Datenschutz als Zusatzaufgabe für den CISO?



  • IT-Sicherheitsverantwortliche (CISOs) müssen bereits eine Fülle von Aufgaben wahrnehmen. Trotzdem wollen viele Unternehmen ihrem CISO noch mehr aufbürden. So scheint ein IT-Sicherheitsverantwortlicher durch die Fachkompetenz die Idealbesetzung für den CPO (Chief Privacy Officer) oder Datenschutz­beauftragten (DSB) zu sein. Aber ist das zulässig?

    Klicken sie hier um den Artikel zu lesen



  • Hallo,
    die im Beitrag genannten Argumente sind richtig und nachvollziehbar, aber….
    ein hohes Risikopotenzial hat für mich eher die Zusammenlegung von CIO und CISO:

    der CIO ist in der Regel kostenverantwortlich und verantwortlich für das Funktionieren der IT;
    der CISO für die Informationssicherheit, also für Verfahren und Maßnahmen zusändig, die zunächst einmal Geld und andere Ressourcen kosten und bei denen Einsparungen durch nicht eingetretene Schäden etc. schwer zu beziffern sind.

    Eine personelle Zusammenlegung von CISO und CPO hat je nach Unternehmengsgegenstand /-größe m.E. dagegen oft mehr Vorteile durch Synergieeffekte als Probleme durch Interessenskonflikte. Auch sollten sowohl der CISO (z.B. Informationssicherheitsbeauftragte bei Kreditinstituten nach MaRisk/BAIT) als auch der CPO (Art. 38 Abs. 3 DS-GVO) zur Erfüllung ihrer Aufgaben "weisungsfrei" sein.
    CISO als alleinige Aufgabe wäre zwar optimal, ist nach meinem Kenntnisstand praktisch kaum umsetzbar.



  • Sehr geehrter Herr Schonschek,

    vielen Dank für den sehr ausführlichen Artikel. Ich glaube es lohnt sich über Ihren Artikel zu diskutieren. Ich habe hierzu zwei überlegungen: IT-Sicherheit ist eine Teilmenge der Informationssicherheit. Der Beauftragte für Informationssicherheit hat somit eine umfassendere Aufgabe als der IT-Sicherheitsbeauftragte. Demnach scheint mir Ihre Gleichssetzung zwischen den Begriffen "IT-Sicherheitsbeauftragter" und CISO zumindest eine Verkürzung zu sein. Es ist nicht das Selbe!

    2. In "Datenschutz und Informationssicherheit im Gesundheitswesen", Jäschke, 2. Auflage, Seite 110 heißt es: "Die Kombination zwischen der Tätigkeit der Revision oder eines Sicherheitsbeauftragten mit der Tätigkeit eines Datenschutzbeauftragten wird sogar als empfehlenswert beurteilt (vgl. Gola u. Schomerus 2015, §4f BDSG Rn. 27).

    Weil mich diese Frage auch interessiert hat, habe ich in der letzten Wochen den Bundesbeauftragten für Datenschutz sowie die Ladesbeauftragten für Datenschutz angeschrieben und um Stellungnahme zu dieser Frage gebeten.



  • Wie sehen Sie die Sachlage, wenn der CISO die IT Sicherheit nicht verantwortet (das macht weiterhin der CIO, der die Vorgaben des CISO umsetzt und die Einhaltung reportet)?



  • Sehr geehrter Herr Heeßel, besten Dank für Ihren Kommentar! Mein Artikel basiert auf den Aussagen verschiedener Aufsichtsbehörden zur Unvereinbarkeit von anderen Rollen mit einem DSB. Ich bin gespannt, welche Information Sie auf Ihre Anfrage bei der zuständigen Aufsicht bekommen. Schöne Grüße!



  • Die Aufsichtsbehörden hatten hierzu ja geschrieben:
    Datenschutzbeauftragte dürfen zwar andere Aufgaben und Pflichten neben ihrer Tätigkeit als Datenschutzbeauftragte wahrnehmen, aber nicht solche, welche einen engen Bezug zu Verarbeitungen von personenbezogenen Daten haben.

    Als Beispiele für Tätigkeitsfelder, welche zu einem Interessenkonflikt führen können, werden genannt:

    • (…)
    • Leitung der IT-Abteilung
    • (...)
    • Beschäftigte der IT-oder Personal-Abteilung, wenn diese in der Lage sind, Datenverarbeitungsprozesse zu bestimmen oder wesentlich zu beeinflussen.


  • Ein Datenschutzbeauftragte im Unternehmen ist verpflichtet das die sensiblen Daten die gemeldet werden auch vertraulich behandelt werden weil sie anvertraut worden sind. Ein Unternehmen das Dienstleistungen erbringt wo Kundendaten beauskunftet und wo mit Kundendaten gearbeitet wird ist verpflichtet mit diesen sensiblen Daten ihrer Kundinnen und Kunden extrem vertraulich und genau umzugehen. Es gilt für alle Mitarbeiterinnen und Mitarbeiter im Unternehmen die Verschwiegenheitspflicht über alle Abläufe und Verarbeitung. Es darf nichts beauskunftet werden was mit diesen Daten geschieht. Der Kunde hat das Recht das seine personenbezogenen Daten geschützt und sicher aufbewahrt werden. Ich bin selbst in der Dienstleistungsbranche tätig und habe selbst täglich mit Kundendaten zu tun. Es ist meine Aufgabe und Verpflichtung die Daten die mir anvertraut werden absolut vertraulich zu behandeln und keinerlei Auskunft an Dritte zu geben. Bitte um Verständnis das ich hier keine weiteren Einblicke über meinen Arbeitsalltag gebe da der Prozess der Datenverabrbeitung von Kundenanliegen bereits jedem Costumer Service Mitarbeiter bekannt sein dürfte, Ich wünsche mir nur das alle Kolleginnen und Kollegen die mit Kundendaten zu tun haben diese absolut vertraulich zu behandeln und im Sinne des Kundenwunsches zu handeln. Ohne Kundenwunsch werde ich sicher keinen Auftrag selbständig ausführen da ich es nicht darf. Darunter verstehe ich Datenschutz.



  • Ich sehe das anders, da ein interessenskonflikt sicher nur bei einer verantwortlichen oder wie es im vierten Bullet heißt:

    Beschäftigte der IT-oder Personal-Abteilung, wenn diese in der Lage sind, Datenverarbeitungsprozesse zu bestimmen oder wesentlich zu beeinflussen.

    Kann ein CISO oder DPO aber auf eine seperate Berichtslinie zum Operations verweisen wird im Regelfall auch kein Interesskonflikt anzunehmen sein.

    Ideralerweise sind die Aufgaben des CISOs mit denen des DPOs recht eng verknüpft denn sie betreffen immer den Schutz und Sicherheit von Daten.

    Einerseits für das Unternehmen wichtige und kritische Daten (bspw. Prozessbeschreibungen, Marketingpläne, Produktzeichnungen/-Pläne, etc..) zum anderen personenbezogene Daten der Betroffenen (data subjects) die bei der Verarbeitung geschützt werden müssen.

    Aus meiner Sicht gilt die pauschale Verneinung einer zusammengeführten Rolle/Position nicht.  Die Aufsichtsbehörden haben bewußt die Formulierung gewählt " können zu Interessenkonflikten führen" und nicht "führen zu Interessenskonflikten".

    Daher denke ich kommt es auf die genaue Ausgestaltung des Einzelfalles an.

    Gerne würde ich das gerichtlich geprüft sehen, aber aktuell fällt mir keine Doppelspitze ein, bei der das so geregelt ist.



  • Hallo Herr Schonschek,
    vielen Dank für den Artikel, aber ich muss mich Herrn Heeßl anschließen. Ein CISO ist kein IT-Sicherheitsbeauftragter! IT-Sicherheit ist eine Untermenge davon, genauso wie Datenschutz. Ein Blick auf die Seiten des BSI hätte auch die Antwort darauf gegeben in wie weit es rechtlich zulässig ist, dass ein CISO gleichzeitig auch DSB ist. Diese Frage wird eindeutig mit "JA" beantwortet.


Log in to reply