Die Begrifflichkeiten DSB, ISB und ITSB sorgen oftmals für Verwirrung. Grundsätzlich handelt es sich hierbei um drei unterschiedliche Positionen. Jedoch haben der Datenschutzbeauftragte, der Informationssicherheitsbeauftragte und der IT-Sicherheitsbeauftragte in manchen Verantwortlichkeiten ähnliche Aufgabenbereiche.
DSB = Datenschutzbeauftragter (intern oder extern)
ITSB = IT-Sicherheitsbeauftragter
ISB = Informationssicherheitsbeauftragter
Die Position des Datenschutzbeauftragten ist gesetzlich genau definiert. Des DSB muss transparent machen, dass er externer/interner DSB einer bestimmten Stelle ist und stets die Vorgaben des Art. 39 DSGVO einhalten:
In Art. 39 DSGVO sind die Aufgaben des Datenschutzbeauftragten geregelt:
(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
(2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
Neben Art. 39 DSGVO sind die Aufgaben des Datenschutzbeauftragten zudem weiter in Erwägungsgrund 97 sowie § 7 BDSG definiert.
Beschäftigt ein Unternehmen einen externen Datenschutzbeauftragten, muss sichergestellt werden, dass der ext. DSB alle notwendigen Informationen erhält, die zur Erfüllung seiner Aufgabe notwendig sind.
Außerdem ist das Unternehmen dazu verpflichtet, die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen, um Betroffenen die Möglichkeit zu geben, dass dieser kontaktiert werden kann, vgl. Art. 37 DSGVO.
Die DGSVO gibt keine klare Anweisung dazu, welche Kontaktangaben des Datenschutzbeauftragten genau auf der Homepage veröffentlicht werden müssen. Geregelt ist nur, dass Betroffenen Kontaktdaten zur Verfügung gestellt werden müssen.
Art. 37 DSGVO - Benennung eines Datenschutzbeauftragten
„(7) Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.“
Bei kleinen Unternehmen (ohne eigenen ISB):
Quelle: Müller, Formularhandbuch Datenschutzrecht, 3. Checkliste der Rolle und ihrer Funktionen
Zuständigkeiten und Aufgaben des ISB laut BSI
Anforderungen an ISB laut BSI
INTERESSENSKONFLIKTE
Der Datenschutzbeauftragte sollte nicht gleichzeitig als IT-Sicherheitsbeauftragter bestellt werden, da sich die Aufgabenbereich teilweise überschneiden können.
Beispiel: Einführung eines Überwachungs-Tools. Hier ist eine Abwägung der informationellen Selbstbestimmungsrechte der betroffenen Personen mit den Sicherheitsinteresse des Unternehmens vorzunehmen.
„Um eine wirkungsvolle Ausübung der Rolle des ITSB zu gewährleisten, empfiehlt es sich, den Beauftragten nicht in die IT-Abteilung zu integrieren, da deren Interessen und Ziele sich oftmals nicht mit den Aufgaben des ITSB decken. Vor allem die Optimierung der IT-Sicherheit auf der einen und das effiziente Funktionieren der EDV (als Hauptaufgabe der IT-Abteilung) auf der anderen Seite harmonieren häufig nicht. Eine Trennung der beiden Funktionen ist daher sinnvoll.“ (Vgl. Schmidl/Tannen, in: Kipker, Cybersecurity, 1. Auflage 2020, Rn. 38-48)
Stand: Mai 2023
Zum Newsletter anmelden und sparen
10 € Rabatt auf Ihre erste Seminaranmeldung