Die Tätigkeitsfelder von Chief Information Security Officer (CISO) und Datenschutzbeauftragten (DSB) überschneiden sich regelmäßig. Werden sie in Personalunion ausgeübt, droht jedoch ein Interessenkonflikt!
Nach wie vor ist bei vielen Unternehmen die Umsetzung der Datenschutzgrundverordnung (DSGVO) noch nicht abgeschlossen. Da die Aufsichtsbehörden selbst den Verzug der Umsetzung bei vielen Firmen bemängeln, liegt es nur nahe, dass möglichst schnelle Lösungen gefunden werden. IT-Sicherheitsverantwortliche – auch Chief Information Security Officer (CISOs) genannt – erscheinen aufgrund ihrer Fachkompetenz bezüglich elektronischer Datenverarbeitung auf den ersten Blick als erste Wahl. Das zeigt sich beim Blick auf das Aufgaben- und Anforderungsprofil des Datenschutzbeauftragten (DSB). Dieses ergibt sich aus Art. 37 bis Art. 39 der DSGVO.
Aufgaben des IT-Sicherheitsbeauftragten (CISO)
- Erstellung, Pflege und Überwachung der Einhaltung eines unternehmerischen Sicherheitskonzepts
- Mitarbeit bei der Erstellung von Entwürfen für Sicherheitsanforderungen
- Sensibilisierung und Aufklärung der Mitarbeiter durch Schulungen
- Ansprechpartner für Fragen über die Informationssicherheit
- Beratung der Unternehmensleitung bei Entscheidungen, die den Bereich IT-Sicherheit betreffen
- Unterstützung bei der Zertifizierung der unternehmensinternen IT
- Koordination und Abstimmung der anderen IT-Stellen im Unternehmen
Aufgaben des Informationssicherheitsbeauftragten (DSB)
- Der Aufbau und Betrieb einer Organisationseinheit, um die Sicherheitsziele umzusetzen
- Ermitteln und Definieren der sicherheitsrelevanten Objekte, sowie der Bedrohung und Risiken, damit Sicherheitsziele daraus entwickelt werden können
- Bewertung der Funktionseinheiten zum Stand der Umsetzung sowie Weiterentwicklung der Sicherheitsvorschriften
- Das Einstehen und Sensibilisieren anderer Mitarbeiter für eine Datenschutzkultur durch Kampagnen und Trainings
Starke Überschneidung der Aufgabenfelder
Diese Auflistung zeigt eine sehr starke Überschneidung der Aufgabenbereiche von CISO und Datenschutzbeauftragtem. Für die Wahrnehmung dieser Aufgaben bedarf es natürlich auch eines entsprechenden Anforderungsprofils. Sie überschneiden sich vorrangig in folgenden Punkten:
- Fachkenntnis auf dem Gebiet des einzelstaatlichen und des europäischen Datenschutzrechts und der diesbezüglichen Anwendungspraxis inklusive eines fundierten Verständnisses der DSGVO
- Verständnis der durchgeführten Datenverarbeitungsvorgänge
- Vertrautheit mit Informationstechnologien und Datensicherheit
- Kenntnis der Branche und der Einrichtung
Datenschutzsicht vs. Unternehmersicht
Es liegt daher aus unternehmerischer Perspektive sehr nahe, die Aufgaben in einer Person zu vereinen. Doch ergibt es auch aus datenschutzrechtlicher Perspektive Sinn? Schließlich sind sicherheitsrelevante Aufgaben nicht umsonst speziellen Beauftragten überlassen. Es geht dabei eben nicht nur um Kenntnis und Vermittlung, sondern auch um innerbetriebliche Kontrolle und Verantwortung. Angesichts dessen, sind Aufgaben- und Anforderungsprofil nicht nur zu vergleichen, sondern gegenseitig auf mögliche Interessenkonflikte zu prüfen.
Die Aufsichtsbehörden weisen darauf hin, dass Datenschutzbeauftragte zwar durchaus andere Aufgaben und Pflichten neben ihrer Tätigkeit als Datenschutzbeauftragter wahrnehmen dürfen, jedoch nicht solche, welche einen engen Bezug zu Verarbeitungen von personenbezogenen Daten haben.
Als Beispiele für Tätigkeitsfelder, welche mit der Funktion des Datenschutzbeauftragten im Einzelfall zu einem Interessenkonflikt führen können, werden genannt:
- Leitung eines Unternehmens oder einer Behörde
- Leitung der IT-Abteilung
- Leitung der Personal-Abteilung
In diesem Zusammenhang stellt die Datenschutzaufsicht Hessen fest: „Daneben wird in der Regel auch bei anderen unternehmensweiten Tätigkeiten wie etwa IT-Sicherheitsbeauftragter oder Compliance-Beauftragter ein Interessenkonflikt anzunehmen sein.“ Zu berücksichtigen ist allerdings, dass dieses Spannungsfeld im Einzelfall einer konkreten Prüfung zu unterziehen ist.
Was bedeutet das für Unternehmer konkret?
Oftmals sind CISOs bereits ebenfalls CIOs (Chief Information Officer, IT-Leiter) oder CDOs (Chief Digital Officer). Bei CIOs und CDOs liegt der Interessenkonflikt regelmäßig auf der Hand. Die Verantwortlichen für IT und Digitales sind mittlerweile in so gut wie jedem Betrieb mit der Verarbeitung personenbezogener Daten betraut. Sie sind unmittelbar vom Datenschutzbeauftragten auf Einhaltung der datenschutzrechtlichen Vorgaben zu überwachen. Bei Vergehen müssen Schäden zuverlässig aufgedeckt und behoben werden.
Die IT-Sicherheit ist schließlich nur ein Teil der personenbezogene Daten verarbeitenden Infrastruktur und muss somit ebenfalls überwacht werden.
Unternehmen müssen dafür sorgen, dass einerseits die IT-Sicherheit datenschutzkonform ist, während gleichzeitig der Datenschutz ohne eine gesicherte Verarbeitung nicht auskommt. Wenn man die Anforderungen an IT-Security einerseits und Datenschutz andererseits ernst nimmt, sollten sowohl CISO als auch Datenschutzbeauftragte mit klar abgegrenzten Kompetenzen zusammenarbeiten. Dazu gehört auch, dass sie nicht mit zu vielen anderen Aufgaben (insb. CIO/CDO) betraut werden dürfen.