese erweitert.
5 Gründe, warum an Datenschutz kein Weg vorbeiführt
- Industriespione haben es oft auf Informationen zu Prototypen abgesehen. Um solche Daten zu schützen, ist der Datenschutz essenziell. Stichwort Prototypen: Neben dem Datenschutz ist der Prototypenschutz im VDA ISA Katalog ein weiteres Schutzziel.
- Dienstleister müssen bei der Datenverarbeitung den gesetzlichen Anforderungen im Sinne des Artikels 28 DSGVO nachkommen und entsprechende Datenschutzmaßnahmen ergreifen.
- Speziell in der Automobilbranche müssen im Hinblick auf den Datenschutz die im VDA ISA Katalog definierten Anforderungen und Vorgaben des Geschäftspartners erfüllt werden.
- Hinzu kommen die allgemein geltenden gesetzlichen Anforderungen der DSGVO – auch sie helfen dabei, Datenschutzverletzungen vorzubeugen.
- Datenschutz ist in der Automobilbranche übrigens nicht nur für produzierende Zulieferer essenziell. Auch Firmen, die beispielsweise im Marketing oder im Kunden- und Interessentenmanagement aktiv sind, müssen die hohen Anforderungen erfüllen.
Welche Rolle spielt der Datenschutz beim Assessment nach TISAX®?
Datenschutz ist neben Informationssicherheit und Prototypenschutz ein weiteres Prüfziel im VDA ISA Katalog. Zum Verständnis: Das Label nach TISAX® kann für einen normalen, hohen und sehr hohen Schutzbedarf ausgestellt werden. Fordert Ihr Geschäftspartner lediglich einen normalen Schutzbedarf gemäß TISAX®, müssen Sie nur die gesetzlich ohnehin geltenden Anforderungen der DSGVO erfüllen. Wichtig zu wissen ist, dass für das Assessment des normalen Schutzbedarfs lediglich die Selbsteinschätzung gemäß dem VDA-ISA-Fragenkatalog durch das zu prüfende Unternehmen durchgeführt wird.
Bei hohem bzw. sehr hohem Schutzbedarf gelten die Vorgaben für Assessment-Level 2 bzw. Assessment-Level 3 und Sie müssen den Datenschutz als zusätzliches Prüfziel wählen. Der Fall ist dies etwa, wenn Sie als Auftragsverarbeiter gemäß Artikel 28 DSGVO agieren oder Ihr Geschäftspartner den Datenschutz als zusätzliches Prüfziel explizit einfordert. Dann greift Assessment-Level 2.
Verarbeiten Sie womöglich sogar personenbezogene Daten besonderer Kategorien gemäß Artikel 9 DSGVO, wird Ihr Geschäftspartner einen sehr hohen Schutzbedarf formulieren. In diesem Fall kommt Assessment-Level 3 mit noch höheren Anforderungen zur Anwendung, deren Erfüllung der Prüfdienstleister vor Ort überprüfen wird.
Wie können KMUs ihren Datenschutz erfolgreich managen, um das Label nach TISAX® zu erhalten?
Ist ein Datenschutzmanagementsystem in Ihrem Unternehmen etabliert, haben Sie bereits eine gute Grundlage. Gibt es ein solches System bei Ihnen noch nicht, sollten Sie sich die VDA ISA Kontrollfragen sowie die konkreten Anforderungen für das gewählte Datenschutzprüfziel genau ansehen, bevor Sie mit dem Aufbau eines Datenschutzmanagementsystems beginnen. So stellen Sie sicher, dass Sie die Vorgaben erfüllen und das geforderte Label nach TISAX® erhalten.
Tipp: Definieren Sie im Rahmen des Umsetzungsprojekts klare Verantwortlichkeiten und stellen Sie genügend Ressourcen bereit. Richten Sie Ihren Fokus dabei auf die involvierten Abteilungen, beispielsweise auf die Rechtsabteilung und den Datenschutzbeauftragten. So stellen Sie sicher, dass diese sich gut strukturiert aufstellen und die erforderlichen Maßnahmen zum Schutz personenbezogener Daten treffen können. Letztere betreffen interne Arbeitsabläufe ebenso wie die Dokumentation aller Datenverarbeitungen.
Welche Quick-Wins ziehen KMUs aus Maßnahmen zur Verbesserung des Datenschutzes?
- Sie holen sich wertvolle Datenschutz- und TISAX®-Kompetenz an Bord – entweder in Form von externer organisatorischer Unterstützung oder durch internes Fachpersonal.
- Sie bleiben in puncto Datenschutz und Informationssicherheit auf dem Laufenden.
- Sie sensibilisieren Ihre Belegschaft und schulen sie regelmäßig.
- Sie etablieren Sicherheitszonen im Unternehmen und verbessern die physische Gebäudesicherheit.
Wie unterstützt DataGuard Sie in puncto Datenschutzanforderungen und Assessment nach TISAX®?
Die Expertinnen und Experten von DataGuard wissen, wie Sie die Anforderungen aus dem VDA ISA Katalog zielsicher erfüllen und unterstützen Ihr internes Team beim Definieren und Umsetzen der notwendigen Maßnahmen. Dabei arbeiten wir auf Wunsch eng mit Ihrem internen Datenschutzbeauftragten zusammen und weisen auf erforderliche Maßnahmen hin, sollten diese noch nicht ganzheitlich implementiert oder definiert worden sein. Praktisch: Ist DataGuard Ihr externer Datenschutzbeauftragter, sorgen wir in der Zusammenarbeit direkt dafür, dass Sie die Anforderungen von TISAX® zum Datenschutz erfüllen. Dabei profitieren Sie vom umfangreichen Erfahrungswissen und den Best Practices unserer Berater.
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Roadmap: So erhalten Sie Ihr Label für ein erfolgreiches Assessment nach TISAX®
Diese Checkliste ist Ihr Guide, um das Label für eine erfolgreiche Zertifizierung nach TISAX® zu erhalten.
Jetzt kostenlos herunterladen