ISB vs. DSB: Die wichtigsten Unterschiede
Informationssicherheitsbeauftragter oder Datenschutzbeauftragter – was braucht Ihr Unternehmen?
In Gesprächen mit Unternehmen erleben wir häufig Verwirrung: "Brauchen wir jetzt einen ISB oder einen DSB? Oder beides? Ist das nicht dasselbe?" Die kurze Antwort: Nein, es ist nicht dasselbe – aber die beiden Rollen ergänzen sich perfekt. Hier erklären wir die Unterschiede und zeigen, wann Sie welche Rolle benötigen.
Die Grundlagen: Zwei verschiedene Schutzziele
Der fundamentale Unterschied liegt im Schutzgegenstand:
- Datenschutzbeauftragter (DSB): Schützt die Rechte natürlicher Personen bezüglich ihrer personenbezogenen Daten
- Informationssicherheitsbeauftragter (ISB): Schützt alle Informationswerte des Unternehmens – unabhängig davon, ob sie personenbezogen sind
Die Unterschiede im Detail
| Kriterium | DSB (Datenschutzbeauftragter) | ISB (Informationssicherheitsbeauftragter) |
|---|---|---|
| Rechtsgrundlage | DSGVO Art. 37-39, BDSG §38 | Keine gesetzliche Pflicht (außer KRITIS, NIS2) |
| Schutzobjekt | Personenbezogene Daten | Alle Informationswerte (inkl. Geschäftsgeheimnisse, Know-how) |
| Fokus | Rechtmäßigkeit der Datenverarbeitung | Vertraulichkeit, Integrität, Verfügbarkeit (CIA) |
| Bestellungspflicht | Ab 20 MA mit regelmäßiger Datenverarbeitung | Nur bei KRITIS, NIS2, bestimmten Branchen |
| Weisungsfreiheit | Ja, gesetzlich garantiert | Empfohlen, aber nicht gesetzlich gefordert |
| Kündigungsschutz | Ja, besonderer Kündigungsschutz | Nein |
| Typische Standards | DSGVO, BDSG, TTDSG | ISO 27001, BSI IT-Grundschutz, TISAX |
| Aufsichtsbehörde | Landesdatenschutzbehörden | BSI (bei KRITIS), sonst keine direkte Aufsicht |
Wann ist ein DSB Pflicht?
Ein Datenschutzbeauftragter muss bestellt werden, wenn:
- Mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
- Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist
- Personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden (z.B. Auskunfteien, Adresshändler)
- Personenbezogene Daten für Markt- und Meinungsforschung verarbeitet werden
Wann ist ein ISB Pflicht oder sinnvoll?
Ein Informationssicherheitsbeauftragter ist gesetzlich verpflichtend bei:
- KRITIS-Unternehmen (Kritische Infrastrukturen nach BSI-Gesetz)
- NIS2-betroffene Unternehmen (seit Oktober 2024)
- Finanzbranche (gemäß BAIT, VAIT, KAIT)
- Automobilzulieferer (für TISAX-Zertifizierung)
Ein ISB ist dringend empfohlen bei:
- Unternehmen mit hohem IT-Abhängigkeitsgrad
- Verarbeitung von Geschäftsgeheimnissen oder sensiblen Daten
- Angestrebter ISO 27001-Zertifizierung
- Kunden, die Nachweise zur Informationssicherheit fordern
Aufgaben im Vergleich
Typische DSB-Aufgaben
- Führen des Verarbeitungsverzeichnisses
- Beratung bei Datenschutz-Folgenabschätzungen
- Schulung der Mitarbeiter zum Datenschutz
- Anlaufstelle für Betroffenenanfragen (Auskunft, Löschung)
- Zusammenarbeit mit der Aufsichtsbehörde
- Überwachung der Einhaltung der DSGVO
Typische ISB-Aufgaben
- Aufbau und Pflege eines Informationssicherheits-Managementsystems (ISMS)
- Durchführung von Risikoanalysen
- Entwicklung von Sicherheitsrichtlinien
- Koordination von Sicherheitsmaßnahmen
- Incident Response und Notfallmanagement
- Security Awareness Trainings
- Begleitung von Audits und Zertifizierungen
Synergien und Zusammenarbeit
Obwohl DSB und ISB unterschiedliche Schwerpunkte haben, gibt es erhebliche Überschneidungen:
- Technische und organisatorische Maßnahmen (TOMs): Art. 32 DSGVO fordert angemessene Sicherheit – hier arbeiten beide zusammen
- Datenpannen: Beide sind bei Security Incidents involviert
- Awareness: Schulungen zu Datenschutz und IT-Sicherheit lassen sich kombinieren
- Dokumentation: Viele Dokumente (z.B. zu Zugriffsrechten) dienen beiden Zielen
Kann eine Person beide Rollen übernehmen?
Ja, grundsätzlich ist das möglich – und bei kleineren Unternehmen oft sinnvoll. Allerdings gibt es Einschränkungen:
- Die Person muss beide Qualifikationen mitbringen
- Es darf kein Interessenkonflikt entstehen (z.B. IT-Leiter als DSB ist problematisch)
- Die Arbeitsbelastung muss realistisch bleiben
- Bei ISO 27001 wird oft eine Trennung empfohlen
Extern oder intern – was ist besser?
| Aspekt | Interner Beauftragter | Externer Beauftragter |
|---|---|---|
| Verfügbarkeit | Täglich vor Ort | Nach Vereinbarung |
| Unternehmenskenntnis | Hoch | Muss aufgebaut werden |
| Unabhängigkeit | Kann eingeschränkt sein | Hoch |
| Kosten | Fix (Gehalt + Weiterbildung) | Variabel, planbar |
| Aktualität | Eigene Weiterbildung nötig | Breite Erfahrung, immer aktuell |
| Haftung | Eingeschränkt (Arbeitnehmer) | Vertraglich geregelt |
Unsere Empfehlung
Die Wahl zwischen internem und externem Beauftragten hängt von Ihrer Unternehmensgröße, Branche und internen Ressourcen ab. Für viele mittelständische Unternehmen ist eine Kombination ideal:
- Externer DSB/ISB für Expertise, Unabhängigkeit und rechtssichere Beratung
- Interner Ansprechpartner für die operative Umsetzung und tägliche Fragen
Brauchen Sie einen DSB, ISB oder beides?
Wir beraten Sie unverbindlich zu Ihren Pflichten und bieten sowohl DSB- als auch ISB-Services aus einer Hand. Profitieren Sie von unserer Erfahrung und unseren Kombi-Paketen.
Kostenlose Erstberatung vereinbaren