Externen DSB und ISB kombinieren: Chancen, Grenzen und rechtliche Rahmenbedingungen

Art. 37 DSGVO und §§ 30, 38 BSIG fordern zwei inhaltlich verwandte, aber rechtlich eigenständige Beauftragten-Rollen: den Datenschutzbeauftragten (DSB) und den Informationssicherheitsbeauftragten (ISB). Beide befassen sich mit Daten und IT-Systemen, verfolgen aber unterschiedliche Schutzziele und berichten an unterschiedliche Stellen. Dass ein und dieselbe Person beide Rollen übernimmt, ist rechtlich nicht ausdrücklich verboten – birgt aber Interessenkonflikte und Kapazitätsrisiken, die vor einer Bestellung sorgfältig abzuwägen sind.

Dieser Beitrag klärt, welche Anforderungen DSGVO und BSIG an die jeweilige Rolle stellen, wo strukturelle Überschneidungen liegen, wo Interessenkonflikte entstehen, und welche Modelle in der Praxis des deutschen Mittelstands funktionieren. Sie erhalten eine Entscheidungsgrundlage, die Sie direkt in ein Beauftragten-Konzept überführen können.

Der Datenschutzbeauftragte ist in Art. 37-39 DSGVO geregelt. Bestellpflicht besteht nach Art. 37 Abs. 1 DSGVO u. a. für Unternehmen, deren Kerntätigkeit in der Verarbeitung besonderer Kategorien personenbezogener Daten besteht, sowie nach § 38 BDSG für Unternehmen ab 20 Personen, die ständig mit automatisierter Datenverarbeitung befasst sind. Der DSB ist nach Art. 38 Abs. 3 DSGVO weisungsfrei, darf nicht abberufen oder benachteiligt werden und berichtet an die höchste Managementebene.

Der Informationssicherheitsbeauftragte ist im BSIG verankert: § 30 BSIG verpflichtet KRITIS-Betreiber und besonders wichtige Einrichtungen nach NIS-2, einen ISB zu benennen. § 38 BSIG konkretisiert die Anforderungen für besonders wichtige Einrichtungen. Außerhalb des NIS-2-Geltungsbereichs empfiehlt ISO/IEC 27001:2022 einen ISB als Rolleninhaber des ISMS, ohne eine gesetzliche Pflicht zu begründen. Die Aufgaben des ISB umfassen ISMS-Aufbau und -Betrieb, Vorfallreaktion, Sicherheitsrichtlinien und die Berichterstattung an die Geschäftsleitung.

Beide Rollen teilen die Berichtslinie zur Geschäftsführung und befassen sich mit IT-Systemen, Risiken und Vorfällen. Die DSB-Rolle bei CIVAC und die ISB-Rolle sind inhaltlich eng verzahnt, aber bewusst getrennt modelliert.

Art. 38 Abs. 6 DSGVO erlaubt zwar die Übernahme weiterer Aufgaben durch den DSB, verlangt aber, dass keine Interessenkonflikte entstehen. Der Europäische Datenschutzausschuss (EDSA) hat in seinen Leitlinien zu Art. 37-39 DSGVO (WP 243, rev. 01) explizit darauf hingewiesen, dass Aufgaben, die der DSB beaufsichtigen soll, nicht gleichzeitig von ihm verantwortet werden dürfen.

Konkret entsteht ein Interessenkonflikt, wenn der ISB operative Sicherheitsmaßnahmen wie Zugriffskontrollen, Patch-Management oder Incident-Response-Prozesse verantwortet und der DSB dieselbe Person ist, die diese Maßnahmen auf DSGVO-Konformität prüfen soll. Wer eigene Arbeit prüft, ist strukturell befangen. Aufsichtsbehörden wie die Hamburgische Datenschutzbeauftragte oder das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) haben Personalunionen gerügt, wenn keine nachvollziehbare Abgrenzung der Tätigkeiten vorlag.

Das Risiko ist nicht theoretisch: Eine Datenpanne, die auf eine Sicherheitslücke im ISMS zurückgeht, wird kritisch bewertet, wenn DSB und ISB identisch sind. Die Frage, ob der DSB seine Prüfpflicht gegenüber der eigenen ISMS-Arbeit erfüllt hat, kann im Bußgeldverfahren nach Art. 83 DSGVO eine Rolle spielen.

§ 30 BSIG verpflichtet besonders wichtige und wichtige Einrichtungen nach NIS-2, geeignete Maßnahmen zur Cybersicherheit zu ergreifen und deren Umsetzung durch die Geschäftsleitung zu überwachen. Der ISB ist in diesem Rahmen in die Cyber-Governance eingebunden und rechenschaftspflichtig gegenüber der Leitungsebene, die nach § 38 BSIG persönlich haftet.

Für NIS-2-betroffene Unternehmen – rund 29.500 in Deutschland – ist die klare Trennung von DSB und ISB aus zwei Gründen besonders relevant: Erstens sind die Meldepflichten unterschiedlich. Ein Cyberangriff löst nach § 32 BSIG eine 24-Stunden-Erstmeldung an das BSI aus; derselbe Vorfall löst nach Art. 33 DSGVO eine 72-Stunden-Meldung an die Datenschutzaufsicht aus. Beide Meldungen erfordern eigenständige Bewertungen mit unterschiedlichen Schutzzielen.

Zweitens sind die Berichtspflichten gegenüber der Geschäftsleitung unterschiedlich strukturiert: Der DSB berichtet über Datenschutzrisiken und Verarbeitungstätigkeiten; der ISB berichtet über Sicherheitsvorfälle, ISMS-Status und Maßnahmenpläne. Eine Personalunion erhöht das Risiko, dass Berichte zusammengefasst werden und Führungskräfte kein klares Bild der jeweiligen Risikodimension erhalten.

Trotz der genannten Risiken gibt es Konstellationen, in denen eine zeitlich begrenzte oder strukturell abgesicherte Personalunion vertretbar ist. Erstens: Unternehmen außerhalb des NIS-2-Geltungsbereichs, die ISO/IEC 27001:2022 freiwillig einführen wollen, haben keinen gesetzlichen ISB-Zwang. In diesem Fall ist die Beauftragung einer Person mit beiden Rollen auf Übergangsbasis möglich, sofern klar definiert ist, welche Tätigkeiten zur ISB-Funktion und welche zur DSB-Funktion gehören.

Zweitens: Wenn der kombinierte Beauftragte die ISB-Rolle rein beratend und nicht operativ verantwortend ausfüllt – also keine ISMS-Maßnahmen eigenverantwortlich umsetzt, sondern nur berät und dokumentiert –, ist der Interessenkonflikt nach EDSA-Leitlinien beherrschbarer. Diese Abgrenzung muss aber schriftlich in der Beauftragungsurkunde festgehalten sein.

Drittens: Für sehr kleine Unternehmen (50-100 Mitarbeitern) mit geringer Verarbeitungstiefe und ohne besonders sensible Datenkategorien kann eine pragmatische Übergangslösung sinnvoll sein, solange kein ISO 27001-Audit und keine NIS-2-Verpflichtung vorliegt. Der Übergang zu getrennten Rollen sollte aber geplant sein, bevor eine Zertifizierung oder eine Prüfung durch Aufsichtsbehörden ansteht.

Die in der Praxis am häufigsten gewählte Lösung für den deutschen Mittelstand ist das Mixed-Modell: ein externer Datenschutzbeauftragter über einen Dienstleister, kombiniert mit einem internen oder ebenfalls externen Informationssicherheitsbeauftragten. Dieses Modell bietet drei strukturelle Vorteile.

Erstens: Der externe DSB ist nach Art. 38 Abs. 3 DSGVO weisungsfrei und kann die ISMS-Maßnahmen des ISB unabhängig prüfen. Keine Personalunion, kein Interessenkonflikt. Zweitens: Der interne ISB kennt die IT-Landschaft des Unternehmens aus dem operativen Alltag – ein Vorteil bei der Incident-Response, der einem externen ISB fehlt. Drittens: Kosten und Ressourcen bleiben planbar, weil der externe DSB auf Pauschalebasis abgerechnet wird und der interne ISB keine separaten Lizenzkosten erzeugt, sofern er einen gemeinsamen Workspace nutzt.

Das Mixed-Modell funktioniert nur, wenn beide Beauftragten regelmäßig kommunizieren und ihre Erkenntnisse konsolidieren. Eine gemeinsame Plattform – mit geteiltem Workspace, aber rollenspezifisch getrennten Zugriffsrechten – ist die technische Voraussetzung für dieses Modell. Bei CIVAC lässt sich das Mixed-Modell direkt konfigurieren: Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder bestellen Sie unsere Beauftragten – oder beides kombiniert.

Unabhängig davon, ob DSB und ISB in Personalunion oder getrennt bestellt werden: Beide Beauftragungen erfordern eine schriftliche Urkunde. Für den DSB ist die Bestellung nach Art. 37 DSGVO gegenüber der Aufsichtsbehörde zu kommunizieren; viele Landesdatenschutzbehörden betreiben Meldeportale. Die Bestellurkunde muss Aufgabenumfang, Weisungsfreiheit und Berichtslinie dokumentieren.

Für den ISB nach BSIG ist die Bestellung bei NIS-2-betroffenen Unternehmen ebenfalls formal zu dokumentieren und intern bekanntzumachen. § 30 BSIG verlangt, dass die benannte Person die notwendigen Fachkenntnisse besitzt und ausreichende Ressourcen zur Aufgabenerfüllung erhält. Ressourcenausstattung umfasst Zeit, Budget für Schulungen und Zugang zu relevanten IT-Systemen.

Bestellurkunde, unterschrieben, abgelegt, belegbar – das gilt für beide Rollen. Bei Aufsichtsbesuchen ist der Nachweis der formellen Bestellung in der Regel die erste Frage. Wer hier keine schriftliche Urkunde vorlegen kann, signalisiert dem Prüfer bereits in den ersten Minuten des Gesprächs, dass die Compliance-Struktur nicht dokumentationsreif ist.

Die Fachkunde des DSB ist in Art. 37 Abs. 5 DSGVO geregelt: erforderlich sind Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie die Fähigkeit zur Erfüllung der Aufgaben nach Art. 39 DSGVO. In der Praxis bedeutet das: Kenntnisse der DSGVO, des BDSG, der EDSA-Leitlinien und der relevanten Branchenregulierung. Für Sektoren wie Gesundheit, Finanz oder Telekommunikation sind spezifische Kenntnisse erforderlich.

Die Fachkunde des ISB nach BSIG und ISO/IEC 27001:2022 umfasst IT-Sicherheitstechnik, Risikomanagement nach ISO/IEC 27005, Incident-Response-Prozesse, Netzwerk- und Systemsicherheit sowie Kenntnis des aktuellen BSI-Grundschutz-Kompendiums. Diese Anforderungen überlappen mit der DSB-Fachkunde nur partiell – beide befassen sich mit Risiken, aber aus unterschiedlichen normativen Perspektiven.

In der Praxis sind Personen, die beide Rollen nachweisbar fachkundig ausfüllen können, selten und entsprechend am Markt gefragt. Wer eine Personalunion anstrebt, sollte die Fachkunde für beide Rollen separat dokumentieren – idealerweise durch Zertifikate (TÜV DSB, CISM, CISSP, ISO 27001 Lead Auditor) und nachgewiesene Praxiserfahrung.

Der offensichtliche Vorteil der Personalunion ist die Kosteneinsparung: Ein Honorar statt zwei. Für Unternehmen mit begrenztem Compliance-Budget ist dieser Aspekt nicht trivial. Externe DSBs sind je nach Qualifikation und Branchenkenntnis für 400 bis 1.200 Euro monatlich verfügbar; externe ISBs liegen erfahrungsgemäß in einem ähnlichen Rahmen, mit höherer Spanne für NIS-2-spezialisierte Profile.

Die tatsächlichen Kosten der Personalunion sind aber nicht nur das Honorar: Ein Beauftragter in Doppelrolle benötigt mehr Zeit pro Mandat. Wenn Kapazität fehlt, leiden Prüftiefe und Dokumentationsqualität. Eine lückenhafte DSGVO-Prüfung, die in einem Bußgeldverfahren nach Art. 83 DSGVO endet, übersteigt die Einsparungen aus der Personalunion schnell. Für Unternehmen ab 250 Mitarbeitern lohnt sich eine Vollkosten-Betrachtung.

Ein weiterer Aspekt: Wenn der kombinierte Beauftragte ausfällt oder wechselt, steht das Unternehmen in beiden Rollen ohne Beauftragten da. Getrennte Bestellungen schaffen Redundanz. Für NIS-2-betroffene Unternehmen ist ein ungeplanter ISB-Wechsel besonders kritisch, weil die laufenden Meldepflichten nach § 32 BSIG nicht unterbrochen werden dürfen.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service-Anbieter, der DSB und ISB als getrennte Rollen mit eigenem Workspace-Bereich, eigenem Aufgabenset und eigener Berichtslinie abbildet. Beide Rollen teilen dieselbe Plattform-Infrastruktur, sind aber rollenspezifisch getrennt konfiguriert – damit entfällt der Interessenkonflikt der Personalunion, ohne dass zwei getrennte Systeme betrieben werden müssen.

Für Unternehmen, die beide externen Rollen über CIVAC besetzen möchten, stellt das CIVAC-Partnernetz qualifizierte und unabhängige Beauftragte bereit. Vertrag, Bestellurkunde und Berichtslinien-Dokumentation sind innerhalb von zwei Werktagen abgeschlossen – ohne die übliche Vorlaufzeit klassischer Kanzleimandate.

Aus dem Lesen einen Auftrag machen: Klären Sie, ob Ihr Unternehmen eine getrennte Bestellung von DSB und ISB benötigt, und sprechen Sie das CIVAC-Team unter info@civac.de an. Die Bedarfsanalyse ist kostenlos.