TISAX: Wie kann man Rückfragen und Beanstandungen in der Prüfung reduzieren?
- Marc Borgers
- 10. Jan. 2023
- 3 Min. Lesezeit
Aktualisiert: 10. Sept. 2024
Eine gute Vorbereitung der zu prüfenden Dokumente, ist die Basis eines guten Assessments.Mit anderen Worten, kann eine gute Vorbereitung dazu beitragen, dass das Unternehmen erfolgreicher in der Prüfung ist und möglicherweise auch Kosten sparen kann, die durch Wiederholungsprüfungen entstehen würden.
Ein gutes Beispiel, welches schnell zu Wiederholungsprüfungen führen kann, ist das Modul "Datenschutz" im VDA ISA Katalog. Denn hier gilt es einige Eigenheiten zu beachten:
Das Modul Datenschutz hat keinen Einfluss auf den Gesamtreifegrad, da nur der Status "OK" oder "Nicht OK" ermittelt wird.
Wenn ein Control im Kapitel 9 nicht OK ist, dann wird der Bericht hauptabweichend, bis die geprüfte Organisation wirksame Maßnahmen umgesetzt hat und diese einer erneuten Bewertung unterzogen worden sind.
Die Nichteinhaltung von gesetzlichen Datenschutzvorgaben führt zu einer Abweichung im entsprechenden Control.
Wie kann man die Anforderungen so dokumentieren, damit weniger Rückfragen und Beanstandungen auftreten?
Um die Kosten von Wiederholungsprüfungen vermeiden zu können, sollten die oben genannten Punkte 2 und 3 unbedingt von Ihnen vermieden werden. Es liegt also in Ihrer Hand und Sie können bereits bei der Vorbereitung der zu prüfenden Dokumente dafür sorgen, dass Ihre Angaben, in Zusammenhang mit den bereitgestellten Nachweisen, plausibel sind. Anbei einige positive Beispiele (fiktiv) einer recht plausiblen Dokumentation, die auf dem vom VDA bereitgestellten ISA Katalog in der Version 5.1 basieren.
(VDA ISA: Zitate gem. Creative Commons Lizenz)
Stellen Sie sich doch einmal vor, dass Sie das interne Audit auf Basis des VDA ISA Katalogs durchführen und fragen Sie sich bei jeder Antwort, ob diese auf Sie plausibel wirkt:
+ Bestellung eines Datenschutzbeauftragten, sofern gesetzlich erforderlich, sonst Bestimmung eines Datenschutzverantwortlichen.
Beschreibung der Umsetzung | Referenzdokumentation |
+ Bestellung eines Datenschutzbeauftragten, sofern gesetzlich erforderlich, sonst Bestimmung eines Datenschutzverantwortlichen: Ein Datenschutzbeauftragter (siehe Ernennungsurkunde_Mayer.pdf) wurde ernannt und der Landesdatenschutzbehörde gem. Artikel 37 Absatz 7 DSGVO gemeldet (siehe Formular_DSB_LDA.pdf). | Ernennungsurkunde_Mayer.pdf; 19.04.2020
Formular_DSB_LDA.pdf; 19.04.2020 |
Wie beurteilen Sie die Angaben?
Plausibel
Nicht plausibel
+ Nachweis einer regelmäßigen Überprüfung und Optimierung des Datenschutzmanagementsystems (z.B. Zertifizierung).
Beschreibung der Umsetzung | Referenzdokumentation |
+ Nachweis einer regelmäßigen Überprüfung und Optimierung des Datenschutzmanagementsystems (z.B. Zertifizierung): Es liegt noch keine Zertifizierung vor. Jedoch wurde ein internes DS-Auditprogramm (siehe DS-Auditprogramm.pdf) etabliert und umgesetzt (siehe DS-Auditbericht-2021.pdf & DS-Auditbericht-2022.pdf). | DS-Auditprogramm.pdf; 03.03.2021
DS-Auditbericht-2021.pdf; 19.07.2021
DS-Auditbericht-2022.pdf; 05.08.2022 |
Wie beurteilen Sie die Angaben?
Plausibel
Nicht plausibel
+ Fähigkeit der Umsetzung von Löschkonzepten.
Beschreibung der Umsetzung | Referenzdokumentation |
+ Fähigkeit der Umsetzung von Löschkonzepten: Es wurde eine Datenaufbewahrungspolitik (siehe Data_Retention_Policy.pdf) mit den jeweiligen Aufbewahrungs- und Löschfristen erstellt, die sämtliche Verfahren und zur Datenverarbeitung eingesetzten Systeme/Lösung berücksichtigt. Die Einhaltung der Löschfristen wird in den DS-Audits (siehe DS-Auditbericht-2021.pdf & DS-Auditbericht-2022.pdf) regelmäßig überprüft. | Data_Retention_Policy.pdf; 18.08.2021
DS-Auditbericht-2021.pdf; 19.07.2021
DS-Auditbericht-2022.pdf; 05.08.2022 |
Wie beurteilen Sie die Angaben?
Plausibel
Nicht plausibel
+ Dokumentation von Verarbeitungsvorgängen bei der Verarbeitung personenbezogener Daten.
Beschreibung der Umsetzung | Referenzdokumentation |
+ Dokumentation von Verarbeitungsvorgängen bei der Verarbeitung personenbezogener Daten: Ein Verzeichnis der Verarbeitungstätigkeiten (siehe Verzeichnis_Verarbeitungstätigkeiten.xlsx) wurde erstellt, die Vollständigkeit regelmäßig im internen DS-Audit (siehe DS-Auditbericht-2022.pdf) geprüft und bei Bedarf aktualisiert. | Verzeichnis_Verarbeitungstätigkeiten.xlsx; 11.11.2022
DS-Auditbericht-2022.pdf; 05.08.2022 |
Wie beurteilen Sie die Angaben?
Plausibel
Nicht plausibel
+ Dokumentation wesentlicher Tätigkeiten bzgl. der Verarbeitung personenbezogener Daten gem. gesetzlicher Anforderungen.
Beschreibung der Umsetzung | Referenzdokumentation |
+ Dokumentation wesentlicher Tätigkeiten bzgl. der Verarbeitung personenbezogener Daten gem. gesetzlicher Anforderungen: Ein Verzeichnis der Verarbeitungstätigkeiten (siehe Verzeichnis_Verarbeitungstätigkeiten.xlsx) wurde erstellt, die Vollständigkeit regelmäßig im internen DS-Audit (siehe DS-Auditbericht-2022.pdf) geprüft und bei Bedarf aktualisiert. | Verzeichnis_Verarbeitungstätigkeiten.xlsx; 11.11.2022 DS-Auditbericht-2022.pdf; 05.08.2022 |
Wie beurteilen Sie die Angaben?
Plausibel
Nicht plausibel
Die Klärung jedes nicht plausiblen Punktes kostet mindestens Prüfzeit und im Durchschnitt bedeutet dies:
2 - 5 min: Suchen und öffnen der Nachweise (Kunde)
2 - 5 min: Sichten der Nachweise (Auditor)
5 - 10 min: Dialog (Kunde und Auditor)
Somit ist es hinsichtlich des Prüfaufwands wichtig zu wissen, dass jede nicht plausible Angabe zu Rückfragen sowie Beanstandungen und somit zu einer Wiederholungsprüfung führen kann. Sorgen Sie vor, denn jede in die Vorbereitung investierte Minute zahlt letztlich auf den eingangs erwähnten Satz ein:
Eine gute Vorbereitung der zu prüfenden Dokumente, ist die Basis eines guten Assessments.