Aus historischen Gründen sind Datenschutzbeauftragte (DSBs) häufig in der Hochschulverwaltung und Informationssicherheitsbeauftragte (ISBs) bzw. Chief Information Security Officer (CISO) bei der Hochschulleitung oder im Hochschulrechenzentrum angesiedelt.
Ihre Aufgaben sind dabei nicht zwangsläufig aufeinander abgestimmt und häufig nicht in effiziente Governance-Strukturen eingebettet. Erfahrungen zeigen, dass dadurch Friktionen entstehen können und Digitalisierungsprozesse mit Reibungsverlusten zu kämpfen haben.
In diesem Beitrag wird ein Brückenschlag zwischen Datenschutz und Informationssicherheit versucht, indem zentrale Schnittstellenprozesse identifiziert, ein lösungsorientiertes Vorgehen empfohlen und ein geeignetes Governancemodell vorgeschlagen wird.
Vor dem Hintergrund beschränkter personeller Kapazitäten sollte ein gemeinsames Vorgehen bei der Umsetzung der -häufig sehr bürokratischen- Compliance-Anforderungen konzipiert werden – auch um die aktive Mitwirkung der Beschäftigten in den zentralen und dezentralen Bereichen der Hochschule zu fördern.
Vorbemerkung des Autors
Als stellvertretender behördlicher Datenschutzbeauftragter (DSB) wurde mir Anfang 2026 die Aufgabe mit strategischem Fokus übertragen, eine Konzeptskizze für die Schnittstelle zwischen Datenschutz und Informationssicherheit für die TU Berlin zu entwerfen. An der TU Berlin werden beide Bereiche in 2026 zeitgleich neu aufgestellt, so dass dieses Zeitfenster als Chance für einen echten Neubeginn genutzt werden kann.
Dieser Beitrag fasst wesentliche Punkte daraus zusammen, die auch für andere Hochschulen bedeutsam sein können, um Datenschutz und Informationssicherheit gut zu verzahnen.
2. Ausgangslage
Die DSGVO verlangt klare Verantwortlichkeiten sowie angemessene technische und organisatorische Maßnahmen (TOMs).
Dementsprechend betonen Informationssicherheitsstandards wie der IT-Grundschutz des Bundesinstituts für Sicherheit in der Informationstechnik (BSI) und die ISO 27001 die Führungs- und Organisationsverantwortung der Leitungsebene für ein funktionierendes Informationssicherheitsmanagementsystem (ISMS).
Im Folgenden werden nur noch die BSI-Standards referenziert, analog lässt sich die ISO 27001 anwenden. Für das Datenschutzmanagement kann das Standarddatenschutzmodell (SDM) herangezogen werden.
Gerade im Hochschulkontext ist die Aufgabenlage komplex:
- Zentrale IT-Bereiche und Serviceeinrichtungen, dezentrale Einrichtungen mit eigener IT-Ausstattung, vielfältige IT-Verfahren sowie heterogene Schutzbedarfe unterschiedlichster Datenkategorien erzeugen zahlreiche Berührungspunkte zwischen Datenschutz und Informationssicherheit.
- Das ZKI-/BSI-IT-Grundschutz-Profil für Hochschulen hebt ausdrücklich hervor, dass Hochschulen ihr Sicherheitskonzept an ihre besondere Struktur anpassen müssen und liefert dafür eine Grundlage.
2.2 Problemstellung
Die zentrale Problemlage liegt nicht darin, dass sich Datenschutz und Informationssicherheit „zu sehr ähneln“, sondern darin, dass sie verschiedene Schutzziele mit realen Überschneidungen verfolgen.
Datenschutz schützt primär die Rechte und Freiheiten natürlicher Personen; Informationssicherheit schützt Informationen, Systeme und Prozesse hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit.
Art. 32 DSGVO verbindet beide Bereiche unmittelbar – die Sicherheit der Verarbeitung ist eine datenschutzrechtliche Verpflichtung, während sich Informationssicherheit auch auf nicht-personenbezogene Informationen erstreckt und die Funktionsfähigkeit der Organisation schützt.
Ohne klar definierte Schnittstellen entstehen typische Probleme:
- Doppelprüfungen oder Lücken bei TOMs,
- verspätete Einbindung von DSB oder CISO in IT-Projekte,
- parallele, inkonsistente Dokumentationen,
- nicht verzahnte Risikoanalysen,
- Unsicherheit bei Audits und Nachweispflichten.
2.3 Zielsetzung
Datenschutz und Informationssicherheit sollten sowohl voneinander abgegrenzt als auch in der institutionellen Zusammenarbeit verankert werden. Sicherheits- und Datenschutzanforderungen sollten durchgängig konsistent, dokumentierbar und effizient erfüllt werden.
Aus Informationssicherheitssicht sollte geprüft werden, inwieweit eine initiale Fokussierung („Scope“) auf einzelne Bereiche wie Verwaltungs-IT sinnvoll ist oder die gesamte Sicherheitsorganisation der Hochschule betrachtet werden sollte.
3. Rahmenbedingungen und Beispielszenarien
3.1 Datenschutz
Datenschutzbeauftragte haben nach Art. 37–39 DSGVO und §§ 4–6 BlnDSG eine unabhängige Beratungs- und Überwachungsfunktion.
Die Leitlinien des Europäischen Datenschutzausschusses (European Data Protection Board; EDPB) zum DSB betonen, dass er frühzeitig einzubinden ist, beraten, überwachen und sensibilisieren soll, aber nicht selbst operative Verantwortungen übernehmen soll, die zu Interessenkonflikten führen kann.
Genau das ist für die spätere Rollenabgrenzung zentral: Der DSB ist nicht für die operative Umsetzung von Datenschutz oder Informationssicherheit verantwortlich, sondern für Beratung, Kontrolle und Begleitung.
3.2 Informationssicherheit
In einigen Bundesländern gibt es Landesgesetze, Verordnungen oder Weisungen der Bildungsministerien, aus denen die Erforderlichkeit eines Informationssicherheitsmanagements und die Schaffung der Stelle eines ISB hervorgeht. In Berlin ergab die Prüfung des Risikomanagements der landeseigenen Hochschulen durch den Rechnungshof in 2022/23, dass Informationssicherheit in den Hochschulen zu verankern ist und Stellen für ISBs geschaffen werden sollten.
Informationssicherheit umfasst strategische und operative Schutzmaßnahmen für Daten, IT-Systeme und Geschäftsprozesse. Entsprechend den BSI-Standards folgt für einen ISB / CISO eine Rolle mit Verantwortung für Berichts- und Steuerungsfunktion der Sicherheitsgovernance, Sicherheitsprozesse und dem damit verbundenen Risikomanagement.
Sofern an einer Einrichtung noch kein CISO-Team vorhanden ist, ist die Erwartung eines kurzfristig voll ausgebauten Sicherheitsmanagement unrealistisch. In diesem Fall empfiehlt sich von Beginn an eine klare Priorisierung von Schnittstellen und Ressourcen.
3.3 Was andere Hochschulen tun
An deutschen Hochschulen gibt es unterschiedliche organisatorische Strukturen für Datenschutz und Informationssicherheit.
Datenschutzbeauftragte sind in der Regel in eigenständigen Organisationseinheiten unterhalb der Hochschulleitung angesiedelt bzw. extern beauftragt. Entsprechend der gesetzlichen Anforderungen sind sie weisungsfrei und können weitere Aufgaben wahrnehmen, sofern kein Interessenkonflikt gegeben ist. Typischerweise stehen sie in einem regelmäßigen Austausch mit der Leitungsebene.
Das Datenschutzmanagement wird zumeist von Datenschutzkoordinator:innen oder -referent:innen wahrgenommen, häufig in einem Team, das eng an die Datenschutzbeauftragten angebunden ist, in anderen Fällen ist es aber auch in der Rechtsabteilung oder dem Justitiariat angesiedelt.
CISOs sind ebenfalls direkt unterhalb der Leitungsebene eingeordnet bzw. in seltenen Fällen extern beauftragt. Häufig gibt es zudem dezentrale Ansprechpartner:innen für Informationssicherheit in den Bereichen.
Eine Besonderheit ist die von der Informationssicherheit getrennte Betrachtung und Institutionalisierung der IT-Sicherheit (IT-Security) an einigen Hochschulen. Der Fokus liegt dort häufig auf technischen Maßnahmen – inwieweit diese in das Informationssicherheitsmanagement einbezogen sind, ist nicht immer offensichtlich.
An einigen Hochschulen gibt es gemeinsame Organisationseinheiten für Datenschutz und Informationssicherheit mit inhaltlich getrennten Verantwortlichkeiten – innerhalb einer Struktur sind Kommunikation und enge Abstimmungen aufgrund der organisatorischen Zuordnung besonders gut möglich.
Hochschulen tendieren nicht zu einer vollständigen Verschmelzung beider Bereiche, sondern zu getrennten, aber institutionalisiert zusammenarbeitenden Rollen.
4. Zielvorstellung für die Zusammenarbeit
4.1 Leitprinzip
Sinnvoll erscheint ein Modell der kooperativen Trennung.
- Der behördliche Datenschutz verantwortet Beratung, Kontrolle, datenschutzrechtliche Bewertung, die Einordnung von Betroffenenrisiken sowie die Begleitung von DSFA, Betroffenenrechten und Meldepflichten
- Die Informationssicherheit verantwortet Sicherheitsstrategie, ISMS, Risikoanalysen zur Informationssicherheit sowie die Umsetzung und Koordination der Sicherheitsorganisation
- Gemeinsame Verantwortung besteht nicht als „Mischzuständigkeit“, sondern als verpflichtende Abstimmung an definierten Schnittstellen
Dieses Modell passt sowohl zur DSGVO-Logik des unabhängigen DSB als auch zu den BSI-Anforderungen an ein steuerbares ISMS.
4.2 Abgrenzung der Verantwortungsbereiche
| Themenfeld | DSBs & Datenschutzkoordination | CISO / Informationssicherheit |
| Datenschutzrechtliche Rahmenbedingungen | federführend | unterstützend |
| Datenschutzrechtliche Vertragsprüfungen | federführend | unterstützend |
| DSMS, Datenschutzschulungen | federführend | beratend bei Sicherheitsfragen |
| ISMS, Sicherheitsstrategie, Sicherheitsrichtlinien | beratend bei Personenbezug | federführend |
| TOMs | federführend | unterstützend |
| Datenschutz-Folgenabschätzung | federführend | zuliefernd |
| IS-Risikoanalyse | einbezogen bei Personenbezug | federführend |
| Datenschutzverletzungen | federführend | unterstützend |
| Audits | datenschutzrechtliche Prüfung | Sicherheitsprüfung / Reifegrad / Nachweise |
| Projekte und Beschaffung | Privacy by Design, Datenschutzanforderungen | Security by Design, Sicherheitsarchitektur |
| Personalvertretungsrechtliche Beteiligungsverfahren | Beratung, Stellungnahme | Beratung, Stellungnahme |
Die federführende Stelle steuert den jeweiligen Prozess im Rahmen ihres Aufgabenbereichs, ist aber nicht zwangsläufig dafür verantwortlich.
Die Abgrenzung setzt die Anforderungen der Art. 25 und Art. 32 DSGVO um und folgt den EDPB-Leitlinien zu Privacy by Design und Datenschutzverletzungen.
5. Zentrale Schnittstellenprozesse
5.1 Datenschutz- und Sicherheitsvorfälle
Nicht jeder Sicherheitsvorfall ist ein Datenschutzvorfall, aber viele Datenschutzverletzungen gehen aus Sicherheitsvorfällen hervor. Deshalb sollte der Prozess zweistufig aufgebaut sein:
- Erstens: Erkennung und Analyse durch die Informationssicherheit sowie Zuarbeit und Schadensminimierung durch die operative IT
- Zweitens: Bewertung, ob eine Verletzung des Schutzes personenbezogener Daten vorliegt und ob eine Meldung nach Art. 33 DSGVO erforderlich ist
Umgekehrt gibt es auch Datenschutzvorfälle, die keinen Sicherheitsvorfall darstellen – diese müssen vom Datenschutz unabhängig vom CISO bearbeitet werden, ggf. ist trotzdem eine standardisierte Information der CISO sinnvoll.
Empfehlung: Ein gemeinsamer Incident-Workflow entsprechend dem ISMS mit Pflichtbeteiligung des DSB bei Sicherheitsvorfällen mit möglichem Personenbezug. Aufbau eines Computer Emergency Response Teams (CERT).
5.2 Technische und organisatorische Maßnahmen (TOMs)
TOMs sind der klassische Überschneidungsbereich. Art. 32 DSGVO verlangt angemessene Maßnahmen. Der EDPB konkretisiert in den Art.-25-Leitlinien, dass Datenschutz durch Technikgestaltung früh in Prozesse und Systeme integriert werden muss. Die BSI-Standards können zur methodischen und technischen Ausgestaltung herangezogen werden.
Empfehlung: Datenschutz formuliert Anforderungen und Prüfkriterien, Informationssicherheit definiert Sicherheitsvorgaben.
5.3 Betroffenenanfragen
Betroffenenanfragen bleiben primär ein Datenschutzprozess. Dennoch wird neben den betroffenen Fachabteilungen häufig die IT benötigt um Auszüge aus den technischen Systemen zu ziehen.
Die einschlägigen Kurzpapiere der Datenschutzkonferenz (DSK) bieten eine abgestimmte deutsche Auslegungshilfe für die Umsetzung von Betroffenenanfragen.
Empfehlung: Federführung beim Datenschutz, mit definierter Zuarbeit der IT-Bereiche.
5.4 Risikoanalysen
Die Datenschutz-Folgenabschätzung (DSFA) und Informationssicherheits-Risikoanalyse (IS-Risikoanalyse) dürfen nicht verwechselt werden. Die DSFA bewertet Risiken für Rechte und Freiheiten natürlicher Personen; die IS-Risikoanalyse bewertet Bedrohungen für Informationen, Systeme und Prozesse. Beide Perspektiven überschneiden sich, sind aber nicht deckungsgleich. BSI 200-3 und die DSK-Kurzpapiere zur DSFA stützen diese Trennung.
Empfehlung: Gemeinsame Ausgangsinformationen aber getrenntes Vorgehen bei der Durchführung. Idealerweise ähnlich strukturierte Templates einsetzen.
5.5 Projekte und Beschaffungen sowie Beteiligung der Personalräte
Informationssicherheit und Datenschutz sollten bereits vor der Einführung neuer Prozesse und IT-Systeme berücksichtigt werden.
Empfehlung: Verbindliche frühzeitige Einbindung von CISO und DSB in alle Projekt- und Beschaffungsprozesse. Dieses kann in Vorbereitung der Beteiligungsverfahren mit den Personalräten erfolgen.
5.6 Audits
Die regelmäßige Überprüfung der datenschutzkonformen Verarbeitung personenbezogener Daten sowie der Gewährleistung der Sicherheitsanforderungen sollten konzertiert erfolgen, um die Arbeitsbelastung in den Bereichen zu beschränken.
Empfehlung: Audits methodisch auf Grundlage der BSI- bzw. ISO-Standards abstimmen. Durchführung gemeinsamer Datenschutz- und Informationssicherheitsaudits in den Bereichen.
5.7 Notfallmanagement und Krisenkommunikation
Die Erfahrungen mit dem Hackerangriff in 2021 auf die TU Berlin definieren eine Messlatte:
- die TU Berlin blieb handlungsfähig und war hinsichtlich des Krisenmanagements gut aufgestellt
- es gab ein Krisenteam auf Leitungsebene und operativ handelnde Teams
- kurzfristig wurde ein erfahrener externer Dienstleister zur Unterstützung engagiert
Empfehlung: Schaffung geeigneter Strukturen, die im Krisenfall abgerufen werden können. Bildung einer Task Force „Notfallmanagement und Krisenkommunikation“ zur Konkretisierung. Abschluss eines Rahmenvertrags mit einem Dienstleister für den Abruf von Services.
5.8 Tools für ISMS- und DSMS-Nachweispflichten
Abstimmung bei der Umsetzung von ISMS und DSMS. Die Mehrfacherfassung von Informationen sollte vermieden werden, um Integrität, Konsistenz und Aktualität der Daten sicherzustellen. Eine Einbeziehung weiterer Informationsbestände erscheint sinnvoll, z.B. Betriebskonzepte und Systemdokumentationen.
Ziel sollte die Implementierung einer weitgehend integrierten und damit ressourcensparenden, übergreifenden technischen Lösung sein.
Beispielsweise könnte eine „One-Stop-Shop-Systematik“ umgesetzt werden, bei der eine Mehrfacherfassung von Informationen zu Geschäftsprozessen und Verarbeitungstätigkeiten vermieden und Daten mittels Programmierschnittstellen (APIs) zusammengeführt werden.
Empfehlung: ISMS und DSMS aufeinander abstimmen, idealerweise ein integriertes Tool auswählen. „One-Stop-Shop-Systematik“ prüfen.
5.9 Logfiles und Forensik
Um Angriffe auf die IT abwehren und nachträglich untersuchen zu können, sind Logfiles und ihre Auswertung fundamental.
Empfehlung: Klare Vorgaben für Zugriffsrechte und Löschfristen für Logfiles festlegen und implementieren. Bei forensischen Untersuchungen immer DSB und CISO informieren und einbeziehen.
5.10 Privacy vs. Security by Design
Bei jeder Verarbeitung sollten Löschkonzepte, das Zugriffs- und Berechtigungsmanagement sowie dem jeweiligen Schutzbedarf angemessene Maßnahmen umgesetzt werden.
Empfehlung: Sowohl Privacy by Design als auch Security by Design als gemeinsames Herzstück der Sicherheitsarchitektur verankern und je Verarbeitungsprozess in ISMS und DSMS dokumentieren. Schutzklassen für Informationskategorien und praxistaugliche Regeln für ihre Anwendung festlegen.
5.11 Business Continuity Management (BCM)
Um die dauerhafte Verfügbarkeit von Daten und Systemen sicherzustellen sollten geeignete Prozesse und Maßnahmen umgesetzt werden. Beitragen kann dazu ein Security Operations Center (SOC) mit 24/7 Support.
Empfehlung: Schaffung geeigneter Strukturen, z.B. eines SOC. Bildung einer Task Force „Business Continuity Management“ zur Konzepterarbeitung und Umsetzung.
6. Organisatorische Verankerung
6.1 Empfohlenes Rollenmodell
Folgende Struktur wird als tragfähig eingeschätzt:
- behördlicher Datenschutz: datenschutzrechtliche Beratungs- und Überwachungsfunktion
- Datenschutzkoordination: operative Unterstützung, Informationsweitergabe, Verfahrensbegleitung und organisatorische Verankerung
- CISO / ISB: Aufbau, Steuerung und Weiterentwicklung des Informationssicherheitsmanagements
- CIO: Steuerungsfunktion
- CERT: operative Incident-Steuerung
- IT / Rechenzentrum: Umsetzung
- Rechtsabteilung, weitere Einrichtungen: fallbezogene Beteiligung
An einigen Hochschulen führte die Schaffung einer gemeinsamen Stabsstelle „Informationssicherheit und Datenschutz“ dazu, Prozesse zu verschlanken und Synergien zu schöpfen.
7. Governance-Struktur
7.1 Regelstruktur
Empfohlen wird eine schlanke dreistufige Governance-Struktur.
Auf der ersten Ebene steht die operative Abstimmung in Form regelmäßiger Jour Fixe (JF) zwischen CISO und Dátenschutz im Vordergrund. Bei Bedarf können weitere Beteiligte für Anfragen, Projekte, Vorfälle und Prüfungen hinzugezogen werden. Diese Treffen werden ergänzt um direkte Kommunikation und fallbezogene Arbeitstreffen zur bi- oder trilateralen Abstimmung.
Auf der zweiten Ebene steht ein fachlich-strategisches Governance-Format mit DSB, CISO, CIO, Leitung der IT bzw. des Hochschulrechenzentrums und gegebenenfalls der Rechtsabteilung / des Jusititiariats zur gemeinsamen Lösungsfindung und zur Entscheidungsvorbereitung für Standards, TOMs und Grundsatzfragen.
Auf der dritten Ebene erfolgt die Eskalation von nicht aufgelösten Konflikten zwischen den beteiligten Parteien durch den CIO unter Einbindung der jeweiligen Leitungsebene. Sofern eine Abwägung übergreifender Risiken erfolgt, wird eine Entscheidungsvorlage für die Hochschulleitung vorbereitet.
7.2 Eskalationslogik
Als sinnvolle Eskalationslogik wird vorgeschlagen:
- Klärung der Vorstellungen und Abstimmungen zu Maßnahmen im Jour Fixe / bei Arbeitstreffen
- Interessenkonflikte zwischen Datenschutz und Informationssicherheit werden in der Governance-Runde geklärt
- Konfliktlösung und Risikoabwägungen über CIO durch die jeweils zuständige Leitung, bei übergreifenden Risiken durch die Hochschulleitung
8. Fazit
Tragfähig erscheint ein Modell der kooperativen Trennung mit klaren Rollen und verbindliche Abstimmungen entlang klar definierter Schnittstellen.
Dieses Modell ist rechtlich robust, organisatorisch praktikabel und findet sich an einigen deutschen Hochschulen in ähnlicher Form.
Ein entscheidender Erfolgsfaktor ist nicht allein die personelle Ausstattung, sondern vor allem die Fähigkeit, die Zusammenarbeit auf Ebene von Prozessen und Governance verbindlich zu regeln.
Hinweis: Für die Erstellung dieses Dokuments wurden unterstützend KI-basierte Werkzeuge genutzt.