Zur Einhaltung der TISAX®-Zertifizierung, welche von den großen deutschen Automobilherstellern und damit auch den Automobilzulieferern gefordert wird, ist es notwendig, alle Beschäftigten wirksam zu schulen. Hierbei geht es im Fokus um die Sensibilisierung von Themen der Informationssicherheit und des Datenschutzes.
Insbesondere die Covid-19-Pandemie hat noch einmal verdeutlicht, welche enormen Organisationsaufwände und Restriktionen auf Unternehmen für Veranstaltungen zu Schulungszwecken zukommen. Umso mehr ist es heute wirtschaftlicher und effizienter, jährliche Unterweisungen digital über E-Learning-Plattformen abzubilden. Nun bietet die d.velop AG in Kooperation mit der Mitarbeiterschule GmbH (App-Builder) ein maßgeschneidertes E-Learning für die regelmäßige Sensibilisierung der Beschäftigten an, um die Einhaltung der TISAX®-Vorgaben einfach, rechtssicher und intelligent darzustellen.
Warum brauchen Unternehmen ein E-Learning zur Erlandungung und Einhaltung der TISAX®-Zertifizierung?
Der automotive-spezifische Standard „Trusted Information Security Assessment Exchange“ (kurz: TISAX®) fordert im Rahmen des VDA-ISA-Prüfungskatalogs den Nachweis zu wirksamen Schulungen der Beschäftigten zur Informationssicherheit und dem Datenschutz. Beim „VDA Information Security Assessment“ (kurz: VDA-ISA) handelt es sich um einen standardisierten Fragenkatalog mit zusätzlichen Abfragen für die Überprüfung des „Information Security Management Systems“ (kurz: ISMS). Insgesamt thematisiert dieser Fragenkatalog drei Teilbereiche:
- Informationssicherheit
- Datenschutz und
- Prototypenschutz
So existieren innerhalb von TISAX® grundlegend drei Assessment Level. Das Level orientiert sich an dem notwendigen Schutzbedarf der Informationen, die zwischen den einzelnen Unternehmen ausgetauscht werden. Je nachdem, ob der Schutzbedarf der Information als
- normal (Level 1)
- hoch (Level 2) oder
- sehr hoch (Level 3)
eingestuft wird, sind andere Methoden und Aufwände für die Prüfung von Bedeutung. Der Prüfungskatalog wird ab dem Schutzbedarf Assessment Level 2 auch von externen Prüfungsdienstleistern bei den betroffenen Unternehmen auf Plausibilität geprüft, weshalb Schulungen ab diesem Level umso wichtiger sind.
Somit müssen TISAX®-zertifizierte Unternehmen die absolvierte Schulung pro Beschäftigten nachweisen können. Das erfordert eine Übersicht aller Nachweise der absolvierten Schulungen sowie einen schnellen Zugriff auf Fortschrittsdaten einer Schulung, denn grundsätzlich zielt eine TISAX®-Zertifizierung darauf ab, die Integrität des Informationssicherheitssystems eines Unternehmens zu gewährleisten.
Wo genau findet sich die Regelung, dass Schulungen durchgeführt werden müssen?
Um die TISAX®-Zertifizierung zu erhalten, müssen Unternehmen sämtliche Anforderungen erfüllen, die im VDA-ISA-Prüfungskatalog definiert worden sind. Dazu zählt auch die Pflicht zur Schulungsdurchführung der Mitarbeiter:innen. Die Schulung soll gewährleisten, dass alle Mitarbeiter:innen für Risiken und Gefahren hinsichtlich des Datenschutzes und der Informationssicherheit sensibilisiert werden und diese minimieren oder gänzlich vermeiden.
Wer muss alles geschult werden?
Um eine angemessene Sensibilisierung zu erreichen, sollten grundsätzlich alle Mitarbeiter:innen von Unternehmen, die Informationen mit einem hohen Schutzbedarf (Level 2) oder sehr hohem Schutzbedarf (Level 3) erhalten, geschult werden. Dazu zählen insbesondere
- neue Mitarbeiter:innen,
- Administrator:innen,
- Mitarbeiter:innen mit Zugang zu Kundennetzwerken
- Projektbeteiligte
Um eine angemessene und den Vorgaben entsprechende Sensibilisierung zu gewährleisten, sollte die Schulung außerdem regelmäßig (jährlich) absolviert werden, denn sensibilisierte Mitarbeiter:innen stellen eine wichtige Säule für die Informationssicherheit im Unternehmen dar.
Was ist die Konsequenz, wenn keine passende Schulung nachgewiesen werden kann?
Im Falle eines fehlenden Schulungsnachweises durch bspw. die Durchführung einer unzureichenden Schulung droht die Konsequenz der nicht Zertifizierung des Unternehmens sowie ein möglicher Verstoß gegen die DSGVO (Art. 32 Abs. 1 lit. b) DSGVO i.V.m. Art. 39 DSGVO). Eine Nichterfüllung der TISAX®-Standards führt in erster Linie dazu, dass ein Unternehmen für Automobilhersteller und -lieferanten als nicht mehr beauftragungsfähig gilt, da die meisten eine Zertifizierung voraussetzen.
Auch werden bestehende Beauftragungen sukzessiv auf die TISAX®-Konformität überprüft. So kann ein Nichtvorhandensein der TISAX®-Zertifizierung einen existenzbedrohenden Faktor für das Unternehmen darstellen. Ein Verstoß gegen datenschutzrechtliche Bestimmungen wie Art. 32 Abs. 1 lit. b) DSGVO können gem. Art. 83 Abs. 4 DSGVO zu Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres führen sowie Reputationsschäden verursachen. TISAX® ist somit ein relevanter Wettbewerbsfaktor, wobei es auch von Bedeutung ist, sich proaktiv zu zertifizieren und die eigenen Mitarbeiter:innen dementsprechend zu schulen.
Was thematisiert die Schulung zur Erlangung und Erhaltung der TISAX®-Zertifizierung?
Die vielfältigen Anforderungen aus dem TISAX®-Umfeld können nun in einem E-Learning zu TISAX® zentral erfüllt werden. Das E-Learning besteht hierbei aus zwei Schulungen:
1. Datenschutz Basic Schulung
In der Datenschutz-Basic-Schulung erfahren Ihre Mitarbeiter:innen in unter 30 Minuten die wichtigsten Grundlagen im Datenschutz – praxisnah, informativ und rechtssicher. Dazu zählen grundlegende Themen wie der Begriffsinhalt des Datenschutzes, Definitionen der relevanten Thermina und Verfahren (personenbezogene Daten, Verarbeitung, Auftragsverarbeitung etc.) und Erläuterungen, wie die rechtlichen Vorgaben der DSGVO eingehalten werden können. Zudem wird auch der Umgang mit personenbezogenen Daten und das Verhalten der Mitarbeiter:innen im Falle einer Datenpanne oder einer Betroffenenanfrage thematisiert.
2. IT-Sicherheit Kurs
Mitarbeiter:innen erlernen in unter 60 Minuten auf didaktisch wirksame Art und Weise die wichtigsten Angriffsarten wie Phishing, Ransomware, Trojaner und Social Engineering zu erkennen. Weiterhin erfahren Mitarbeiter:innen mit qualitativen Tipps von IT-Experten:innen, wie sie sich konkret im beruflichen Alltag davor schützen können. Dazu thematisiert der IT-Sicherheitskurs Grundlagen der IT bzw. der Informationssicherheit. Darauf aufbauend werden die relevanten Verhaltensweisen und Umgangsempfehlungen genannt, wie etwa der richtige Umgang mit Daten auf mobilen Endgeräten im Falle von z.B. Remote-Work.
Vorteile einer E-Learning-Plattform
Für die Mitarbeiter:innen ist es in der Praxis schwer, stets auf dem neusten Stand bezüglich der diversen Richtlinien und Normen zu sein, die im Unternehmen umgesetzt werden. Eine E-Learning-Plattform erleichtert den Kolleg:innen diese Aufgabe in dem beispielsweise Online-Workshops, Webinare, Erklärvideos und Schulungen über das Learning-Management-System zur Verfügung gestellt werden. Die Nutzung einer E-Learning-Plattform hat viele Vorteile, die wir im Folgenden auflisten:
- Wissen verfügbar machen
- Selbstbestimmendes Lernen jederzeit
- Geringe Schulungskosten
- Reduzierter Schulungsaufwand
- Gamification
- Effizientes und nachhaltiges Lernen
- Qualitätsstandard gewährleisten
- Personalentwicklung beschleunigen
Wenn auch du deine Mitarbeiter:innen zu dem Automotive-spezifischen TISAX®-Standard schulen musst, dann sieh dir unser Webinar an. Dort erhältst du Einblicke in die E-Learning-Plattform und erfährst, wie auch du mit einer eigenen Schulungsplattform starten kannst.
E-Learning in der Automobilbranche am Beispiel des TISAX®-Standards
Hinweis: TISAX® ist eine eingetragene Marke der ENX Association. Die d.velop AG steht in keiner geschäftlichen Beziehung zu ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistung verbunden.