Aufgaben und Stellung des CISO

Datenschutz als Zusatzaufgabe für den CISO?

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Die Beauftragung eines CISO als Datenschutz­beauftragter stellt nach Ansicht der Aufsichts­behörden in aller Regel einen Interessenkonflikt dar.
Die Beauftragung eines CISO als Datenschutz­beauftragter stellt nach Ansicht der Aufsichts­behörden in aller Regel einen Interessenkonflikt dar. (© Monster Ztudio - stock.adobe.com)

IT-Sicherheitsverantwortliche (CISOs) müssen bereits eine Fülle von Aufgaben wahrnehmen. Trotzdem wollen viele Unternehmen ihrem CISO noch mehr aufbürden. So scheint ein IT-Sicherheitsverantwortlicher durch die Fachkompetenz die Idealbesetzung für den CPO (Chief Privacy Officer) oder Datenschutz­beauftragten (DSB) zu sein. Aber ist das zulässig?

Umfragen unter CISOs und Gespräche mit CISOs zeigen regelmäßig, dass sich IT-Sicherheitsverantwortliche oftmals nicht auf die IT-Security konzentrieren können, sondern weitere Aufgaben und Positionen wahrnehmen müssen. Dabei ist es nicht nur die Unternehmensgröße, die für Doppelrollen oder sogar Mehrfach-Rollen sorgt.

CISOs sind je nach Unternehmen gleichzeitig CIOs (Chief Information Officer, IT-Leiter) oder CDOs (Chief Digital Officer), was zwar einerseits sinnvoll erscheint, weil die IT-Sicherheit eine wesentliche Grundlage aller IT-Aktivitäten und der gesamten Digitalisierung darstellt. Da könnte man meinen, eine Trennung von CISO, CIO und CDO wäre künstlich oder sogar kontraproduktiv. Doch die Fülle der Aufgaben eines CISOs macht es nahezu unmöglich, auf Dauer zusätzlich die Rolle des CIOs oder CDOs zu übernehmen.

Welche Aufgaben ein CISO übernehmen muss

Die Rolle des CISO im Unternehmen

Welche Aufgaben ein CISO übernehmen muss

22.02.19 - IT-Sicherheit geht jeden Mitarbeiter und jede Abteilung an. Welche Aufgaben verbleiben dann in der Abteilung für IT-Security? Welche Rolle hat der CISO (Chief Information Security Officer) im Unternehmen? Die Antwort erscheint einfach, ist sie aber nicht. Die Aufgaben unterliegen einer hohen Dynamik und werden nicht nur durch Compliance-Vorgaben beeinflusst. lesen

CISOs müssen wo immer personell möglich eine eigenständige Rolle im Unternehmen haben, sie brauchen nicht zusätzliche Aufgaben und Rollen, sondern zusätzliche Ressourcen, wenn man die Bedeutung der Security für die IT und die Digitalisierung ernst nimmt.

Passen CISO und CPO unter einen Hut?

Da die Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR) viele Unternehmen weiterhin belastet und Aufsichtsbehörden melden, dass es Versäumnisse bei der Benennung von Datenschutzbeauftragten gibt, entstehen zunehmend Ideen, dem CISO auch die Rolle des CPO (Chief Privacy Officer) oder schlicht Datenschutzbeauftragten zu übertragen.

Auf den ersten Blick scheint dies eine gute Idee und Wahl zu sein, denn die Bedeutung der Datensicherheit innerhalb des Datenschutzes ist enorm. Warum also sollte man die knappen Security-Fachkräfte im Unternehmen nicht auch für den Datenschutz nutzen?

Abgesehen davon, dass die Rolle des CPO ebenfalls eine Mehrbelastung für den CISO darstellen würde, lohnt es sich, die Aufgaben des Datenschutzbeauftragten und das Anforderungsprofil einmal zu betrachten, noch bevor man es rechtlich bewertet.

Der CISO muss sich verändern!

CISO und Digitale Transformation

Der CISO muss sich verändern!

22.03.19 - Die Aufgaben und Rollen eines CISOs (Chief Information Security Officer) haben sich noch nicht gefestigt, im Gegenteil. Die IT-Sicherheits­verantwortlichen in den Unternehmen unterliegen einem stetigen Wandel. Unter den Veränderungen sind auch solche, die zu einer weiteren Aufwertung des CISOs und der Security führen können. Aktuelle Studien erlauben einen Blick in diese Zukunft. lesen

Zum einen sind die Aufgaben für einen Datenschutzbeauftragten reichlich bemessen. Die DSGVO nennt zum Beispiel:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach DSGVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten
  • Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO
  • Zusammenarbeit mit der Aufsichtsbehörde

Für diese Aufgaben gibt es auch spezielle Kenntnisse und Fähigkeiten, die gefordert sind:

  • Fachkenntnisse auf dem Gebiet des einzelstaatlichen und des gemeinschaftlichen Datenschutzrechts und der diesbezüglichen Anwendungspraxis einschließlich eines fundierten Verständnisses der DSGVO
  • Verständnis der durchgeführten Datenverarbeitungsvorgänge
  • Vertrautheit mit Informationstechnologien und Datensicherheit
  • Kenntnis der Branche und der Einrichtung
  • die Fähigkeit, die Verbreitung einer Datenschutzkultur innerhalb der Einrichtung zu fördern

Hier gibt es offensichtlich Gemeinsamkeiten mit den Anforderungen an einen CISO, selbst die Kenntnisse im Datenschutzrecht braucht ein CISO im gewissen Umfang. Macht es also doch Sinn, dem CISO auch zum CPO zu machen?

Warum CISOs gute Psychologen sein müssen

Hohe Anforderungen an CISOs

Warum CISOs gute Psychologen sein müssen

16.04.19 - Die Fähigkeiten eines CISO müssen breit gefächert sein. Technisches Know-how, Security-Expertise, Management-Qualitäten und Wissen im Bereich Recht und Compliance gehören dazu. Doch auch Psychologie spielt eine große Rolle bei den Aufgaben eines CISOs. Das gilt nicht nur für Führung und Motivation von Beschäftigten, es betrifft nahezu jede Tätigkeit eines CISOs. lesen

Was das Datenschutzrecht zur Kombination CISO und CPO sagt

Die Aufsichtsbehörden für den Datenschutz nennen eine Reihe von Fällen, die zu einem Interessenkonflikt führen würden, wenn ein Datenschutzbeauftragter eine andere Rolle gleichzeitig einnehmen würde:

Datenschutzbeauftragte dürfen demnach zwar andere Aufgaben und Pflichten neben ihrer Tätigkeit als Datenschutzbeauftragte wahrnehmen, aber nicht solche, welche einen engen Bezug zu Verarbeitungen von personenbezogenen Daten haben.

Als Beispiele für Tätigkeitsfelder, welche zu einem Interessenkonflikt führen können, werden genannt:

  • Leitung eines Unternehmens oder einer Behörde
  • Leitung der IT-Abteilung
  • Leitung der Personal-Abteilung
  • Beschäftigte der IT-oder Personal-Abteilung, wenn diese in der Lage sind, Datenverarbeitungsprozesse zu bestimmen oder wesentlich zu beeinflussen.

Die Datenschutzaufsicht in Hessen bringt es betreffend der Rolle eines IT-Sicherheitsverantwortlichen auf den Punkt: „Daneben wird in der Regel auch bei anderen unternehmensweiten Tätigkeiten wie etwa IT-Sicherheitsbeauftragter oder Compliance-Beauftragter ein Interessenskonflikt anzunehmen sein.“

Wozu ein Datenschutzbeauftragter?

Interner vs. Externer DSB

Wozu ein Datenschutzbeauftragter?

05.11.18 - Jeder Betrieb, in dem mehr als zehn Mitarbeiter mit personenbezogenen Daten arbeiten, braucht einen Datenschutzbeauftragten, ansonsten kann ein Bußgeld drohen. Bei der Besetzung des Postens gilt es einiges zu beachten, denn die nötigen Kompetenzen und das Aufgabengebiet sind vielfältig. lesen

Man kann also sagen: Da ein CISO Aufgaben übernimmt, die „einen engen Bezug zu Verarbeitungen von personenbezogenen Daten haben“, stellt die gleichzeitige Beauftragung als Datenschutzbeauftragter in aller Regel einen Interessenkonflikt dar und ist dann nicht zulässig.

Für Unternehmen bedeutet das: IT-Sicherheit und Datenschutz müssen sinnvoll verknüpft werden, denn die IT-Sicherheit muss datenschutzkonform sein, während der Datenschutz ohne die Sicherheit der Verarbeitung nicht auskommt. Dies bedeutet aber nicht, dass der CISO auch gleichzeitig zum Datenschutzbeauftragten werden soll, in aller Regel darf dies gar nicht sein, eben weil die IT-Sicherheit auch personenbezogene Daten verarbeitet und deshalb im Sinne des Datenschutzes überwacht werden muss.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45899743 / Compliance und Datenschutz )