TISAX Assessment Levels: AL1, AL2 und AL3

Was sind TISAX Assessment Levels?

TISAX unterscheidet drei Assessment Levels (AL), die bestimmen, wie intensiv dein Unternehmen geprüft wird. Das Level hängt davon ab, welchen Schutzbedarf die Informationen haben, die du für OEMs oder Tier-1-Zulieferer verarbeitest. Die Wahl des richtigen Assessment Levels ist eine der ersten und wichtigsten Entscheidungen im TISAX-Prozess, denn sie beeinflusst Aufwand, Kosten und Timeline erheblich.

Die Assessment Levels sind keine Qualitätsstufen im eigentlichen Sinne. Ein AL2-Label ist nicht "schlechter" als ein AL3-Label. Es spiegelt lediglich wider, dass die verarbeiteten Informationen einen anderen Schutzbedarf haben und daher eine andere Prüftiefe erfordern.

AL1: Self-Assessment

AL1 ist das niedrigste Assessment Level und besteht aus einer reinen Selbsteinschätzung. Du füllst den VDA ISA Fragenkatalog eigenständig aus, ohne externe Prüfung. Es findet kein Audit durch einen akkreditierten Prüfdienstleister statt, und das Ergebnis ist nicht auf dem ENX-Portal sichtbar.

In der Praxis hat AL1 kaum Relevanz für die Automotive-Lieferkette. Kein OEM akzeptiert ein AL1-Assessment als Nachweis, da es keine unabhängige Prüfung beinhaltet. AL1 eignet sich ausschließlich für interne Zwecke — etwa um den eigenen Reifegrad einzuschätzen, bevor man ein AL2- oder AL3-Assessment anstrebt, oder um neue Standorte intern vorzubereiten.

AL2: Remote-Audit durch Prüfdienstleister

AL2 ist das Standard-Assessment-Level für die meisten TISAX-Teilnehmer. Die Prüfung erfolgt durch einen akkreditierten Prüfdienstleister, typischerweise als Remote-Audit per Videokonferenz. Der Auditor prüft Dokumentation, führt Interviews mit Verantwortlichen durch und bewertet den Reifegrad deiner Prozesse.

Das AL2-Ergebnis wird auf dem ENX-Portal veröffentlicht und ist für alle TISAX-Teilnehmer sichtbar. Damit ist AL2 der Standard für alle Unternehmen, die Informationen mit hohem Schutzbedarf verarbeiten. Typische TISAX-Labels auf AL2-Niveau sind "Info hoch", "Datenschutz", "Testfahrzeuge" und "Prototyp-Events".

Der Vorteil von AL2: Die Prüfung kann vollständig remote erfolgen, was Reisekosten spart und die Terminplanung flexibler macht. Die Audit-Dauer ist in der Regel kürzer als bei AL3, da keine physische Begehung stattfindet.

AL3: Vor-Ort-Audit mit höchster Prüftiefe

AL3 ist die höchste Prüfstufe in TISAX. Die Prüfung erfolgt zwingend vor Ort durch einen akkreditierten Prüfdienstleister. Neben der Dokumentenprüfung und den Interviews umfasst AL3 eine physische Begehung der Räumlichkeiten, Stichproben an technischen Systemen und die Überprüfung physischer Sicherheitsmaßnahmen.

AL3 ist Pflicht für "Info sehr hoch" und alle Prototypenschutz-Labels. Wenn du Zugang zu Pre-Release-Fahrzeugdaten, CAD-Zeichnungen von Prototypen oder Testfahrzeugen hast, kommst du um AL3 nicht herum. Die physische Begehung prüft unter anderem Zutrittskontrollen, Kameraüberwachung, Besuchermanagement, Serverräume und gesicherte Bereiche.

Der Aufwand für AL3 ist spürbar höher: Die Audit-Dauer ist länger (typisch 3-5 Tage vor Ort), die Vorbereitung umfangreicher und die Anforderungen an physische Sicherheitsmaßnahmen strenger. Dafür signalisiert ein AL3-Label die höchste Vertrauensstufe gegenüber OEMs.

Vergleichstabelle: AL1 vs. AL2 vs. AL3

Entscheidungsmatrix: Wann AL2, wann AL3?

Die Wahl zwischen AL2 und AL3 wird primär durch die Datenklassifikation und die konkreten Anforderungen deiner OEM-Partner bestimmt. Hier ist eine klare Entscheidungshilfe:

Du brauchst AL2, wenn:

• Du Informationen mit hohem Schutzbedarf verarbeitest (z. B. Produktionspläne, Lieferantenlisten, Stücklisten)
• Dein OEM das Label "Info hoch" oder "Datenschutz" fordert
• Du personenbezogene Daten im Auftrag eines OEM verarbeitest (Standard-AVV)
• Du an Prototyp-Events teilnimmst oder Testfahrzeuge handhabst
• Du Verfügbarkeitsanforderungen auf hohem Niveau erfüllen musst

Du brauchst AL3, wenn:

• Du Informationen mit sehr hohem Schutzbedarf verarbeitest (z. B. Pre-Release-Fahrzeugdaten, CAD-Zeichnungen, Design-Studien)
• Du direkten Zugang zu Prototypen hast — physisch oder digital
• Dein OEM das Label "Info sehr hoch" oder "Prototypenschutz hoch/sehr hoch" fordert
• Du besondere Kategorien personenbezogener Daten verarbeitest (Gesundheitsdaten, biometrische Daten)
• Du Verfügbarkeitsanforderungen auf sehr hohem Niveau erfüllen musst

Praxis-Tipp: Im Zweifel den OEM fragen

Wenn du unsicher bist, frage deinen OEM-Partner direkt, welche Labels und welches Assessment Level er von dir erwartet. Die Anforderung steht in der Regel im Vertrag oder wird über das ENX-Portal kommuniziert. Eine Fehleinschätzung kann teuer werden: Wer mit AL2 startet und später auf AL3 wechseln muss, zahlt praktisch doppelt. Die detaillierte Aufstellung der Kosten und Timelines hilft dir bei der Planung.

Häufige Fehleinschätzungen bei Assessment Levels

"Wir nehmen einfach AL2, das reicht schon." — Diese Aussage hören wir regelmäßig, und sie ist gefährlich. Wenn dein OEM AL3 erwartet und du nur AL2 vorweisen kannst, ist dein Label für ihn wertlos. Prüfe die vertraglichen Anforderungen genau, bevor du dich für ein Level entscheidest.

"AL3 ist sicherer als AL2." — Das ist ein Missverständnis. Beide Levels prüfen gegen denselben VDA ISA Katalog und erwarten denselben Reifegrad. AL3 hat lediglich eine höhere Prüftiefe durch die physische Begehung. Ein Unternehmen mit AL2 kann genauso sicher sein wie eines mit AL3 — es verarbeitet nur andere Datenklassen.

"Wir machen erst AL1, dann upgraden wir." — AL1 als Vorstufe ist grundsätzlich sinnvoll, um den eigenen Reifegrad einzuschätzen. Es ersetzt aber nicht die Vorbereitung auf AL2/AL3. Der Sprung von AL1 zu AL2 erfordert dieselbe Vorbereitung wie ein direkter Start mit AL2.