In vielen Unternehmungen wird die Funktion des Data Privacy Officer (DPO) oft unwissend dem Chief Information Security Officer (CISO) beauftragt. Dies führt regelmässig zu Interessenskonflikten. Weshalb wird es trotzdem getan und was sind die Risiken, die dabei entstehen?
Im Zuge der Revision des schweizerischen Datenschutzes – Angleichung an die DSGVO – geraten viele Unternehmungen in Zugzwang, da sie die Anforderungen zur Umsetzung noch nicht oder unzureichend bearbeitet und umgesetzt haben. Das hat zur Folge, dass viele Unternehmungen nun einfach den schnellstmöglichen und einfachsten Weg suchen. Der Chief Information Security Officer (CISO) scheint aufgrund seiner IT-Kompetenz, welche auch die Datenverarbeitung beinhaltet, die geeignetste Person für die Aufgabe zu sein. Nachfolgend eine kurze Zusammenstellung der relevanten Aufgaben der jeweiligen Funktion:
Verantwortlichkeiten des CISO
- Schutz vor möglichen Gefährdungen im Bereich des Sicherheitskonzepts, sowie Erkennen und Behandlung von Risiken
- Sicherheitskonzept erstellen, pflegen und überwachen
- Unterstützung beim Erstellen von Anforderungen bezüglich IT-Security
- Schulung und Sensibilisierung der Mitarbeitenden in Bezug auf IT-Security
- Anlaufstelle für Anfragen im Bereich der IT-Security
- Beratung bei Entscheidungen im Bereich der IT-Security
- Aktives Mitwirken bei der Zertifizierung der IT-Infrastrukturen (z.B. ISO-Zertifizierungen)
- Unternehmensweite Koordination und Abstimmung der verschiedenen Stakeholder
Verantwortlichkeiten des DPO
- Aufbau und Betrieb einer Business-Unit, welche sich um das Datenschutzthema kümmert
- Ausarbeiten und die Anpassung von Datenschutz-Sicherheitsanforderungen
- Schutzobjekte deren mögliche Bedrohung und die daraus resultierenden Risiken ermitteln und definiere
- Kritische Würdigung bzw. Beurteilung der technischen Anforderungen der Sicherheitskonzepte in Bezug auf Datenschutz sowie für eine laufende Weiterentwicklung sorgen
- Schulung und Sensibilisieren der Mitarbeitenden bezüglich der Datenschutz-Thematik
Beurteilung der Verantwortlichkeiten
Die obigen Verantwortlichkeiten zeigen gut auf, dass diese auf den ersten Blick viele Überschneidungen mitbringen. Darüber hinaus müssen die beiden Rollen auch ähnlich Qualifikationen mitbringen:
- Fachkenntnisse im Bereich des schweizerischen Datenschutzes (je nach Unternehmen auch international)
- Know-how bezüglich der Datenverarbeitungsvorgänge im Unternehmen
- Erfahrungen mit IT-Systemen und Datensicherheit
- Branchen Know-how
Unternehmerische Sicht vs. Datenschutz-Sicht
Aus rein unternehmerischer Sicht kann es Sinn stiften, beide Aufgaben des CISO und des DPO einer Person zuzuweisen, denn die sicherheitsrelevanten Aspekte könnten so von einer Person verantwortet werden, jedoch ist eben die Rolle des DPO mehr prozessual und mit Controlling Aufgaben betraut. Aus Datenschutz-Sicht entstehen hier jedoch regelmässig Interessenskonflikte, sobald die Person, welche sich um den Datenschutz kümmert, in Prozesse involviert ist, welche personenbezogene Daten verarbeiten. Beispiele für solche Konflikte sind: DPO und CEO, DPO und CIO, DPO und HR-Manager etc. Andersherum kann auch beim CISO ein Interessenskonflikt entstehen, wenn er z.B. gleichzeitig Compliance-Verantwortlicher wäre.
Wie sollen nun Unternehmungen damit umgehen
In vielen Unternehmungen ist die Rolle CISO meist beim CIO angehängt. Hier entstehen die Interessenskonflikte in Bezug auf den Datenschutz jedoch direkt aus dem alltäglichen Job heraus, weil heutzutage sämtliche IT-Prozesse auch personenbezogene Daten verarbeiten. Aus diesem Grund fehlt in der Rolle des CISO oft auch die Zeit, sich um die datenschutzrelevanten Themen zu kümmern. Weiter müsste sich der CISO im Prinzip selbst überwachen und Vergehen bzw. entstandene Schäden aufdecken und beheben, was ist der Praxis nicht funktionieren würde.
Die Unternehmungen sind nun einerseits gefordert, dafür zu sorgen, dass IT-Sicherheit datenschutzkonform betrieben wird und anderseits muss das Verständnis vorhanden sein, dass der Datenschutz nur mit sicheren und konformen IT-Systemen richtig betrieben werden kann. Deshalb sollten Unternehmungen die beiden Rollen konsequent trennen und dafür sorgen, dass diesen genügend zeitliche Ressourcen zur Verfügung gestellt werden und dass die Aufgaben, Kompetenzen und Verantwortungen sauber und klar geregelt sind.
Quellen und weiterführend Informationen zum Thema
Aufgaben eines CISO
Aufgaben eines DPO
Probleme bei Rolle in Personalunion
Weitere Schwierigkeiten bei Rolle in Personalunion