Informationssicherheit & Datenschutz

Lassen Sie uns zunächst die Begrifflichkeit klären. Oft kommt es nämlich vor, dass Informationssicherheit und Datenschutz als Synonyme verwendet oder ihre Anwendungsgebiete verwechselt werden.

Die beiden Themen greifen ineinander, dabei ist die Informationssicherheit umfassender und lässt sich als übergeordnetes Thema bezeichnen, welches einige Punkte des Datenschutzes aufgreift. 

Im Detail beschrieben bedeuten die beiden Begriffe folgendes:

Bei der Informationssicherheit geht es um die Integrität, die Vertraulichkeit und Verfügbarkeit von Informationen im Unternehmen. Dabei können Unternehmen nach den eigenen Interessen Konzepte aufstellen und diese durchsetzen. Die Daten im System sollen auf diese Weise vor Zugriffen durch Unbefugte und vor Manipulation geschützt werden.

Beim Datenschutz spielen ausschließlich Daten mit Personenbezug eine Rolle. Die Anforderungen hierbei sind gesetzlich vorgeschrieben, so dass sich Unternehmen an strikte Vorgaben halten müssen. Diese wurden zuletzt durch die Einführung der DSGVO verschärft.

Da im Umgang mit Kunden, Mandanten oder Patienten oftmals personenbezogene Daten erhoben und gespeichert werden, greifen die Anforderungen von Datensicherheit und Datenschutz gleichermaßen.

Informationssicherheit und Datenschutz verfolgen zu 80% die gleichen Ziele. Der Unterschied liegt in der Datenminimierung (Datenschutz) und Datensammlung (Informationssicherheit).

Die große Herausforderung ist das Einhalten von gesetzlichen Vorgaben, gegenüber dem Durchsetzen von Eigeninteressen des Unternehmens. 

Als new direction beraten wir vor allem KMU-Unternehmen zur zielführenden Umsetzung der Informationssicherheit.

Wird über Informationssicherheit gesprochen, kommt immer die Norm ISO 27001 ins Spiel. Diese kann grundsätzlich für jedes Unternehmen angewandt werden, doch in der Automobilindustrie wurde die Anwendung nochmal spezifiziert.

TISAX, steht für Trusted Information Security Assessment Exchange und ist eine seit 2017 durch den Branchenverband VDA eingeführter Standard der Informationssicherheit im deutschen Automobilsektor. 

Bei der ISO 27001 handelt es sich um die international anerkannte Norm, die branchenübergreifend für Informationssicherheit steht. Die Automobilindustrie ist mit einer eigenen Zertifizierung noch einen Schritt weitergegangen, denn in der ISO 27001 waren einige für die Automobilindustrie spezifische und essenzielle Punkte nicht beachtet worden.

Die Anforderungen an den Produktschutz in der deutschen Automobilindustrie sind durch die ISO-Norm nicht berücksichtigt. Das bezieht sich insbesondere auf den Schutz von Designs, Prototypen und Fahrzeugkomponenten.

Mit der TISAX lassen sich auch diese Bereiche abdecken. Zudem hat die TISAX-Zertifizierung ein einfacheres Prüfverfahren, als die ISO-Norm in Kombination mit weiteren Tests.

Das TISAX-Modell zeichnet sich demnach durch folgende Punkte aus:

• Reduzierung des Prüfaufwands zur Informationssicherheit für Kunden und Lieferanten
• Allgemeiner Prüfstandard VDA-ISA zur Sicherstellung brancheneinheitlicher Anforderungen
• Branchenweites Vertrauen und Anerkennung der Prüfergebnisse
• Vermeidung von Doppel- und Mehrfachprüfungen

1. Anmelden auf der TISAX-Plattform

Als Lieferant melden Sie sich auf der TISAX-Plattform der ENX Association an und geben Ihr Assessment-Level, also mit oder ohne Prototypenschutz usw. an. Über die Plattform können Sie im späteren Verlauf Ihre Ergebnisse einsehen. Die Plattform dient der Kontrolle, so dass die Prüfungen rechtens ablaufen.

2. Auswahl Prüfdienstleister und Prüfung

Die Überprüfung wird von einem akkreditierten Prüfdienstleister durchgeführt.

Die new direction unterstützt Sie bei der Wahl eines geeigneten Prüfdienstleisters.

Die Prüfung findet anschließend in zwei Schritten statt. Anhand des TISAX-Fragenkataloges wird eine Dokumentenprüfung (nicht vor Ort) durchgeführt. Das anschließende Assessment findet je nach Schutzbedarfskategorie vor Ort statt.

3. Besprechen des Zwischenberichts und Maßnahmen

Anhand eines Zwischenberichts werden mögliche Lücken besprochen und Maßnahmen zur Schließung vereinbart.

4. Umsetzen der Maßnahmen

Sofern Maßnahmen notwendig sind, wird ein Zeitraum vereinbart, in welchem die einzelnen Schritte umzusetzen sind. Nach Schließung der Lücken wird eine erneute Bedarfsprüfung veranstaltet.

5. Abschlussbericht und Ergebnisse hochladen

Das Ergebnis und der Abschlussbericht werden in der TISAX-Plattform hochgeladen. Dort können Sie diese als Lieferant einsehen. Die Prüfung ist für 3 Jahre gültig. Mit der Zertifizierung können Sie im Markt als TISAX-geprüfter Anbieter auftreten, das Siegel bzw. Prüflabel verwenden. Ihr Vorteil: sie sichern sich einen Wettbewerbsvorteil bei der Vergabe von Aufträgen und erhalten von Anfang an einen Vertrauensvorschuss in die Geschäftsbeziehungen.

Der Fragenkatalog „Information Security Assessment“ zur Informationssicherheitsbewertung dient zur Bestimmung des Zustandes Ihrer Informationssicherheit im Unternehmen. 

Dabei wird die Umsetzung mittels eines Reifegrad-Modells bewertet. Dieses Modell reicht von Level 0 bis Level 5 und geht dabei auf die einzelnen Anforderungen ein.

Basierend auf der ISO 27001:2013 mit zusätzlichen Controls für die Überprüfung des Information Security Management Systems (ISMS) wird der Fragenkatalog stets weiterentwickelt und aktualisiert. 

Den vollständigen Katalog können Sie sich bei der VDA herunterladen und bereits ein erstes Self-Assessment durchführen.

In einem Workshop legen wir gemeinsam die idealen Grundlagen, damit Ihr Unternehmen die TISAX-Zertifizierung garantiert besteht.. Wir kommen dafür zu Ihnen vor Ort und erarbeiten mit Ihnen zusammen die wichtigsten Themen. Dazu zählen:

• Die Vorstellung des Fragenkatalogs und auf was die Auditoren gezielt achten. Wir betrachten hier die Anforderungen und die geforderten Dokumente.
• Durchleuchten der erforderlichen Prozesse im Unternehmen. Wir wissen aus Erfahrung, welche Prozesse unabdingbar sind und wie diese optimiert werden müssen.
• Aufstellen eines Zeitplans gemäß der individuellen Anforderungen an die TISAX Zertifizierung.
• TISAX auf Probe – wir klären was das für Sie bedeutet und wie die Zertifizierung durchgeführt wird.

Nach einem erfolgreichen Workshop ist die TISAX-Beratung für uns noch nicht abgeschlossen. Gemeinsam bringen wir Sie zur bestandenen Zertifizierung. Wir sind Ihr kompetenter Ansprechpartner für die einzelnen Schritte:

• Gemeinsam erstellen wir eine GAP-Analyse, um strategische und operative Lücken systematisch zu erfassen
• In einem Projektplan halten wir fest, welche Aufgaben für eine erfolgreiche TISAX-Zertifizierung anstehen
• Wir legen einen klaren Zeitplan für die Umsetzung fest und sichern die Einhaltung der Ziele durch Controlling
• In der Umsetzungsphase kümmern wir uns um die Prüfung der einzelnen Dokumente
• Wir bereiten gemeinsam Ihr Unternehmens-Audit vor
• Auf Wunsch begleiten wir Sie auch durch das Audit

Vereinbaren Sie für ein erstes Kennenlernen gerne ein unverbindliches Beratungsgespräch, in dem wir die gemeinsam ersten Schritte zu einer erfolgreichen Zertifizierung gehen.

Seit Mai 2018 gilt die neue europaweite Datenschutzgrundverordnung. Diese verschärft gegenüber dem bis dahin geltenden Bundesdatenschutzgesetz den Umgang mit personenbezogenen Daten.

Zusammengefasst kommt es für Unternehmen bei der Einhaltung der DSGVO auf folgende Punkte an:

• Status Quo prüfen - welche personenbezogenen Daten werden im Unternehmen verarbeitet? Wo besteht Handlungsbedarf?
• Benennen eines Datenschutzbeauftragten, intern oder externe Beauftragung
• Verfahrensverzeichnisse erstellen und Dokumentation der TOMS (technische und organisatorische Maßnahmen)
• Prozesse definieren
• Maßnahmen umsetzen

Die DSGVO schreibt vor, dass es für Unternehmen, die personenbezogene Daten (von Mitarbeitern oder Kunden) automatisiert verarbeiten, Pflicht ist, einen Datenschutzbeauftragten zu bestellen. Die Ausnahme betrifft kleine Unternehmen. Diese Vorschrift gilt erst sofern mehr als 9 Personen im Unternehmen regelmäßig mit personenbezogenen Daten zu tun haben.

In größeren Unternehmen muss entweder ein Datenschutzbeauftragter intern benannt oder ein externer Datenschutzbeauftragter bestellt werden.

Zu den Aufgaben eines Datenschutzbeauftragten zählen:

• Maßnahmen für das Einhalten der DSGVO aufstellen
• Ansprechpartner für alle Fragen rund um den Datenschutz
• Datenverarbeitung überwachen und Prozesse analysieren
• Verfahrensverzeichnis prüfen
• Mitarbeiter im Umgang mit personenbezogenen Daten schulen 

Sofern Sie als Unternehmen einen Datenschutzbeauftragten bestellen müssen, haben Sie zwei Möglichkeiten: 

1. Sie benennen einen Mitarbeiter aus Ihrem Team, den Posten des Datenschutzbeauftragten zu übernehmen. Sie müssen diesen Mitarbeiter dann mit den notwendigen Schulungen weiterbilden und von seinen Ressourcen die erforderliche Zeit für Datenschutzaufgaben reservieren.
2. Sie bestellen einen externen Datenschutzbeauftragten, der das notwendige Fachwissen bereits mitbringt und zudem weitaus mehr Erfahrung aus unterschiedlichen Projekten einbringen kann.

Neben dem Fachwissen hat die zweite Möglichkeit eines externen Datenschutzbeauftragten weitere Vorteile für Ihr Unternehmen:

• Zertifizierte Handlungen können sofort angefangen werden
• Transparente Kosten für das Unternehmen
• Stellvertretung ist sichergestellt
• Abbestellung je nach Vertrag möglich
• Keine Interessenkonflikte im Unternehmen
• Keine Bindung von Unternehmensressourcen

Neben unserem Wissen zur Informationssicherheit haben wir bei der new direction auch die Expertise zum Thema Datenschutz. Das bietet Ihnen die Möglichkeit, alles aus einer Hand zu bekommen.

Sichern Sie sich Ihr unverbindliches Erstgespräch und wir beraten Sie, welche Anforderungen für Ihr Unternehmen umgesetzt werden müssen.