Skip to content

ISB und DSB in Personalunion?

Klare Antwortung: Wir sehen darin kein Problem – im Gegenteil.

Wo liegt der Unterschied zwischen Datenschutz und Informationssicherheit?

Bei der Informationssicherheit geht es generell um den Schutz von Informationen (Daten). Der Datenschutz wiederum fokussiert nur solche Daten, die einen Personenbezug haben. Damit kümmert sich der Datenschutz insofern um eine Teilmenge dessen, worum es bei der Informationssicherheit geht. Verlieren Daten ihren Personenbezug, ist die DSGVO nicht mehr relevant – für ein Unternehmen kann der Schutz dieser nicht personenbezogenen Daten aber noch eine existentielle Bedeutung haben (z.B. geheime Rezepturen).

Der entscheidende Unterschied zwischen Datenschutz und Informationssicherheit liegt bei den Nutznießern der Bemühungen um den Schutz. Die Informationssicherheit kümmert sich um Daten des Unternehmens oder solche, die Kunden dem Unternehmen anvertraut haben – und zwar unabhängig davon, ob sie einen Personenbezug haben oder nicht. Im Datenschutz geht es immer ‘nur’ um die Betroffenen, also diejenigen, deren Rechte und Freiheiten durch die Daten berührt sind, und das können Mitglieder eines Unternehmens, Kunden oder Interessenten aber auch Außenstehende sein.

Wo sind die Gemeinsamkeiten?

Beide Disziplinen verfolgen ganz offiziell dieselben Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit.

  • Vertraulichkeit: Informationen sollen nur von denjenigen eingesehen werden, die dazu berechtigt sind. Unbefugte dürfen keinen Zugang zu den Daten haben.
  • Integrität: Die Daten müssen korrekt und unverändert sein. Es geht darum, sicherzustellen, dass Informationen (vor allem nicht unbemerkt) manipuliert oder verfälscht werden.
  • Verfügbarkeit: Informationen sollen immer dann zugänglich sein, wenn sie gebraucht werden.

Die drei ‘offiziellen’ Schutzziele werden genau so in der ISO 27001 und in der DSGVO genannt.

Welche Aufgaben hat ein ISB und DSB?

Die DSGVO macht präzise Vorgaben, ab wann ein Unternehmen einen DSB (Datenschutzbeauftragten) zu benennen hat und welche Aufgaben und Befugnisse mit dieser Rolle verbunden sind. Beim ISB (Informationssicherheitsbeauftragten) gibt es deutlich höhere Freiheitsgrade – sowohl was die Pflicht zur Benennung als auch die Ausgestaltung der Rolle angegeht. Da beide dieselben Schutzziele verfolgen, empfehlen wir, die Rollen weitestgehend identisch zu gestalten. Dieser Ansatz fördert bei den anderen Mitarbeitenden im Unternehmen das Verständnis über die Arbeit des DSB und ISB.

Ein DSB soll – vereinfacht gesagt – das Unternehmen beraten und kontrollieren. Die Geschäftsleitung hat ihn oder sie frei von Interessenkonflikten zu halten. Damit ist ein DSB für alle operativen Tätigkeit ungeeignet, bei denen es um das Einhalten von datenschutzrechtlichen Vorschriften geht; er oder sie würde sich ansonsten selbst kontrollieren müssen. Es bietet sich an, die Rolle des ISB genauso auszugestalten (Beratung und Kontrolle – ohne operative Verantwortlichkeiten im eigenen Bereich).

Und genau deshalb bietet es sich an, beide Rollen in Personalunion durch eine Person ausüben zu lassen.

Wo wird nun die Unvereinbarkeit gesehen?

Ein ISB würde maximal viele Daten sammeln wollen (z.B. LogFiles, Backups), um die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten. Ein DSB würde am liebsten jede Datenverarbeitung mit Personenbezug unterbinden.

Würden diese Behauptungen stimmen, hätten wir natürlich eine unüberwindbare Unvereinbarkeit. Die Thesen stimmen aber nicht – für Unternehmen, die die DSGVO und ISO 27001 richtig anwenden.

Die DSGVO fordert nicht, die Verarbeitung von Daten zu verhindern. Das Ziel ist vielmehr, unnötige Datenverarbeitungen zu unterlassen und den Betroffenen durch Transparenz einen hohes Maß an Einflussnahme über die Verwendung ihrer Daten zu gewährleisten.

Auch ein guter ISB (oder ein ISB, der sich der ISO 27001 verpflichtet sieht) sollte unnötige Datenverarbeitungen unterbinden und nur solche Informationen sammeln, die zur Erfüllung definierter (und legitimer) Zwecke erforderlich sind. Nichts anderes fordert auch ein DSGVO-konformer DSB. Ist die Verarbeitung von Daten für die Erfüllung von Gesetzen oder Verträgen erforderlich, wird kein DSB ernsthaft Einwände dagegen vorbringen können. Dasselbe gilt sogar, wenn die Verarbeitung der Daten lediglich für die Erfüllung legitimer berechtigter Interessen des Unternehmens (oder sogar Dritten) dient – weil dies die DSGVO erlaubt.

Einem DSB ist daran gelegen, dass Betroffene ihre verbrieften Rechte aus der DSGVO ausüben können. Das kann nur richtig funktionieren, wenn das Unternehmen die Datenverarbeitung im Griff hat, also weiß was es tut (wo welche Daten warum verarbeitet werden). Auch ein ISB dürfte höchsten Wert darauf legen, dass sämtliche Verarbeitungstätigkeiten kontrolliert und gesteuert erfolgen (wo was warum). Andernfalls können technische Maßnahmen zum Schutz kaum umfassend wirken, weil es mit hoher Wahrscheinlichkeit unberechenbare Lücken gäbe. Das vitale Interesse an der strukturierten, bewussten bzw. gesteuerten Verarbeitung von Informationen eint hier den DSB und ISB.

Die ISO 27001 fordert in ihrer seit 2022 geltenden Fassung nunmehr auch eine Löschung von Daten, wenn ihre Zwecke erfüllt sind. Eine normierte Löschpflicht gilt somit nicht mehr nur für Daten mit Personenbezug.

Und diese Löschpflicht ist sinnvoll. Informationen, die nicht mehr gespeichert werden, müssen auch nicht mehr aufwändig geschützt werden – unabhängig davon, ob sie einen Personenbezug haben oder nicht. Solange das Aufheben einem legitimen Zweck dient, fordert niemand die Löschung, weder der ISB noch der DSB.

Sobald Daten nicht mehr benötigt werden, steigt mit jedem Jahr der Lagerung die Gefahr, dass sie aus dem Fokus der Schutzbemühungen geraten und Schaden anrichten; das gilt für Informationen mit und ohne Personenbezug.

Die Behauptung, ein ISB und DSB würden diametral unterschiedliche Ziele verfolgen, können wir somit nicht nachvollziehen. Wenn LogFiles zur Überwachung von Anomalien (und damit zur Gewährleistung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit) erforderlich sind, sollte kein DSB Einwände hegen.

Werden LogFiles einfach ohne Sinn erzeugt und nicht sorgsam gegen Mißbrauch geschützt, gefährden sie die Informationssicherheit des Unternehmens und die Rechte und Freiheiten der ggf. durch Personenbezug direkt oder indirekt Betroffenen. Hier müssten ISB und DSB unisone einschreiten. Für uns ist damit offensichtlich: ISB und DSB müssen Hand in Hand arbeiten; sie verfolgen im Wesentlichen dieselben Ziele. Ein Interessenkonflikt ist nicht erkennbar, wenn sie im Sinne der DSGVO und ISO 27001 tätig sind.