CISO vs. DPO vs. RSSI: Wer macht wirklich was.

Die praktischen Grenzen zwischen drei Rollen, die Organisationen verwechseln. Wofür jede einzelne verantwortlich ist, wo sie sich überschneiden und welche Zertifizierungen für welche Rolle stehen.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCertifications & credentialsAll pillars

Die Einschätzung der Cyber Academy

Der CISO (Chief Information Security Officer) verantwortet die Informationssicherheitsstrategie und das zugehörige Programm. Der DPO (Data Protection Officer) verantwortet die durch die GDPR vorgeschriebene unabhängige Überwachung der Verarbeitung personenbezogener Daten. Der RSSI (Responsable de la Sécurité des Systèmes d'Information) ist das französische Pendant zum CISO. Die drei Rollen überschneiden sich am Perimeter der Datensicherheit, unterliegen aber unterschiedlichen Mandaten: CISO und RSSI gegenüber der Geschäftsleitung, der DPO gegenüber der Aufsichtsbehörde.

TL;DR

  • 1CISO und RSSI sind dieselbe Rolle mit unterschiedlicher Bezeichnung. RSSI ist der französische Titel; CISO ist der internationale Titel. Gleicher Aufgabenbereich.
  • 2Der DPO ist durch die Konzeption der GDPR unabhängig, berichtet an die höchste Leitungsebene, kann für die Ausübung der Rolle nicht abberufen werden und ist die Anlaufstelle für die Aufsichtsbehörde.
  • 3Verantwortung des CISO/RSSI: Informationssicherheitsstrategie, Risikoregister, Incident Response, Berichterstattung an den Vorstand. Mandat von der Geschäftsleitung.
  • 4Verantwortung des DPO: Überwachung der GDPR-Konformität, Prüfung von DPIA, Rechte betroffener Personen, Dialog mit der Aufsichtsbehörde. Mandat aus der Verordnung.
  • 5Sie überschneiden sich bei der Datensicherheit (Article 32 der GDPR) und bei der Incident Response. In bedeutenden Organisationen sollte eine einzelne Person nicht beide Rollen innehaben; der DPO muss unabhängig von den Datenverarbeitungsentscheidungen bleiben, die der CISO umsetzt.

Zwei Verantwortlichkeiten, ein Perimeter

Die Verwechslung dieser Rollen liegt nicht an den Stellenbezeichnungen. Sie liegt daran, welcher Autorität jede Person verantwortlich ist. Der CISO und der RSSI führen ein Programm im Auftrag der Geschäftsleitung: Sie werden daran gemessen, ob die Organisation sicher genug ist, um den Betrieb aufrechtzuerhalten, und ob der Vorstand das verbleibende Risiko versteht, das er trägt. Der DPO ist einem ganz anderen Herrn verantwortlich. Die Rolle existiert, weil die GDPR eine unabhängige Compliance-Funktion innerhalb der Organisation verankert hat, und diese Funktion berichtet an die höchste Leitungsebene, während sie sich aus den operativen Entscheidungen heraushält, die sie zu bewerten hat. Die eine Seite optimiert für das Geschäft. Die andere Seite muss in der Lage sein, dem Geschäft zu sagen, dass es falsch liegt.

Operativ betrachtet bauen und verteidigen der CISO und der RSSI; der DPO prüft und hinterfragt. Wenn ein Marketingteam eine Kundendatenbank mit Drittdaten anreichern will, fragt der CISO, ob es sicher umgesetzt werden kann, und der DPO fragt, ob es unter den Maßstäben der Rechtmäßigkeit, Datenminimierung und Zweckbindung überhaupt getan werden sollte. Beide Fragen sind berechtigt. Es sind nicht dieselben Fragen, und in dem Moment, in dem man sie in einer Person zusammenführt, verliert man die zweite.

Der Vergleich, auf den es wirklich ankommt

Die meisten veröffentlichten Vergleiche enden bei Definitionen. Die Unterscheidung, die Auseinandersetzungen um das Organigramm entscheidet, ist die Berichtslinie und die Quelle des Mandats, denn das bestimmt, wer wen überstimmen kann und wer die Haftung trägt, wenn etwas schiefgeht.

CISO vs. DPO vs. RSSI: Mandat, Berichtslinie und signalisierende Zertifizierungen
DimensionCISODPORSSI
Primäres MandatInformationssicherheitsstrategie und -programmUnabhängige Überwachung der Verarbeitung personenbezogener DatenWie der CISO (französischer Titel)
Quelle der AutoritätDelegiert durch die GeschäftsleitungDurch die GDPR vorgeschrieben und geschütztDelegiert durch die Geschäftsleitung
Berichtet anCEO, Vorstand oder RisikoausschussHöchste Leitungsebene, mit UnabhängigkeitDirection générale oder DSI
Verantwortlich fürRisikoregister, Kontrollen, Incident Response, Berichterstattung an den VorstandPrüfung von DPIA, Rechte betroffener Personen, Verzeichnis von Verarbeitungstätigkeiten, Dialog mit der AufsichtsbehördeGleicher Aufgabenbereich wie der CISO, französischer regulatorischer Kontext
Kann für die Ausübung der Aufgabe abberufen werden?Ja, wie jede FührungskraftNein, geschützt vor Abberufung für die Ausübung der RolleJa, wie jede Führungskraft
Signalisierende ZertifizierungenCISM, PECB CCISO, Lead Cybersecurity Manager, CRISCGDPR DPO, CDPSE, ISO 27701 Lead ImplementerWie der CISO, oft zusätzlich ISO 27001 für den französischen Markt

Die Zertifizierungsspalte ist das praktische Signal, das ein einstellender Manager liest. Ein Sicherheitsführungsprofil baut auf CISM als Nachweis auf Managementebene, dem PECB Certified CISO für die Führungsperspektive und Lead Cybersecurity Manager für den Programmaufbau auf. Ein Datenschutzprofil signalisiert über den Certified Data Protection Officer und eine Privacy-Engineering-Ebene wie CDPSE. Die beiden Profile sind nicht austauschbar, und ein Lebenslauf, der sie ohne klare primäre Rolle vermischt, signalisiert in der Regel jemanden, der keines von beiden in der Tiefe gemacht hat.

Wo sie sich wirklich überschneiden: Article 32 und Vorfälle

Die Überschneidung ist real, und das Gegenteil zu behaupten ist der Weg, auf dem Organisationen Lücken bekommen. Article 32 der GDPR verlangt geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten: Verschlüsselung, Resilienz, die Fähigkeit, die Verfügbarkeit wiederherzustellen, und regelmäßige Tests dieser Maßnahmen. Das ist Sicherheitsarbeit. Der CISO verantwortet die Kontrollen, die sie liefern. Doch der DPO muss in der Lage sein zu beurteilen, ob diese Maßnahmen dem Risiko für die betroffenen Personen angemessen sind, was eine andere Perspektive ist als die Angemessenheit für das Geschäft.

Der saubere Weg, dies zu handhaben: Der CISO ist verantwortlich für die Umsetzung und den Betrieb der Maßnahmen nach Article 32, und der DPO ist verantwortlich dafür, sich eine unabhängige Meinung über ihre Angemessenheit zu bilden. Der CISO erstellt den Standard für Verschlüsselung im Ruhezustand; der DPO hält in der DPIA fest, dass er für die betreffende Verarbeitung ausreichend ist, oder weist darauf hin, dass er es nicht ist. Niemand bewertet seine eigene Arbeit.

ISO 27701 sitzt genau auf dieser Nahtstelle. Sie erweitert ein ISO 27001 ISMS zu einem Datenschutz-Informationsmanagementsystem, was dem CISO und dem DPO einen gemeinsamen Kontrollrahmen statt zweier voneinander getrennter Begriffswelten gibt. Der Kurs ISO 27701 Lead Implementer ist die mit Abstand nützlichste Qualifikation für die Person, die das Sicherheitsprogramm und das Datenschutzprogramm in einen gemeinsamen Dialog bringen muss.

Incident Response ist die zweite Überschneidung und diejenige, die unter Druck bricht. Der CISO führt die technische Reaktion: eindämmen, beseitigen, wiederherstellen. Der DPO führt die regulatorische Uhr: Die GDPR gibt 72 Stunden, um der Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten zu melden, und diese Einschätzung (ist es eine Verletzung, ist sie meldepflichtig, sind betroffene Personen gefährdet) ist die Entscheidung des DPO, nicht des CISO. Wenn diese beiden Personen nicht innerhalb der ersten Stunde eines schwerwiegenden Vorfalls im selben Raum sind, werden Sie entweder zu viel melden und Ihre Glaubwürdigkeit bei der Aufsichtsbehörde verlieren oder zu wenig melden und die Frist überschreiten.

Warum eine Person nicht CISO und DPO zugleich sein sollte

Der Grund ist struktureller Natur, nicht eine Frage der Arbeitslast. Die GDPR verlangt, dass der DPO frei von jeglichem Interessenkonflikt ist: Der DPO darf keine Position innehaben, die das Festlegen der Zwecke und Mittel der Verarbeitung personenbezogener Daten umfasst. Genau das tut ein CISO. Der CISO entscheidet, welche Protokolle aufbewahrt werden, wie lange Backups bestehen, welche Überwachung den Datenverkehr von Mitarbeitenden inspiziert, welche Anbieter Daten verarbeiten. Das sind Verarbeitungsentscheidungen. Eine einzelne Person, die sie sowohl trifft als auch unabhängig prüfen soll, kann die zweite Aufgabe nicht erfüllen, denn die Aufsichtsbehörde wird Selbstprüfung nicht als unabhängige Überwachung akzeptieren.

Das ist keine Meinung von Cyber Academy. Europäische Aufsichtsbehörden haben bereits Organisationen mit Bußgeldern belegt, die einen DPO ernannt haben, der zugleich eine operative Rolle über die Verarbeitung innehatte, die er überwachen sollte. In einer kleinen Organisation haben Sie möglicherweise tatsächlich eine fähige Person, die beides könnte. Die Antwort darauf ist nicht, die Rollen zu kombinieren; sie ist, diese Person zum CISO zu machen und den DPO extern zu bestellen, oder umgekehrt. Ein externer DPO ist eine anerkannte und oft sauberere Lösung, gerade weil die Unabhängigkeit von vornherein eingebaut ist.

Die Realität im Audit-Raum

Wenn ein ISO 27001 Auditor oder eine Aufsichtsbehörde dies betrachtet, prüfen sie auf eine einzige Sache: Können Sie nachweisen, dass Sicherheitsentscheidungen und Datenschutzentscheidungen von Personen mit der richtigen Autorität und der richtigen Unabhängigkeit getroffen wurden. Die Nachweise, die sie verlangen, sind banal und konkret.

  1. Eine RACI-Matrix oder ein gleichwertiges Dokument, das benennt, wer für das Risikoregister gegenüber dem Verzeichnis von Verarbeitungstätigkeiten verantwortlich ist, wobei keine Person für dieselbe Kontrolle zugleich die Rolle des Betreibens und des Überwachens innehat.
  2. Vorfallaufzeichnungen, die zeigen, dass der DPO bei der Meldepflicht und der CISO bei der Eindämmung eingebunden war, mit Zeitstempeln, die in das 72-Stunden-Fenster passen.
  3. DPIA, die eine unabhängige Stellungnahme des DPO zu den Sicherheitsmaßnahmen enthalten, nicht eine Sicherheitsfreigabe, die als Datenschutzprüfung umbenannt wurde.

Die Audit- und Assurance-Kompetenzen, die dies nachweisbar machen, gehören wiederum zu einem eigenen Profil. CISA baut die Audit- und Nachweisdisziplin auf, und CRISC baut die Sprache der Risikoquantifizierung auf, die es dem CISO ermöglicht, dem Vorstand das verbleibende Risiko in Begriffen zu präsentieren, über die er tatsächlich entscheiden kann. Das sind die Nachweise, die eine vertretbare Struktur in eine nachweisbare verwandeln.

Häufige Fehler, die es zu vermeiden gilt

  • CISO und RSSI als zwei separat zu besetzende Rollen zu behandeln. Sie sind dieselbe Rolle; der Titel folgt der Sprache und dem regulatorischen Kontext, nicht dem Aufgabenbereich.
  • Den DPO an den CISO oder die IT-Funktion berichten zu lassen. Das zerstört die von der GDPR geforderte Unabhängigkeit und ist eine einfache Feststellung für jede Aufsichtsbehörde.
  • Anzunehmen, dass die höchstrangige Zertifizierung gewinnt. Ein CISM-Inhaber ist deshalb nicht als DPO qualifiziert, und ein starker DPO-Nachweis macht aus jemandem keine Sicherheitsführungskraft. Stimmen Sie den Nachweis auf das Mandat ab.
  • Einen Vorstandsbericht zu schreiben, der Sicherheitsrisiko und Datenschutzrisiko zu einer einzigen Zahl vermischt. Der Vorstand muss beide sehen, denn die Konsequenzen und die beteiligten Behörden sind unterschiedlich.

Die Organisationen, die dies richtig machen, haben nicht mehr Personal als jene, die es falsch machen. Sie haben eine klare Antwort auf eine einzige Frage: Wer baut bei jeder Entscheidung über personenbezogene Daten die Lösung, und wer beurteilt sie unabhängig. Halten Sie diese beiden Antworten in zwei verschiedenen Personen, geben Sie jeder den Nachweis, der zu ihrem Mandat passt, und das Organigramm hört auf, eine Quelle von Audit-Feststellungen zu sein.

Frequently asked questions

01Kann dieselbe Person CISO und DPO sein?

Technisch ja in kleinen Organisationen, doch der EDPB rät davon dringend ab. Der DPO muss unabhängig von den Verarbeitungsentscheidungen bleiben; der CISO setzt diese Entscheidungen um. In einer kleinen Organisation, in der dieselbe Person die Entscheidung trifft, ist die Unabhängigkeit fiktiv.

In jeder Organisation von nennenswerter Größe (mehr als 50 Vollzeitkräfte, die in nennenswertem Umfang personenbezogene Daten verarbeiten) sollten die Rollen getrennt werden. Der DPO kann im Rechtsteam oder im Risikoteam angesiedelt sein oder direkt an den CEO berichten. Der CISO ist in der Technologie- oder Sicherheitsorganisation angesiedelt.

02Welche Zertifizierungen stehen für einen CISO?

CISM (ISACA) ist der häufigste Nachweis in einem CISO-Lebenslauf; etwa 60 % der CISO-Ausschreibungen in Europa verlangen ihn. ISO 27001 Lead Implementer oder Lead Auditor (PECB) ist der zweithäufigste. CISSP ist die traditionelle Alternative im US-Stil.

Für französische RSSI-Rollen haben von der ANSSI anerkannte Qualifikationen (EBIOS Risk Manager, Qualifikationen über die Programme SecNumCloud oder PASSI) Gewicht, zusätzlich zu oder anstelle von internationalen Nachweisen.

03Welche Zertifizierungen stehen für einen DPO?

Der Certified Data Protection Officer (CDPO, von PECB ausgestellt, an der GDPR ausgerichtet) ist die europäische Referenz. Der CIPP/E (IAPP) ist der alternative internationale Datenschutznachweis, besonders anerkannt in Unternehmen mit US-Präsenz.

Für technische DPOs (Privacy Engineers, die innerhalb oder neben dem Sicherheitsteam arbeiten) ist CDPSE (ISACA) die technische Ergänzung. ISO/IEC 27701 Lead Implementer (PECB) ist der Managementsystem-Nachweis für Organisationen, die ein Datenschutz-ISMS betreiben.

04Wie unterscheiden sich ihre Gehälter in Europa?

Große Schwankungsbreite je nach Land und Branche. In Frankreich verdient ein erfahrener CISO/RSSI im Jahr 2026 in einem CAC-40-Unternehmen 130.000 bis 220.000 Euro Grundgehalt. Ein erfahrener DPO im selben Unternehmen verdient 90.000 bis 150.000 Euro Grundgehalt. Im Finanzdienstleistungssektor liegen beide Rollen tendenziell 20 % bis 30 % höher. Im Mittelstand liegen beide Rollen tendenziell 30 % bis 40 % niedriger.

Die Gehaltsspanne spiegelt den Aufgabenbereich wider: CISO/RSSI verantwortet Budget, Personal und Technologieentscheidungen. Der DPO verantwortet Überwachung, Unabhängigkeit und den Kontakt zur Aufsichtsbehörde.

Kohorten, die das Gelesene in ein Zertifikat verwandeln.

CISM: ISACA credential badgeISACA★ Featured

CISM: Certified Information Security Manager

Manager4 days
Selbstlernend. Jederzeit starten

Die ISACA-Referenzzertifizierung im Sicherheitsmanagement. Vier Domänen, gefordert in rund 60 % aller CISO-Stellenausschreibungen. Vier-Tage-Kurs mit einem enthaltenen Wiederholungsversuch.

Live €2.900

Self-paced €790

Book
Certified CISO by PECBPECB★ Featured

Certified CISO by PECB

Expert5 days
Selbstlernend. Jederzeit starten

Offizielle, von PECB akkreditierte Zertifizierungsschulung zum Certified CISO by PECB. Live-Online-Kurs mit erfahrenen Dozenten und Zertifizierung-oder-Rückerstattung-Garantie. Jetzt anmelden...

Live €2.499

Self-paced €899

Book
Lead Cybersecurity ManagerPECB

Lead Cybersecurity Manager

Manager5 days
Selbstlernend. Jederzeit starten

PECB-akkreditierte Lead Cybersecurity Manager Zertifizierung. Live-Online-Training mit Zertifiziert-oder-Geld-zurück-Garantie.

Live €2.499

Self-paced €899

Book
GDPR - Certified Data Protection OfficerPECB

GDPR - Certified Data Protection Officer

Expert5 days
Selbstlernend. Jederzeit starten

PECB-akkreditierte GDPR - Certified Data Protection Officer Zertifizierung. Live-Online-Training mit Zertifizierungs- oder Rückgeldgarantie.

Live €2.499

Self-paced €899

Book
CDPSE: ISACA credential badgeISACA

CDPSE: Certified Data Privacy Solutions Engineer

Practitioner3 days
Selbstlernend. Jederzeit starten

Die ISACA-Zertifizierung an der Schnittstelle von Datenschutz und Technologie. Drei Domänen: Privacy Governance, Privacy-Architektur und Data Lifecycle. Die Zertifizierung für Privacy Engineers, die GDPR-konforme Systeme entwickeln, nicht nur Richtlinien.

Live €2.900

Self-paced €790

Book
ISO 27701 Lead ImplementerPECB

ISO 27701 Lead Implementer

Lead Implementer5 days
Selbstlernend. Jederzeit starten

PECB-akkreditierte ISO 27701 Lead Implementer Zertifizierung. Live-Online-Schulung mit Zertifizierungs- oder Rückgeldgarantie.

Live €2.499

Self-paced €899

Book
CISA: ISACA credential badgeISACA★ Featured

CISA: Certified Information Systems Auditor

Practitioner4 days
Selbstlernend. Jederzeit starten

Die ISACA-Referenzzertifizierung für IT-Revision. Fünf Domänen, vierstündige Prüfung, die von den Big Four standardmäßig vorausgesetzte Audit-Qualifikation. Viertägiger Kurs mit einer enthaltenen Wiederholungsprüfung.

Live €2.900

Self-paced €790

Book
CRISC: ISACA credential badgeISACA★ Featured

CRISC: Certified in Risk and Information Systems Control

Risk Manager4 days
Selbstlernend. Jederzeit starten

Die ISACA-Referenzzertifizierung für IT-Risiken. Vier Domänen, die Geschäftsrisiken mit IS-Kontrollen verbinden. Die natürliche Ergänzung zu CISA und zu ISO 31000 / 27005 für das ISACA-Vokabular.

Live €2.900

Self-paced €790

Book

Pillar gelesen. Was kommt als Nächstes?

Jeder Pillar verlinkt auf die Kohorte, die ihn in ein Zertifikat verwandelt. Durchsuchen Sie den Katalog oder sprechen Sie mit uns für einen maßgeschneiderten Pfad.