TISAX Datenschutz vs. DSGVO

TISAX-Datenschutz: Mehr als nur DSGVO

TISAX enthält ein eigenes Datenschutzmodul, das über die allgemeinen DSGVO-Anforderungen hinausgeht. Während die DSGVO den gesetzlichen Rahmen setzt, stellt TISAX Automotive-spezifische Datenschutzanforderungen, die besonders die Auftragsverarbeitung für OEMs, den Umgang mit besonderen Kategorien personenbezogener Daten und technische Schutzmaßnahmen im Automotive-Kontext betreffen.

Es gibt zwei Datenschutz-Labels: "Datenschutz" auf AL2 für die Standard-Auftragsverarbeitung und "Datenschutz besondere Kategorien" auf AL3 für sensible Personaldaten. Die Wahl hängt davon ab, welche Art von personenbezogenen Daten du für OEMs verarbeitest.

Gemeinsamkeiten zwischen TISAX und DSGVO

Beide Frameworks fordern grundlegende Datenschutzmaßnahmen. Wenn du DSGVO-konform arbeitest, hast du bereits eine solide Basis:

• Technische und organisatorische Maßnahmen (TOMs): Beide fordern dokumentierte TOMs zum Schutz personenbezogener Daten — Verschlüsselung, Zugangskontrollen, Pseudonymisierung, Backup-Strategien
• Verarbeitungsverzeichnis: Beide fordern eine Übersicht aller Verarbeitungstätigkeiten mit Zweck, Rechtsgrundlage, Empfängern und Löschfristen
• Auftragsverarbeitung: Beide fordern Verträge mit Auftragsverarbeitern (AVV) gemäß DSGVO Art. 28
• Betroffenenrechte: Beide fordern Prozesse zur Auskunft, Löschung und Datenübertragbarkeit
• Datenschutz-Folgenabschätzung: Beide fordern eine Risikobewertung für besonders riskante Verarbeitungen

Unterschiede: Was TISAX zusätzlich fordert

Prüfziel Datenschutz: Was genau geprüft wird

Das TISAX-Datenschutzmodul prüft über die DSGVO-Grundlagen hinaus:

• Reifegrad der Umsetzung: Nicht nur ob TOMs existieren, sondern ob sie auf Reifegrad 3 standardisiert, gemessen und verbessert werden
• Automotive-spezifische Datenflüsse: Wie werden OEM-Personaldaten verarbeitet? Welche Systeme sind beteiligt? Wie ist die Datenklassifikation?
• Subunternehmer-Kette: TISAX prüft, ob Subunternehmer, die Zugang zu OEM-Personaldaten haben, ebenfalls angemessene Schutzmaßnahmen implementiert haben
• Internationale Datentransfers: Besonderes Augenmerk auf Datenübermittlungen in Drittländer, insbesondere bei Cloud-Diensten

Auftragsverarbeitung (AVV) im TISAX-Kontext

Die Auftragsverarbeitung ist im TISAX-Kontext besonders relevant, da du typischerweise personenbezogene Daten im Auftrag eines OEM verarbeitest. TISAX prüft neben dem DSGVO-konformen AVV:

• Ob der AVV die spezifischen Anforderungen des OEM berücksichtigt (viele OEMs haben eigene AVV-Templates mit Zusatzanforderungen)
• Ob du Sub-Auftragsverarbeiter dokumentiert und dem OEM gemeldet hast
• Ob du Weisungen des OEM bezüglich der Datenverarbeitung nachweisbar umsetzt
• Ob Lösch- und Rückgabeprozesse für OEM-Personaldaten nach Vertragsende definiert sind

Besondere Kategorien personenbezogener Daten

Das Label "Datenschutz besondere Kategorien" (AL3) gilt für die Verarbeitung besonders sensibler Daten nach DSGVO Art. 9:

• Gesundheitsdaten: Betriebsärztliche Untersuchungen, Krankmeldungen, Arbeitsunfähigkeitsbescheinigungen
• Biometrische Daten: Fingerabdrücke oder Gesichtserkennung für Zutrittssysteme
• Gewerkschaftszugehörigkeit: Personalverwaltungssysteme mit entsprechenden Informationen
• Ethnische Herkunft: Diversity-Daten in HR-Systemen

AL3 erfordert ein Vor-Ort-Audit, da der Auditor die physische Absicherung der Systeme prüfen muss, die besondere Kategorien verarbeiten. Die Anforderungen an TOMs sind deutlich höher als bei Standard-Datenschutz.

TOMs: TISAX-spezifische Anforderungen

TISAX prüft die technischen und organisatorischen Maßnahmen nicht nur auf Existenz, sondern auf Reifegrad, Vollständigkeit und Automotive-Relevanz:

AL2 vs. AL3 für Datenschutz-Labels

Die Wahl zwischen den Datenschutz-Labels hängt von der Art der verarbeiteten Daten ab:

• "Datenschutz" (AL2): Standard-Auftragsverarbeitung — Kundendaten, Mitarbeiterdaten des OEM (Name, Kontaktdaten, Position), Vertragsdaten. Remote-Audit ausreichend.
• "Datenschutz besondere Kategorien" (AL3): Verarbeitung von Gesundheitsdaten, biometrischen Daten oder anderen besonderen Kategorien nach DSGVO Art. 9. Vor-Ort-Audit Pflicht.

Prüfe genau, welche Daten du im Auftrag des OEM verarbeitest. Wenn du beispielsweise Zeiterfassungssysteme mit Gesundheitsdaten betreibst oder biometrische Zutrittssysteme verwaltest, brauchst du das AL3-Label. Die vollständige Label-Übersicht findest du auf unserer Seite zu den TISAX-Labels.

Praxis-Tipps für den Datenschutz im TISAX-Assessment

• Verarbeitungsverzeichnis aktualisieren: Stelle sicher, dass alle Verarbeitungstätigkeiten im Auftrag von OEMs dokumentiert sind — inklusive Subunternehmer und internationaler Datentransfers.
• AVV mit OEM-Templates abgleichen: Viele OEMs haben eigene AVV-Muster mit Zusatzklauseln. Prüfe, ob dein AVV alle OEM-spezifischen Anforderungen erfüllt.
• TOMs dokumentieren und messen: Für TISAX reicht "wir verschlüsseln unsere Daten" nicht. Dokumentiere welche Verschlüsselung, wo, mit welchem Standard und wann zuletzt überprüft.
• Datenschutzbeauftragten einbinden: Der DSB sollte von Anfang an im TISAX-Projekt beteiligt sein, um Datenschutz-Prüfziele effizient abzudecken.

Mehr zur Scope-Definition und besonderen Anforderungen für IT-Dienstleister findest du auf unserer Seite TISAX für Dienstleister. Die vollständigen TISAX-Anforderungen findest du auf der entsprechenden Übersichtsseite.