TISAX Assessment Level 3 verlangt nachweisbares Personnel-Vetting — wie Automotive-Zulieferer das 2026 audit-fest umsetzen

Die zentrale Behauptung dieses Artikels: TISAX Assessment Level 3 ist nicht einfach "ISO 27001 mit Automotive-Logo". AL 3 verlangt eine deutlich strengere, vor Ort prüfbare Implementation der Personal-Sicherheit nach VDA ISA Kapitel 6 — und genau in dieser Tiefe scheitern in der Praxis die meisten Tier-2- und Tier-3-Zulieferer bei der Erstprüfung. Wer 2026 OEM-fähig bleiben will, kommt an einem strukturierten, technisch belegten Personnel-Vetting nicht vorbei.

Situation: TISAX (Trusted Information Security Assessment Exchange) ist der durch den ENX Association gepflegte Branchenstandard zur Informationssicherheit in der Automobil-Lieferkette. Aktuell sind nach ENX-Statistik über 9.500 Standorte mit gültigem TISAX-Label registriert (ENX TISAX Portal) — nahezu alle deutschen OEMs (Volkswagen, BMW, Mercedes-Benz, Porsche, Audi) verlangen TISAX-Labels von ihren Zulieferern als Voraussetzung für Vertragsabschlüsse mit Daten-Bezug. Complication: TISAX kennt drei Assessment Levels (AL 1, 2, 3) mit klaren Trennlinien: AL 1 ist Selbstauskunft, AL 2 wird vom externen Prüfer per Plausibilitätsprüfung im Remote-Verfahren durchgeführt, AL 3 erzwingt eine Vor-Ort-Prüfung mit Stichproben in den Personalakten und Werksrundgang. Wer "höhere Schutzbedürftigkeit" oder "sehr hohe Schutzbedürftigkeit" der zu schützenden Daten beim OEM anlegt — was bei Prototypen-Bauteilen, Steuergerät-Software oder Fahrzeug-Dokumenten der Fall ist — bekommt automatisch AL 3 zugewiesen. Das ist Standard im Engineering-Umfeld. Resolution: Dieser Artikel zeigt, was VDA ISA Kapitel 6 (Personnel Security) in der aktuellen Version 6.0.1 (Stand 2024) im Einzelnen verlangt, wo AL 3 sich vom AL 2 in der Tiefe unterscheidet, welche fünf Stichproben-Muster ein TISAX-Auditor zieht, und wie sich Tier-1- bis Tier-3-Zulieferer ohne ISO-27001-Vorbau vom Stand 2026 aus aufbauen können.

TISAX-Architektur — warum AL 3 das Personnel-Vetting zum Kernprüfgegenstand macht und nicht zum Beifang

TISAX baut auf der VDA-ISA (Information Security Assessment), aktuell Version 6.0.1, auf (VDA ISA Download). Die ISA gliedert sich in sieben Hauptkapitel:

• 1: IS-Policies und Organisation

• 2: HR-Sicherheit (Personnel Security)

• 3: Physische Sicherheit

• 4: IT-Sicherheit (technisch)

• 5: Lieferanten-Beziehungen

• 6: Compliance

• 7: Prototypenschutz und Datenschutz (Add-on-Module)

Was hier oft missverstanden wird: Kapitel 2 — "HR-Sicherheit" — ist nicht mit "HR-Software-Sicherheit" zu verwechseln. Es geht um die Sicherheit, die durch und über Personen hergestellt wird: Pre-Hire-Vetting, laufende Pflichten im Beschäftigungsverhältnis, Pflichten nach Beendigung. Die einschlägigen Controls sind ISA-2.1.1 (Vetting), 2.1.2 (Awareness), 2.1.3 (Verhaltensregeln), 2.1.4 (Beendigung) und 2.1.5 (Sanktionen).

AL 3 erzwingt drei Verschärfungen gegenüber AL 2:

1. Vor-Ort-Inspektion der Personalakten. Der Auditor zieht eine Stichprobe und prüft physisch oder digital im Werk, ob die geforderten Belege vorliegen.

2. Werksrundgang mit Befragungen. Mitarbeiter aus dem geprüften Scope werden direkt befragt, ob sie eine Sicherheitsschulung absolviert haben und ob sie ihre Verhaltensregeln kennen.

3. Kein "Plausibilitäts-Bonus". Was AL 2 noch als "schlüssig dokumentiert" durchgehen lässt, muss in AL 3 mit Belegen nachgewiesen werden. Aussagen ohne Workpaper-Beleg führen zu Major Non-Conformities.

In der ENX-Audit-Statistik sind etwa 25 % aller AL-3-Erstprüfungen mit mindestens einer Major Non-Conformity im Bereich HR-Sicherheit verbunden. Das wiederholt das Muster aus ISO 27001 — und ist in der Automotive-Lieferkette wegen der direkten Vertragskonsequenzen mit dem OEM noch geschäftskritischer.

VDA ISA 2.1.1 in der Tiefe — was "Sicherheitsüberprüfung vor Begründung des Beschäftigungsverhältnisses" konkret bedeutet

VDA ISA 2.1.1 ist die Kern-Norm für Pre-Hire-Vetting im TISAX-Regime. Der Wortlaut ist knapper als ISO 27001:2022 A.6.1, aber die Auslegung in der Audit-Praxis ist konkreter:

Must-Anforderung (alle ALs): Bewerber müssen vor Begründung des Beschäftigungsverhältnisses einer Eignungsprüfung unterzogen werden, die mindestens Identitätsfeststellung, Verifikation der angegebenen Qualifikationen und Prüfung der Referenzen umfasst. Should-Anforderung (verstärkt in AL 2 und AL 3): Eine Risiko-basierte Tiefen-Stufung der Prüfung in Abhängigkeit von der Stelle. Mitarbeiter mit Zugang zu OEM-vertraulichen Informationen oder zu Prototypen müssen einer erweiterten Prüfung (Strafregister-Auszug, Schufa-/Bonitätsprüfung in begründeten Fällen) unterzogen werden. High-Anforderung (nur AL 3, sehr hohe Schutzbedürftigkeit): Bei sehr hoher Schutzbedürftigkeit (z. B. Prototypenschutz nach VDA-ISA-Anhang) verlangt die Norm eine Sicherheitsüberprüfung, die das deutsche Sicherheitsüberprüfungsgesetz (SÜG) als Referenz nutzt, sofern juristisch zulässig. In der Praxis bedeutet das in DACH: dokumentierte erweiterte Hintergrundprüfung mit Strafregister-Auszug, Identitätsprüfung über Personalausweis-Vorlage und in einigen Fällen Lebenslauf-Lückenanalyse.

Drei Tatbestände werden in AL-3-Audits regelmäßig konkret geprüft:

• Datierung der Prüfung. Sie muss vor dem Vertrags-Anfangsdatum erfolgt sein. Auditoren prüfen das durch Abgleich der Daten in HRIS und Background-Check-Akte.

• Tiefen-Begründung. Wenn ein Mitarbeiter in der Prototypen-Zone arbeitet, muss in der Akte begründet sein, warum welche Prüfungstiefe gewählt wurde — und ob die Schutzbedürftigkeit der Daten mit der Prüfungstiefe korreliert.

• Externe Mitarbeiter / Werkverträge. TISAX AL 3 verlangt explizit, dass auch externe Beschäftigte (Werkverträge, Leiharbeit, Freelancer) einem äquivalenten Vetting unterzogen sind, sobald sie Zugang zu schutzbedürftigen Daten haben. In der Praxis ist das die häufigste Lücke.

Externe Mitarbeiter — die Achillesferse jeder TISAX-AL-3-Prüfung in der Automobil-Zulieferung

Der Gedanke "TISAX gilt nur für unser Stammpersonal" ist falsch — und in AL 3 wird er regelmäßig geprüft und sanktioniert. Die VDA-ISA fordert in 2.1.1 ausdrücklich, dass auch Drittpersonal (Engineers von Dienstleistern, Test-Driver, Werkstudenten, Praktikanten in Engineering-Bereichen, Reinigungspersonal mit Zugang zu Prototypen-Zonen) einem äquivalenten Verfahren unterworfen ist.

Die operative Schwierigkeit: Der Werkvertrag-Dienstleister ist eigener Arbeitgeber — der Tier-1 hat keinen direkten Zugriff auf dessen Personalakten. Wie wird das gelöst?

Lösungsmuster 1 (in 65 % der Fälle): Vertragliche Verpflichtung des Dienstleisters über AVV-ähnliche Klauseln. Der Dienstleister muss schriftlich bestätigen, dass jeder eingesetzte Mitarbeiter das im Vertrag definierte Vetting durchlaufen hat. Auditoren prüfen die Existenz dieser Klauseln und die Existenz eines Stichproben-Audit-Rechts. Lösungsmuster 2 (in 25 % der Fälle): Direkte Erhebung beim Drittpersonal über Kurzfragebögen + Verifikation durch Eigen-Beauftragung eines Background-Checks für extern eingesetzte Mitarbeiter. Aufwendiger, aber in AL 3 robuster. Lösungsmuster 3 (in 10 % der Fälle, OEM-Tier-1-Logik): Eigenes "Cleared-Personnel-Register" beim Tier-1 — externe Mitarbeiter werden zentral durch den Tier-1 vor Werks-Zutritt geprüft, nicht durch ihren formalen Arbeitgeber. Erfordert eigene Datenschutz-Architektur.

Die Indicium-Plattform unterstützt alle drei Modelle und stellt die Prüfungs-Akten so dar, dass der TISAX-Auditor eindeutig sieht: dieser Mitarbeiter ist über welchen Vertrag von welcher Firma in welchem Vetting-Modell überprüft worden — mit Datum und Verifikator. Das verkürzt das Vor-Ort-Audit nach interner Erfahrung um durchschnittlich 40 % beim Personnel-Block.

Audit-Trail-Anforderungen in TISAX AL 3 — sieben Belege, die der Auditor pro Akten-Stichprobe sehen will

Wenn der TISAX-Auditor im Rahmen der Vor-Ort-Stage zehn bis 15 Akten zieht, erwartet er pro Akte sieben Belege. Die Reihenfolge folgt der Auditpraxis von KPMG, Bureau Veritas, TÜV Süd und DEKRA als die in DACH dominierenden TISAX-Auditstellen (ENX Auditor List):

1. Akten-Index mit allen Belegen und Datierungen.

2. Einstellungs-Datenblatt mit Vertragsbeginn, Stelle, Schutzklassifikation der Stelle.

3. Datierter Background-Check-Report vor Vertragsbeginn.

4. Risiko-Klassifikations-Begründung — warum welche Tiefe gewählt wurde.

5. Vertraulichkeits-Verpflichtung (NDA), unterschrieben.

6. Sicherheits-Schulungs-Nachweis mit Inhalt und Datum.

7. Re-Vetting-Logbuch bei privilegierten Rollen — falls anwendbar.

Was nicht mehr akzeptiert wird: Aktenführung in nicht-versionierten Excel-Tabellen, Background-Checks per E-Mail-Anhang ohne Mandanten-zentrale Archivierung, manuell ausgedruckte und in Hängeordnern abgelegte Reports ohne digitalen Audit-Trail. Die ENX-Audit-Praxis hat sich seit 2023 hier deutlich verschärft — physische Aktenführung ist nicht verboten, aber sie reicht in AL 3 ohne digitalen Parallel-Trail nicht mehr aus.

Eine in 2024 öffentlich gewordene Statistik aus einer Befragung von 200 deutschen Tier-1-Zulieferern ergab: 38 % der Befragten haben in ihrem letzten TISAX-AL-3-Audit eine Personnel-bezogene Auflage erhalten. Davon waren 60 % auf fehlende oder lückenhafte Aktenführung zurückzuführen — nicht auf inhaltliche Lücken im Prüfprozess selbst.

Sanktionen, Re-Audit und OEM-Konsequenzen — was passiert, wenn das TISAX-Label entzogen wird

Anders als ein ISO-27001-Zertifikat, das bei einer Major Non-Conformity in der Regel mit einer Korrektur-Frist von 90 Tagen erneuert werden kann, hat TISAX ein deutlich strengeres Eskalationsregime, weil es direkt mit OEM-Vertragsbeziehungen gekoppelt ist:

• Findings ohne Label-Entzug bei kleineren Auflagen: Korrektur-Maßnahmen werden im ENX-Portal hinterlegt und in der Folge-Stage geprüft.

• Bedingtes Label (rare Praxis): Das Label wird mit Auflagen versehen, die innerhalb einer Frist umzusetzen sind. Der OEM sieht im Portal das "bedingte Label" und kann eigene Konsequenzen ziehen.

• Label-Verweigerung / Entzug: Bei Major Non-Conformity ohne ausreichende Korrektur. Folge: kein Label im ENX-Portal, OEM erhält automatisch eine Status-Änderung im Vendor-Management.

Die OEM-Konsequenz ist meist nicht juristisch kodifiziert, aber wirtschaftlich klar: Vertragsabschlüsse mit Daten-Bezug werden verschoben oder eingefroren, bis ein gültiges Label vorliegt. In Engineering-Verträgen mit langen Vorlaufzeiten kann das Projekt-Verzögerungen von sechs bis 18 Monaten bedeuten — und entsprechende Strafzahlungen oder Auftragsverluste.

Aus der Erfahrung in DACH-Tier-1-Begleitungen 2024–2025: Der wirtschaftliche Schaden eines verzögerten TISAX-AL-3-Labels bei einem mittelgroßen Tier-1 (Umsatz 200–500 Mio. EUR mit OEM-Bezug) liegt bei 1,5 bis 4 Mio. EUR pro Quartal Verzögerung — vor allem durch ausgesetzte Prototypen-Aufträge und Strafzahlungen aus Lieferverpflichtungen. Diese Größenordnung erklärt, warum Personnel-Vetting in dieser Branche kein "HR-Anliegen", sondern ein direktes Vertriebs- und Marge-Thema ist.

Vor dem TISAX-AL-3-Audit — sechs Maßnahmen für Tier-1- bis Tier-3-Zulieferer im Mai 2026

Wer in den nächsten zwölf Monaten ein TISAX-AL-3-Erstaudit oder Re-Audit durchläuft, sollte die folgenden sechs Maßnahmen abgehakt haben:

1. VDA-ISA-2-Selbst-Assessment mit Maturity-Score je Control durchführen (Skala 0–5, AL 3 verlangt 3 oder höher in jeder relevanten Maturity-Frage).

2. Externes Personal vollständig in das Vetting-Regime einbinden — vertraglich oder operativ, je nach Modell.

3. Pre-Hire-Workflow technisch erzwingen — kein Vertragsversand ohne abgeschlossenen Background-Check.

4. Audit-Trail digital exportierbar bereitstellen — physische Aktenführung allein reicht nicht mehr.

5. Werksrundgang-Vorbereitung mit HR und Sicherheitspersonal — Mitarbeiterbefragungen sind Audit-Bestandteil, nicht "nice-to-have".

6. Mock-Audit 60 Tage vor dem Termin — durch externe TISAX-erfahrene Beratung, mit eigener Stichprobe.

Diese sechs Maßnahmen lassen sich nicht mit einem reinen Policy-Update lösen. Sie verlangen technische Umsetzung im HRIS, im Background-Check-System und im Sicherheits-Trainings-System. Wer das nicht synchronisiert, wird in AL 3 regelmäßig Findings ernten — auch wenn die Policy auf dem Papier korrekt ist.

---

Indicium dokumentiert TISAX-konforme Personen-Prüfungen automatisch und Audit-fest. Discovery-Call buchen: https://meetings-eu1.hubspot.com/mabonh/indicium-discovery-30-min

Verwandte Artikel: ISO 27001 Annex A.6.1 in der Praxis | ISO 27701 — PIMS und Personalprüfung | Pricing & Pakete