Was ist der Unterschied zwischen einem CISO und einem DSB?

Um den Datenschutz innerhalb Ihrer Organisation zu gewährleisten, wurden spezifische Rollen definiert, die mit der Bearbeitung datenschutzrelevanter Angelegenheiten betraut sind. Zu diesen Rollen gehören der CISO (Chief Information Security Officer) und der DSB (Datenschutzbeauftragter). In diesem Blogbeitrag erläutern wir deren Verantwortlichkeiten und die Unterschiede zwischen diesen beiden Funktionen.

CISO

Der Chief Information Security Officer (CISO) ist für die Informationssicherheit einer Organisation verantwortlich und dient als erster Ansprechpartner für dieses Thema. Der CISO unterstützt das Management mit aktuellem Wissen über Informationssicherheit und stellt sicher, dass die Organisation die gesetzlichen Verpflichtungen einhält und das Niveau der Informationssicherheit aufrechterhält. Zu den wichtigsten Aufgaben des CISO gehört die Übersetzung von Informationssicherheits- und Datenschutzrichtlinien in Ziele, Verantwortlichkeiten und Evaluierungszeitpunkte. Ein CISO sorgt zudem für die Sensibilisierung der Kollegen für Informationssicherheit und Datenschutz und koordiniert den Planungs- und Kontrollzyklus aller Informationssicherheitssysteme.

Datenschutzbeauftragter (DSB)

Der Datenschutzbeauftragter (DSB) ist ein interner Aufseher für die Verarbeitung personenbezogener Daten innerhalb einer Organisation. Die Bestellung eines DSB kann unter bestimmten Bedingungen gesetzlich vorgeschrieben sein. Ein DSB ist obligatorisch, wenn die Organisation eine Behörde ist, eine großflächige Verarbeitung personenbezogener Daten durchführt, besondere Kategorien personenbezogener Daten verarbeitet (wie Gesundheitsdaten, religiöse oder politische Überzeugungen usw.) oder strafrechtliche Daten verarbeitet.

Der DSB überwacht die Anwendung und Einhaltung der Datenschutzgesetzgebung (DSGVO). Es ist entscheidend, dass ein DSB eine unabhängige Position innerhalb der Organisation behält und nicht an das Management berichtet (diese Unabhängigkeit gilt auch, wenn der DSB freiwillig statt aufgrund einer gesetzlichen Verpflichtung bestellt wurde). Der DSB ist ein Experte, der die Datenschutzgesetze, die Richtlinien des Europäischen Datenschutzausschusses und der nationalen Datenschutzbehörde verfolgt, um die aktuelle Interpretation dieser Vorschriften zu verstehen und entsprechend zu beraten. Ein DSB muss nicht immer direkt bei einer Organisation angestellt sein; es kann beispielsweise ein Vertreter eines externen Auftragsverarbeiters sein, der als unabhängiger DSB für seinen Kunden fungiert.

Die Verantwortlichkeiten des DSB umfassen die Schaffung von Datenschutzbewusstsein innerhalb der Organisation und die aktive Teilnahme an den Methoden der Datenverarbeitung der Organisation. Der DSB ist zudem der primäre Ansprechpartner für die Datenschutzbehörde.

Unterschiede zwischen einem CISO und einem DSB

Obwohl die Beschreibungen der Rollen von CISO und DSB Ähnlichkeiten und einige Überschneidungen bei Aufgaben und Verantwortlichkeiten aufweisen, können sie nicht kombiniert werden und müssen von verschiedenen Personen ausgeführt werden. Dies liegt daran, dass dies gegen die DSGVO-Vorschriften verstoßen würde; Organisationen wurden für diesen Verstoß bereits mit Bußgeldern belegt. Der CISO konzentriert sich auf (die Implementierung) der Sicherung aller wertvollen Informationen innerhalb der Organisation, während der DSB die Einhaltung der Datenschutzgesetze überwacht, einschließlich eines angemessenen Sicherheitsniveaus für personenbezogene Daten.

Der CISO trägt nicht die letztendliche Verantwortung für die Einhaltung der Datenschutzgesetze; diese Verantwortung liegt beim Management der Organisation, an das der CISO berichtet. Der DSB muss seine unabhängige Position wahren und muss daher an niemanden berichten.

Ein wesentlicher Unterschied besteht darin, dass sich die Informationssicherheit (und der CISO) auf Geschäftsrisiken konzentriert, während sich der Datenschutz (und der DSB) auf die Risiken für das Privatleben von Personen konzentriert, die durch die Handlungen der Organisation beeinflusst werden könnten. Dieser Perspektivwechsel kann zu Interessenkonflikten führen, was ein weiterer Grund ist, warum die Rollen von CISO und DSB nicht kombiniert werden können – der DSB würde seine Objektivität verlieren. Eine gute Abstimmung und Zusammenarbeit zwischen CISO und DSB wird beide Bereiche stärken und alle Risiken adressieren.

Für einige Organisationen ist die Bestellung eines Datenschutzbeauftragten obligatorisch, während die CISO-Position gesetzlich nicht vorgeschrieben ist. Die CISO-Rolle ist eine organisatorische Entscheidung zur Umsetzung der Informationssicherheitsrichtlinie. Der CISO arbeitet mit dem Management und der internen Organisation zusammen, wobei das „C“ in CISO auf eine Verantwortung auf C-Level in der Organisation hindeutet. Größere Organisationen können auch einen ISO haben, der eher in der Mitte der Organisation agiert.

Übersicht der DSGVO-Compliance-Verpflichtungen

Wenn Sie für die Einhaltung der Datenschutzregeln innerhalb Ihrer Organisation verantwortlich sind, ist es hilfreich, Klarheit darüber zu haben, was Sie erfüllen müssen. Unsere Datenschutzexperten haben eine praktische Übersicht über die Vorschriften erstellt, die Sie kennen müssen, damit Sie schnell mit den für Sie geltenden Regeln beginnen können.