Datenschutzbeauftragter und IT-Sicherheitsbeauftragter

Datenschutzbeauftragter und IT-Sicherheitsbeauftragter – worin liegt der Unterschied? Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Momentan sind deshalb viele Unternehmen bemüht, die Anforderungen möglichst schnell umzusetzen. Dazu gehört auch, dass ein Datenschutzbeauftragter bestellt werden muss. Während öffentliche Stellen (Behörden, Ämter) grundsätzlich einen Datenschutzbeauftragten bestellen müssen, wird ein betrieblicher Datenschutzbeauftragter erst benötigt, wenn mehr als neun Mitarbeiter regelmäßig mit automatisierter Datenverarbeitung beschäftigt sind oder mindestens 20 Personen mit nichtautomatisierter Datenverarbeitung zu tun haben. Ein Datenschutzbeauftragter muss aufgrund seiner Qualifikation und seines Fachwissens im Datenschutzrecht für diese Aufgabe geeignet sein. Diese Kenntnisse können zum Beispiel mit einer Weiterbildung erlangt werden.

Neben der Umsetzung der neuen DSGVO schreitet auch die Digitalisierung in den Unternehmen weiter voran. In den Nachrichten ist immer wieder die Rede von Hackerangriffen und Datenschutzskandalen, die für Unternehmen mitunter sehr teuer werden können. Zum einen muss meist viel Geld investiert werden, um seine Systeme wieder sicher nutzen zu können. Zum anderen kann das Tagesgeschäft während des Angriffes stillstehen, sodass auch hier Ausfälle zu beklagen sind. Hackerangriffe müssen demnach nicht unbedingt darauf ausgerichtet sein, dem Unternehmen Daten oder Geld zu stehlen und können trotzdem immensen (finanziellen) Schaden anrichten. Kommt dies an die Öffentlichkeit, ist zudem noch mit einem Reputationsverlust zu rechnen, was auch für weitere Aufträge negative Konsequenzen haben könnte. Hier kann mit einem fachlich geeigneten Informationssicherheitsbeauftragten (IHK) vorgebeugt werden.

Datenschutzbeauftragter und IT-Sicherheitsbeauftragter: ein- und dasselbe?

Deckt ein Datenschutzbeauftragter sowohl die Anforderungen der DSGVO ab als auch den Schutz unserer Informationssysteme?
Die Antwort auf diese Frage ist vielen nicht klar, gibt es doch sowohl eine Weiterbildung zum Datenschutzbeauftragten als auch eine Weiterbildung zum Informationssicherheitsbeauftragten (IHK). Von außen betrachtet mögen beide ähnliche Aufgaben haben. Unwissende schmeißen gerne beides in einen Topf. Die Tätigkeitsfelder Datenschutzbeauftragter und IT-Sicherheitsbeauftragter unterschieden sich jedoch voneinander: Der Datenschutzbeauftragte hat darauf zu achten, dass sämtliche Bestimmungen zum Datenschutz und Datensicherheit eingehalten werden, während ein Informationssicherheitsbeauftragter bzw. IT-Sicherheitsbeauftragter sich speziell um das breite Feld der IT-Sicherheit kümmert.

Ein Datenschutzbeauftragter ist gesetzlich vorgeschrieben (Art. 37 Abs. 1 lit. a – c DSGVO), ein Informationssicherheitsbeauftragter ist laut IT-Sicherheitsgesetz nur für sogenannte “Betreiber einer kritischen Infrastruktur” (z.B. Energieversorger) verpflichtend. Dennoch sollte man den IT-Sicherheitsbeauftragten nicht unterschätzen: Er unterstützt die Unternehmensführung bei der Bewältigung des großen Aufgabenspektrums im Bereich IT-Sicherheit.

Allgemein wird davon abgeraten, dass gewisse Fachbereiche in die Hände ein und derselben Person im Unternehmen gelegt werden. Ist ein Geschäftsführer als Verantwortlicher für die Einhaltung von Datenschutz und Datensicherheit gleichzeitig auch Datenschutzbeauftragter und IT-Sicherheitsbeauftragter, kann dies (abgesehen vom immensen Umfang an Aufgaben) zu Interessenskonflikten führen. Es wird daher geraten, diese Positionen falls möglich mit verschiedenen Fachkräften zu besetzen oder externe Dienstleister mit dieser Aufgabe zu betreuen.

Was ist ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter ist vor allem für den richtigen Umgang mit personenbezogenen Daten zuständig und berät die Geschäftsleitung in der Umsetzung. Weiterhin soll er Prozesse und Verfahren hinreichend dokumentieren. Hierfür spielen die gesetzlichen Gegebenheiten eine Rolle. An diese muss sich das Unternehmen halten und für diese Einhaltung ist der Datenschutzbeauftragte zuständig. Es müssen also juristische Kenntnisse vorhanden sein, denn die gesetzlichen Anforderungen sind je nach Art der Daten unterschiedlich. Ein Datenschutzbeauftragter ist demnach für das Datenschutzmanagement zuständig. Mit Hilfe eines Datenschutzkonzeptes wird dargestellt, welche Daten in welchem Umfang und auf welchem Weg erhoben und verarbeitet werden dürfen. Dabei ist es wichtig, dass er Fehlverhalten aufzeigen kann, was bedeutet, dass er sich nicht selbst kontrollieren darf, um einem Interessenkonflikt vorzubeugen. Da heute vieles digital abläuft, sind für einen Datenschutzbeauftragten natürlich auch IT-Kenntnisse wichtig, womit wir schon fast bei Informationssicherheitsbeauftragten sind.

Was ist ein Informationssicherheitsbeauftragter?

Auch ein Informationssicherheitsbeauftragter muss über hohe IT-Kenntnisse sowie über Kenntnisse der Informationssicherheit verfügen. Er ist nicht nur für den Schutz personenbezogener Daten wichtig, sondern für den Schutz aller Daten, wozu zum Beispiel auch Ideen für neue Produkte gehören. Es gibt keine gesetzliche Regelung für Informationssicherheitsbeauftragte, es gibt jedoch ISO-Normen, die als Vorgaben angesehen werden können bzw. als Orientierung dienen. Hier spielt vor allem die Eigenmotivation der Unternehmen eine große Rolle. Es geht weniger darum zu überprüfen, welche Daten erhoben und verarbeitet werden dürfen, sondern darum, diese und alle weiteren Informationen zu schützen.

Es gilt Informationen und Daten vor externen Angriffen zu schützen, aber auch festzulegen, welche Personen intern überhaupt Zugriff auf bestimmte Informationen haben. Der Schutz vor externen Angriffen steht bei der Informationssicherheit jedoch im Vordergrund. Dazu ist es wichtig, ein Informationssicherheitskonzept zu erstellen, in dem auch ein Notfallplan enthalten ist. Durch die Schnelllebigkeit der Informationstechnologie ist es nicht möglich, einen hundertprozentigen Schutz zu bieten. Deswegen ist es wichtig, im Ernstfall zu wissen, wie reagiert werden muss. Etwaige Sicherheitsvorfälle werden vom Informationssicherheitsbeauftragten untersucht und analysiert, um weitere Vorfälle dieser Art ausschließen zu können. Der Informationssicherheitsbeauftragte berät und unterstützt die oberste Leitungsebene eines Unternehmens und steht aus diesem Grund im besten Fall weit oben in der Unternehmenshierarchie. Außerdem schult ein Informationssicherheitsbeauftragter auch andere Mitarbeiter im Umgang mit Soft- und Hardware und sensibilisiert vor eventuellen Angriffen. Es geht bei der Informationssicherheit jedoch nicht nur um den digitalen Bereich. Auch Informationen, die nicht digital, sondern zum Beispiel ganz klassisch in Aktenschränken stehen, spielen ebenso eine Rolle für den Informationssicherheitsbeauftragten. Auch diese werden von ihm geschützt.

Fazit: Was braucht (m)ein Unternehmen?

Gesetzlich vorgeschrieben ist, wie oben bereits angesprochen, für die meisten Unternehmen, einen Datenschutzbeauftragten zu bestellen. Dieser verantwortet jedoch in erster Linie Prozesse zur Erhebung und Verarbeitung personenbezogener Daten. Unternehmensgeheimnisse und Interna sind davon tlw. nicht betroffen. Auch für den Schutz von Soft- und Hardware ist dieser nicht zuständig, weshalb hier ein Informationssicherheitsbeauftragter eingesetzt werden sollte. Der Datenschutzbeauftragte ist zwar gesetzlich vorgeschrieben, dies macht den Informationssicherheitsbeauftragten deshalb jedoch nicht weniger notwendig. Besonders für mittlere und große Unternehmen spielt letzterer eine wichtige Rolle. Jedoch sollten sich auch kleine Unternehmen der Gefahr bewusst sein, Opfer eines externen Angriffes zu werden, welcher die Existenz des Unternehmens gefährden kann.
Sowohl beim Datenschutzbeauftragten als auch beim Informationssicherheitsbeauftragten sollte sichergestellt werden, dass sie in keinen Interessenskonflikt geraten und ihnen genügend zeitliche Ressourcen zur Verfügung stehen, um den Aufgaben nachgehen zu können. Die Aufgaben der IT-Sicherheit können auch an weitere Mitarbeiter abgegeben werden. Wichtig ist jedoch, dass ein Verantwortlicher für die Informationssicherheit explizit benannt wird, um Aufgaben zu koordinieren und Informationen zu kanalisieren.

Zusammengefasst lässt sich also sagen, dass sowohl ein Datenschutzbeauftragter als auch ein Informationssicherheitsbeauftragter für Unternehmen einen hohen Stellenwert haben. Je nach Größe des Unternehmens und Umfang der Aufgaben ist es auch möglich, die beiden Positionen (Datenschutzbeauftragter und IT-Sicherheitsbeauftragter) mit einer Person zu besetzen. Hat man die Ressourcen und Möglichkeiten ist es jedoch sinnvoll, diese Aufgaben an verschiedene Fachkräfte zu verteilen.

Für einen Einstieg in die Themenfelder Datenschutz und Datensicherheit empfehlen wir die Seite datenschutz.org sowie das Buch „Recht im Online-Marketing“ von Christian Solmecke und Sibel Kocatepe.