Ist ein IT-Sicherheitsbeauftragter Pflicht?

Geschäftsführer fragen mich häufig „Warum sollten diese Gesetzestexte für mich als Geschäftsführer wichtig sein?“ oder "Wann genau ist ein IT-Sicherheitsbeauftragter Pflicht?". Die Antwort darauf ist relativ simpel: weil sie sich sonst schnell in der persönlichen Haftung befinden. Dies gilt besonders dann, wenn sie sich nicht auf ein etwaiges Schadensrisiko vorbereitet haben, also zum Beispiel die IT Sicherheit in Ihrem Unternehmen nicht ausreichend implementiert worden ist. In diesem Beitrag erfahren Sie, welche gesetzliche Vorgaben gelten, welche Unternehmen betroffen sind und warum ein IT-Sicherheitsbeauftragter nicht nur eine rechtliche, sondern auch eine wirtschaftliche Notwendigkeit ist.

Gesetzliche Anforderungen zur IT Sicherheit im Allgemeinen

Grundsätzlich gibt es eine Vielzahl an Vorschriften und Gesetzesanforderungen an die IT. Dazu gehört beispielsweise das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das Aktiengesetz, das GmbH-Gesetz oder das Handelsgesetzbuch, dort insbesondere § 317 Abs. 4. Basierend auf diesen Gesetzen ergeben sich für den Geschäftsführer entsprechende Pflichten in Sachen IT Sicherheit.

Diese Vorschriften verlangen, dass Geschäftsleitungen angemessene technische und organisatorische Maßnahmen zur Risikovermeidung treffen. Dazu gehört auch die Einführung eines Informationssicherheitsmanagementsystems (ISMS).

Eine Pflicht, einen IT-Sicherheitsbeauftragten im Unternehmen zu installieren, ist allerdings aus den zuvor genannten gesetzlichen Grundlagen nicht ganz so einfach abzuleiten, wie das zum Beispiel bei einem Datenschutzbeauftragten der Fall ist. Denn dieser wird vom Gesetzgeber in § 4f des Bundesdatenschutzgesetzes direkt gefordert.

Eine solche explizite gesetzliche Anforderung für einen IT-Sicherheitsbeauftragten ist hingegen nicht zu finden. Jedenfalls nicht für alle Unternehmen, worauf ich inhaltlich gleich noch näher eingehen werde.

Was sich allerdings aus den gesetzlichen Grundlagen ableiten lässt, ist eine direkte Verantwortung der Geschäftsführung für die IT Sicherheit im Unternehmen, die bis hin zu einer persönlichen Haftung Ihrerseits führen kann. Wenn man sich diesbezüglich professionell aufstellen will, kommt schnell der IT-Sicherheitsbeauftragte ins Spiel.

Wann ist ein IT-Sicherheitsbeauftragter Pflicht?

Eine gesetzliche Pflicht, einen IT-Sicherheitsbeauftragten zu benennen, besteht nicht für jedes Unternehmen. Dennoch gibt es klare Fälle, in denen die Rolle verpflichtend oder faktisch notwendig ist:

• Unternehmen mit kritischer Infrastruktur (KRITIS):

Nach dem IT-Sicherheitsgesetz 2.0 sind Betreiber kritischer Infrastrukturen (z.B. Energieversorger, Gesundheitswesen, Wasserwirtschaft, usw....) verpflichtet, ein ISMS zu implementieren. Hieraus ergibt sich die Notwendigkeit eines IT-Sicherheitsbeauftragten als fachlich verantwortliche Person. Auch deshalb schon, weil eine Erstellung bzw. Einhaltung eines solchen ISMS genau in seinem Aufgabengebiet liegt.

• Unternehmen mit branchenspezifischen Sicherheitsstandards:

Branchen wie Finanzdienstleister oder Versicherungen unterliegen zusätzlichen regulatorischen Vorgaben (z.B. MaRisk, EnWEG, ISO27001, VdS 3473), die faktisch einen ISB voraussetzen. Auch hier ist der Einsatz eines ISB daher quasi verpflichtend bzw. zumindest insofern notwendig, die Pflichten einhalten zu können.

• Unternehmen mit hohem Haftungsrisiko:

Auch wenn keine direkte gesetzliche Pflicht besteht, können Geschäftsführer persönlich haftbar gemacht werden, wenn ein IT-Sicherheitsvorfall auf fehlende organisatorische Maßnahmen zurückzuführen ist. Ein IT-Sicherheitsbeauftragter reduziert hier nachweislich das Risiko der Organisationsverschulden-Haftung (§ 43 GmbHG, § 93 AktG).

Welche Aufgaben hat ein IT-Sicherheitsbeauftragter?

Ein IT-Sicherheitsbeauftragter (ISB) ist Bindeglied zwischen Geschäftsführung, IT-Abteilung und Datenschutz. Zu seinen Aufgaben gehören u. a.:

• Aufbau und Pflege eines Informationssicherheitsmanagementsystems (ISMS)
• Risikoanalyse und Schwachstellenmanagement
• Definition und Umsetzung von Sicherheitsrichtlinien
• Sensibilisierung und Schulung der Mitarbeiter
• Vorbereitung und Begleitung von Audits (z.B. ISO 27001, TISAX)
• Reporting und Beratung der Geschäftsführung zu Sicherheitsmaßnahmen

Dadurch stellt der IT-Sicherheitsbeauftragte sicher, dass IT-Sicherheit nicht nur technisch, sondern auch strategisch und organisatorisch im Unternehmen verankert wird.

Fazit: Pflicht oder Verantwortung?

Ein IT-Sicherheitsbeauftragter ist nicht für alle Unternehmen gesetzlich vorgeschrieben, wird aber in immer mehr Branchen faktisch erforderlich. Gerade Geschäftsführer und IT-Leiter von KMU sollten die Position ernsthaft in Betracht ziehen. Nicht zuletzt, um Haftungsrisiken zu minimieren und das Vertrauen von Kunden, Partnern und Behörden zu stärken.

Normen wie die ISO 27001 oder VdS 3473 empfehlen ausdrücklich die Benennung eines ISB. Damit wird deutlich: Auch wenn keine explizite Pflicht besteht, gehört der IT-Sicherheitsbeauftragte zu den zentralen Pfeilern einer nachhaltigen und rechtssicheren IT-Strategie.

Unternehmen – welche dem Energiewirtschaftsgesetz unterliegen – müssen also gemäß den gesetzlichen Vorgaben ein ISMS implementieren. Und genau daraus geht die Forderung und damit quasi die Pflicht nach einem IT-Sicherheitsbeauftragten hervor, der Sie in der Einführung eines solchen Systems berät und während des gesamten Prozesses kompetent begleitet.

Professionelle Unterstützung durch einen externen IT-Sicherheitsbeauftragten

Nicht jedes Unternehmen verfügt intern über die notwendige Expertise oder Ressourcen. BRANDMAUER IT stellt erfahrene externe IT-Sicherheitsbeauftragte zur Verfügung, die Sie bei der Einführung und Umsetzung eines ISMS unterstützen können.

👉 Mehr erfahren über unseren ISB-Service.