Was haben externer Informations-sicherheitsbeauftragte (ISB) und Datenschutzbeauftragte (DSB) gemeinsam?

Externe Informationssicherheitsbeauftragte und Datenschutzbeauftragte – für viele Menschen wirken beide Begriffe auf den ersten Blick ähnlich. Dennoch ist es wichtig, diese Fachleute klar voneinander abzugrenzen. Welche Unterschiede und Gemeinsamkeiten es zwischen ISB und DSB gibt, stellen wir nachfolgend genauer vor.

Der DSB – intern und externer Datenschutzbeauftragter und die Abgrenzung zum ISB

Prinzipiell kann ein Datenschutzbeauftragter in einem Betrieb sowohl intern als auch extern bestellt werden. Relevante Faktoren sind hierbei die berufliche Vorbildung, das Fachwissen bezüglich des Datenschutzrechts sowie auch weitere entscheidende Fähigkeiten, die zum Ausüben dieser Tätigkeit erforderlich sind. Ein Informationsbeauftragter hat jedoch ganz andere Funktionen zu erfüllen als ein Datenschutzbeauftragter. Leider werden diese beiden Experten oft miteinander verwechselt, weswegen es so wichtig ist, sie voneinander abzugrenzen. Fest steht, dass beide für ein Unternehmen wichtig sind.

Übersicht Informationssicherheit und Datenschutz

Die wichtigsten Aufgaben des Informations-sicherheitsbeauftragten

Bei einem Informationssicherheitsbeauftragten – kurz genannt ISB – handelt es sich um einen Fachmann im Unternehmen, der sich vor allem mit dem Thema Informationssicherheit befasst. So kümmert er sich zum Beispiel darum, dass die IT-Sicherheit im Betrieb stets auf dem aktuellsten Stand bleibt. Dass ein solcher Fachmann nötig ist, liegt in der Regel daran, dass die Beschäftigten oder Geschäftsführer vor Ort keine ausreichenden Kenntnisse darüber besitzen – oder schlichtweg nicht die Zeit dafür haben. Ein Sicherheitsbeauftragter fungiert dabei als wichtigster Ansprechpartner innerhalb des Unternehmens.

So kann ein Informationsbeauftragter zum Beispiel die Geschäftsführung zu den nächsten wichtigen Schritten beraten oder auch regelmäßige interne Audits im Rahmen der ISO27001 durchführen, bei denen immer wieder der aktuelle Stand der IT-Sicherheit unter die Lupe genommen wird.

Der Informationssicherheitsbeauftragte unterstützt den Betrieb darüber hinaus auch bei der Erstellung individueller Sicherheitskonzepte sowie der Einhaltung geltender Sicherheitsvorschriften.

Dazu zählen auch Aufgaben, wie die Sensibilisierung der Mitarbeiter, Empfehlung von Cyber Security Checks und Penetrationstests.

Der Informationsbeauftragte und der Datenschutzbeauftragte – wo liegen die Unterschiede?

Während Datenschutzbeauftragte – kurz genannt DSB – in zahlreichen Unternehmen fest etabliert sind, sind Informationsbeauftragte bislang nicht ganz so bekannt. Ein deutlicher Unterschied zwischen den beiden Berufsfeldern ist, dass Informationsbeauftragte in einem Unternehmen keine Pflicht sind (das ändert sich mit dem neuen IT-SiG 2.0) – der Datenschutzbeauftragte jedoch schon. Das schreibt der Gesetzgeber mittlerweile für zahlreiche Firmen vor. Darüber hinaus besteht seine wichtigste Aufgabe darin, personenbezogene Daten zu schützen – ein klarer Unterschied zum Informationssicherheitsbeauftragten, der sich vor allem auf ein umfassendes Sicherheitskonzept für das Unternehmen spezialisiert. Er steht der Geschäftsführung mit Rat und Tat zur Seite, um für maximale IT-Sicherheit zu sorgen, so dass das Management dadurch nachhaltig entlastet wird.

Diese Gemeinsamkeiten haben der ISB und der Datenschutzbeauftragte

Trotz der genannten Unterschiede gibt es dennoch einige deutliche Gemeinsamkeiten zwischen einem Datenschutzbeauftragten und einem Informationssicherheitsbeauftragten: Beide sind Experten, die sowohl in kleinen als auch in mittelgroßen Unternehmen wichtige Funktionen erfüllen und oft nacheinander eingesetzt werden. Oft ist es vielen Firmen schlichtweg zu aufwändig und zu teuer, zwei interne Experten einzustellen. Daher wenden sich viele zunächst an einen externen Datenschutzbeauftragten und anschließend an einen externen Informationsbeauftragten. Beide sind für das Thema Sicherheit im Unternehmen verantwortlich – wenngleich auch in unterschiedlichen Sparten (siehe Grafik oben). Das macht sie auch beide zu einem wichtigen Bestandteil in einer modernen Firma, die sich im Zeitalter des digitalen Wandels langfristig durchsetzen möchte.

Warum sind externe Informationsbeauftragte für Unternehmen so wichtig?

Für Betriebe, die nicht in der IT-Branche unterwegs sind, ist der Umgang mit den aktuellen und sich stetig verändernden Anforderungen zum Thema Informationssicherheit oft schwierig. Sensible Daten sollen schließlich bestmöglich vor gefährlichen Hackerangriffen geschützt werden – und es ist mindestens ebenso wichtig, im Rahmen der DSGVO zu agieren.
Diese Aspekte erfordern breites Fachwissen und somit das Know-How eines Experten. Ein externer Chief Information Security Officer – kurz genannt CISO – verfügt über die nötigen Kenntnisse im Bereich IT-Sicherheit, mit denen viele Unternehmen überfordert sind.

Sie erstellen individuelle Sicherheitskonzepte und liefern neue Ansätze am Puls der Zeit. Der große Vorteil: Ein Informationsbeauftragter arbeitet eng mit der Geschäftsführung zusammen und entlastet diese nachhaltig, wenn es um Themen der IT-Sicherheit geht. So bleibt die Geschäftsführung stets auf dem Laufenden, was die Wechselwirkung zwischen Informationssicherheit und Geschäftsprozessen betrifft – und sie hat gleichzeitig die Möglichkeit, die Entwicklungen mitzugestalten.

Grundsätzlich ist es aber auch möglich, einen Beauftragten für die Informationssicherheit intern bereitzustellen. Hierfür sind lediglich einige formelle Dinge nötig. So muss die Geschäftsführung eine Person zum Informationssicherheitsbeauftragten benennen und ihm zu Beginn seiner Tätigkeit ein bestimmtes Datum mitsamt der entsprechenden Aufgaben mitteilen.
Dennoch ist durch die Bestellung eines internen Beauftragten immer mit Störungen im Betriebsablauf oder anderweitigen Hürden zu rechnen. Aus diesem Grund entscheiden sich viele Firmen direkt für einen externen Dienstleister, der in regelmäßigen Abständen nach dem Rechten sieht.

Was ein interner Datenschutzbeauftragter im Unternehmen leistet

Bei einem internen Datenschutzbeauftragten überträgt der Geschäftsführer ebenfalls einem Angestellten das Amt mitsamt seiner Aufgaben – der Ablauf ist somit derselbe wie bei einem ISB. Der DSB kümmert sich um alle Vorgänge, bei denen personenbezogene Daten verarbeitet werden.

Dazu zählen zum Beispiel:

  • Kundendaten
  • Mitarbeiterdaten
  • Lieferantendaten
  • Bewerberdaten
  • Verpflichtsungserklärungen für Mitarbeiter
  • Überprüfung von externen Dienstleistern (AVVs, SCCs,…)
  • Überprüfung der technisch-organisatorischen Maßnahmen (TOMs)
  • Erstellung von Verzeichnissen von Verarbeitungstätgkeiten (VVT)

Wichtig ist, dass der Mitarbeiter alle dafür erforderlichen Qualifikationen mitbringt, um als interner Datenschutzbeauftragter tätig sein zu können. Nachdem er offiziell zu diesem berufen wurde, steht er unter Kündigungsschutz und darf im Rahmen seiner beruflichen Funktion an Fortbildungen teilnehmen. Diese sind für seine Arbeit essenziell, um stets auf dem neuesten Stand zu bleiben. Wenn allerdings ein betrieblicher Datenschutzbeauftragter bestellt wird, der nicht über die notwendigen Qualifikationen verfügt, behandelt dies der Gesetzgeber so, als ob es innerhalb des Unternehmens keinen Datenschutzbeauftragten gäbe.

Welche Vorteile bringen externe ISB und DSB für ein Unternehmen mit sich?

Externe Chief Information Security Officer können für ein Unternehmen verschiedene Vorteile mit sich bringen. Diese hängen in erster Linie davon ab, wie es um das Unternehmen in punkto IT-Sicherheit bestellt ist. In jedem Fall verfügt er allerdings über umfassendes technisches und fachliches Know-how, das ihm dabei hilft, individuelle Verbesserungsvorschläge für ein Unternehmen zu machen. Externe Informationssicherheitsbeauftragte sind in verschiedenen Unternehmen tätig und verfügen so über breitgefächerte Erfahrung, die es ihnen einfach macht, schnell das richtige Konzept für ein Unternehmen zu erarbeiten.

Auch der externe Datenschutzbeauftragte ist qualifiziert und bleibt mit Hilfe von Fortbildungen und Seminaren stets auf dem Laufenden, wenn es um neue Entwicklungen zum Thema Datenschutz geht. Ein externer Datenschutzbeauftragter weiß sehr genau, wie sich die Anforderungen der DSGVO am besten in einem Unternehmen realisieren lassen. Geläufige Fragen zum Thema Datenschutz kann er zuverlässig beantworten und so verschiedene Unternehmen kompetent beraten. Oft ist es zudem so, dass externe DSB vom Betriebsrat eher anerkannt wird als ein interner Datenschutzbeauftragter. Er erkennt Schwachstellen dank seiner umfassenden Beratung zuverlässig und kennt den Ablauf genau, um ein Unternehmen und seine Prozesse DSGVO-konform zu beraten.

NESEC besser kennenlernen

Neugierig, überzeugt. interessiert?

Vereinbaren Sie ein unverbindliches Gespräch mit einem unserer Mitarbeiter.
Wir sind gespannt, welche Herausforderungen Sie zur Zeit beschäftigen.
Beachten Sie auch unseren aktuellen Veranstaltungen und Webinare.

Erstgespräch

Mehr Informationen

10 + 3 =