Was ist ein Datensicherheitsbeauftragter?
- Datensicherheitsbeauftragter sichert alle Unternehmensdaten, unabhängig von ihrer Form.
- Datenschutz schützt personenbezogene Daten vor Missbrauch.
- IT-Sicherheit verhindert Löschung, Blockierung und Manipulation von Daten.
- Keine gesetzlichen Vorgaben für IT- oder Datensicherheitsbeauftragte, nur für Datenschutzbeauftragte.
- Datensicherheitsbeauftragter sollte unabhängig und fachlich versiert sein.
- Item A
- Item B
- Item C
Datensicherheit besitzt im digitalen Zeitalter einen hohen Stellenwert. Dies gilt gerade für Unternehmen, die in großem Umfang Daten verwalten und verarbeiten – etwa jene von Kunden, Lieferanten, Geschäftspartnern und Mitarbeitern.
Daher sollte es jemanden geben, der sich hauptverantwortlich um die Datensicherheit kümmert: einen Datensicherheitsbeauftragten.
Die Bezeichnung ist nicht klar definiert. Datensicherheitsbeauftragter, IT-Sicherheitsbeauftragter, Datenschutzbeauftragter – diese Begriffe scheinen auf den ersten Blick nahezu deckungsgleich und austauschbar zu sein. Bei genauerem Hinsehen lassen sich aber Unterschiede feststellen.
Datenschutz, Datensicherheit und IT-Sicherheit
Datenschutz bezieht sich auf alle technischen und organisatorischen Maßnahmen, um den Missbrauch von Daten im Rahmen einer Organisation – zum Beispiel in einem Unternehmen – zu verhindern. Es geht um den Schutz von personenbezogenen Daten vor unbefugter und nicht bestimmungsgemäßer Verwendung. IT-Sicherheit betrifft dagegen alle Maßnahmen, welche die Löschung, Blockierung und Manipulation von personenbezogenen Daten in IT-Systemen unmöglich machen sollen. Im Fokus der Betrachtung stehen die Systeme, die es entsprechend abzusichern gilt.
Datensicherheit kann jedoch noch weiter verstanden werden. Hier geht es darum, alle Daten in einer Organisation bzw. in einem Unternehmen zu sichern – unabhängig davon, ob sie in IT-Systemen oder in anderer Form (Akten, Mikrofiches usw.) hinterlegt sind. Zwischen den Begriffen Datenschutz, Datensicherheit und IT-Sicherheit gibt es Überschneidungen: IT-Sicherheit ist ein Kerngebiet der Datensicherung und wirksamer Datenschutz ist nur bei sicheren Systemen möglich.
Welche rechtlichen Vorgaben gibt es?
Für IT-Sicherheit oder Datensicherheit gibt es kaum konkrete gesetzliche Vorgaben. Die Verpflichtung, auf Datensicherheit zu achten, ergibt sich vielmehr aus den allgemeinen Sorgfaltspflichten einer ordnungsgemäßen Unternehmensführung. Ausnahmen gelten in bestimmten Bereichen. Spezifische rechtliche Regelungen bestehen jedoch nur bezüglich des Datenschutzes durch das Bundesdatenschutzgesetz (BDSG) bzw. die DSGVO.
Sicherheitsbeauftragter: Aufgaben sind Definitionssache
Diesem rechtlichen Rahmen entsprechend ist die Funktion des Datensicherheitsbeauftragten ähnlich der des IT-Sicherheitsbeauftragten nirgendwo verbindlich vorgeschrieben – von den genannten Ausnahmen abgesehen. Solche Vorgaben gibt es im Prinzip nur für Datenschutzbeauftragte. Dies sollte Sie nicht daran hindern, bei Bedarf eine solche Stelle einzurichten. Denn ein Funktionsträger im Unternehmen, der hauptamtlich mit Datensicherheitsfragen befasst ist, bietet einen erheblichen Sicherheitsgewinn.
Welche Aufgaben, Rechte und Pflichten ein solcher Datensicherheitsbeauftragter hat, ist letztlich der Festlegung durch die jeweilige Unternehmensleitung überlassen. Im Kern geht es darum, Datenerfassung, -verwaltung und -verarbeitung im Unternehmen systematisch und kontinuierlich zu analysieren, hinsichtlich der Sicherheit zu bewerten, Richtlinien zur Datensicherung zu entwickeln und deren Einhaltung zu überwachen.
Datensicherheitsbeauftragter – welche Anforderungen gelten?
Aufgrund der sachlichen Nähe und Überschneidungen zwischen Datenschutz und Datensicherheit scheint es nahezuliegen, beide Funktionen in Personalunion zusammenzuführen. Dies ist aber unter Umständen problematisch, da die Möglichkeit von Interessenskonflikten nicht auszuschließen ist. In jedem Fall darf der Datenschutzbeauftragte in seiner Neutralität und Funktion nicht beeinträchtigt sein.
Ein Datensicherheitsbeauftragter sollte wie ein IT-Sicherheitsbeauftragter unabhängig von der Datenverwaltung und -verarbeitung im Unternehmen sein. Anderenfalls kann er nur schwerlich als Kontroll- oder Überwachungsinstanz fungieren. In diesem Sinne kann ein Datensicherheitsbeauftragter beispielsweise nicht zugleich IT-Leiter oder Systemadministrator sein. Selbstverständlich sollte der Funktionsträger über entsprechendes fachliches Knowhow (Datensicherheit, IT-Systeme, rechtliches Wissen) verfügen und die Datenprozesse im Unternehmen gut kennen. Zuverlässigkeit und Sorgfalt sind weitere Anforderungen.
Interner oder externer Datensicherheitsbeauftragter
Es spricht grundsätzlich nichts dagegen, die Funktion eines Datensicherheitsbeauftragten an einen kompetenten und vertrauenswürdigen Dienstleister outzusourcen. Dies bietet sich insbesondere für kleine und mittlere Unternehmen an. Der neutrale Blick auf den Betrieb von außen und die Möglichkeit zum Benchmarking mit anderen Unternehmen bieten sogar Vorteile gegenüber einem internen Datensicherheitsbeauftragten.
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.