DSB und CISO? Wann Unternehmen beide Positionen besetzen sollten

Das Wichtigste in Kürze 

• Informationssicherheit und Datenschutz sind vergleichbar ausgerichtet, beide dienen dem Schutz der Informationen und Daten eines Unternehmens.
• Die Verantwortung zur Umsetzung von Datenschutz und Informationssicherheit tragen der Informationssicherheitsbeauftragte (ISB) und der Datenschutzbeauftragte (DSB), deren Aufgaben durch die DSGVO bzw. durch den ISO-27001-Standard definiert sind.
• Die Kompetenzen des ISB und des DSB ähneln sich, unterscheiden sich aber grundlegend, wenn es um die Verankerung der Ziele im Unternehmen geht.
• Interessenskonflikte und der Mangel an Fachkräften lassen sich entschärfen, indem externe Spezialisten hinzugezogen werden.

So unterscheiden sich Informationssicherheit und Datenschutz

• Informationssicherheit dreht sich um den Schutz von Informationen, die einen Wert für das Unternehmen darstellen, die sogenannten Dazu zählen grundsätzlich allgemeine Informationen, festgehalten auf Papier, wie Rechnungen oder Unterlagen über Zahlungseingänge, außerdem geistiges Eigentum wie Patente und Marken. Aber auch Prozesse, die definieren, wie ein Unternehmen Geschäfte betreibt und wie es seine Wertschöpfung beibehalten kann, sind Unternehmenswerte. Informationssicherheit dient dazu, die Informationsquellen nach den drei klassischen Zielen zu schützen: Vertraulichkeit, Integrität und Verfügbarkeit. Hier erfahren Sie mehr zu den Schutzzielen der Informationssicherheit
• Datenschutz bezieht sich auf den Schutz personenbezogener Daten. Er zielt darauf ab, die Person hinter den Daten Informationen zu schützen.

Wer trägt die Verantwortung für Informationssicherheit und Datenschutz?

• Um die Umsetzung von Informationssicherheit kümmert sich in der Regel der Informationssicherheitsbeauftragte. Er hat die Aufgabe, Informationen und Assets gegen Angriffe oder Datenverlust abzusichern. Wenn sich ein Unternehmen nach ISO 27001 zertifizieren lassen will, ist der ISB verantwortlich dafür, dass ein Informationssicherheits-Managementsystem (ISMS) nach den Vorgaben des Standards aufgebaut wird. 
  
  Im Rahmen der Einführung eines ISMS bewertet der ISB die technischen und organisatorischen Informationssicherheitsrisiken für das Unternehmen und berät die Geschäftsführung über entsprechende Maßnahmen, um die Eintrittswahrscheinlichkeit dieser Risiken zu reduzieren. Zudem fördert er die abteilungsübergreifende Kommunikation zu diesem Thema. 

• Der Datenschutzbeauftragte ist dafür zuständig, dass das Unternehmen den Datenschutz einhält. Seine Aufgabe ist es, zu überprüfen, ob die Anforderungen nach der Datenschutzgrundverordnung (DSGVO) im Unternehmen überhaupt durchgeführt werden – eine gesetzliche Verpflichtung der Unternehmensleitung, die bei Verstößen mit empfindlichen Strafen rechnen muss.
  
  Der DSB kümmert sich um die Festlegung von Regeln, wie mit Daten umzugehen ist, und um die entsprechende Schulung von Mitarbeiterinnen und Mitarbeitern. Er kommuniziert nicht nur intern, sondern auch mit externen Aufsichtsbehörden.

Die Unterschiede von ISB und DSB

• Der Informationssicherheitsbeauftragte ist in der Regel ein studierter Informatiker mit Weiterbildungen im Bereich Security oder Informationssicherheit. Er ist der Geschäftsführung unterstellt, also ein normaler Angestellter, der möglicherweise, aber nicht zwingend, eine leitende Funktion innehat. 

• Der Datenschutzbeauftragte ist klassischerweise ein Jurist oder ein Wirtschaftswissenschaftler mit entsprechender Weiterbildung. Er ist im Unternehmen nicht weisungsgebunden, auch wenn er angestellt ist. Vielmehr ist er in seiner Kontrollfunktion der DSGVO gegenüber verpflichtet, seine Aufgaben zu erfüllen. Die fachlichen Anforderungen an den DSB sind sehr hoch, weshalb es schwierig ist, diese Stelle adäquat zu besetzen. 

Welchen gesetzlichen Rahmen gibt es für die Positionen? 

• Ab einer bestimmten Größe ist ein Unternehmen nach der DSGVO dazu verpflichtet, einen Datenschutzbeauftragten zu stellen. Für Deutschland liegt diese Größe nach dem Bundesdatenschutzgesetz (BDSG) – abweichend von der DSGVO – bei 20 „ständig mit der Verarbeitung personenbezogener Daten beschäftigten“ Mitarbeitern.

• Für den Informationssicherheitsbeauftragten gibt es keine gesetzlichen Vorgaben. Die Position muss nicht besetzt werden, es sei denn, ein Unternehmen führt ein Informationssicherheitssystem (ISMS) ein und strebt die Zertifizierung nach ISO 27001 Der Standard fordert, dass ein ISB benannt wird, der für das ISMS verantwortlich zeichnet. Diese Rolle könnte in zwei aufgeteilt werden, und der ISB darf auch weitere Rollen übernehmen.

Überschneidungen der Kompetenzen

Auch wenn der Informationssicherheitsbeauftragte einen technischen und der Datenschutzbeauftragte eher einen juristischen Fokus hat, benötigen die beiden ähnliches Know-how. Sie müssen die Grundlagen der Datenverarbeitung verstehen – technisch und organisatorisch –, mit Informationstechnologie vertraut sein und wissen, was diese bedrohen könnte und wie sie abzusichern wäre. Der täglichen Arbeit dienlich sind zudem gute Kenntnisse über Brancheneinrichtungen und Kontakte innerhalb der Branche.

Persönlich sollten der ISB und der DSB eine gewisse Fähigkeit besitzen, die Unternehmenskultur zu verändern, also das Bewusstsein für Informationssicherheit und Datenschutz zu schaffen und auszubauen. Das erfordert Gespräche mit den verschiedensten Abteilungen, Workshops, Schulungen und auch die Klärung von strittigen Themen.

Konfliktpotenzial zwischen ISB und DSB

Der grundlegende Konflikt steckt darin, wie die Ziele der beiden im Unternehmen verankert sind.

• Der Informationssicherheitsbeauftragte soll Informationssicherheit im Unternehmen durchzusetzen. Dieses Ziel teilt er sich mit der Geschäftsführung, die ihre Unternehmenswerte schützen will, also nicht nur die Assets, sondern auch die Prozesse, die definieren, wie das Unternehmen Geld verdient und aufrechterhalten wird. Dies ist ein Ziel, das sich durch den Geschäftsbetrieb definiert und das allen anderen übergeordnet ist.

• Der Datenschutzbeauftragte handelt nicht geschäftsabhängig, sondern streng nach den Vorgaben der DSGVO, zum Schutz der Personen.

Konflikte ergeben sich, wenn der Datenschutz die Informationssicherheit behindert und umgekehrt, zum Beispiel bei den häufig diskutierten unternehmensinternen Bedrohungen. Dem ISB, der das Risiko für sein Unternehmen bewerten muss, ist daran gelegen, einen Mitarbeiter, der potenziell die Sicherheit des Unternehmens gefährden könnte, frühzeitig durch die Ableitung von verdächtigen Verhaltensmustern aus Arbeitszeiten, Pausen, und seinen Kommunikationsmitteln zu erkennen. Allerdings würde diese Methode, um sich vor unternehmensinternen Bedrohungen zu schützen, sehr wahrscheinlich gegen den Datenschutz, also den Schutz personenbezogener Daten dieses Mitarbeiters, verstoßen. Daher müsste der ISB einen andere datenschutzkonforme Lösung finden, um das Unternehmen vor dieser Art von Bedrohungen zu schützen.

Könnte einer der beiden die Rolle des anderen mitübernehmen?

Theoretisch wäre es möglich, einer Person beide Positionen zu übertragen, da sich die Kompetenzen und Profile ähneln. Aber dem steht Gewichtiges entgegen.

• Der Informationssicherheitsbeauftragte wird sich im Zweifelsfall den Zielen beugen, die ihm die Geschäftsleitung vorgibt, der er untergeordnet ist. Er muss sich primär darum kümmern, dass das Unternehmen bestehen bleibt und gegen potenzielle Risiken abgesichert ist. Den Datenschutz, den er als DSB unparteiisch prüfen müsste, wird er den Zielen immer hintanstellen müssen – zumal er sich kaum selbst objektiv überwachen kann.
• Der Datenschutzbeauftragte dürfte neben seiner Tätigkeit grundsätzlich andere Aufgaben wahrnehmen, jedoch nicht solche, die zu Interessenskonflikten bei der Ausübung seiner Tätigkeit führen könnten. In der DSGVO sind zwar auch Teile der Informationssicherheit verankert, aber die Verordnung gibt vor, dass der DSB seiner Kerntätigkeit möglichst frei nach gehen können muss. Er kann also nicht gleichzeitig unternehmerische Ziele verfolgen.

Inzwischen haben mehrere Aufsichtsbehörden diese Thematik untersucht und bewertet, welche Aufgaben im Unternehmen der DSB nicht mitübernehmen darf. Er darf zum Beispiel nicht zur Geschäftsleitung gehören und auch nicht für IT- oder Personalbelange zuständig sein.

Wann ergibt es Sinn, ISB und DSB Positionen extern zu besetzten?

Beide Positionen erfordern sehr viel Spezialwissen und Erfahrung, die in Zeiten des Fachkräftemangels immer rarer werden – und die ein Unternehmen wahrscheinlich teuer bezahlen muss. Der kräftezehrende Poker hat ein Ende, wenn Sie auf externe Spezialistinnen und Spezialisten setzen, die mit allen Details der Themen Informationssicherheit und Datenschutz vertraut sind.

Unsere Fachkräfte sind sofort einsatzfähig – bei planbaren Kosten. Die geschilderten Interessenskonflikte lassen sich entschärfen, weil die Ziele und Aufgaben per Vertrag und Leistungsbeschreibung eindeutig festgelegt sind.

Informationen und Daten sicher schützen

Der Informationssicherheitsbeauftragte und der Datenschutzbeauftragte tragen ähnlich hohe, aber an unterschiedlichen Zielen ausgerichtete Verantwortung im Unternehmen. Die Anforderungen an die Positionen sind hoch, deshalb sind diese Stellen sehr schwer zu besetzen. Externe Fachkräfte bieten schnelle Hilfe, genau maßgeschneidert nach Ihren Bedürfnissen.

Informieren Sie sich, welche modular aufgebauten Lösungen zum Datenschutz und zur Informationssicherheit Sie einsetzen könnten, um diese Stellen den Vorgaben gemäß zu besetzen und Interessenskonflikte in Ihrem Unternehmen zu entschärfen.

Benötigen Sie Hilfe bei der Auswahl? Wir sprechen gerne ausführlich mit Ihnen – vereinbaren Sie noch heute einen Termin mit einem unserer Experten für Datenschutz und Informationssicherheit.