Zurück zur Übersicht

CISO/DPO-Doppelrolle: Effizienz-Booster oder Konflikt in Security & IMS?

Autor
Pascal Engel
Veröffentlicht
24. Juni 2025
Zunehmender Fachkräftemangel und steigende regulatorische Anforderungen stellen Unternehmen vor grosse Herausforderungen – besonders, wenn Sicherheits- und Datenschutzanforderungen in der Doppelrolle von Chief Information Officer (CISO) und Datenschutzbeauftragten (DPO) parallel gemeistert werden sollen. Gefragt sind klare Zuständigkeiten, strategischer Weitblick und praxisnahe Lösungen. Wir zeigen, welche Synergien und Konflikte daraus entstehen.

 

Die Doppelrolle von Chief Information Security Officers (CISOs) und Datenschutzbeauftragten (nach EU-Recht) bzw. dem Datenschutzberater (DPO) gemäss Art. 10 vom Schweizer Datenschutzgesetz (DSG) muss kein Balanceakt sein. Doch wie lässt sich diese Doppelrolle effizient gestalten?Antworten auf diese Frage und, wie sich durch ein integriertes Managementsystem (IMS) Synergien schaffen und der Aufwand für Unternehmen deutlich reduzieren lässt, liefert dieser frühere Beitrag.

Was ist ein integriertes Managementsystem (IMS)?

Ein integriertes Managementsystem (IMS) kombiniert die Prozesse und Richtlinien aus dem Informationssicherheits- (ISMS) und dem Datenschutzmanagementsystem (DSMS). Dadurch entsteht eine zentrale Struktur, in welcher Unternehmen:

  • Redundanzen vermeiden, ähnliche Aufgaben müssen nicht doppelt dokumentiert und gepflegt werden.
  • Audit-Aufwände reduzieren, durch gemeinsame Audits für mehrere Systeme, um Zeit und Kosten zu sparen.
  • Dokumentationen vereinheitlichen, Richtlinien, Verfahren und Arbeitsanweisungen decken sowohl Sicherheits- als auch Datenschutzaspekte ab.

Gerade wenn personelle Ressourcen knapp sind, bietet ein IMS eine effiziente Möglichkeit, Sicherheits- und Datenschutzanforderungen unter einem Dach zu managen.

Rollen und Verantwortlichkeiten: CISO versus DPO

Obwohl CISO und DPO jeweils fundierte Kenntnisse in Technik und Recht mitbringen, unterscheiden sich ihre Aufgabenschwerpunkte:

Das CISO-Rollenprofil:

  • Entwickeln von Sicherheitsstrategien: Gewährleistet deren Umsetzung, um die IT-Infrastruktur vor Cyberangriffen zu schützen.
  • Risikomanagement: Identifiziert Schwachstellen und definiert Massnahmen zur Risikominimierung.
  • Vorfallbearbeitung: Reagiert auf Sicherheitsvorfälle und steuert die Incident-Response-Prozesse.
CISO-as-a-Service

Das DPO-Rollenprofil:

  • Etablieren rechtlicher Vorgaben: Gewährleistet, dass personenbezogene Daten im Einklang mit dem Schweizer Datenschutzgesetz (DSG) verarbeitet werden.
  • Interne Schulungen: Sensibilisierung der Mitarbeitenden für Datenschutzrichtlinien und -verfahren.
  • Unabhängige Beratung: berät Unternehmen zu Datenschutzthemen, ist weisungsfrei und Ansprechpartner für betroffene Personen sowie Behörden (DSG Art. 10).

DPC-as-a-Service

Die Doppelrolle: Chance oder Konflikt zwischen Cyber Security und Datenschutz?

Die Synergien in der Übersicht:

  1. Ganzheitlicher Blick
    Werden CISO- und DPO-Aufgaben von einer Person wahrgenommen, entsteht ein durchgängiges Sicherheits- und Datenschutzkonzept.
  2. Kürzere Entscheidungswege
    Da nur eine Instanz Entscheidungen trifft, lassen sich Massnahmen oft schneller umsetzen.
  3. Effiziente Ressourcennutzung
    In Zeiten von Fachkräftemangel kann eine Doppelrolle helfen, personelle Engpässe zu überbrücken und Kosten zu senken.

Mögliche Konflikte, die beachtet werden sollten:

  1. Interessenkonflikte
    Während der CISO auf umfassende Sicherheitsmassnahmen setzt, wahrt der DPO in erster Linie die Rechte betroffener Personen. Diese Ziele können sich widersprechen.
  2. Hohe Belastung
    Die Anforderungen an Technik-, Compliance- und Rechtswissen sind enorm. Eine Person kann schnell überfordert sein.
  3. Unabhängigkeit
    Das Bundesgesetz über den Datenschutz (DSG) fordert, dass der DPO eigenständig agiert. In einer Doppelfunktion ist dies nicht immer gewährleistet, zum Beispiel wenn Sicherheitsinteressen des Unternehmens im Vordergrund stehen.

Die Doppelrolle im Härtetest: Sicherheitslücke mit Personenbezug

Wird eine kritische Sicherheitslücke entdeckt, durch welche Kundendaten in falsche Hände geraten könnten, müssen zwei Rollen schnell und gezielt agieren:

  • CISOs schliessen die Lücke und initiieren technische Gegenmassnahmen.
  • DPOs prüfen, ob eine Meldung an die Datenschutzbehörde (Art. 24 DSG) nötig ist – und ob betroffene Personen informiert werden müssen.

In einer Doppelrolle ist es besonders wichtig, dass Rollen und Verantwortlichkeiten eindeutig festgelegt sind – vor allem bei sicherheitsrelevanten Massnahmen, die personenbezogene Daten betreffen. Entscheidend ist, dass jederzeit klar dokumentiert wird, ob eine Handlung in der Funktion als CISO oder als DPO erfolgt. Nur so lassen sich datenschutzrechtliche Anforderungen unabhängig prüfen und potenzielle Interessenkonflikte frühzeitig erkennen.

Damit die Unabhängigkeit des DPO gemäss Art. 10 DSG gewahrt bleibt, müssen Entscheidungs- und Eskalationswege entsprechend strukturiert sein. Ergänzend sollten automatische Prüfprozesse implementiert werden – etwa durch interne Audits oder regelmässige externe Kontrollen –, um sicherzustellen, dass Sicherheitsmassnahmen mit Datenschutzbezug rechtzeitig erkannt und korrekt bewertet werden.

Empfehlungen für die Praxis

  1. Aufgaben schriftlich festhalten
    Eindeutig definieren, in welchem Bereich die Rolle CISO und in welchem die Rolle DPO agiert, auch wenn es sich um ein- und dieselbe Person handelt.
  2. Kontinuierliche Weiterbildung
    Da sich Sicherheits- und Datenschutzanforderungen rasch ändern, sind regelmässige Schulungen in Technik, Recht und Compliance unerlässlich.
  3. Externe Unterstützung hinzuziehen
    Ein neutraler Blick von aussen hilft, Interessenkonflikte zu erkennen und einen reibungslosen Ablauf sicherzustellen. InfoGuard kann mit Erfahrung und Expertise unterstützen.
  4. Regelmässige Re-Evaluation
    Laufend überprüfen, ob die Doppelrolle noch zielführend ist – insbesondere mit Blick auf wachsende gesetzliche Anforderungen.

3 Erfolgsfaktoren, und die Doppelrolle «CISO & DPO» gelingt!

Eine Doppelrolle aus CISO und DPO kann Fachkräfteengpässe überbrücken und zugleich einen ganzheitlichen Blick auf Sicherheits- und Datenschutzrisiken ermöglichen.

Damit dieser Spagat in der Praxis gelingt, braucht es zwingend:

  • Klare Zuständigkeiten,
  • transparente Entscheidungswege und
  • Unabhängigkeit bei Datenschutzfragen.

Halten Unternehmen diese drei Voraussetzungen ein, profitieren sie von:

  • Schnelleren Reaktionen,
  • geringeren Reibungsverlusten und
  • mehr Vertrauen bei Kunden, Mitarbeitenden und Aufsichtsbehörden.

Effizienz, Compliance und Klarheit – alles in einer Rolle

Die wachsende Komplexität in der Cyber Security und im Datenschutz verlangt nach integrierten Lösungen statt isolierter Silos. Eine kombinierte CISO-/DPO-Rolle kann genau das leisten – vorausgesetzt, sie ist durchdacht aufgesetzt und strategisch klar verankert.
Unternehmen, die jetzt aktiv werden und ihre Strukturen überprüfen, profitieren doppelt: Sie gewinnen an Effizienz und stärken gleichzeitig ihre Compliance – gegenüber Kunden, Partnern und Aufsichtsbehörden.

Wenn Sie wissen möchten, wie Sie eine solche Schlüsselrolle schlank, wirkungsvoll und rechtskonform ausgestalten, sind Sie bei InfoGuard an der richtigen Adresse. Unsere Expertinnen und Experten zeigen Ihnen praxisnah auf, wie Sie Informationssicherheit und Datenschutz nahtlos vereinen – sei es beim Aufbau oder bei der Optimierung Ihres bestehenden Managementsystems.

Unabhängig davon, wie Sie aktuell aufgestellt sind – wir unterstützen Ihre CISO/DPO-Fachperson ergänzend mit den notwendigen CISO- oder DPO-Skills. Kontaktieren Sie uns unverbindlich. 

Kontaktieren Sie uns

 

Bildlegende: mit KI generiertes Bild
Artikel teilen

Blog

In der Doppelrolle des DPO und CISO sitzt eine Fachperson ihrem Spiegelbild gegenüber.
Blog 24. Juni 2025

CISO/DPO-Doppelrolle: Effizienz-Booster oder Konflikt in Security & IMS?

Risk & Compliance
Über die ganze Welt verbunden mit einem sicheren Netzwerk
Blog 11. Juni 2025

Jede Verbindung zählt: AI-natives Netzwerkmanagement gefordert.

Cyber Security
Sicht in einen 24/7-Betrieb eines dedizierten Security Operations Centers
Blog 05. Juni 2025

SOC für 360-Grad-Cyberresilienz: Dedizierter Schutz ohne Kompromisse

Cyber Defence

Blog Updates abonnieren