Wo liegen die Unterschiede?
Seit 2018 ist er in aller Munde: der Datenschutzbeauftragte.
Die Datenschutzgrundverordnung (DSGVO) ist eine für alle EU-Staaten verpflichtende Vorgabe im Umgang mit personenbezogenen Daten. Die rechtliche Grundlage für dieses Gesetz ergibt sich aus den Europäischen Verträgen. Personenbezogenen Daten fallen namentlich in Artikel 16 des AEUV und in Artikel 7 und 8 der Grundrechte-Charta.
Aufgabe des DSB ist es, sich um die Einhaltung dieser Verordnung zu kümmern und die personenbezogenen Daten der Bürger zu schützen.
Nun existieren allerdings nicht nur personenbezogene Daten, die schutzwürdig sind, denn auch andere Bereiche der IT-Sicherheit spielen für viele Unternehmen eine große Rolle. So gibt es neben dem Datenschutzbeauftragten auch den Informationssicherheitsbeauftragten (ISB).
Worin liegen die Unterschiede? Was und wer er ist gesetzlich vorgeschrieben? Und was sind ihre Aufgaben?
Der Datenschutzbeauftragte
Der Datenschutzbeauftragte ist vor allem seit dem Inkrafttreten der DSGVO sehr gefragt. Seine Aufgabe ist es, sich um die Einhaltung des Datenschutzrechts innerhalb von Firmen zu kümmern. Dabei berät er nicht nur, sondern optimiert Prozesse, hilft beim reibungslosen Ablauf Datenschutz-sensibler Vorgänge und verhindert allem voran den Verstoß gegen die Grundverordnung.
Er kann dabei, empfehlenswerter weise, extern oder auch unternehmensintern herangezogen werden.
Die Strafen für einen Datenschutzverstoß können sehr hoch sein. Die EU sanktionierte bereits große Unternehmen mit enorm hohen Bußgeldern. Amazon hält den Rekord und wurde von einer luxemburgischen Behörde mit einer Zahlung in Höhe von 746 Millionen Euro belegt. Auch WhatsApp musste bereits 225 Millionen Euro an die EU abgeben.
Solche Geldstrafen treffen Unternehmen gegebenenfalls sehr hart und sollen präventiv den Missbrauch der Daten der EU-Bürger verhindern.
Der Datenschutzbeauftragte ist auf den Bereich der Einhaltung der DSGVO und in Deutschland auch des Bundesdatenschutzgesetzes (BDSG) spezialisiert und kümmert sich vorrangig darum.
Doch ist dies vor allem gesetzliche Vorgabe und die Einhaltung der DSGVO wird mutmaßlich für die meisten Unternehmen als lästig angesehen, weswegen man froh ist, wenn dieser Bereich von einem Datenschutzbeauftragten abgenommen wird. Jedoch gibt es auch Daten, deren Schutz vor allem im Interesse der Unternehmen selbst stehen.
Der IT-Sicherheitsbeauftragte
Der ISB kümmert sich nur um den Schutz personenbezogener Daten, sondern um den Schutz aller, für das Unternehmen wichtiger, Daten. Während der DSB wie eine Art „Kontrollinstanz“ agiert, handelt der Informationssicherheitsbeauftragte primär im Interesse des Unternehmens. Denn Daten sind für Unternehmen inzwischen wie pures Gold. Besonders deutlich wird dies, wenn man sieht, welche Unternehmen global an der Spitze sind. Neben Öl- und Gaskonzernen sind das vor allem datenbasierte Konzerne. Auch dem größten Vermögensverwalter der Welt, BlackRock, der sich weltweit um etwa 10 Billionen US-Dollar kümmert, gelang der enorme Aufstieg durch das Sammeln und richtige Auswerten von Daten.
Der Schutz von Daten und vertraulichen Informationen vor Externen ist Aufgabe des ISB. Dabei spielen in der Praxis Komponenten, wie Sicherheitsvorkehrungen oder ein Notfallplan für den Fall eines Cyberangriffes, eine Rolle. Denn in einer Welt, die so schnelllebig ist, wie die der IT, ist ein hundertprozentiger Schutz nie möglich. Somit obliegt es dem IT-Sicherheitsbeauftragten, im Notfall, mit Sicherheitslücken richtig umzugehen.
Auch ist es seine Aufgabe, die Fehler, die möglicherweise gemacht wurden, auszuwerten und daraus die richtigen Schlussfolgerungen zu ziehen.
Sind ISB und DSB verpflichtend?
Einer der wesentlichen Unterschiede zwischen dem ISB und dem DSB ist die gesetzliche Vorgabe. Denn während das Beschäftigen eines IT-Sicherheitsbeauftragten nicht gesetzlich vorgegeben ist und lediglich im Interesse des Unternehmens steht, so gilt dies keinesfalls für den Datenschutzbeauftragten.
Gesetzliche Verpflichtung beim DSB
Art. 37 Abs. 1 DSGVO gibt vor, wer, wann einen DSB einzustellen hat.
Der Verantwortliche muss einen Datenschutzbeauftragten einstellen, wenn:
– die Verarbeitung personenbezogener Daten von einer öffentlichen Stelle aus geschieht. Ausnahme bilden Gerichte im Rahmen ihrer eigentlichen Tätigkeit.
– die Kerntätigkeit des Verantwortlichen/Auftragsverarbeiters in der Verarbeitung von personenbezogenen Daten besteht, die wegen Umfang und/oder Zweck
– der Verarbeitung eine umfangreiche und regelmäßige Überwachung der Betroffenen erforderlich macht.
– die betroffenen Daten der besonderen Kategorie angehören. Darunter fallen zum Beispiel ethnische, politische oder religiöse Hintergründe von Personen.
In Deutschland geht das BDSG noch etwas mehr ins Detail. Nach § 38 Abs. 1 BDSG muss ein Datenschutzbeauftragter ernannt werden, wenn in einem Unternehmen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind. Dies gilt jedoch nur, wenn keine Verarbeitungen vorliegen, die einer Datenschutzfolgenabschätzung unterliegen oder personenbezogene Daten geschäftsmäßig zur Übermittlung, anonymisierten Übermittlung oder für Markt- und Meinungsforschung verarbeitet werden. Dann muss immer ein DSB ernannt werden, egal wie viele Mitarbeiter mit der Verarbeitung zu tun haben.
Freie Wahl beim ISB
Der ISB hingegen muss grundsätzlich nicht ernannt werden. Er handelt rein im Interesse des Unternehmens und nicht aufgrund hoheitlicher Vorgaben. Dies hat zur Folge, dass eine Einstellung im Ermessen der Unternehmensführung liegt. Die Firma muss selbst entscheiden, ob es sich lohnt, den IT-Sicherheitsbeauftragten zu engagieren.
Dazu muss allerdings gesagt werden, dass jedes größere Unternehmen enormes Interesse daran hat, die firmeneigenen Daten zu schützen und Kapital, Geschäftskonzepte, Produkte, Planung oder anderweitige Informationen im eigenen Kreis zu halten.
Aus diesem Grund ist der Informationssicherheitsbeauftragte sehr beliebt, wobei viele, vor allem große Unternehmen, eine eigene IT-Sicherheitsabteilung haben.
Egal, ob ISB oder DSB, beide haben heutzutage eine enorm große und wichtige Funktion und sollten idealerweise harmonisiert im eigenen Unternehmen eingesetzt werden.
Die Immerce GmbH ist die Internet Agentur im Allgäu und programmiert seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für ihre Kunden Suchmaschinenoptimierung. Seit 2018 ist mit der Einführung der DSGVO der Geschäftsbereich betreuen wir unsere Kunden zusätzlich in den Bereichen Datenschutz & IT-Sicherheit.
Kontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
08323-209 99 43
muens@immerce.de
https://www.immerce-consulting.de
Die Bildrechte liegen bei dem Verfasser der Mitteilung.