Braucht ein Unternehmen einen Datenschutzbeauftragten und einen Informationssicherheitsbeauftragten?

Hybride Kriege, täglich Millionen von Cyberangriffen, frustrierte Mitarbeiterinnen und Mitarbeiter, die DSGVO und der Wert personenbezogener Daten – Unternehmen sind rund um die Uhr gefordert, ihre Daten und Informationen zu schützen. Daraus leiten sich Pflichten ab, Aufgaben, die dem Datenschutzbeauftragten und dem Informationssicherheitsbeauftragten obliegen – und auch zu Interessenskonflikten führen können. 

Das Wichtigste in Kürze 

  • Informationssicherheit und Datenschutz sind vergleichbar ausgerichtet, beide dienen dem Schutz der Informationen und Daten eines Unternehmens.
  • Die Verantwortung zur Umsetzung von Datenschutz und Informationssicherheit tragen der Informationssicherheitsbeauftragte (ISB) und der Datenschutzbeauftragte (DSB), deren Aufgaben durch die DSGVO bzw. durch den ISO-27001-Standard definiert sind.
  • Die Kompetenzen des ISB und des DSB ähneln sich, unterscheiden sich aber grundlegend, wenn es um die Verankerung der Ziele im Unternehmen geht.
  • Interessenskonflikte und der Mangel an Fachkräften lassen sich entschärfen, indem externe Spezialisten hinzugezogen werden.

So unterscheiden sich Informationssicherheit und Datenschutz

 

 

Wer trägt die Verantwortung für Informationssicherheit und Datenschutz?

  • Um die Umsetzung von Informationssicherheit kümmert sich in der Regel der Informationssicherheitsbeauftragte. Er hat die Aufgabe, Informationen und Assets gegen Angriffe oder Datenverlust abzusichern. Wenn sich ein Unternehmen nach ISO 27001 zertifizieren lassen will, ist der ISB verantwortlich dafür, dass ein Informationssicherheits-Managementsystem (ISMS) nach den Vorgaben des Standards aufgebaut wird. 

    Im Rahmen der Einführung eines ISMS bewertet der ISB die technischen und organisatorischen Informationssicherheitsrisiken für das Unternehmen und berät die Geschäftsführung über entsprechende Maßnahmen, um die Eintrittswahrscheinlichkeit dieser Risiken zu reduzieren. Zudem fördert er die abteilungsübergreifende Kommunikation zu diesem Thema. 
  • Der Datenschutzbeauftragte ist dafür zuständig, dass das Unternehmen den Datenschutz einhält. Seine Aufgabe ist es, zu überprüfen, ob die Anforderungen nach der Datenschutzgrundverordnung (DSGVO) im Unternehmen überhaupt durchgeführt werden – eine gesetzliche Verpflichtung der Unternehmensleitung, die bei Verstößen mit empfindlichen Strafen rechnen muss.

    Der DSB kümmert sich um die Festlegung von Regeln, wie mit Daten umzugehen ist, und um die entsprechende Schulung von Mitarbeiterinnen und Mitarbeitern. Er kommuniziert nicht nur intern, sondern auch mit externen Aufsichtsbehörden.

Die Unterschiede von ISB und DSB

  • Der Informationssicherheitsbeauftragte ist in der Regel ein studierter Informatiker mit Weiterbildungen im Bereich Security oder Informationssicherheit. Er ist der Geschäftsführung unterstellt, also ein normaler Angestellter, der möglicherweise, aber nicht zwingend, eine leitende Funktion innehat. 
  • Der Datenschutzbeauftragte ist klassischerweise ein Jurist oder ein Wirtschaftswissenschaftler mit entsprechender Weiterbildung. Er ist im Unternehmen nicht weisungsgebunden, auch wenn er angestellt ist. Vielmehr ist er in seiner Kontrollfunktion der DSGVO gegenüber verpflichtet, seine Aufgaben zu erfüllen. Die fachlichen Anforderungen an den DSB sind sehr hoch, weshalb es schwierig ist, diese Stelle adäquat zu besetzen. 

Welchen gesetzlichen Rahmen gibt es für die Positionen? 

  • Ab einer bestimmten Größe ist ein Unternehmen nach der DSGVO dazu verpflichtet, einen Datenschutzbeauftragten zu stellen. Für Deutschland liegt diese Größe nach dem Bundesdatenschutzgesetz (BDSG) – abweichend von der DSGVO – bei 20 „ständig mit der Verarbeitung personenbezogener Daten beschäftigten“ Mitarbeitern.
  • Für den Informationssicherheitsbeauftragten gibt es keine gesetzlichen Vorgaben. Die Position muss nicht besetzt werden, es sei denn, ein Unternehmen führt ein Informationssicherheitssystem (ISMS) ein und strebt die Zertifizierung nach ISO 27001 Der Standard fordert, dass ein ISB benannt wird, der für das ISMS verantwortlich zeichnet. Diese Rolle könnte in zwei aufgeteilt werden, und der ISB darf auch weitere Rollen übernehmen.

Überschneidungen der Kompetenzen

Auch wenn der Informationssicherheitsbeauftragte einen technischen und der Datenschutzbeauftragte eher einen juristischen Fokus hat, benötigen die beiden ähnliches Know-how. Sie müssen die Grundlagen der Datenverarbeitung verstehen – technisch und organisatorisch –, mit Informationstechnologie vertraut sein und wissen, was diese bedrohen könnte und wie sie abzusichern wäre. Der täglichen Arbeit dienlich sind zudem gute Kenntnisse über Brancheneinrichtungen und Kontakte innerhalb der Branche.

Persönlich sollten der ISB und der DSB eine gewisse Fähigkeit besitzen, die Unternehmenskultur zu verändern, also das Bewusstsein für Informationssicherheit und Datenschutz zu schaffen und auszubauen. Das erfordert Gespräche mit den verschiedensten Abteilungen, Workshops, Schulungen und auch die Klärung von strittigen Themen.

Konfliktpotenzial zwischen ISB und DSB

Der grundlegende Konflikt steckt darin, wie die Ziele der beiden im Unternehmen verankert sind.

  • Der Informationssicherheitsbeauftragte soll Informationssicherheit im Unternehmen durchzusetzen. Dieses Ziel teilt er sich mit der Geschäftsführung, die ihre Unternehmenswerte schützen will, also nicht nur die Assets, sondern auch die Prozesse, die definieren, wie das Unternehmen Geld verdient und aufrechterhalten wird. Dies ist ein Ziel, das sich durch den Geschäftsbetrieb definiert und das allen anderen übergeordnet ist.
  • Der Datenschutzbeauftragte handelt nicht geschäftsabhängig, sondern streng nach den Vorgaben der DSGVO, zum Schutz der Personen.

Konflikte ergeben sich, wenn der Datenschutz die Informationssicherheit behindert und umgekehrt, zum Beispiel bei den häufig diskutierten unternehmensinternen Bedrohungen. Dem ISB, der das Risiko für sein Unternehmen bewerten muss, ist daran gelegen, einen Mitarbeiter, der potenziell die Sicherheit des Unternehmens gefährden könnte, frühzeitig durch die Ableitung von verdächtigen Verhaltensmustern aus Arbeitszeiten, Pausen, und seinen Kommunikationsmitteln zu erkennen. Allerdings würde diese Methode, um sich vor unternehmensinternen Bedrohungen zu schützen, sehr wahrscheinlich gegen den Datenschutz, also den Schutz personenbezogener Daten dieses Mitarbeiters, verstoßen. Daher müsste der ISB einen andere datenschutzkonforme Lösung finden, um das Unternehmen vor dieser Art von Bedrohungen zu schützen.

Könnte einer der beiden die Rolle des anderen mitübernehmen?

Theoretisch wäre es möglich, einer Person beide Positionen zu übertragen, da sich die Kompetenzen und Profile ähneln. Aber dem steht Gewichtiges entgegen.

  • Der Informationssicherheitsbeauftragte wird sich im Zweifelsfall den Zielen beugen, die ihm die Geschäftsleitung vorgibt, der er untergeordnet ist. Er muss sich primär darum kümmern, dass das Unternehmen bestehen bleibt und gegen potenzielle Risiken abgesichert ist. Den Datenschutz, den er als DSB unparteiisch prüfen müsste, wird er den Zielen immer hintanstellen müssen – zumal er sich kaum selbst objektiv überwachen kann.
  • Der Datenschutzbeauftragte dürfte neben seiner Tätigkeit grundsätzlich andere Aufgaben wahrnehmen, jedoch nicht solche, die zu Interessenskonflikten bei der Ausübung seiner Tätigkeit führen könnten. In der DSGVO sind zwar auch Teile der Informationssicherheit verankert, aber die Verordnung gibt vor, dass der DSB seiner Kerntätigkeit möglichst frei nach gehen können muss. Er kann also nicht gleichzeitig unternehmerische Ziele verfolgen.

Inzwischen haben mehrere Aufsichtsbehörden diese Thematik untersucht und bewertet, welche Aufgaben im Unternehmen der DSB nicht mitübernehmen darf. Er darf zum Beispiel nicht zur Geschäftsleitung gehören und auch nicht für IT- oder Personalbelange zuständig sein.

Wann ergibt es Sinn, diese Positionen extern zu besetzten?

Beide Positionen erfordern sehr viel Spezialwissen und Erfahrung, die in Zeiten des Fachkräftemangels immer rarer werden – und die ein Unternehmen wahrscheinlich teuer bezahlen muss. Der kräftezehrende Poker hat ein Ende, wenn Sie auf externe Spezialistinnen und Spezialisten setzen, die mit allen Details der Themen Informationssicherheit und Datenschutz vertraut sind.

Unsere Fachkräfte sind sofort einsatzfähig – bei planbaren Kosten. Die geschilderten Interessenskonflikte lassen sich entschärfen, weil die Ziele und Aufgaben per Vertrag und Leistungsbeschreibung eindeutig festgelegt sind.

Fazit

Der Informationssicherheitsbeauftragte und der Datenschutzbeauftragte tragen ähnlich hohe, aber an unterschiedlichen Zielen ausgerichtete Verantwortung im Unternehmen. Die Anforderungen an die Positionen sind hoch, deshalb sind diese Stellen sehr schwer zu besetzen. Externe Fachkräfte bieten schnelle Hilfe, genau maßgeschneidert nach Ihren Bedürfnissen.

Informieren Sie sich, welche modular aufgebauten Lösungen zum Datenschutz und zur Informationssicherheit Sie einsetzen könnten, um diese Stellen den Vorgaben gemäß zu besetzen und Interessenskonflikte in Ihrem Unternehmen zu entschärfen.

Benötigen Sie Hilfe bei der Auswahl? Wir sprechen gerne ausführlich mit Ihnen – vereinbaren Sie noch heute einen Termin mit einem unserer Experten für Datenschutz und Informationssicherheit.

Image CTA Expert Male 2 Image CTA Expert Male 2 MOBILE

Beides unter einem Hut

Bei DataGuard haben wir eine Lösungen für die Informationssicherheit und den Datenschutz. Sprechen Sie uns bei Interesse einfach an.

Über den Autor

Andrew Whitmore Andrew Whitmore
Andrew Whitmore

Andrew ist Informationssicherheitsberater bei DataGuard und unterstützt Unternehmen bei der Einführung von Informationssicherheits-Managementsystemen nach den internationalen Standards ISO 27001 und TISAX®. Bevor er zu DataGuard kam studierte er Informatik und Informationsmanagement an der Universität Augsburg. In seiner vorherigen Tätigkeit bei einer renomierten Versicherung war er in der Compliance-Abteilung an der Entwicklung einer automatisierten Sanktionsscreeninglösung beteiligt. Außerdem analysierte Andrew Datenschutz- und Compliance-Herausforderungen von Blockchain-Technologien für die Entwicklung neuer Versicherungsprodukte.

Mehr Artikel ansehen

Lernen Sie DataGuard kennen

Jetzt unverbindlich beraten lassen

Ihre Vorteile auf einen Blick

  • Unterstützung durch Rechtsexperten und umfassende Compliance-Plattform
  • Kontinuierliche Unterstützung auf Ihrem Weg zur ISO 27001 und TISAX-Zertifizierung
  • Vereinfachtes und digitalisiertes Informationssicherheits-Managementsystem (ISMS)
  • Erhöhte Opt-in-Raten durch zentralisiertes Consent & Preference Management
  • Mehr Kundenvertrauen und Wachstum, weniger Risiken

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000