Seit 2018 ist er in aller Munde: der Datenschutzbeauftragte.
Die Datenschutzgrundverordnung (DSGVO) ist eine f?r alle EU-Staaten verpflichtende Vorgabe im Umgang mit personenbezogenen Daten. Die rechtliche Grundlage f?r dieses Gesetz ergibt sich aus den Europ?ischen Vertr?gen. Personenbezogenen Daten fallen namentlich in Artikel 16 des AEUV und in Artikel 7 und 8 der Grundrechte-Charta.
Aufgabe des DSB ist es, sich um die Einhaltung dieser Verordnung zu k?mmern und die personenbezogenen Daten der B?rger zu sch?tzen.
Nun existieren allerdings nicht nur personenbezogene Daten, die schutzw?rdig sind, denn auch andere Bereiche der IT-Sicherheit spielen f?r viele Unternehmen eine gro?e Rolle. So gibt es neben dem Datenschutzbeauftragten auch den Informationssicherheitsbeauftragten (ISB).
Worin liegen die Unterschiede? Was und wer er ist gesetzlich vorgeschrieben? Und was sind ihre Aufgaben?
Der Datenschutzbeauftragte
Der Datenschutzbeauftragte ist vor allem seit dem Inkrafttreten der DSGVO sehr gefragt. Seine Aufgabe ist es, sich um die Einhaltung des Datenschutzrechts innerhalb von Firmen zu k?mmern. Dabei ber?t er nicht nur, sondern optimiert Prozesse, hilft beim reibungslosen Ablauf Datenschutz-sensibler Vorg?nge und verhindert allem voran den Versto? gegen die Grundverordnung.
Er kann dabei, empfehlenswerter weise, extern oder auch unternehmensintern herangezogen werden.
Die Strafen f?r einen Datenschutzversto? k?nnen sehr hoch sein. Die EU sanktionierte bereits gro?e Unternehmen mit enorm hohen Bu?geldern. Amazon h?lt den Rekord und wurde von einer luxemburgischen Beh?rde mit einer Zahlung in H?he von 746 Millionen Euro belegt. Auch WhatsApp musste bereits 225 Millionen Euro an die EU abgeben.
Solche Geldstrafen treffen Unternehmen gegebenenfalls sehr hart und sollen pr?ventiv den Missbrauch der Daten der EU-B?rger verhindern.
Der Datenschutzbeauftragte ist auf den Bereich der Einhaltung der DSGVO und in Deutschland auch des Bundesdatenschutzgesetzes (BDSG) spezialisiert und k?mmert sich vorrangig darum.
Doch ist dies vor allem gesetzliche Vorgabe und die Einhaltung der DSGVO wird mutma?lich f?r die meisten Unternehmen als l?stig angesehen, weswegen man froh ist, wenn dieser Bereich von einem Datenschutzbeauftragten abgenommen wird. Jedoch gibt es auch Daten, deren Schutz vor allem im Interesse der Unternehmen selbst stehen.
Der IT-Sicherheitsbeauftragte
Der ISB k?mmert sich nur um den Schutz personenbezogener Daten, sondern um den Schutz aller, f?r das Unternehmen wichtiger, Daten. W?hrend der DSB wie eine Art „Kontrollinstanz“ agiert, handelt der Informationssicherheitsbeauftragte prim?r im Interesse des Unternehmens. Denn Daten sind f?r Unternehmen inzwischen wie pures Gold. Besonders deutlich wird dies, wenn man sieht, welche Unternehmen global an der Spitze sind. Neben ?l- und Gaskonzernen sind das vor allem datenbasierte Konzerne. Auch dem gr??ten Verm?gensverwalter der Welt, BlackRock, der sich weltweit um etwa 10 Billionen US-Dollar k?mmert, gelang der enorme Aufstieg durch das Sammeln und richtige Auswerten von Daten.
Der Schutz von Daten und vertraulichen Informationen vor Externen ist Aufgabe des ISB. Dabei spielen in der Praxis Komponenten, wie Sicherheitsvorkehrungen oder ein Notfallplan f?r den Fall eines Cyberangriffes, eine Rolle. Denn in einer Welt, die so schnelllebig ist, wie die der IT, ist ein hundertprozentiger Schutz nie m?glich. Somit obliegt es dem IT-Sicherheitsbeauftragten, im Notfall, mit Sicherheitsl?cken richtig umzugehen.
Auch ist es seine Aufgabe, die Fehler, die m?glicherweise gemacht wurden, auszuwerten und daraus die richtigen Schlussfolgerungen zu ziehen.
Sind ISB und DSB verpflichtend?
Einer der wesentlichen Unterschiede zwischen dem ISB und dem DSB ist die gesetzliche Vorgabe. Denn w?hrend das Besch?ftigen eines IT-Sicherheitsbeauftragten nicht gesetzlich vorgegeben ist und lediglich im Interesse des Unternehmens steht, so gilt dies keinesfalls f?r den Datenschutzbeauftragten.
Gesetzliche Verpflichtung beim DSB
Art. 37 Abs. 1 DSGVO gibt vor, wer, wann einen DSB einzustellen hat.
Der Verantwortliche muss einen Datenschutzbeauftragten einstellen, wenn:
– die Verarbeitung personenbezogener Daten von einer ?ffentlichen Stelle aus geschieht. Ausnahme bilden Gerichte im Rahmen ihrer eigentlichen T?tigkeit.
– die Kernt?tigkeit des Verantwortlichen/Auftragsverarbeiters in der Verarbeitung von personenbezogenen Daten besteht, die wegen Umfang und/oder Zweck
– der Verarbeitung eine umfangreiche und regelm??ige ?berwachung der Betroffenen erforderlich macht.
– die betroffenen Daten der besonderen Kategorie angeh?ren. Darunter fallen zum Beispiel ethnische, politische oder religi?se Hintergr?nde von Personen.
In Deutschland geht das BDSG noch etwas mehr ins Detail. Nach ? 38 Abs. 1 BDSG muss ein Datenschutzbeauftragter ernannt werden, wenn in einem Unternehmen mindestens 20 Personen st?ndig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind. Dies gilt jedoch nur, wenn keine Verarbeitungen vorliegen, die einer Datenschutzfolgenabsch?tzung unterliegen oder personenbezogene Daten gesch?ftsm??ig zur ?bermittlung, anonymisierten ?bermittlung oder f?r Markt- und Meinungsforschung verarbeitet werden. Dann muss immer ein DSB ernannt werden, egal wie viele Mitarbeiter mit der Verarbeitung zu tun haben.
Freie Wahl beim ISB
Der ISB hingegen muss grunds?tzlich nicht ernannt werden. Er handelt rein im Interesse des Unternehmens und nicht aufgrund hoheitlicher Vorgaben. Dies hat zur Folge, dass eine Einstellung im Ermessen der Unternehmensf?hrung liegt. Die Firma muss selbst entscheiden, ob es sich lohnt, den IT-Sicherheitsbeauftragten zu engagieren.
Dazu muss allerdings gesagt werden, dass jedes gr??ere Unternehmen enormes Interesse daran hat, die firmeneigenen Daten zu sch?tzen und Kapital, Gesch?ftskonzepte, Produkte, Planung oder anderweitige Informationen im eigenen Kreis zu halten.
Aus diesem Grund ist der Informationssicherheitsbeauftragte sehr beliebt, wobei viele, vor allem gro?e Unternehmen, eine eigene IT-Sicherheitsabteilung haben.
Egal, ob ISB oder DSB, beide haben heutzutage eine enorm gro?e und wichtige Funktion und sollten idealerweise harmonisiert im eigenen Unternehmen eingesetzt werden.
Keywords:ISB, DSB, datenschutzbeauftragter, it-sicherheitsbeauftragter