DSB = Datenschutzbeauftragter (intern oder extern)
ITSB = IT-Sicherheitsbeauftragter
ISB = Informationssicherheitsbeauftragter
Die Position des Datenschutzbeauftragten ist gesetzlich genau definiert.
In Art. 39 DSGVO sind die Aufgaben des Datenschutzbeauftragten geregelt:
(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
- a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
- b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
- c) Beratung– auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
- d) Zusammenarbeit mit der Aufsichtsbehörde;
- e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
Neben Art. 39 DSGVO sind die Aufgaben des Datenschutzbeauftragten zudem weiter in Erwägungsgrund 97 sowie § 7 BDSG definiert.
- Keine gesetzlich vorgeschriebenen Aufgaben
- Schwerpunkt: Sicherstellung der technischen Sicherheit der IT-Infrastruktur (Tätigkeitsfeld: IT-Abteilung)
- Abwendung von Gefahren vom Unternehmen, z.B. durch Einführung von IT-Sicherheitsmaßnahmen
- Teilt die Interessen der Unternehmensführung im Bereich IT-Sicherheit und ist somit eine Zentralfigur der IT-Sicherheit
- Beratung der Unternehmensleitung bei der Wahrnehmung ihrer Aufgaben in Bezug auf die IT-Sicherheit und Unterstützung bei Umsetzung
- Mitspracherecht bei allen IT-Projekten (Sicherstellung der sicherheitsrelevanten Aspekte)
- Berichterstattung und Kennzahlenbewertung
Bei kleinen Unternehmen (ohne eigenen ISB):
- Koordinierung und Vorantreiben der Informationssicherheit im Auftrag der Leitungsebene
- Ansprechpartner für alle Fragen rund um die Informationssicherheit
(Erstellung von Sicherheitskonzepten und Sicherheitsleitlinien)
Quelle: Müller, Formularhandbuch Datenschutzrecht, 3. Checkliste der Rolle und ihrer Funktionen
Zuständigkeiten und Aufgaben des ISB laut BSI
- Steuerung und Koordinierung der Sicherheitsprozesse
- Unterstützung der Leitung bei der Erstellung der Sicherheitsleitlinie
- Erstellung des Sicherheitskonzepts sowie zugehöriger Teilkonzepte und Richtlinien
- Anfertigung von Realisierungsplänen für Sicherheitsmaßnahmen (Überprüfung der Umsetzung)
- Bericht an die Leitungsebene und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit
- Koordination sicherheitsrelevanter Projekte
- Untersuchung sicherheitsrelevanter Vorfälle
- Sensibilisierungen und Schulungen zur Informationssicherheit
Anforderungen an ISB laut BSI
- Wissen und Erfahrung im Bereich Informationssicherheit und IT
- Ressourcen und Zeit für erforderliche Fortbildung
- Kenntnis über die Geschäftsprozesse innerhalb der Institution
- Direkte Zuordnung des ISB zur obersten Leitung (Wahrung der Unabhängigkeit)
- Direkter Berichtsweg zur Leitung à schnelle Entscheidungsfindung in Konfliktfällen muss garantiert werden
- Verpflichtung zur Kontrolle der Sicherheitsmaßnahmen (daher bestenfalls keine Integration des ISB in IT-Abteilung aufgrund von möglichen Rollenkonflikten)
Kann der Datenschutzbeauftragte gleichzeitig auch der IT-Sicherheitsbeauftragte sein?
INTERESSENSKONFLIKTE
Der Datenschutzbeauftragte sollte nicht gleichzeitig als IT-Sicherheitsbeauftragter bestellt werden, da sich die Aufgabenbereich teilweise überschneiden können.
Beispiel: Einführung eines Überwachungs-Tools. Hier ist eine Abwägung der informationellen Selbstbestimmungsrechte der betroffenen Personen mit den Sicherheitsinteresse des Unternehmens vorzunehmen.
Kann der IT-Leiter gleichzeitig auch der IT-Sicherheitsbeauftragte sein?
„Um eine wirkungsvolle Ausübung der Rolle des ITSB zu gewährleisten, empfiehlt es sich, den Beauftragten nicht in die IT-Abteilung zu integrieren, da deren Interessen und Ziele sich oftmals nicht mit den Aufgaben des ITSB decken. Vor allem die Optimierung der IT-Sicherheit auf der einen und das effiziente Funktionieren der EDV (als Hauptaufgabe der IT-Abteilung) auf der anderen Seite harmonieren häufig nicht. Eine Trennung der beiden Funktionen ist daher sinnvoll.“ (Vgl. Schmidl/Tannen, in: Kipker, Cybersecurity, 1. Auflage 2020, Rn. 38-48)
