Datenschutz und IT-Sicherheit stellen Bereiche dar, die zwar vordergründig unterschiedliche Ziele verfolgen. Geht es beim Datenschutz insbesondere um den Schutz personenbezogener Daten und der Wahrung der informationellen Selbstbestimmung, so steht bei der IT-Sicherheit der Schutz der IT-Systeme sowie der darin gespeicherten Daten im Vordergrund. Allerdings führt die Umsetzung/Einhaltung des Datenschutzes zu einer Verbesserung der IT-Sicherheit und umgekehrt, da sich einige Aufgabenfelder überschneiden und gegenseitig bedingen können. Daher erscheint es naheliegend, die Positionen des Datenschutzbeauftragten und IT-Sicherheitsbeauftragten zu verbinden.
Datenschutzbeauftragter und IT-Sicherheitsbeauftragter – Voraussetzung für eine Zusammenlegung
Grundsätzlich gibt es im Gegensatz zur Bestellungspflicht eines Datenschutzbeauftragten (§ 4f BDSG), außer im Energiebereich (§ 11 Abs. 1a EnWG) kaum eine Regelung, welche die Bestellung eines IT-Sicherheitsbeauftragten vorsieht. Trotzdem sollten Unternehmen von einer solchen Stelle nicht aufgrund von Kosten Abstand nehmen, da es in unserer heutigen Zeit immer wichtiger wird, sich vor Cyberangriffen zu schützen und entsprechende Sicherheitsmechanismen einzuführen. Der IT-Sicherheitsbeauftragte kann in diesem Bereich zu erheblichen Entlastungen und Schutz im Bereich der IT-Sicherheit beitragen.
Es können jedoch Kosten reduziert werden, indem die Position des IT-Sicherheitsbeauftragten mit dem Datenschutzbeauftragten verschmolzen werden. Aufgrund nur geringer rechtlicher Reglungen für den IT-Sicherheitsbeauftragten sind andere Schriftsätze heranzuziehen, um entsprechende Aufschlüsse über die Möglichkeit einer Zusammenlegung von IT-Sicherheitsbeauftragten mit dem Datenschutzbeauftragten zu erlangen.
Die ISO/IEC 27002, welche bis zum 1. Juni 2007 noch ISO 17799:2005 hieß, ist keine verpflichtende Regelung und dient lediglich als Empfehlung für unterschiedliche Kontrollmechanismen, welche international anerkannt sind. Daraus lässt sich allerdings entnehmen, dass eine funktionsübergreifende Organisation innerhalb eines Unternehmens bezüglich der Datensicherheit zu empfehlen ist. Ist dies im Verhältnis zur Größe des Unternehmens jedoch unverhältnismäßig, sind eine Person oder mehrere Personen für diese Position vorzusehen. Demnach könnte die Verschmelzung der Positionen Datenschutzbeauftragter und IT-Sicherheitsbeauftragter möglich sein. Weiterhin erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI) im BSI-Standard 100-2, eine Verbindung der Positionen IT-Sicherheitsbeauftragter und Datenschutzbeauftragter schließe sich nicht aus. Es seien aber entsprechende Kriterien gegeben. Demnach ist eine Verbindung dieser Positionen nur möglich, wenn
- die Schnittstellen zwischen beiden Rollen klar definiert und dokumentiert werden,
- eine direkte Benachrichtigungsmöglichkeit bei Konfliktentscheidungen zur Leitungsstelle besteht,
- konfliktträchtige Themen zusätzlich nachrichtlich an die Revision weitergeleitet werden können,
- der IT-Sicherheitsbeauftragte ausreichend Ressourcen für die Wahrnehmung beider Rollen hat und gegebenenfalls durch entsprechende Erfüllungshilfen unterstützt wird sowie
- geeignete Vertretungen bei Ausfall gegeben sind.
Vermeidung von Interessenskonflikten
Besonders die vom BSI aufgezählten Punkte, dass von einer Verbindung beider Positionen bei konfliktträchtigen Themen und ungenügenden zeitlichen Ressourcen abzusehen ist, werden nicht näher erläutert. Daher ist immer eine Einzelbetrachtung notwendig, um eine geeignete Lösung zu finden.
In kleineren Unternehmen wird aufgrund von Personalmangel meist eine Person für die IT-Sicherheit verantwortlich sein. Sollte dieser noch zusätzlich als Datenschutzbeauftragter bestellt werden, dann sollte darauf geachtet werden, dass er nicht als Administrator oder gar IT-Leiter innerhalb der Firma eingesetzt wird, da in diesem Bereich erhebliches Konfliktpotenzial lauert.
Sparsamkeit bei der IT-Sicherheit und Datenschutz kann zu mehr Kosten führen
Leider wird der Bereich des Datenschutzes meist als zusätzlicher Kostenpunkt gesehen, die IT-Sicherheit aufgrund der medialen Präsenz von Cyberangriffen als wichtiger erachtet. Dies ist meist der Auslöser dazu, die Positionen zu vereinen, um vermeintlich unnötigen Kosten entgegenzuwirken. Diese Annahme kann zu erheblichen Problemen beitragen. So wird dem intern berufenen Zuständigen eine erhebliche Last mit beiden Positionen aufgebürdet, welche er aufgrund möglicher Konfliktbereiche nicht klar evaluieren kann. Dadurch entstehende Fehler, die zu Lasten des Datenschutzes oder der IT-Sicherheit gehen und zu Sanktionen, Bußgeldern und Imageverlusten führen können.
Wahrnehmung der Stelle Datenschutzbeauftragter und IT-Sicherheitsbeauftragter durch einen Externen
Wird die Kombination beider Aufgaben gewünscht, ist die Nutzung von externen Diensten sinnvoll. Die Vorteile, welche Sie im Gegensatz zu der Bestellung eines internen Mitarbeiters für diese Stelle haben, sind
- in der Regel geringere und absehbarere Kosten
- keine Vertretungsprobleme, da mehrere versierte Mitarbeiter in dem extern bestellten Unternehmen agieren und bei Ausfall herangezogen werden können und
- kein Konfliktpotenzial bei der Ausführung der Aufgaben, da auch verschiedene Mitarbeiter agieren können und daher eine optimale Unterstützung bieten.
Es ist jedoch zu beachten, dass auch, wenn die IT-Sicherheit komplett an einen Dritten übergeht, die Unternehmensführung oder die haftenden Gesellschafter nicht von ihrer Pflicht entlassen werden. Die Verantwortung für den ordnungsgemäßen Ablauf eines Managements für Informationssicherheit (ISMS – Information Security Management System) ist ebenfalls deren Aufgabe und wird nicht durch die Kontrolle über den externen Dienstleister abgelöst.
Weiterhin sollte bei der Nutzung von externen Diensten darauf geachtet werden, entsprechende Sicherheitsrichtlinien mit diesen zu vereinbaren, um den Schutz der Betriebsgeheimnisse zu gewährleisten.
