Informationssicherheitsbeauftragter vs. Datenschutzbeauftragter

Was ist der Unterschied zwischen ISB und DSB?

Datenschutz ist ein Themenbereich, der besonders seit Inkrafttreten der DSGVO in vielerlei Hinsicht zu beachten ist. Die Grundverordnung schützt den Umgang mit personenbezogenen Daten und ist dabei nicht immer einfach einzuhalten, da sie einen großen Umfang von Vorgaben und Pflichten beinhaltet, die für Unternehmen oftmals nicht leicht zu durchblicken sind.
Während man sich bei einem rechtlichen Problem bei einem Anwalt meldet oder bei einem medizinischen Problem den Arzt zu Rate zieht, gibt es auch für einen solchen Bereich Hilfe, die gerne in Anspruch genommen werden kann.
Dabei kommt es jedoch darauf an, was genau der Kern des Problems ist. Ein Datenschutzbeauftragter (DSB) kümmert sich, wie der Name schon sagt, um den Datenschutz im Sinne der DSGVO. Um andere Bereiche der IT-Sicherheit abzudecken, existiert der I nformationssicherheitsbeauftragte.
Doch was ist der Unterschied und die Funktion der beiden im Detail?

Datenschutzbeauftragter

Um in allen Bereichen vor Verstößen gegen die DSGVO sicher zu sein, sollte ein externer DSB herangezogen werden. Dies ist nicht nur zu empfehlen, sondern für die meisten Unternehmen, die mit personenbezogenen Daten zu tun haben (Art. 37 DSGVO), sogar verpflichtend. Doch was ist seine Funktion?
Der externe Datenschutzbeauftragte optimiert Prozesse, berät Sie, Kunden und Mitarbeiter, verhindert Verstöße gegen die DSGVO, führt Datenschutzfolgeabschätzungen durch etc.
Die Liste ist lang. Zudem ist der DSB auch gesetzlich zertifiziert, wobei er eine umfangreiche Ausbildung durchlaufen hat. Er muss juristische Kenntnisse besitzen und rechtlich immer auf dem neuesten Stand in Sachen Datenschutz sein.
Auch ist es möglich, einen internen Mitarbeiter zum Datenschutzbeauftragten zu ernennen. Dies ist aber in der Praxis nicht nur schwierig, da der DSB in keinen Interessenskonflikt, mit dem zu beratenden Unternehmen, geraten darf. Denn kaum ein Mitarbeiter dürfte die berufliche Qualifikation zum DSB haben, während eine Weiterbildung sehr Zeit- und Kosten-intensiv sein dürfte, wobei das Ergebnis, in der Mehrheit der Fälle, auch nicht so hilfreich ist, wie ein spezialisierter Fachmann. Zudem verliert der Mitarbeiter, der mit dieser Aufgabe betraut wurde, wertvolle Zeit für seine eigentliche Tätigkeit.

Informationssicherheitsbeauftragter

Nicht alle Daten sind von der DSGVO betroffen. Der externe DSB ist auf personenbezogene Daten, die Europäische Datenschutzgrundverordnung und auf das Bundesdatenschutzgesetz spezialisiert. Er vertritt damit die Persönlichkeitsrechte der EU-Bürger, genauer gesagt, bewahrt er Unternehmen davor, gegen sie zu verstoßen. Doch wie sieht es für alle anderen Bereiche der IT-Sicherheit aus? Datenschutz und Informationssicherheit sind auch im juristischen Sinne nicht gleichbedeutend.
Interne Informationen eines Unternehmens, die digital abgespeichert werden, sind ebenfalls schutzwürdig. Ein Informationssicherheitsbeauftragter wird nicht gesetzlich vorgeschrieben, aber sollte auch bei vielen Unternehmen in Betracht gezogen werden. Denn er kümmert sich vor allem um die Sicherheiten, im eigenen Interesse des Unternehmens.
Alles, was an Daten im digitalen Besitz des Unternehmens ist, ist schützenswert. Entwickelt die Firma ein Produkt, so sollte nicht jeder Zugriff darauf haben. Der Schutz solcher Daten ist Aufgabe des ISB. Der Schutz vor Hackern, das Erstellen eines Notfallplans und die Organisation dessen, wer auch intern auf welche Daten zugreifen darf, ist seine Mission. Auch erfüllt der ISB Aufgaben, die im Ernstfall anzugehen sind. Er weiß, wie es sich im Falle eines externen Angriffes zu verhalten gilt und unterstützt seine Kunden bei solchen Vorkommnissen.
Das Briefing von Mitarbeitern und auch der Umgang mit physischen Daten, wie Akten etc. sind Teil seines Tätigkeitsfeldes.

Wann also einen DSB, wann einen ISB?

Wie schon gesagt, ist der DSB für viele Unternehmen obligatorisch. Folgende müssen einen DSB heranziehen:

1.Behörden oder öffentliche Stellen, die personenbezogene Daten verarbeiten (außer Gerichte, die innerhalb ihres Aufgabenfeldes handeln).

2.Unternehmen, die Verarbeitungsvorgänge durchführen, die die regelmäßige oder systematische Überwachung von betroffenen Personen erforderlich macht.

3.Unternehmen, die umfangreich besondere Kategorien von Daten verarbeiten. Dazu gehören Daten über rassische, ethnische, politische, religiöse und weltanschauliche Hintergründe oder Daten mit strafrechtlichem Hintergrund.

Diese Unternehmen sind dazu verpflichtet, einen Datenschutzbeauftragten (vorzugsweise einen externen) heranzuziehen. Abgesehen davon lohnt es sich bei Unsicherheiten im rechtlichen Bereich oder generell beim Verarbeiten von personenbezogenen Daten einen externen DSB zu engagieren, der einem in rechtlicher Hinsicht den Rücken freihält.

Der ISB handelt wirklich nur im Interesse der ihn engagierenden Firma. Er sollte bei sämtlichen Fragen der IT-Sicherheit herangezogen werden und ist Experte in allen Belangen, die eigenen Informationen und Interessen zu wahren.

Ein externer Datenschutzbeauftragter sollte grundsätzlich beauftragt werden, hat das Unternehmen mit personenbezogenen Daten zu tun und gibt es somit potenzielle Reibungspunkte mit der DSGVO.
Das Einstellen eines Informationssicherheitsbeauftragten muss von dem Unternehmen abgewogen werden. Besteht die Gefahr von außen, wie vertraulich sind die Informationen und müssen sie um jeden Preis im Unternehmen bleiben? Mit der Betrauung eines ISB macht man sicherlich nicht viel falsch.

Fazit

Hilfe annehmen lohnt sich meistens. Das gilt sowohl für den externen Datenschutzbeauftragten als auch für den Informationssicherheitsbeauftragten.
Der DSB kümmert sich um alles im Zusammenhang mit Datenschutzrecht, verhindert Verstöße, optimiert Prozesse und berät. Zudem ist er gesetzlich vorgegeben und ist für viele Unternehmen obligatorisch. Er muss neutral eingestellt sein und ihm darf kein Interessenskonflikt innewohnen.
Dies gilt nicht für den ISB, der einzig dem Interesse der Firma dient, also dem Schutz interner Informationen. Er kann herangezogen werden, muss dies aber nicht, was nur das Unternehmen selbst entscheiden kann.
Die beiden sind nicht miteinander zu verwechseln, wobei beide eine indiskutable Daseinsberechtigung in ihrem Feld genießen.

Die Immerce GmbH ist die Internet Agentur im Allgäu und programmiert seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für ihre Kunden Suchmaschinenoptimierung. Seit 2018 ist mit der Einführung der DSGVO der Geschäftsbereich betreuen wir unsere Kunden zusätzlich in den Bereichen Datenschutz & IT-Sicherheit.

Kontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
08323-209 99 43
muens@immerce.de
https://www.immerce-consulting.de

Die Bildrechte liegen bei dem Verfasser der Mitteilung.