Standards und Zertifizierungen (Datenschutz / IT-Sicherheit)
Wenn Sie sich als Unternehmen in einer Lieferkette etabliert haben, müssen Sie oft bestimmte Standards erfüllen, die Ihnen Ihr Auftraggeber vorschreibt, wenn Sie weiterhin für ihn tätig sein wollen.
Zunehmend auditieren OEM (Original Equipment Manufacturer) Ihre Lieferanten dahingehend, dass diese auch deren sich selbst auferlegte Compliance-Anforderungen strikt einhalten und diese Anforderungen auch an die weiteren untergeordneten Supplier weitergeben. Im Vorfeld geschieht dies regelmäßig durch Ausschreibungen und entsprechender Filterung von Lieferanten, die diese Vorgaben einhalten oder nicht und im bestehenden Auftragsverhältnis durch Auditierungen. Je nach dem Ergebnis solcher Audits, kann es schnell passieren, dass Ihr Unternehmen wertvolle Aufträge verliert, wenn die Mindestvorgaben gegenüber anderen Mitbewerbern nicht eingehalten sind.
Wir stellen Ihnen nachfolgend einige Standards vor, deren Einhaltung und Testierung / Zertifizierung Ihnen in dieser Hinsicht einen nicht zu unterschätzenden Wettbewerbsvorteil bringen kann.
Kommen Sie gerne bei Unterstützungsbedarf auf uns zu!
IDW PH 9.860.1
Wenig bekannt, aber gerade auch im Rahmen einer Due Diligence von nicht zu unterschätzender Bedeutung ist (naheliegend) der Prüfungsstandard der Wirtschaftsprüfer, der von dem Institut der Wirtschaftsprüfer in Deutschland e. V. zusammengestellt worden ist (siehe https://www.idw.de/idw/idw-aktuell/idw-ph-9-860-1-fuer-pruefungen-nach-der-dsgvo-und-dem-bdsg/109892 ).
Sie finden hier Vorgaben für – aus Sicht der Prüfer – erforderliche Prozesse und Kontrollen im Datenschutz, deren Umsetzung Unternehmen vor gewaltige Herausforderungen stellt. Nicht, dass die Prozesse (DSMS-Prozesse, DSB-Prozesse, DSV-Prozesse, VVT-Prozesse usw.) zunächst definiert sein müssen. Nein, diesen gegenüberstehen müssen Kontrollen der Einhaltung dieser Prozesse. Bereits die Tatsache, dass z.B. an den Datenschutzbeauftragten (DSB) bestimmte Anforderungen hinsichtlich Qualifikation und Aufgaben gestellt werden, die einer Kontrolle unterliegen müssen, führt zu organisatorischen Erfordernissen (Stichwort: Verbot der Selbstkontrolle). Der DSB kontrolliert zwar nach wie vor die datenschutzrechtlichen Maßnahmen im Unternehmen. Eine interne Stelle, die im Management angesiedelt sein muss, kontrolliert aber wiederum den DSB, dass dieser seinen Pflichten ordnungsgemäß nachkommt. Er ist dabei zwar gesetzeskonform weisungsfrei in der Durchführung seiner Aufgaben, nicht aber bei der Frage, ob der die Aufgaben durchführt. Das will organisiert sein.
Aber auch die beste Organisation, Prozess- und Kontrollbeschreibung nützt nichts, wenn die Einhaltung der Vorgaben dem IDM PH 9.860.1 – Prüfer nicht revisionssicher nachgewiesen werden kann. „Wer schreibt, bleibt“, sagt ein altes Prüfer-Sprichwort. Übertragen auf das 21. Jahrhundert bedeutet das jedoch nichts anderes, als dass für die revisionssichere Dokumentation revisionssichere IT-Systeme eingesetzt werden müssen.
Bei THALES haben wir über viele Jahre umfangreich Erfahrungen sammeln können mit Prüfungen nach IDW PH 9.860.1 und beraten Sie gerne im Vorfeld, wenn Sie sich dieser Prüfung stellen wollen. Kommen Sie dann bitte sehr rechtzeitig auf uns zu!
VdS 10000 / 10010
Das Regelwerk VdS 10000 „Informationssicherheitsmanagementsystem für KMU“ stellt einen geregelten Prozess zur Einführung eines ISMS dar. Die Anforderungen der VdS 10000 stellen quasi eine Teilmenge der Basis-Absicherung des IT-Grundschutzes dar und bilden eine Basis zur Implementierung eines ISMS gemäß IT-Grundschutz oder ISO 27001.
Das VdS 10010 unterstützt die kleinen und mittelständischen Unternehmen im Hinblick auf die Einhaltung der Vorgaben der DSGVO mit kompakten und praktikablen Richtlinien bei der Umsetzung der EU-Verordnung. Mit dem Leitfaden VdS 10010 können Mittelständler die geforderten Maßnahmen zum Datenschutz effektiv sicherstellen, sowohl auditierungs- als auch zertifizierungsfähig.
Sollten Sie Bedarf ein einer Beratung zu dem Regelwerk VdS 10000/10010 haben, kommen Sie gerne auf uns zu!
ISO 27001 und ISO 27701
Die Normen der – an dieser Stelle als bekannt vorausgesetzten – ISO 27001 zur Informationssicherheit und die jüngere ISO 27701 sind inhaltlich eng miteinander verbunden.
Die ISO 27701 kann als Erweiterung von ISO 27001 um Datenschutzaspekte aufgrund der neuen Vorgaben der DSGVO betrachtet werden. Die ISO 27701 bezieht sich ausschließlich auf die Verarbeitung personenbezogener Daten. Für eine Zertifizierung nach ISO 27701 müssen jedoch alle Anforderungen der ISO 27001 ebenfalls erfüllt sein.
THALES unterstützt Sie sowohl bei der Einführung der ISO 27001 als auch der ISO 27701. Kommen Sie also gerne bei Bedarf auf uns zu.
TISAX
Zulieferer in der Automobil-Branche müssen regelmäßig die Vorgaben von TISAX® (Trusted Information Security Assessment Exchange) umsetzen.
TISAX ist ein Prüfmechanismus nach dem Standard VDA-ISA. Der Standard zielt ab auf die sichere Verarbeitung von Informationen von Geschäftspartnern, den Schutz von Prototypen und den Datenschutz.
Sollten Sie hier entsprechende Bedarfe verzeichnen, stehen wir Ihnen als THALES gerne zur Verfügung.
Hinweis: TISAX® ist eine eingetragene Unionsmarke der ENX Association. Thales Rechtsanwälte stehen nicht in einer geschäftlichen Beziehung zu ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.