Es scheint ein aussichtsloser Kampf zu sein: Immer wieder schaffen es kriminelle Hacker, in die IT...
Datenschutz- und IT-Sicherheitsbeauftragter
Die gesetzlichen Anforderungen an die IT Sicherheit seitens des Gesetzgebers sind hoch. Dabei existieren nicht nur zahlreiche Gesetzestexte, die sich mit dem Thema befassen. Ebenso die Maßnahmen, die viele Unternehmen im Rahmen der IT Sicherheit umsetzen sollen, sind alles andere als überschaubar. Deswegen ist es ratsam, sich im Rahmen eines Beratungstermins externe Unterstützung zu suchen. Ganz einfach deswegen, weil es zu viele mögliche Fallstricke gibt, über die Sie sonst stolpern könnten. Schlimmstenfalls ziehen diese – gravierende Versäumnisse Ihrerseits vorausgesetzt – eine persönliche Haftung nach sich.
Um eine solche zu verhindern, wird das thematisch oftmals Undurchschaubare für Sie sichtbar gemacht. Denn heute verrate ich Ihnen, was der Unterschied zwischen einem IT-Sicherheitsbeauftragten und einem Datenschutzbeauftragten ist und warum beide Stellen geeignet sind, Schaden von Ihrem Unternehmen abzuwenden.
Ein Datenschutzbeauftragter ist gesetzlich vorgeschrieben
Die Position eines Datenschutzbeauftragten dürfte es mit hoher Wahrscheinlichkeit in Ihrem Unternehmen bereits geben. Schließlich ist dieser für eine Vielzahl aller Organisationen gesetzlich vorgeschrieben. In § 4f des Bundesdatenschutzgesetzes, um genau zu sein. In diesem ist unter anderem geregelt, dass alle „öffentlichen und nicht-öffentlichen Stellen, die personenbezogene Daten automatisiert verarbeiten, einen Beauftragten für den Datenschutz (…) zu bestellen haben“.
Dabei hat der Datenschutzbeauftragte in Unternehmen die primäre Funktion, darauf zu achten, dass die Bestimmungen zum Datenschutz eingehalten werden. Diesbezüglich ist wichtig zu wissen, dass der Datenschutzbeauftragte keine unmittelbaren Weisungen erteilen kann. Dies obliegt weiterhin der Geschäftsführung, die im Endeffekt die Verantwortung für die Prozesse in diesem Bereich übernehmen muss. Deswegen haben Sie auch ein persönliches Interesse daran, dass die Datenschutzregelungen in Ihrem Unternehmen befolgt werden. Falls dies nämlich nicht so ist, müssen Sie schlimmstenfalls bei einem schadhaften Verhalten Ihrerseits mit Ihrem privaten Vermögen haften.
Übrigens: Zum Datenschutzbeauftragten darf nur berufen werden, wer zum einen über ein Mindestmaß an Fachwissen verfügt und zum anderen seine Funktion unabhängig ausführen kann. Im Umkehrschluss bedeutet dies, dass alle Personen in Leitungsfunktion – wie Gesellschafter oder Geschäftsführer – für die Position des Datenschutzbeauftragten nicht infrage kommen, da ein Interessenskonflikt bestehen könnte.
IT-Sicherheitsbeauftragter: keine direkte gesetzliche Forderung
Im Unterschied zum Datenschutzbeauftragten existiert für die meisten Unternehmen kein gesetzlicher Zwang zur Schaffung der Position eines IT-Sicherheitsbeauftragten. Ausnahme bilden Betreiber einer sogenannten kritischen Infrastruktur, zu denen auch die Energieversorger zählen. Bei diesen ist ein IT-Sicherheitsbeauftragter vorgeschrieben. Welche gesetzlichen Grundlagen es für IT-Sicherheitsbeauftragte im Detail gibt, habe ich Ihnen in einem weiteren Beitrag zusammengefasst. Hier geht's direkt zum Blogartikel!
Die Vorteile, die ein IT-Sicherheitsbeauftragter hat, sollten nicht unterschätzt werden, denn er erfüllt eine große und wesentliche Aufgabe: Er unterstützt die Unternehmensleitung nämlich bei der Bewältigung des hohen Arbeitspensums im Bereich der IT Sicherheit. Dazu gehört, dass der Rat des IT-Sicherheitsbeauftragten eingeholt wird, wenn es beispielsweise um die Auswahl einer geeigneten Software oder um den grundsätzlichen Aufbau der IT-Struktur geht. Die Aufgaben eines IT-Sicherheitsbeauftragten sind generell sehr vielfältig.
Dabei wird ein IT-Sicherheitsbeauftragter von der Unternehmensleitung bestellt. Damit ist er organisatorisch unabhängig und kann direkt an die Geschäftsführung berichten. Ist der IT-Sicherheitsbeauftragte hingegen weder unabhängig noch der Unternehmensleitung unterstellt und es kommt zu Schäden, dann drohen dem Geschäftsführer persönliche Konsequenzen, wie ich diese im vorherigen Abschnitt bereits ausführlich beschrieben habe.
Um die Position ideal auszufüllen, sollte die Person zuverlässig sein, über die notwendigen Fachkenntnisse verfügen und Interesse an der Stelle haben. Darüber hinaus sollten genügend zeitliche Ressourcen zur Verfügung stehen, damit der IT-Sicherheitsbeauftragte seine Aufgaben auch erfüllen kann.
Fazit: Was ist also der Unterschied zwischen einem Datenschutzbeauftragten und einem IT-Sicherheitsbeauftragten?
Der wesentliche Unterschied zwischen beiden Positionen besteht darin, dass es seitens des Gesetzgebers für fast alle Unternehmen verpflichtend ist, einen Datenschutzbeauftragten zu haben. Einen IT-Sicherheitsbeauftragten hingegen nicht.
Vorausschauend arbeitende Geschäftsführer schaffen in Ihrem Unternehmen jedoch beide Positionen, um die Vorteile beider miteinander zu kombinieren. Denn der Datenschutzbeauftragte kümmert sich lediglich um Daten, die Personen betreffen –übrigens unabhängig von deren Form, also sowohl auf dem Papier als auch digital.
Die Vorzüge des IT-Sicherheitsbeauftragten liegen hingegen darin, dass er sich mit der gesamten IT Sicherheit beschäftigt. Er arbeitet also nicht nur personenorientiert, sondern ganzheitlicher als ein Datenschutzbeauftragter.
Wenn Sie in Ihrem Unternehmen also beide Positionen haben, sind Sie auf einen eventuellen Schaden in diesen Bereichen gut vorbereitet und können letztendlich das Risiko einer direkten Haftung Ihrerseits auf ein Minimum absenken.
