Informationssicherheit & Datenschutz

Im Zuge der Digitalisierung zählt die Informationssicherheit und der Schutz von Daten zu den wichtigsten Aufgaben im Unternehmen. Im Fokus steht nicht nur der Datenschutz. Mit unserer Themenseite möchten wir Ihnen einen Überblick über die Themen und die Zusammenhänge von Informationssicherheit, Datenschutz, DSGVO, ISO 27001, TISAX und Co. geben.

Wie kann Ihnen die new direction beim Thema Informationssicherheit weiterhelfen?

  • Sie möchten Ihre Geschäftsprozesse und Datensysteme auf Datensicherheit prüfen, wissen aber nicht, wie Sie vorzugehen haben?
  • Sie möchten mit Ihrem Unternehmen die TISAX-Zertifizierung bestehen?

  • Sie suchen nach einem externen Datenschutzbeauftragten, der sowohl das Thema Datenschutz als auch Informationssicherheit beherrscht?

Als Softwareentwicklungs- und Beratungsunternehmen verbinden wir Geschäftsprozesse mit Privacy By Design. Wir bringen das fachliche Know-how mit, welches Sie benötigen.

Rufen Sie uns direkt an und wir besprechen, wie wir Sie im Detail unterstützen können. Vereinbaren Sie dazu einen kostenlosen Beratungstermin

Haben Sie Fragen zur Informationssicherheit?

Unsere Experten erreichen Sie unter
+49 (0) 821 543 70 00

Was unterscheidet Datenschutz von Informationssicherheit?

Lassen Sie uns zunächst die Begrifflichkeit klären. Oft kommt es nämlich vor, dass Informationssicherheit und Datenschutz als Synonyme verwendet oder ihre Anwendungsgebiete verwechselt werden.

Die beiden Themen greifen ineinander, dabei ist die Informationssicherheit umfassender und lässt sich als übergeordnetes Thema bezeichnen, welches einige Punkte des Datenschutzes aufgreift. 

Im Detail beschrieben bedeuten die beiden Begriffe folgendes:

Bei der Informationssicherheit geht es um die Integrität, die Vertraulichkeit und Verfügbarkeit von Informationen im Unternehmen. Dabei können Unternehmen nach den eigenen Interessen Konzepte aufstellen und diese durchsetzen. Die Daten im System sollen auf diese Weise vor Zugriffen durch Unbefugte und vor Manipulation geschützt werden.

Beim Datenschutz spielen ausschließlich Daten mit Personenbezug eine Rolle. Die Anforderungen hierbei sind gesetzlich vorgeschrieben, so dass sich Unternehmen an strikte Vorgaben halten müssen. Diese wurden zuletzt durch die Einführung der DSGVO verschärft.

Da im Umgang mit Kunden, Mandanten oder Patienten oftmals personenbezogene Daten erhoben und gespeichert werden, greifen die Anforderungen von Datensicherheit und Datenschutz gleichermaßen.

Informationssicherheit und Datenschutz verfolgen zu 80% die gleichen Ziele. Der Unterschied liegt in der Datenminimierung (Datenschutz) und Datensammlung (Informationssicherheit).

Die große Herausforderung ist das Einhalten von gesetzlichen Vorgaben, gegenüber dem Durchsetzen von Eigeninteressen des Unternehmens. 

Informationssicherheit für KMU

Als new direction beraten wir vor allem KMU-Unternehmen zur zielführenden Umsetzung der Informationssicherheit.

Wird über Informationssicherheit gesprochen, kommt immer die Norm ISO 27001 ins Spiel. Diese kann grundsätzlich für jedes Unternehmen angewandt werden, doch in der Automobilindustrie wurde die Anwendung nochmal spezifiziert.

TISAX, steht für Trusted Information Security Assessment Exchange und ist eine seit 2017 durch den Branchenverband VDA eingeführter Standard der Informationssicherheit im deutschen Automobilsektor. 

Von der ISO/IEC 27001 zur TISAX Zertifizierung

Bei der ISO 27001 handelt es sich um die international anerkannte Norm, die branchenübergreifend für Informationssicherheit steht. Die Automobilindustrie ist mit einer eigenen Zertifizierung noch einen Schritt weitergegangen, denn in der ISO 27001 waren einige für die Automobilindustrie spezifische und essenzielle Punkte nicht beachtet worden.

Die Anforderungen an den Produktschutz in der deutschen Automobilindustrie sind durch die ISO-Norm nicht berücksichtigt. Das bezieht sich insbesondere auf den Schutz von Designs, Prototypen und Fahrzeugkomponenten.

Mit der TISAX lassen sich auch diese Bereiche abdecken. Zudem hat die TISAX-Zertifizierung ein einfacheres Prüfverfahren, als die ISO-Norm in Kombination mit weiteren Tests.

Das TISAX-Modell zeichnet sich demnach durch folgende Punkte aus:

  • Reduzierung des Prüfaufwands zur Informationssicherheit für Kunden und Lieferanten
  • Allgemeiner Prüfstandard VDA-ISA zur Sicherstellung brancheneinheitlicher Anforderungen
  • Branchenweites Vertrauen und Anerkennung der Prüfergebnisse
  • Vermeidung von Doppel- und Mehrfachprüfungen

So funktioniert das TISAX-Verfahren

1. Anmelden auf der TISAX-Plattform

Als Lieferant melden Sie sich auf der TISAX-Plattform der ENX Association an und geben Ihr Assessment-Level, also mit oder ohne Prototypenschutz usw. an. Über die Plattform können Sie im späteren Verlauf Ihre Ergebnisse einsehen. Die Plattform dient der Kontrolle, so dass die Prüfungen rechtens ablaufen.

2. Auswahl Prüfdienstleister und Prüfung

Die Überprüfung wird von einem akkreditierten Prüfdienstleister durchgeführt.

Die new direction unterstützt Sie bei der Wahl eines geeigneten Prüfdienstleisters.

Die Prüfung findet anschließend in zwei Schritten statt. Anhand des TISAX-Fragenkataloges wird eine Dokumentenprüfung (nicht vor Ort) durchgeführt. Das anschließende Assessment findet je nach Schutzbedarfskategorie vor Ort statt.

3. Besprechen des Zwischenberichts und Maßnahmen

Anhand eines Zwischenberichts werden mögliche Lücken besprochen und Maßnahmen zur Schließung vereinbart.

4. Umsetzen der Maßnahmen

Sofern Maßnahmen notwendig sind, wird ein Zeitraum vereinbart, in welchem die einzelnen Schritte umzusetzen sind. Nach Schließung der Lücken wird eine erneute Bedarfsprüfung veranstaltet.

5. Abschlussbericht und Ergebnisse hochladen

Das Ergebnis und der Abschlussbericht werden in der TISAX-Plattform hochgeladen. Dort können Sie diese als Lieferant einsehen. Die Prüfung ist für 3 Jahre gültig. Mit der Zertifizierung können Sie im Markt als TISAX-geprüfter Anbieter auftreten, das Siegel bzw. Prüflabel verwenden. Ihr Vorteil: sie sichern sich einen Wettbewerbsvorteil bei der Vergabe von Aufträgen und erhalten von Anfang an einen Vertrauensvorschuss in die Geschäftsbeziehungen.

Fragenkatalog: Das sind die Anforderungen von TISAX

Der Fragenkatalog „Information Security Assessment“ zur Informationssicherheitsbewertung dient zur Bestimmung des Zustandes Ihrer Informationssicherheit im Unternehmen. 

Dabei wird die Umsetzung mittels eines Reifegrad-Modells bewertet. Dieses Modell reicht von Level 0 bis Level 5 und geht dabei auf die einzelnen Anforderungen ein.

Basierend auf der ISO 27001:2013 mit zusätzlichen Controls für die Überprüfung des Information Security Management Systems (ISMS) wird der Fragenkatalog stets weiterentwickelt und aktualisiert. 

Den vollständigen Katalog können Sie sich bei der VDA herunterladen und bereits ein erstes Self-Assessment durchführen.

TISAX Workshop - Garantiert zur bestandenen Zertifizierung

In einem Workshop legen wir gemeinsam die idealen Grundlagen, damit Ihr Unternehmen die TISAX-Zertifizierung garantiert besteht.. Wir kommen dafür zu Ihnen vor Ort und erarbeiten mit Ihnen zusammen die wichtigsten Themen. Dazu zählen:

  • Die Vorstellung des Fragenkatalogs und auf was die Auditoren gezielt achten. Wir betrachten hier die Anforderungen und die geforderten Dokumente.
  • Durchleuchten der erforderlichen Prozesse im Unternehmen. Wir wissen aus Erfahrung, welche Prozesse unabdingbar sind und wie diese optimiert werden müssen.
  • Aufstellen eines Zeitplans gemäß der individuellen Anforderungen an die TISAX Zertifizierung.
  • TISAX auf Probe – wir klären was das für Sie bedeutet und wie die Zertifizierung durchgeführt wird.
Unser Workshop schafft einen Rundumblick welcher Aufwand im Rahmen der TISAX Zertifizierung auf Ihr Unternehmen zukommt und welche Ressourcen geplant werden müssen - kompakt und praxisnah!

Dauerhafte Begleitung mit unserer TISAX Beratung

Nach einem erfolgreichen Workshop ist die TISAX-Beratung für uns noch nicht abgeschlossen. Gemeinsam bringen wir Sie zur bestandenen Zertifizierung. Wir sind Ihr kompetenter Ansprechpartner für die einzelnen Schritte:

  • Gemeinsam erstellen wir eine GAP-Analyse, um strategische und operative Lücken systematisch zu erfassen
  • In einem Projektplan halten wir fest, welche Aufgaben für eine erfolgreiche TISAX-Zertifizierung anstehen
  • Wir legen einen klaren Zeitplan für die Umsetzung fest und sichern die Einhaltung der Ziele durch Controlling
  • In der Umsetzungsphase kümmern wir uns um die Prüfung der einzelnen Dokumente
  • Wir bereiten gemeinsam Ihr Unternehmens-Audit vor
  • Auf Wunsch begleiten wir Sie auch durch das Audit

Vereinbaren Sie für ein erstes Kennenlernen gerne ein unverbindliches Beratungsgespräch, in dem wir die gemeinsam ersten Schritte zu einer erfolgreichen Zertifizierung gehen.

TISAX-Beratung

Kontaktieren Sie uns jetzt für weitere Informationen über den TISAX-Workshop oder eine kostenlose und individuelle Beurteilung Ihrer Situation.
Hinweis zum Datenschutz

Datenschutz im Unternehmen

Wenn es um das Thema Datenschutz geht, ist das aktuelle Thema die DSGVO. Damit wurden gesetzliche Anforderungen geschaffen, um personenbezogenen Daten zu schützen. 

Die Anforderungen der DSGVO für Unternehmen

Seit Mai 2018 gilt die neue europaweite Datenschutzgrundverordnung. Diese verschärft gegenüber dem bis dahin geltenden Bundesdatenschutzgesetz den Umgang mit personenbezogenen Daten.

Zusammengefasst kommt es für Unternehmen bei der Einhaltung der DSGVO auf folgende Punkte an:

  • Status Quo prüfen - welche personenbezogenen Daten werden im Unternehmen verarbeitet? Wo besteht Handlungsbedarf?
  • Benennen eines Datenschutzbeauftragten, intern oder externe Beauftragung
  • Verfahrensverzeichnisse erstellen und Dokumentation der TOMS (technische und organisatorische Maßnahmen)
  • Prozesse definieren
  • Maßnahmen umsetzen

Wann ist ein externer Datenschutzbeauftragter notwendig und was sind seine Aufgaben?

Die DSGVO schreibt vor, dass es für Unternehmen, die personenbezogene Daten (von Mitarbeitern oder Kunden) automatisiert verarbeiten, Pflicht ist, einen Datenschutzbeauftragten zu bestellen. Die Ausnahme betrifft kleine Unternehmen. Diese Vorschrift gilt erst sofern mehr als 9 Personen im Unternehmen regelmäßig mit personenbezogenen Daten zu tun haben.

In größeren Unternehmen muss entweder ein Datenschutzbeauftragter intern benannt oder ein externer Datenschutzbeauftragter bestellt werden.

Zu den Aufgaben eines Datenschutzbeauftragten zählen:

  • Maßnahmen für das Einhalten der DSGVO aufstellen
  • Ansprechpartner für alle Fragen rund um den Datenschutz
  • Datenverarbeitung überwachen und Prozesse analysieren
  • Verfahrensverzeichnis prüfen
  • Mitarbeiter im Umgang mit personenbezogenen Daten schulen 

Vorteile eines externen Datenschutzbeauftragten

Sofern Sie als Unternehmen einen Datenschutzbeauftragten bestellen müssen, haben Sie zwei Möglichkeiten: 

  1. Sie benennen einen Mitarbeiter aus Ihrem Team, den Posten des Datenschutzbeauftragten zu übernehmen. Sie müssen diesen Mitarbeiter dann mit den notwendigen Schulungen weiterbilden und von seinen Ressourcen die erforderliche Zeit für Datenschutzaufgaben reservieren.
  2. Sie bestellen einen externen Datenschutzbeauftragten, der das notwendige Fachwissen bereits mitbringt und zudem weitaus mehr Erfahrung aus unterschiedlichen Projekten einbringen kann.

Neben dem Fachwissen hat die zweite Möglichkeit eines externen Datenschutzbeauftragten weitere Vorteile für Ihr Unternehmen:

  • Zertifizierte Handlungen können sofort angefangen werden
  • Transparente Kosten für das Unternehmen
  • Stellvertretung ist sichergestellt
  • Abbestellung je nach Vertrag möglich
  • Keine Interessenkonflikte im Unternehmen
  • Keine Bindung von Unternehmensressourcen

Wir betreuen Sie zum Thema Datenschutz

Neben unserem Wissen zur Informationssicherheit haben wir bei der new direction auch die Expertise zum Thema Datenschutz. Das bietet Ihnen die Möglichkeit, alles aus einer Hand zu bekommen.

Sichern Sie sich Ihr unverbindliches Erstgespräch und wir beraten Sie, welche Anforderungen für Ihr Unternehmen umgesetzt werden müssen. 

Kostenlose Beratung

Melden Sie sich jetzt und wir vereinbaren einen unverbindlichen Beratungstermin mit Ihnen.
Unverbindliche Beratung?
Vereinbaren Sie jetzt einen Termin.
Termin