Zwei Jahre TISAX & DSGVO. Das Fazit.
18.09.2018
Unternehmen, Wirtschaft & Finanzen
Datenschutz (https://www.nextwork.de/datenschutz-und-datenschutzmanagement-dsgvo/) und Informationssicherheit (https://www.nextwork.de/tisax/). Beides Themen, die schon allein vom Wort her nach viel Arbeit und wenig Freude klingen - und für die sich daher kaum einer freiwillig interessiert. Dazu dann die reellen Anforderungen und die inhaltliche Komplexität, die im ersten Moment verwirren und verunsichern können. Aber Tatsache ist: niemand kommt mehr daran vorbei. Welche Erfahrungen gibt es mittlerweile aus DSGVO- und TISAX-Projekten? Welche Irrtümer und Fehler passieren oft? Und welchen Nutzen kann ich als Unternehmen daraus ziehen? Nach zwei Jahren intensiver Zusammenarbeit mit kleinen und großen Kunden in unterschiedlichen quer durch Deutschland ziehen wir von nextwork (https://www.nextwork.de) ein erstes Fazit.
Was sind das eigentlich für Kunden?
Und in welcher Situation rufen sie bei uns an?
"Der Einkauf von unserem Automobilkunden fordert jetzt TISAX" oder "Unser Auftraggeber hat uns drei verschiedene Datenschutz-Fragebögen geschickt" - in dieser konkreten Situation kommen unsere Kunden auf uns zu, und oft ist auch schon Druck auf dem Kessel. Mittlerweile betrifft es quer durch die Bank alle Unternehmen und Branchen. Besonders auch für das Thema TISAX gilt: Wer mit der Automobilbranche zu tun hat, kann inzwischen täglich mit einem Aufruf zum Audit rechnen. Das Spektrum umfasst in unseren Projekten Motorenentwickler, Ingenieurbüros, KfZ-Klimatechniker, Event- und Kreativagenturen, Prototypenbauer und -tester sowie Stahlbau-Unternehmen. Auch alle Unternehmensgrößen sind dabei, von 10 bis mehreren Tausend Mitarbeitern ist alles dabei. TISAX und DSGVO betrifft alle, und alle müssen für sich die Frage beantworten, wo sie stehen, wie sie die Auflagen erfüllen und in die Unternehmenskultur integrieren können.
Was sind die fünf größten Irrtümer - und was die Lösung?
Mittlerweile gibt es viele Erfahrungswerte auf Seiten der Unternehmen. Dennoch ist es erstaunlich, wie viele Irrtümer und Fehleinschätzungen sich zu den Themen TISAX und DSGVO hartnäckig halten. Hier die beliebtesten fünf - und erst danach unser Lösungsansatz.
1. Es ist KEIN IT-Projekt
In 90% aller Fälle landen diese Themen beim Chef der IT-Abteilung (https://www.nextwork.de/zukunftsorientierte-it-beratung/). Dort ist das Thema allerdings ganz falsch aufgehängt. Das wird auch der IT-Chef merken, nachdem er sich die Anforderungen eines TISAX-Audits angeschaut hat. Er wird das Thema nicht lösen können. Informationssicherheit und Datenschutz betreffen jeden Bereichs des Unternehmens: die Geschäftsführung, Human Resources, die Legal Abteilung, Controlling und jeden einzelnen Mitarbeiter.
Lösung: Das Thema ist von Anfang an ein Chef-Thema und ist nur in der Geschäftsführung richtig aufgehängt. Um ihn herum baut ihr eine Task-Force auf, ein internes Team, das sich dauerhaft um die Aufgaben kümmert.
2. Man kann es nicht outsourcen
Das Unternehmen kann diese Aufgabe nicht komplett an ein externes Unternehmen übertragen, das sich "damit auskennt" und sich "um alles kümmert", nach dem Motto, "Macht, dass wir TISAX haben." Es passiert jedoch nichtdestotrotz, vor allem, weil die Verantwortlichen am liebsten nichts mit der Sache zu tun haben wollen und schlicht und ergreifend genug anderes zu tun haben. Dies wird nicht funktionieren, denn TISAX und DSGVO haben zu viel mit den internen Prozessen zu tun.
Lösung: Statt das Thema "über den Zaun" zu einem externen Profi zu werfen, sucht die enge Zusammenarbeit und Verzahnung Eures Unternehmen mit einem spezialisierten externen Profi, sozusagen eine "innen-außen"-Kooperation.
3. Nein, eine Firewall reicht nicht
"Wir haben jetzt dieses Angebot für eine neue Firewall eingeholt - das wird das Thema ja dann lösen, oder?" (Originalzitat). Ähm - nein. Wir haben noch keine Firewall gesehen, die technische, organisatorische und bauliche Maßnahmen umsetzt - und dann auch noch die Mitarbeiter schult.
Lösung: Siehe 1.
4. Ein Audit ist keine GAP-Analyse
Vor dem ersten Audit keine GAP Analyse zu machen, ist ein bisschen so, als würde ein Restaurant das Gesundheitsamt anrufen, ohne vorher die Küche zu putzen.
Lösung: Wenn ihr zusätzliche Prüfungsschleifen (und Kosten) vermeiden wollt, solltet ihr euch zuerst einen Überblick über den aktuellen Stand der eigenen Sicherheitsstandards verschaffen - mittels einer Gap-Analyse. So könnt ihr im Vorfeld schon Maßnahmen ergreifen, um die Anforderungen von TISAX und DSGVO zu erfüllen.
5. Es ist nicht mal eben gemacht und es ist nie zu Ende
Ok, geschafft. Audit bestanden. Aber das größte Problem kommt zum Schluss. Anders als beim Führerschein, mit dem man ein Leben lang fährt, muss der erlangte TISAX-Standard nicht nur erhalten, sondern sich nachweisbar verbessert werden - und das wird regelmäßig geprüft. Wenn man bei der viel härteren Re-Zertifizierung, in der Regel nach drei Jahren, keine Prüfprotokolle, Auditberichte und Dokumentation nachweisen kann, fällt man durch und verliert die Zertifizierung.
Lösung: Die interne, feste Taskforce kümmert sich gemeinsam mit dem ISB (Informationssicherheitsbeauftragten) und dem DSB (Datenschutzbeauftragten) ab sofort dauerhaft um das Thema, nicht, um es zu verwalten, sondern es weiter zu entwickeln.
tisax nextwork dsgvo informationssicherheit datenschutz TISAX informationssicherheitsbeauftragter isb dsb
https://www.nextwork.de/tisax
nextwork GmbH
Müllerstr. 42 80469 München
Pressekontakt
http://www.nextwork.de
nextwork GmbH
Müllerstr. 42 80569 München
Diese Pressemitteilung wurde über PR-Gateway veröffentlicht.
Für den Inhalt der Pressemeldung/News ist allein der Verfasser verantwortlich. Newsfenster.de distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.
Weitere Artikel von Marco Peters
13.08.2019 | Marco Peters
Neues Nextwork-Office: TISAX-zertifiziertes Arbeiten in Co-Working Space, Safe Room und Workshop-Räumen
Neues Nextwork-Office: TISAX-zertifiziertes Arbeiten in Co-Working Space, Safe Room und Workshop-Räumen
30.11.2018 | Marco Peters
Über Weihnachtskarten, X-Mas E-Mails und die Frage, ob die DSGVO der Grinch ist, der die Weihnachtswünsche stiehlt
Über Weihnachtskarten, X-Mas E-Mails und die Frage, ob die DSGVO der Grinch ist, der die Weihnachtswünsche stiehlt
21.11.2018 | Marco Peters
Buchvorstellung: Quick Guide DSGVO und TISAX
Buchvorstellung: Quick Guide DSGVO und TISAX
12.09.2018 | Marco Peters
nextwork baut Geschäftsführung aus
nextwork baut Geschäftsführung aus
Weitere Artikel in dieser Kategorie
26.11.2024 | NCTE AG
Tobias Moers neues Aufsichtsratsmitglied der NCTE AG
Tobias Moers neues Aufsichtsratsmitglied der NCTE AG
26.11.2024 | DENIOS SE
DENIOS erhält EcoVadis-Siegel zum elften Mal in Folge
DENIOS erhält EcoVadis-Siegel zum elften Mal in Folge
26.11.2024 | Holger Hagenlocher - Berater, Coach und Dozent
Interview: Holger Hagenlocher über den Einsatz der KI
Interview: Holger Hagenlocher über den Einsatz der KI
26.11.2024 | Sparda-Bank Nürnberg eG
Freude für alle: SpardaWeihnachts-Benefizaktion sammelt Spenden für lokale Einrichtungen
Freude für alle: SpardaWeihnachts-Benefizaktion sammelt Spenden für lokale Einrichtungen
26.11.2024 | JS Research
Die Geschichte des Silberbergbaus reicht bis in die Antike zurück
Die Geschichte des Silberbergbaus reicht bis in die Antike zurück