Datenschutz als CISO-Thema: DSGVO im Überblick
Kernaussage
Datenschutz ist kein reines Rechtsthema. Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, DSGVO) verlangt ausdrücklich, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen zu schützen. Damit wird Informationssicherheit zur datenschutzrechtlichen Pflicht und der CISO zum Partner des Datenschutzes.
DSGVO und Informationssicherheit teilen Schutzziele und Maßnahmen: Die DSGVO definiert Pflicht und Schutzziel, das Informationssicherheits-Managementsystem (ISMS) liefert das nachweisbare Wie. Wer beides getrennt steuert, baut doppelte Strukturen auf und ist im Ernstfall weder rechtlich noch sicherheitsseitig belastbar.
Problem in der Praxis
In vielen Organisationen laufen Datenschutz und Informationssicherheit getrennt. Der Datenschutzbeauftragte führt das Verarbeitungsverzeichnis, prüft Rechtsgrundlagen und beantwortet Betroffenenanfragen; der CISO betreibt das ISMS. Beide arbeiten an denselben Systemen, nutzen aber unterschiedliche Register.
Das fällt spätestens auf, wenn ein Sicherheitsvorfall personenbezogene Daten betrifft. Dann ist in kurzer Frist zu entscheiden, ob eine meldepflichtige Datenschutzverletzung vorliegt und wer an wen meldet. Sind Incident-Prozess, Meldelogik und Verarbeitungsverzeichnis nicht verzahnt, entsteht Reibung. Zudem fordert Artikel 32 Maßnahmen nach dem Stand der Technik samt Wirksamkeitsprüfung; das leistet ein ISMS ohnehin. Doppelt und unabgestimmt erzeugt es widersprüchliche Aussagen gegenüber Kunden, Auditoren und Aufsichtsbehörden.
CISO-Einordnung
Für den CISO ist die DSGVO über wenige Artikel anschlussfähig, die Sicherheit direkt adressieren:
- Artikel 5: Integrität und Vertraulichkeit sowie Rechenschaftspflicht - die Brücke aus Schutzziel und Nachweispflicht zum ISMS.
- Artikel 25: Datenschutz durch Technikgestaltung und Voreinstellungen - das Datenschutz-Pendant zu den CISO-Prinzipien Secure by Design und Secure by Default; Datenschutz reicht dabei über reine Sicherheit hinaus.
- Artikel 28: Auftragsverarbeitung mit vertraglichen Mindestinhalten, verbunden mit dem Drittparteienrisiko.
- Artikel 32: geeignete technische und organisatorische Maßnahmen nach dem Stand der Technik, risikoorientiert, mit Wiederherstellbarkeit und Wirksamkeitsprüfung - der zentrale Andockpunkt.
- Artikel 33 und 34: Meldung von Datenschutzverletzungen an die Aufsicht und Benachrichtigung Betroffener.
- Artikel 35: Datenschutz-Folgenabschätzung bei voraussichtlich hohem Risiko - der Andockpunkt an die ISMS-Risikobewertung.
Der CISO muss die Rollenlogik kennen. Der Verantwortliche (controller) entscheidet über Zwecke und Mittel der Verarbeitung, der Auftragsverarbeiter (processor) verarbeitet weisungsgebunden im Auftrag; hinzu kommen gemeinsam Verantwortliche und die betroffene Person. Der Datenschutzbeauftragte berät und überwacht, ist aber nicht operativer Eigentümer der Maßnahmen: Der Verantwortliche entscheidet, die Sicherheitsorganisation setzt um und weist nach.
Umsetzungsperspektive
Datenschutz wird am besten als zusätzliche Anforderungsquelle in das bestehende Steuerungsmodell aufgenommen, nicht als Parallelwelt:
- Die TOM-Pflicht aus Artikel 32 wird über das ISMS bedient; Schutzbedarf, Risiken, Maßnahmen und Wirksamkeitsprüfungen werden um die Datenschutzperspektive ergänzt.
- Verarbeitungsverzeichnis und ISMS-Inventar sollten konsistent sein, sonst drohen Widersprüche.
- Die Auftragsverarbeitung nach Artikel 28 gehört in das Lieferanten- und Drittparteienmanagement.
- Der Incident-Prozess wird um die Datenschutz-Meldelogik erweitert: Bei jedem Vorfall mit Personenbezug ist das Risiko für Rechte und Freiheiten betroffener Personen zu bewerten.
Bei der Meldelogik zählt die Synchronisation mit weiteren Pflichten. Die Meldung nach Artikel 33 (72 Stunden) und die Benachrichtigung Betroffener nach Artikel 34 sind nur ein Teil: Derselbe Vorfall kann parallel Pflichten nach NIS2 (Richtlinie (EU) 2022/2555) oder DORA (Verordnung (EU) 2022/2554) auslösen, mit anderen Empfängern und Triggern. Ein einheitlicher Incident-Prozess mit Mehrfach-Trigger-Mapping ist daher sinnvoll.
Typische Fehler
- Datenschutz und Informationssicherheit werden getrennt, obwohl sie dieselben Systeme und Maßnahmen betreffen.
- Die TOMs aus Artikel 32 werden als statische Liste statt als laufend geprüfte Maßnahmen im ISMS-Regelkreis behandelt.
- Der Incident-Prozess kennt keine Datenschutz-Meldelogik, sodass die 72-Stunden-Frist erst im Ernstfall zum Thema wird.
- Auftragsverarbeitung wird als reines Vertragsthema gesehen, nicht mit der Drittparteien-Risikolage verknüpft.
- Der Datenschutzbeauftragte wird als Eigentümer der Sicherheitsmaßnahmen missverstanden, obwohl seine Rolle beratend ist.
Risiken und Trade-offs
Eine zu enge Kopplung lässt rechtliche Bewertungen in technischen Maßnahmen untergehen. Datenschutz ist mehr als Sicherheit: Zweckbindung, Rechtsgrundlage, Betroffenenrechte und Datenminimierung lassen sich nicht durch Verschlüsselung oder Zugriffskontrolle ersetzen. Eine zu lose Kopplung erzeugt das Gegenteil: doppelte Register, widersprüchliche Aussagen und im Vorfall verlorene Zeit. Sinnvoll ist ein Schnittstellenmodell, das klärt, wer bewertet, entscheidet und umsetzt.
Hinzu kommt die Sanktionslage: Verstöße können nach Artikel 83 mit Geldbußen bis 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes belegt werden, je nachdem welcher Betrag höher ist. Nachhaltiger als schnelle formale Konformität ist Nachweisfähigkeit aus dem laufenden Betrieb.
Entscheidungspunkte
- Wie werden Datenschutz und Informationssicherheit verzahnt, ohne die rechtliche Eigenständigkeit des Datenschutzes aufzugeben?
- Wer entscheidet im Vorfall über Meldepflicht und Meldeinhalt, und wie ist das mit der 72-Stunden-Frist hinterlegt?
- Wie werden Verarbeitungsverzeichnis und ISMS-Inventar konsistent gehalten?
- Wie werden parallele Meldepflichten aus DSGVO, NIS2 und gegebenenfalls DORA in einem Prozess zusammengeführt?
- Welche TOMs aus dem ISMS gelten als Nachweis für Artikel 32, und wie wird ihre Wirksamkeit belegt?
Praktische Empfehlungen
- Behandeln Sie die DSGVO als zusätzliche Anforderungsquelle des ISMS, nicht als separate Compliance-Insel.
- Verankern Sie die Datenschutz-Meldelogik fest im Incident-Prozess, mit klarer Verantwortung für die 72-Stunden-Bewertung.
- Halten Sie Verarbeitungsverzeichnis, Asset-Inventar und TOM-Nachweise konsistent und aus einer Quelle.
- Integrieren Sie Auftragsverarbeitung nach Artikel 28 in das Lieferanten- und Drittparteienmanagement.
- Klären Sie die Rollen zwischen Verantwortlichem, Datenschutzbeauftragtem und Sicherheitsorganisation schriftlich und ziehen Sie für verbindliche Bewertungen Aufsichtsbehörde oder Rechtsberatung hinzu.
Relevante Normreferenzen
- Verordnung (EU) 2016/679 (DSGVO): EU-Recht, frei zugänglich und zitierbar; Anwendungsbeginn 25. Mai 2018. Maßgeblich ist der amtliche Volltext.
- Bundesdatenschutzgesetz (BDSG): konkretisiert die DSGVO in Deutschland über Öffnungsklauseln; maßgeblich ist die jeweils geltende Fassung.
- ISO/IEC 27001 und IT-Grundschutz: liefern referenzartig das Wie der Maßnahmen aus Artikel 32 (nur Referenz, keine Control-Listen).
- ISO/IEC 27701 (Privacy Information Management): bekanntes Datenschutz-Nachweisinstrument, hier nur als Referenz; ersetzt keine rechtliche DSGVO-Konformität.
- NIST Privacy Framework und Cybersecurity Framework: governance- und outcome-seitige Ergänzung ohne unmittelbare Rechtsbindung.
Häufige Fragen
Warum ist Datenschutz ein CISO-Thema und nicht nur ein Rechtsthema?+
Weil die DSGVO in Artikel 32 ausdrücklich geeignete technische und organisatorische Maßnahmen verlangt; damit wird Informationssicherheit zur datenschutzrechtlichen Pflicht.
Was ist der Unterschied zwischen Verantwortlichem und Auftragsverarbeiter?+
Der Verantwortliche entscheidet über Zwecke und Mittel der Verarbeitung, der Auftragsverarbeiter verarbeitet weisungsgebunden im Auftrag; der Datenschutzbeauftragte berät und überwacht.
Wie schnell muss eine Datenschutzverletzung gemeldet werden?+
Nach Artikel 33 unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden an die Aufsicht, sofern ein Risiko für Rechte und Freiheiten betroffener Personen besteht; maßgeblich sind Verordnungstext und gegebenenfalls Rechtsberatung.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen DSGVO & ISO 27701 prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: dsgvo-001.
