TISAX Schulung: E-Learning für Mitarbeitende

Veröffentlicht 15.07.2022
Geschätzte Lesezeit 4 Min.

Marvin Gebicke Chief Operating Officer (COO) Mitarbeiterschule GmbH

Urkunde Zertifizierung

Zur Einhaltung der TISAX-Zertifizierung, welchen von den großen deutschen Automobilherstellern und damit auch den Automobilzulieferern gefordert wird, ist es notwendig, alle Beschäftigten wirksam zu schulen. Hierbei geht es im Fokus um die Sensibilisierung von Themen der Informationssicherheit und des Datenschutzes.

Insbesondere die Covid-19-Pandemie hat noch einmal verdeutlicht, welche enormen Organisationsaufwände und Restriktionen auf Unternehmen für Veranstaltungen zu Schulungszwecken zukommen. Umso mehr ist es heute wirtschaftlicher und effizienter, jährliche Unterweisungen digital über E-Learning-Plattformen abzubilden. Nun bietet die d.velop AG in Kooperation mit der Mitarbeiterschule GmbH (App-Builder) ein maßgeschneidertes E-Learning für die regelmäßige Sensibilisierung der Beschäftigten an, um die Einhaltung der TISAX-Vorgaben einfach, rechtssicher und intelligent darzustellen.

Warum brauchen Unternehmen das TISAX E-Learning?

Der automotive-spezifische Standard „Trusted Information Security Assessment Exchange“ (kurz: TISAX) fordert im Rahmen des VDA-ISA-Prüfungskatalogs den Nachweis zu wirksamen Schulungen der Beschäftigten zur Informationssicherheit und dem Datenschutz. Beim „VDA Information Security Assessment“ (kurz: VDA-ISA) handelt es sich um einen standardisierten Fragenkatalog mit zusätzlichen Abfragen für die Überprüfung des „Information Security Management Systems“ (kurz: ISMS). Insgesamt thematisiert dieser Fragenkatalog drei Teilbereiche:

  • Informationssicherheit
  • Datenschutz und
  • Prototypenschutz

So existieren innerhalb von TISAX grundlegend drei Assessment Level. Das Level orientiert sich an dem notwendigen Schutzbedarf der Informationen, die zwischen den einzelnen Unternehmen ausgetauscht werden. Je nachdem, ob der Schutzbedarf der Information als

  1. normal (Level 1)
  2. hoch (Level 2) oder
  3. sehr hoch (Level 3)

eingestuft wird, sind andere Methoden und Aufwände für die Prüfung von Bedeutung. Der Prüfungskatalog wird ab dem Schutzbedarf Assessment Level 2 auch von externen Prüfungsdienstleistern bei den betroffenen Unternehmen auf Plausibilität geprüft, weshalb Schulungen ab diesem Level umso wichtiger sind.

Somit müssen TISAX-zertifizierte Unternehmen die absolvierte Schulung pro Beschäftigten nachweisen können. Das erfordert eine Übersicht aller Nachweise der absolvierten Schulungen sowie einen schnellen Zugriff auf Fortschrittsdaten einer Schulung, denn grundsätzlich zielt eine TISAX-Zertifizierung darauf ab, die Integrität des Informationssicherheitssystems eines Unternehmens zu gewährleisten.

Wo genau findet sich die Regelung, dass Schulungen durchgeführt werden müssen?

Um die TISAX-Zertifizierung zu erhalten, müssen Unternehmen sämtliche Anforderungen erfüllen, die im VDA-ISA-Prüfungskatalog definiert worden sind. Dazu zählt auch die Pflicht zur Schulungsdurchführung der Mitarbeiter:innen. Die Schulung soll gewährleisten, dass alle Mitarbeiter:innen für Risiken und Gefahren hinsichtlich des Datenschutzes und der Informationssicherheit sensibilisiert werden und diese minimieren oder gänzlich vermeiden.

Wer muss alles geschult werden?

Um eine angemessene Sensibilisierung zu erreichen, sollten grundsätzlich alle Mitarbeiter:innen von Unternehmen, die Informationen mit einem hohen Schutzbedarf (Level 2) oder sehr hohem Schutzbedarf (Level 3) erhalten, geschult werden. Dazu zählen insbesondere

  • neue Mitarbeiter:innen,
  • Administrator:innen,
  • Mitarbeiter:innen mit Zugang zu Kundennetzwerken
  • Projektbeteiligte

Um eine angemessene und den Vorgaben entsprechende Sensibilisierung zu gewährleisten, sollte die Schulung außerdem regelmäßig (jährlich) absolviert werden, denn sensibilisierte Mitarbeiter:innen stellen eine wichtige Säule für die Informationssicherheit im Unternehmen dar.

Was ist die Konsequenz, wenn keine passende Schulung nachgewiesen werden kann?

Im Falle eines fehlenden Schulungsnachweises durch bspw. die Durchführung einer unzureichenden Schulung droht die Konsequenz der nicht Zertifizierung des Unternehmens sowie ein möglicher Verstoß gegen die DSGVO (Art. 32 Abs. 1 lit. b) DSGVO i.V.m. Art. 39 DSGVO). Eine Nichterfüllung der TISAX-Standards führt in erster Linie dazu, dass ein Unternehmen für Automobilhersteller und -lieferanten als nicht mehr beauftragungsfähig gilt, da die meisten eine Zertifizierung voraussetzen.

Auch werden bestehende Beauftragungen sukzessiv auf die TISAX-Konformität überprüft. So kann ein Nichtvorhandensein der TISAX-Zertifizierung einen existenzbedrohenden Faktor für das Unternehmen darstellen. Ein Verstoß gegen datenschutzrechtliche Bestimmungen wie Art. 32 Abs. 1 lit. b) DSGVO können gem. Art. 83 Abs. 4 DSGVO zu Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres führen sowie Reputationsschäden verursachen. TISAX ist somit ein relevanter Wettbewerbsfaktor, wobei es auch von Bedeutung ist, sich proaktiv zu zertifizieren und die eigenen Mitarbeiter:innen dementsprechend zu schulen.

Was thematisiert die TISAX Schulung?

Die vielfältigen Anforderungen aus dem TISAX-Umfeld können nun mit dem TISAX E-Learning zentral erfüllt werden. Das TISAX E-Learning besteht hierbei aus zwei Schulungen:

1. Datenschutz Basic Schulung

In der Datenschutz-Basic-Schulung erfahren Ihre Mitarbeiter:innen in unter 30 Minuten die wichtigsten Grundlagen im Datenschutz – praxisnah, informativ und rechtssicher. Dazu zählen grundlegende Themen wie der Begriffsinhalt des Datenschutzes, Definitionen der relevanten Thermina und Verfahren (personenbezogene Daten, Verarbeitung, Auftragsverarbeitung etc.) und Erläuterungen, wie die rechtlichen Vorgaben der DSGVO eingehalten werden können. Zudem wird auch der Umgang mit personenbezogenen Daten und das Verhalten der Mitarbeiter:innen im Falle einer Datenpanne oder einer Betroffenenanfrage thematisiert.

2. IT-Sicherheit Kurs

Mitarbeiter:innen erlernen in unter 60 Minuten auf didaktisch wirksame Art und Weise die wichtigsten Angriffsarten wie Phishing, Ransomware, Trojaner und Social Engineering zu erkennen. Weiterhin erfahren Mitarbeiter:innen mit qualitativen Tipps von IT-Experten:innen, wie sie sich konkret im beruflichen Alltag davor schützen können. Dazu thematisiert der IT-Sicherheitskurs Grundlagen der IT bzw. der Informationssicherheit. Darauf aufbauend werden die relevanten Verhaltensweisen und Umgangsempfehlungen genannt, wie etwa der richtige Umgang mit Daten auf mobilen Endgeräten im Falle von z.B. Remote-Work.

E-Learning TISAX Paket: Datenschutz (DSGVO) & IT-Sicherheit (ISO 27001)