Zusammenarbeit von IT, Datenschutz , ISB und Geschäftsführung
Externe Informationssicherheitsbeauftragte und Datenschutzbeauftragte – für viele Menschen wirken beide Begriffe auf den ersten Blick ähnlich. Dennoch ist es wichtig, diese Fachleute klar voneinander abzugrenzen. Welche Unterschiede und Gemeinsamkeiten es zwischen ISB und DSB gibt, stellen wir nachfolgend genauer vor.
Der DSB – intern und externer Datenschutzbeauftragter und die Abgrenzung zum ISB
Prinzipiell kann ein Datenschutzbeauftragter (DSB) in einem Betrieb sowohl intern als auch extern bestellt werden. Relevante Faktoren sind hierbei die berufliche Vorbildung, das Fachwissen bezüglich des Datenschutzrechts sowie auch weitere entscheidende Fähigkeiten, die zum Ausüben dieser Tätigkeit erforderlich sind.
Daher hat ein DSB oft einen Hintergrund als Rechtsanwalt, Jurist oder Wirtschaftsprüfer, aber kein Informatiker. So kann der DSB kompetente Beratung bei Rechts- und Verwaltungsfragen leisten, ist jedoch oft nicht technisch versiert genug, um die tatsächliche IT-Sicherheit prüfen oder überwachen zu können. Durch die Prüfung und Überwachung des Informationsbeauftragter (ISB) werden technische Lücken geschlossen.
Der DSB ist für den Schutz der personenbezogenen Daten zuständig. Handelt es sich bei den schützenswerten Daten nicht um personenbezogene Daten, endet die Verantwortung des DSB. Besonders bei vertraulichen, nicht personenbezogenen Unternehmensdaten wie Forschungsergebnisse entsteht leicht eine Verantwortungslücke, die der ISB schließt.
Leider werden diese beiden Experten oft miteinander verwechselt, weswegen es so wichtig ist, sie voneinander abzugrenzen. Fest steht, dass beide für ein Unternehmen wichtig sind. Mehr Informationen zu den Aufgaben des ISB finden Sie hier
Zusammenarbeit zwischen Datenschutz- und Informationssicherheits-beauftragten
Der Datenschutzbeauftrage ist in der Regel auch nicht für ein umfassendes Informationssicherheitskonzept im Unternehmen verantwortlich. Jede Organisation, selbst Kleinstunternehmen sollten zumindest ein Informationssicherheitspolitik, eine IT-Nutzungsrichtlinie, ein Datensicherungskonzept und ein grundlegendes Notfallkonzept erstellt haben und anwenden. Fehlen diese Konzepte, kann sich eine Haftung für die Geschäftsführung ergeben. Der ISB schließt auch diese Haftungslücke.
In der Praxis ergänzen sich die verschiedenen Aufgaben und Verantwortlichkeiten deshalb sehr gut. Der Informationssicherheitsbeauftragte berät die Geschäftsführung in strategischen Fragen der Informationssicherheit und erstellt die nötigen Richtlinien und Sicherheitskonzepte. Der Datenschutzbeauftragte ergänzt die Anforderungen durch die im Datenschutz erforderlichen TOMs, die in die Richtlinien und Anforderungen aufgenommen werden.
„Unternehmen sollten grundlegende Sicherheitskonzepte haben, wobei der ISB strategisch berät und die IT-Sicherheit überprüft, der DSB Datenschutzanforderungen integriert und das IT-Management die technische Umsetzung übernimmt. Diese Zusammenarbeit erfüllt oft auch die Anforderungen von Wirtschaftsprüfern und Versicherern.“
Christian Gresser, Geschäftsführer NESEC GMBH
Das IT-Management übernimmt die technische Umsetzung der Richtlinien und Konzepte durch Firewall, Endpoint Security, Log-Überwachung und andere technische Maßnahmen. Der ISB wiederum prüft die Wirksamkeit dieser technischen Maßnahmen durch technische Prüfungen und möglicherweise sogar durch Penetrationstests. Und die Geschäftsführung erhält einen Bericht des ISB, der bestätigt, dass alle notwendigen Maßnahmen umgesetzt wurden und wirksam sind.
Weitere wichtigsten Aufgaben des ISB
Der ISB hat neben der strategischen Beratung, der Überprüfung der IT-Sicherheit und der Durchführung technischer Prüfungen auch weitere Funktionen.
Der ISB kann auch regelmäßige interne Audits im Rahmen der ISO27001 durchführen und unterstützt den Betrieb darüber hinaus auch bei der Einhaltung geltender und verabschiedeter Sicherheitsvorschriften- und Richtlinien.
Dazu zählen auch Aufgaben, wie die Sensibilisierung der Mitarbeiter, Empfehlung von Cyber Security Checks und Penetrationstests.
Der ISB und der DSB – wo liegen die Unterschiede?
Während die DSB – in zahlreichen Unternehmen fest etabliert sind, sind Informationsbeauftragte bislang nicht ganz so bekannt. Ein deutlicher Unterschied zwischen den beiden Berufsfeldern ist, dass Informationsbeauftragte in einem Unternehmen keine Pflicht sind (das ändert sich mit dem neuen IT-SiG 2.0 und der NIS-2 Richtlinie) – der Datenschutzbeauftragte jedoch schon.
Diese Gemeinsamkeiten haben der ISB und der Datenschutzbeauftragte
Trotz der genannten Unterschiede gibt es dennoch einige deutliche Gemeinsamkeiten zwischen einem Datenschutzbeauftragten und einem Informationssicherheitsbeauftragten: Beide sind Experten, die sowohl in kleinen als auch in mittelgroßen Unternehmen wichtige Funktionen erfüllen und oft nacheinander eingesetzt werden.
Potenzielle Interessenkonflikte bei IT-Leitern
Nicht ideal ist es übrigens, wenn der IT-Leiter oder ein IT-Mitarbeiter gleichzeitig Informationssicherheitsbeauftragter ist. Eine zentrale Aufgabe ist nämlich wie oben erwähnt die Prüfung der Wirksamkeit der IT-Sicherheitsmaßnahmen und es ist immer schwierig, wenn sich ein Mitarbeiter selbst prüfen soll.
Oft ist es vielen Firmen schlichtweg zu aufwändig und zu teuer, zwei interne Experten einzustellen. Daher wenden sich viele zunächst an einen externen Datenschutzbeauftragten und anschließend an einen externen Informationsbeauftragten. Beide Positionen sind in der Unternehmensorganisation meist als Stabsstellen verankert.
Warum sind externe Informationsbeauftragte für Unternehmen so wichtig?
Für Betriebe, die nicht in der IT-Branche unterwegs sind, ist der Umgang mit den aktuellen und sich stetig verändernden Anforderungen zum Thema Informationssicherheit oft schwierig. Sensible Daten sollen schließlich bestmöglich vor gefährlichen Hackerangriffen geschützt werden – und es ist mindestens ebenso wichtig, im Rahmen der DSGVO zu agieren.
Diese Aspekte erfordern breites Fachwissen und somit das Know-How eines Experten. Ein ISB oder im internationalen Kontext ein Chief Information Security Officer (CISO) – verfügt über die nötigen Kenntnisse im Bereich IT-Sicherheit, mit denen viele Unternehmen überfordert sind. Mehr zum Thema CISO und Sicherheitsjobs im Unternehmen finden Sie hier
Welche Vorteile bringen externe ISB und DSB für ein Unternehmen mit sich?
Ein externer ISB kann für ein Unternehmen verschiedene Vorteile mit sich bringen. Diese hängen in erster Linie davon ab, wie es um das Unternehmen in punkto IT-Sicherheit bestellt ist. In jedem Fall verfügt er allerdings über umfassendes technisches und fachliches Know-how, das ihm dabei hilft, individuelle Verbesserungsvorschläge für ein Unternehmen zu machen. Externe Informationssicherheitsbeauftragte sind in verschiedenen Unternehmen tätig und verfügen so über breitgefächerte Erfahrung, die es ihnen einfach macht, schnell das richtige Konzept für ein Unternehmen zu erarbeiten.
Auch der externe DSB ist qualifiziert und bleibt mit Hilfe von Fortbildungen und Seminaren stets auf dem Laufenden, wenn es um neue Entwicklungen zum Thema Datenschutz geht. Ein externer Datenschutzbeauftragter weiß sehr genau, wie sich die Anforderungen der DSGVO am besten in einem Unternehmen realisieren lassen. Geläufige Fragen zum Thema Datenschutz kann er zuverlässig beantworten und so verschiedene Unternehmen kompetent beraten. Oft ist es zudem so, dass externe DSB vom Betriebsrat eher anerkannt wird als ein interner Datenschutzbeauftragter. Er erkennt Schwachstellen dank seiner umfassenden Erfahrung zuverlässig und kennt den Ablauf genau, um ein Unternehmen und seine Prozesse DSGVO-konform zu beraten.
Haben Sie noch keinen Informationssicherheitsbeauftragten?
Sie haben noch keinen unabhängigen Informationssicherheitsbeauftragten? Dann melden Sie sich bei uns.