Update: CISO, Datenschutzbeauftragter und FG; Wer macht und darf was? –... (2023)

Einer unserer meistgelesenen Blogs ist nach wie vor mein Beitrag aus dem Jahr 2017, in dem ich die Arbeitsteilung zwischen CISO, Privacy Officer und FG erläutere. Seitdem hat sich viel verändert, also ist es höchste Zeit für ein Update! Kommunen tragen eine große Verantwortung, wenn es um den Umgang und die Sicherheit personenbezogener Daten geht. Daher müssen sie die Vorschriften einhaltenBaseline Information Security Government (BIO)und zumDatenschutz-Grundverordnung (DSGVO).

Aktivitäten in diesem Bereich sollten daher von Vertretern verschiedener Disziplinen innerhalb der Gemeinde gut koordiniert werden. Es können verschiedene Funktionen unterschieden werden. Wir beziehen uns beispielsweise auf den „Chief Information Security Officer (CISO)“, den „Privacy Officer (PO)“ und den „Data Protection Officer (FG)“. Es gibt Organisationen, die sich auch für Botschafter entscheiden. Doch wer ist wofür verantwortlich? Und in welcher Beziehung stehen diese Funktionen zueinander? Um Klarheit darüber zu schaffen, was welcher Beamte ausführt, werden im Folgenden die Funktionen erläutert.

Chief Information Security Officer (CISO)

Der CISO ist die Spinne im Netz, wenn es um die Informationssicherheit der Gemeinde geht. Er ist für die Umsetzung und Überwachung von Informationssicherheitsrichtlinien verantwortlich. Der CISO spielt eine zentrale Rolle bei der Verwaltung aller damit verbundenen Prozesse und muss sicherstellen, dass die Gemeinde diese einhältBIO; eine Reihe organisatorischer und technischer Sicherheitsmaßnahmen, die umgesetzt und verwaltet werden müssen.

Lesen Sie hierBlogoder in diesemFührungmehr über die Erfüllung dieser Rolle. Über dieEigenschaftenWir haben auch schon einmal über einen guten CISO geschrieben. In größeren Organisationen sieht man, dass dem CISO ein Information Security Officer (ISO) zur Seite steht, der auch im Plural stehen kann. In einem solchen Fall verfügt jede ISO über eine oder mehrere Domänen, um gezieltere Unterstützung bieten zu können.

Datenschutzbeauftragter (FG)

Die Stellung, Pflichten und Verantwortlichkeiten des Datenschutzbeauftragten sind in der DSGVO festgelegt. Die FG ist die interneAufsichtzur Einhaltung der DSGVO und anderer Datenschutzgesetze und -vorschriften. Dazu gehört auch die Überwachung der internen Aufgabenteilung und der damit verbundenen Sensibilisierung bzw. Schulung der Mitarbeiter. Er berät und berichtet an die höchste Ebene der Organisation. Wenn eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt wird, muss der Rat des Datenschutzbeauftragten berücksichtigt werden. DasFührungdes IBD erfahren Sie mehr über die Interpretation und Positionierung dieser Rolle.

Regierungsorganisationen sind verpflichtet, einen Datenschutzbeauftragten zu benennen. Die Ratschläge und Weisungen des Datenschutzbeauftragten sind nicht ganz unverbindlich und erfreuen sich nicht immer großer Beliebtheit. Deshalb genießt dieser Beamte einen gewissen Schutz. Dies bedeutet, dass der Dienstvertrag nicht aus unzulässigen Gründen gekündigt werden darf (externer DSB) oder dass der DSB über Kündigungsschutz verfügt (interner DSB).

Datenschutzbeauftragter (PO)

Während der CISO für die Informationssicherheitsrichtlinie verantwortlich ist, ist der PO für die Aktualisierung und Überwachung der Datenschutzrichtlinien innerhalb der Gemeinde verantwortlich. Im Vergleich zum DPO ist die Funktion des PO wesentlich praktischer. Er hat eine operative Führungsfunktion inne und ist täglicher Ansprechpartner für die Mitarbeiter in Sachen Datenschutz. Dazu gehören Aufgaben wie die Beratung zu den Abläufen und Arbeitsabläufen der Fachbereiche, der Abschluss von (Verarbeitungs-)Verträgen mit Externen, die Führung des Verarbeitungsregisters und die Koordinierung des Datenschutzverletzungsprozesses. Es ist auch sinnvoll, der PO eine Führungsrolle bei der Identifizierung von Datenschutzrisiken mittels DSFAs zu übertragen.

Botschafter

Der DPO, der PO und der CISO benötigen im gesamten Unternehmen Ohren und Augen. Um dies zu konkretisieren, wird empfohlen, pro Abteilung oder Domäne einen Botschafter für Datenschutz und Informationssicherheit zu ernennen. Auch die Ernennung von Datenschutzbotschaftern ist als Maßnahme im AVG-Assurance-Produkt des IBD enthalten. Die Botschafter kennen die Wünsche und Entwicklungen der eigenen Abteilung genau und haben eine Signalfunktion gegenüber FG, PO und CISO.

Überschneidungen in der Arbeit

Wie Sie sehen, sind alle diese Funktionen stark miteinander verknüpft und es gibt auch einige Überschneidungen. Warum dann nicht kombinieren? Schaut man sich die Inhalte der Funktionen an, stellt man fest, dass die Umsetzung und Überwachung in Sachen Informationssicherheit meist in der Verantwortung desselben Verantwortlichen liegt, nämlich dem CISO. Wenn wir uns die Funktionen von PO und FG ansehen, sehen wir, dass diese getrennt sind. Übrigens möchte ich anmerken, dass dieEndeDie Verantwortung für die Umsetzung liegt nie beim CISO, PO oder FG, sondern immerim Einklang(integrierte Verantwortung).

Wir können daher den Schluss ziehen, dass im Fall des Datenschutzes Umsetzung, Beratung und Aufsicht getrennt sind. Bei der Informationssicherheit ist dies jedoch nicht der Fall. Ist das schlecht? Nein, die Informationssicherheit als solche ist ebenfalls in der Datenschutzgesetzgebung enthalten und unterliegt daher der Aufsicht des Datenschutzbeauftragten. Und doch weisen wir dem CISO Aufsichtspflichten zu. Wir hinken also immer noch irgendwo auf zwei Beinen.

Untersuchen Sie Ihr eigenes Fleisch

Wichtig ist in jedem Fall, dass die Positionierung des DSB gewährleistet bleibt. Aufgrund der damit verbundenen Risiken empfiehlt es sich daher, diese Funktion so wenig wie möglich zu kombinieren. Beispielsweise muss der DSB überwachen und gegebenenfalls auch durchsetzen können. Es handelt sich daher um eine Erweiterung der niederländischen Datenschutzbehörde (AP). Das wird schwierig, sobald Sie„Sie müssen Ihr eigenes Fleisch inspizieren“und Sie können dadurch die Glaubwürdigkeit und Zuverlässigkeit des DSB schädigen.

Kurz gesagt, es wird empfohlen, die Position des FG trotz der Überschneidungen nicht mit der Position des CISO oder PO zu kombinieren. Die Rolle des FG erfordert von jemandem einige Kompetenzen. Die Frage ist, ob der CISO oder PO all dies beherrscht und auch über ausreichend Raum/Zeit verfügt, um beide Aufgaben ordnungsgemäß auszuführen. Letzteres ist zweifelhaft. Darüber hinaus müssen Sie die DPO-Aufgaben, wie beispielsweise die unabhängige Überwachung, von den Beratungs- und Führungsaufgaben des CISO und/oder PO trennen. Schließlich berichtet der Datenschutzbeauftragte direkt an den Gemeindevorstand und den Gemeinderat. Dadurch ist er unabhängig vom Rest der Gemeinde und ihren Mitarbeitern.

Kombinieren oder nicht?

Das Dreieck aus FG, CISO und PO wird in den meisten Kommunen schon seit einiger Zeit vervollständigt sein. Es wird empfohlen, die Organisation der Informationssicherheit und des Datenschutzes regelmäßig zu bewerten. Funktioniert die aktuelle Umsetzung gut oder könnte sie anders organisiert werden? Abhängig von der Größe der Gemeinde kann die Rolle des Datenschutzbeauftragten in kleinen Gemeinden nebenberuflich wahrgenommen werden. Gerade diese Kommunen sind (logischerweise) geneigt, diese Funktionen zu bündeln. Dann kombinieren Sie diese Funktion nicht mit der CISO- oder PO-Funktion, sondern prüfen Sie die Möglichkeit, diese kommunenübergreifend zu kombinieren, beispielsweise in einer regionalen Struktur.

Verfügt die Gemeinde nicht über die richtigen Kompetenzen für die Aufgaben von FG, PO und CISO? Schließlich können Sie die Funktionen auch auslagern (Kauf). Darüber hinaus könnten Sie als Gemeinde eine Kombination aus den Positionen CISO und PO in Betracht ziehen. Diese lassen sich fachlich gut kombinieren, allerdings stellt sich (auch hier) die Frage, ob der große Arbeitsaufwand, den diese Funktionen mit sich bringen, von 1 FTE bewältigt und erledigt werden kann.

Möchten Sie mehr über die Aufgabenteilung und Positionierung dieser Rollen erfahren? Oder möchten Sie einen (Beamten auf Zeit) fürInformationssicherheitvonPrivatsphäremieten? Dann nehmen Sie es völlig unverbindlich in AnspruchKontaktmit uns.