ISMS & DSGVO: Rollen und Aufgaben

Fachbeitrag

Soll ein Managementsystem für Informationssicherheit oder Datenschutz aufgebaut werden, ist es unerlässlich eine Organisationsstruktur aufzustellen und Verantwortlichkeiten zu vergeben. Welche unterschiedlichen Rollen und Aufgaben es in einer solchen Organisation geben kann, wird in dem folgenden Artikel erläutert.

Unterschiedliche Rollen

In einem Unternehmen gibt es unterschiedliche Rollen und Aufgaben in der Informationssicherheit und im Datenschutz. Diese können in der Praxis je nach der Struktur und Größe eines Unternehmens variieren. Folgende Rollen und Aufgaben möchten wir an dieser Stelle erwähnen:

Topmanagement

Informationssicherheit und Datenschutz ist „Chefsache“. Das Topmanagement trägt nicht nur die strategische Verantwortung für die Sicherheit und die Risikoentscheidungen sondern ist u.a. dafür verantwortlich, dass das Managementsystem umgesetzt und kontinuierlich verbessert wird. Hierfür muss er geeignete Ressourcen bereitstellen. Diese Verpflichtungen sind nicht nur immanent, sondern sind auch explizit in einigen Gesetzestexten verankert. In § 91 Abs. 2 AktG z.B. ist geregelt, dass der Vorstand geeignete Maßnahmen treffen muss, um den Fortbestand der Gesellschaft zu sichern.

Informationssicherheits-Manager (CISO, CISM)

Da das Topmanagement viele andere Aufgaben übernimmt und nicht immer die Expertise besitzt, wird die strategische Verantwortlichkeiten zum Teil an eine andere Instanz delegiert. Diese Instanz übernimmt neben der strategischen auch die taktische Verantwortung für die Sicherheit. Da es keine einheitliche Definition für diese Instanz gibt, finden sich in der Praxis insbesondere die folgenden Begrifflichkeiten: Chief Information Security Officer (CISO) oder Chief Information Security Manager (CISM).

Zu seinen Hauptaufgaben gehören insbesondere die Initiierung, Implementierung, Überwachung und Steuerung des Managementsystems und aller damit verbundenen Prozesse und Organisationen. Insbesondere ist er für die Erstellung und Pflege des Risikomanagements zuständig.

Informationssicherheits-Beauftragter (ISB, IT-SiBe)

Der Informationssicherheits-Beauftragte ist dafür zuständig, dass die Vorgaben operativ umgesetzt werden. Er unterstützt also den Informationssicherheits-Manager bei der Umsetzung des Managementsystems, indem er z.B. Konzepte erstellt, Mitarbeiter schult, Sicherheitsvorfälle untersucht usw.

Je nach Struktur und Größe des Unternehmens können die Rollen des Managers und des Beauftragten zusammenfallen, was bei kleineren und mittelständischen Unternehmen durchaus sinnvoll ist, sofern die Person über ausreichende Kenntnisse verfügt.

IT-Sicherheitsbeauftragter

Oft wird in der Praxis der IT-Sicherheitsbeauftragte als Synonym für den Manager bzw. Beauftragten verwendet. Wir hatten schon in unserem Artikel den Unterschied zwischen IT-Sicherheit und Informationssicherheit erläutert. Analog hierzu sollten diese Rollen nicht verwechselt werden. Denn der IT-Sicherheitsbeauftragte ist meist für die digitale Verarbeitung bzw. digitale Informationen zuständig. Darunter fallen aber keine Informationen in Papierform oder Prozesse, die nicht digital ablaufen.

Managementsystem-Team

Schließlich kann ein Team (bei Bedarf) gebildet werden, was bei größeren Unternehmen sinnvoll sein kann. Ein solches Team sollte aus Experten bestehen, die insbesondere anlassbezogen Sicherheitsvorfälle aufklären und lösen sowie präventiv tätig werden.

Datenschutzbeauftragter

Anders als in der Informationssicherheit ist die Bestellung eines Datenschutzbeauftragten gesetzlich geregelt. Der Datenschutzbeauftragte wirkt auf die Einhaltung des BDSG und anderer Vorschriften zum Datenschutz hin. Mit den technischen und organisatorischen Maßnahmen überschneiden sich seine Aufgaben mit den Aufgaben eines Managers bzw. Beauftragten in Informationssicherheit. Deswegen sollten beide an gleichgerichteten Themen arbeiten. Dies wird nach der DSGVO umso wichtiger, da sich die Anforderungen aus der Datensicherheit an diejenigen aus der Informationssicherheit annähern werden.

Weitere Rollen

Neben den oben erwähnten Rollen gibt es je nach Unternehmen noch weitere Rollen wie die Revision, Compliance, Betriebsrat. Erwähnt werden sollten auch die Mitarbeiter in einem Unternehmen, die aktiv bei der Umsetzung der Vorgaben mitwirken und die Sicherheit in ihrer täglichen Arbeit implementieren sollen.

Rollenkonflikte

Oft stellt sich die Frage, ob und welche Aufgaben und Verantwortlichkeiten in einer einzigen Person vereint werden können.

In der ISO finden sich keine gegenteiligen Vorgaben, die z.B. gegen eine Vereinigung eines Datenschutzbeauftragten und eines Managers bzw. Beauftragten für Informationssicherheit sprechen würden. Von der datenschutzrechtlichen Seite spricht ebenfalls nichts dagegen. Sogar das BSI erläutert, dass sich beide Rollen in der Regel nicht ausschließen, was insbesondere bei kleineren Unternehmen sinnvoll sein kann. Bei jeder Konstellation ist jedoch zu beachten, dass bei Themen, die Interessenskonflikte bergen können, sich die Verantwortlichkeiten ausschließen können. Das ist typischerweise bei einem IT-Administrator der Fall, der kein Sicherheitsbeauftragter oder Manager sein darf, da er sich sonst selbst kontrollieren würde.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

3 Kommentare zu diesem Beitrag

  1. Bei einer Veranstaltung der BaFin in der vergangenen Woche wurde darüber berichtet, dass die Bundesdatenschutzbeauftragte sich ausdrücklich GEGEN eine mögliche Vereinbarkeit der beiden Rollen ISO und DSB ausgesprochen hat. Von Seiten des Datenschutzes besteht also dieser Ansicht nach keine Möglichkeit die Rollen durch eine Person im Unternehmen wahrzunehmen.

    • Diese Frage ist nicht abschließend geklärt, so dass es einige Meinungen hierzu gibt.
      Es sei Ihnen überlassen, ob Sie der Meinung der BaFin folgen, einer Finanzmarktaufsichtsbehörde oder dem BSI, dem Bundesamt für Sicherheit in der Informationstechnik.

  2. Ich habe nun eine ganze Reihe der Erklärungen gelesen und bin begeistert. Ich bin eigentlich auf der Suche Bitcoins und Blockchain zu verstehen. Da ich alle Artikel hier gut verstehe würde ich mich freuen wenn Sie auch diese Themen einfach erklären könnten.
    Vielen Dank

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.