LiiDU GmbH

DSB, ISB und ITSB - Was ist der Unterschied? 

Datenschutzbeauftragte, Informationssicherheitsbeauftragte und IT-Sicherheitsbeauftragte - Aufgaben und Verantwortlichkeiten

Die Begrifflichkeiten DSB, ISB und ITSB sorgen oftmals für Verwirrung. Grundsätzlich handelt es sich hierbei um drei unterschiedliche Positionen. Jedoch haben der Datenschutzbeauftragte, der Informationssicherheitsbeauftragte und der IT-Sicherheitsbeauftragte in manchen Verantwortlichkeiten ähnliche Aufgabenbereiche.

Begriffsdefinition

DSB = Datenschutzbeauftragter (intern oder extern)

ITSB = IT-Sicherheitsbeauftragter

ISB = Informationssicherheitsbeauftragter

 

Unterschied und Aufgaben_DSB ISB ITSB

Zuständigkeiten und Aufgaben des Datenschutzbeauftragten (DSB)

Die Position des Datenschutzbeauftragten ist gesetzlich genau definiert. Des DSB muss transparent machen, dass er externer/interner DSB einer bestimmten Stelle ist und stets die Vorgaben des Art. 39 DSGVO einhalten:

In Art. 39 DSGVO sind die Aufgaben des Datenschutzbeauftragten geregelt:

(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

  1. a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
  2. b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  3. c) Beratung– auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
  4. d) Zusammenarbeit mit der Aufsichtsbehörde;
  5. e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

(2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Neben Art. 39 DSGVO sind die Aufgaben des Datenschutzbeauftragten zudem weiter in Erwägungsgrund 97 sowie § 7 BDSG definiert.

Beschäftigt ein Unternehmen einen externen Datenschutzbeauftragten, muss sichergestellt werden, dass der ext. DSB alle notwendigen Informationen erhält, die zur Erfüllung seiner Aufgabe notwendig sind.

Außerdem ist das Unternehmen dazu verpflichtet, die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen, um Betroffenen die Möglichkeit zu geben, dass dieser kontaktiert werden kann, vgl. Art. 37 DSGVO.

Die DGSVO gibt keine klare Anweisung dazu, welche Kontaktangaben des Datenschutzbeauftragten genau auf der Homepage veröffentlicht werden müssen. Geregelt ist nur, dass Betroffenen Kontaktdaten zur Verfügung gestellt werden müssen.

Art. 37 DSGVO - Benennung eines Datenschutzbeauftragten

„(7) Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.“

 

Zuständigkeiten und Aufgaben des IT-Sicherheitsbeauftragter (ITSB)

 

  • Keine gesetzlich vorgeschriebenen Aufgaben
  • Schwerpunkt: Sicherstellung der technischen Sicherheit der IT-Infrastruktur (Tätigkeitsfeld: IT-Abteilung)
  • Abwendung von Gefahren vom Unternehmen, z.B. durch Einführung von IT-Sicherheitsmaßnahmen
  • Teilt die Interessen der Unternehmensführung im Bereich IT-Sicherheit und ist somit eine Zentralfigur der IT-Sicherheit
  • Beratung der Unternehmensleitung bei der Wahrnehmung ihrer Aufgaben in Bezug auf die IT-Sicherheit und Unterstützung bei Umsetzung
  • Mitspracherecht bei allen IT-Projekten (Sicherstellung der sicherheitsrelevanten Aspekte)
  • Berichterstattung und Kennzahlenbewertung

Bei kleinen Unternehmen (ohne eigenen ISB):

  • Koordinierung und Vorantreiben der Informationssicherheit im Auftrag der Leitungsebene
  • Ansprechpartner für alle Fragen rund um die Informationssicherheit
    (Erstellung von Sicherheitskonzepten und Sicherheitsleitlinien)

Quelle: Müller, Formularhandbuch Datenschutzrecht, 3. Checkliste der Rolle und ihrer Funktionen

  •  

Zuständigkeiten und Aufgaben des Informationssicherheitsbeauftragten (ISB)

Zuständigkeiten und Aufgaben des ISB laut BSI

  • Steuerung und Koordinierung der Sicherheitsprozesse
  • Unterstützung der Leitung bei der Erstellung der Sicherheitsleitlinie
  • Erstellung des Sicherheitskonzepts sowie zugehöriger Teilkonzepte und Richtlinien
  • Anfertigung von Realisierungsplänen für Sicherheitsmaßnahmen (Überprüfung der Umsetzung)
  • Bericht an die Leitungsebene und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit
  • Koordination sicherheitsrelevanter Projekte
  • Untersuchung sicherheitsrelevanter Vorfälle
  • Sensibilisierungen und Schulungen zur Informationssicherheit

Anforderungen an ISB laut BSI

  • Wissen und Erfahrung im Bereich Informationssicherheit und IT
  • Ressourcen und Zeit für erforderliche Fortbildung
  • Kenntnis über die Geschäftsprozesse innerhalb der Institution
  • Direkte Zuordnung des ISB zur obersten Leitung (Wahrung der Unabhängigkeit)
  • Direkter Berichtsweg zur Leitung à schnelle Entscheidungsfindung in Konfliktfällen muss garantiert werden
  • Verpflichtung zur Kontrolle der Sicherheitsmaßnahmen (daher bestenfalls keine Integration des ISB in IT-Abteilung aufgrund von möglichen Rollenkonflikten)

Mögliche Rollenkonflikte

Kann der Datenschutzbeauftragte gleichzeitig auch der IT-Sicherheitsbeauftragte sein?

INTERESSENSKONFLIKTE

Der Datenschutzbeauftragte sollte nicht gleichzeitig als IT-Sicherheitsbeauftragter bestellt werden, da sich die Aufgabenbereich teilweise überschneiden können.

Beispiel: Einführung eines Überwachungs-Tools. Hier ist eine Abwägung der informationellen Selbstbestimmungsrechte der betroffenen Personen mit den Sicherheitsinteresse des Unternehmens vorzunehmen.

Kann der IT-Leiter gleichzeitig auch der IT-Sicherheitsbeauftragte sein?

„Um eine wirkungsvolle Ausübung der Rolle des ITSB zu gewährleisten, empfiehlt es sich, den Beauftragten nicht in die IT-Abteilung zu integrieren, da deren Interessen und Ziele sich oftmals nicht mit den Aufgaben des ITSB decken. Vor allem die Optimierung der IT-Sicherheit auf der einen und das effiziente Funktionieren der EDV (als Hauptaufgabe der IT-Abteilung) auf der anderen Seite harmonieren häufig nicht. Eine Trennung der beiden Funktionen ist daher sinnvoll.“ (Vgl. Schmidl/Tannen, in: Kipker, Cybersecurity, 1. Auflage 2020, Rn. 38-48)

Mögliche Konflikte und Unterschiede zwischen DSB, ISB, ITSB

Stand: Mai 2023 

Sie brauchen Unterstützung?

Wir stehen Ihnen gerne für weitere Fragen und zur Beratung zur Verfügung - kontaktieren Sie uns!
Kontakt
envelopephonemap-markerlocation