IT-Security

Was macht eigentlich ein Datenschutzbeauftragter?

26.09.2012
Von Uta Fendt
In Groß- und zunehmend auch mittelständischen Unternehmen sind IT-Sicherheitsbeauftragte bereits fest etabliert. Datenschutzbeauftragte sind allerdings gesetzlich vorgeschrieben.
Wer personenbezogene Daten verarbeitet, braucht in der Regel einen Datenschutzbeauftragten.
Wer personenbezogene Daten verarbeitet, braucht in der Regel einen Datenschutzbeauftragten.
Foto: Gina Sanders - Fotolia.com

Wegen der komplexen IT-Infrastruktur und der Notwendigkeit, IT-Sicherheit professionell zu managen, benötigen die meisten Firmen einen IT-Sicherheitsbeauftragten als zentrale Anlauf- und Entscheidungsstelle. Diese ist eine wichtige Voraussetzung für den Umgang mit der IT-Sicherheit. Das Anforderungsprofil eines IT-Sicherheitsbeauftragten ist allerdings gesetzlich nicht geregelt.

Anders stellt sich die Situation beim Datenschutzbeauftragten dar. So schreibt beispielsweise Paragraph 109 Abs. 3 TKG für den Bereich der Telekommunikationsunternehmen die Bestellung eines Datenschutzbeauftragten vor. Unternehmen, die personenbezogene Daten verarbeiten, müssen fast immer gemäß Paragrah 4f Abs. 1 BDSG einen Datenschutzbeauftragten bestellen.

Es gibt aber auch Parallelen: In Bezug auf den Umgang mit personenbezogenen Daten gleichen die Anforderungen an den Datenschutzbeauftragten dem Tätigkeitsfeld eines IT-Sicherheitsbeauftragten. Letzterer muss sich zusätzlich mit Datenschutzgesetzen auskennen und auch über das Wissen eines Datenschutzbeauftragten verfügen. Der Datenschutzbauftragte hingegen muss das Informations-Management-System in seiner Komplexität verstehen und einschätzen können.

Gegen Datenschutzverstöße vorgehen

Bei näherer Abgrenzung der Aufgaben fallen jedoch einige Unterschiede zwischen beiden Tätigkeiten auf. Der IT-Sicherheitsbeauftragte hat einen breiter angelegten Tätigkeitsbereich. Er muss unter anderem technische Vorkehrungen schaffen, die Eingriffe in die Datensicherheit verhindern. Weiterhin ist es seine Aufgabe, auch die Daten des Unternehmens, die Betriebsabläufe und die Produkte zu schützen. Ziel der Schutzmaßnahmen sind also nicht nur personenbezogene Daten.

Während der Datenschutzbeauftragte repressiv gegen Datenschutzverstöße vorgeht und auf das Ergebnis der Datensicherheitsvorkehrungen blickt, ergreift der IT-Sicherheitsbeauftragte ergreift Präventivmaßnahmen, die gerade auch Datenschutzverstöße verhindern sollen.

Weiterbildung ist ein Muss

Um stets auf dem neuesten Stand der rechtlichen und technischen Entwicklung zu sein, sind Weiterbildungen notwendig, teilweise sogar vorgeschrieben. Zu diesen zählen Datenschutzschulungen, Awarenesstrainings, Weiterbildung in den rechtlichen Aspekten und Zertifikate wie T.I.S.P., CISSP und ISMS Auditor.

Wie sich Aufgabengebiete in kürzester Zeit gerade in diesem Berufsbild ändern, kann man auf Konferenzen erleben, wo aktuelle Probleme, wie etwa der Einzug von Social Media in die Unternehmenslandschaft, erläutert und neu skaliert werden. Eine wichtige Konferenz ist beispielsweise die von der isits AG organisierten "secaware" auf der it-sa in Nürnberg, wo frisches Wissen über aktuelle Awarenesskampagnen, Social Engineering und Organisation vermittelt wird (15. bis 16. Oktober 2012).

Aber auch die Rechtslage ändert sich ständig, und Datenschutzbeauftragte müssten eigentlich in jedem Jahr eine Schulung im Bereich Recht der IT-und Informationssicherheit belegen, um sich selbst und die Geschäftsführung vor juristischen Konsequenzen unterlassener Maßnahmen oder schlichtweg Unwissenheit zu schützen.