Die Einschätzung der Cyber Academy
Der CISO (Chief Information Security Officer) verantwortet die Informationssicherheitsstrategie und das zugehörige Programm. Der DPO (Data Protection Officer) verantwortet die durch die GDPR vorgeschriebene unabhängige Überwachung der Verarbeitung personenbezogener Daten. Der RSSI (Responsable de la Sécurité des Systèmes d'Information) ist das französische Pendant zum CISO. Die drei Rollen überschneiden sich am Perimeter der Datensicherheit, unterliegen aber unterschiedlichen Mandaten: CISO und RSSI gegenüber der Geschäftsleitung, der DPO gegenüber der Aufsichtsbehörde.
TL;DR
- 1CISO und RSSI sind dieselbe Rolle mit unterschiedlicher Bezeichnung. RSSI ist der französische Titel; CISO ist der internationale Titel. Gleicher Aufgabenbereich.
- 2Der DPO ist durch die Konzeption der GDPR unabhängig, berichtet an die höchste Leitungsebene, kann für die Ausübung der Rolle nicht abberufen werden und ist die Anlaufstelle für die Aufsichtsbehörde.
- 3Verantwortung des CISO/RSSI: Informationssicherheitsstrategie, Risikoregister, Incident Response, Berichterstattung an den Vorstand. Mandat von der Geschäftsleitung.
- 4Verantwortung des DPO: Überwachung der GDPR-Konformität, Prüfung von DPIA, Rechte betroffener Personen, Dialog mit der Aufsichtsbehörde. Mandat aus der Verordnung.
- 5Sie überschneiden sich bei der Datensicherheit (Article 32 der GDPR) und bei der Incident Response. In bedeutenden Organisationen sollte eine einzelne Person nicht beide Rollen innehaben; der DPO muss unabhängig von den Datenverarbeitungsentscheidungen bleiben, die der CISO umsetzt.
Zwei Verantwortlichkeiten, ein Perimeter
Die Verwechslung dieser Rollen liegt nicht an den Stellenbezeichnungen. Sie liegt daran, welcher Autorität jede Person verantwortlich ist. Der CISO und der RSSI führen ein Programm im Auftrag der Geschäftsleitung: Sie werden daran gemessen, ob die Organisation sicher genug ist, um den Betrieb aufrechtzuerhalten, und ob der Vorstand das verbleibende Risiko versteht, das er trägt. Der DPO ist einem ganz anderen Herrn verantwortlich. Die Rolle existiert, weil die GDPR eine unabhängige Compliance-Funktion innerhalb der Organisation verankert hat, und diese Funktion berichtet an die höchste Leitungsebene, während sie sich aus den operativen Entscheidungen heraushält, die sie zu bewerten hat. Die eine Seite optimiert für das Geschäft. Die andere Seite muss in der Lage sein, dem Geschäft zu sagen, dass es falsch liegt.
Operativ betrachtet bauen und verteidigen der CISO und der RSSI; der DPO prüft und hinterfragt. Wenn ein Marketingteam eine Kundendatenbank mit Drittdaten anreichern will, fragt der CISO, ob es sicher umgesetzt werden kann, und der DPO fragt, ob es unter den Maßstäben der Rechtmäßigkeit, Datenminimierung und Zweckbindung überhaupt getan werden sollte. Beide Fragen sind berechtigt. Es sind nicht dieselben Fragen, und in dem Moment, in dem man sie in einer Person zusammenführt, verliert man die zweite.
Der Vergleich, auf den es wirklich ankommt
Die meisten veröffentlichten Vergleiche enden bei Definitionen. Die Unterscheidung, die Auseinandersetzungen um das Organigramm entscheidet, ist die Berichtslinie und die Quelle des Mandats, denn das bestimmt, wer wen überstimmen kann und wer die Haftung trägt, wenn etwas schiefgeht.
| Dimension | CISO | DPO | RSSI |
|---|---|---|---|
| Primäres Mandat | Informationssicherheitsstrategie und -programm | Unabhängige Überwachung der Verarbeitung personenbezogener Daten | Wie der CISO (französischer Titel) |
| Quelle der Autorität | Delegiert durch die Geschäftsleitung | Durch die GDPR vorgeschrieben und geschützt | Delegiert durch die Geschäftsleitung |
| Berichtet an | CEO, Vorstand oder Risikoausschuss | Höchste Leitungsebene, mit Unabhängigkeit | Direction générale oder DSI |
| Verantwortlich für | Risikoregister, Kontrollen, Incident Response, Berichterstattung an den Vorstand | Prüfung von DPIA, Rechte betroffener Personen, Verzeichnis von Verarbeitungstätigkeiten, Dialog mit der Aufsichtsbehörde | Gleicher Aufgabenbereich wie der CISO, französischer regulatorischer Kontext |
| Kann für die Ausübung der Aufgabe abberufen werden? | Ja, wie jede Führungskraft | Nein, geschützt vor Abberufung für die Ausübung der Rolle | Ja, wie jede Führungskraft |
| Signalisierende Zertifizierungen | CISM, PECB CCISO, Lead Cybersecurity Manager, CRISC | GDPR DPO, CDPSE, ISO 27701 Lead Implementer | Wie der CISO, oft zusätzlich ISO 27001 für den französischen Markt |
Die Zertifizierungsspalte ist das praktische Signal, das ein einstellender Manager liest. Ein Sicherheitsführungsprofil baut auf CISM als Nachweis auf Managementebene, dem PECB Certified CISO für die Führungsperspektive und Lead Cybersecurity Manager für den Programmaufbau auf. Ein Datenschutzprofil signalisiert über den Certified Data Protection Officer und eine Privacy-Engineering-Ebene wie CDPSE. Die beiden Profile sind nicht austauschbar, und ein Lebenslauf, der sie ohne klare primäre Rolle vermischt, signalisiert in der Regel jemanden, der keines von beiden in der Tiefe gemacht hat.
Wo sie sich wirklich überschneiden: Article 32 und Vorfälle
Die Überschneidung ist real, und das Gegenteil zu behaupten ist der Weg, auf dem Organisationen Lücken bekommen. Article 32 der GDPR verlangt geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten: Verschlüsselung, Resilienz, die Fähigkeit, die Verfügbarkeit wiederherzustellen, und regelmäßige Tests dieser Maßnahmen. Das ist Sicherheitsarbeit. Der CISO verantwortet die Kontrollen, die sie liefern. Doch der DPO muss in der Lage sein zu beurteilen, ob diese Maßnahmen dem Risiko für die betroffenen Personen angemessen sind, was eine andere Perspektive ist als die Angemessenheit für das Geschäft.
Der saubere Weg, dies zu handhaben: Der CISO ist verantwortlich für die Umsetzung und den Betrieb der Maßnahmen nach Article 32, und der DPO ist verantwortlich dafür, sich eine unabhängige Meinung über ihre Angemessenheit zu bilden. Der CISO erstellt den Standard für Verschlüsselung im Ruhezustand; der DPO hält in der DPIA fest, dass er für die betreffende Verarbeitung ausreichend ist, oder weist darauf hin, dass er es nicht ist. Niemand bewertet seine eigene Arbeit.
ISO 27701 sitzt genau auf dieser Nahtstelle. Sie erweitert ein ISO 27001 ISMS zu einem Datenschutz-Informationsmanagementsystem, was dem CISO und dem DPO einen gemeinsamen Kontrollrahmen statt zweier voneinander getrennter Begriffswelten gibt. Der Kurs ISO 27701 Lead Implementer ist die mit Abstand nützlichste Qualifikation für die Person, die das Sicherheitsprogramm und das Datenschutzprogramm in einen gemeinsamen Dialog bringen muss.
Incident Response ist die zweite Überschneidung und diejenige, die unter Druck bricht. Der CISO führt die technische Reaktion: eindämmen, beseitigen, wiederherstellen. Der DPO führt die regulatorische Uhr: Die GDPR gibt 72 Stunden, um der Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten zu melden, und diese Einschätzung (ist es eine Verletzung, ist sie meldepflichtig, sind betroffene Personen gefährdet) ist die Entscheidung des DPO, nicht des CISO. Wenn diese beiden Personen nicht innerhalb der ersten Stunde eines schwerwiegenden Vorfalls im selben Raum sind, werden Sie entweder zu viel melden und Ihre Glaubwürdigkeit bei der Aufsichtsbehörde verlieren oder zu wenig melden und die Frist überschreiten.
Warum eine Person nicht CISO und DPO zugleich sein sollte
Der Grund ist struktureller Natur, nicht eine Frage der Arbeitslast. Die GDPR verlangt, dass der DPO frei von jeglichem Interessenkonflikt ist: Der DPO darf keine Position innehaben, die das Festlegen der Zwecke und Mittel der Verarbeitung personenbezogener Daten umfasst. Genau das tut ein CISO. Der CISO entscheidet, welche Protokolle aufbewahrt werden, wie lange Backups bestehen, welche Überwachung den Datenverkehr von Mitarbeitenden inspiziert, welche Anbieter Daten verarbeiten. Das sind Verarbeitungsentscheidungen. Eine einzelne Person, die sie sowohl trifft als auch unabhängig prüfen soll, kann die zweite Aufgabe nicht erfüllen, denn die Aufsichtsbehörde wird Selbstprüfung nicht als unabhängige Überwachung akzeptieren.
Das ist keine Meinung von Cyber Academy. Europäische Aufsichtsbehörden haben bereits Organisationen mit Bußgeldern belegt, die einen DPO ernannt haben, der zugleich eine operative Rolle über die Verarbeitung innehatte, die er überwachen sollte. In einer kleinen Organisation haben Sie möglicherweise tatsächlich eine fähige Person, die beides könnte. Die Antwort darauf ist nicht, die Rollen zu kombinieren; sie ist, diese Person zum CISO zu machen und den DPO extern zu bestellen, oder umgekehrt. Ein externer DPO ist eine anerkannte und oft sauberere Lösung, gerade weil die Unabhängigkeit von vornherein eingebaut ist.
Die Realität im Audit-Raum
Wenn ein ISO 27001 Auditor oder eine Aufsichtsbehörde dies betrachtet, prüfen sie auf eine einzige Sache: Können Sie nachweisen, dass Sicherheitsentscheidungen und Datenschutzentscheidungen von Personen mit der richtigen Autorität und der richtigen Unabhängigkeit getroffen wurden. Die Nachweise, die sie verlangen, sind banal und konkret.
- Eine RACI-Matrix oder ein gleichwertiges Dokument, das benennt, wer für das Risikoregister gegenüber dem Verzeichnis von Verarbeitungstätigkeiten verantwortlich ist, wobei keine Person für dieselbe Kontrolle zugleich die Rolle des Betreibens und des Überwachens innehat.
- Vorfallaufzeichnungen, die zeigen, dass der DPO bei der Meldepflicht und der CISO bei der Eindämmung eingebunden war, mit Zeitstempeln, die in das 72-Stunden-Fenster passen.
- DPIA, die eine unabhängige Stellungnahme des DPO zu den Sicherheitsmaßnahmen enthalten, nicht eine Sicherheitsfreigabe, die als Datenschutzprüfung umbenannt wurde.
Die Audit- und Assurance-Kompetenzen, die dies nachweisbar machen, gehören wiederum zu einem eigenen Profil. CISA baut die Audit- und Nachweisdisziplin auf, und CRISC baut die Sprache der Risikoquantifizierung auf, die es dem CISO ermöglicht, dem Vorstand das verbleibende Risiko in Begriffen zu präsentieren, über die er tatsächlich entscheiden kann. Das sind die Nachweise, die eine vertretbare Struktur in eine nachweisbare verwandeln.
Häufige Fehler, die es zu vermeiden gilt
- CISO und RSSI als zwei separat zu besetzende Rollen zu behandeln. Sie sind dieselbe Rolle; der Titel folgt der Sprache und dem regulatorischen Kontext, nicht dem Aufgabenbereich.
- Den DPO an den CISO oder die IT-Funktion berichten zu lassen. Das zerstört die von der GDPR geforderte Unabhängigkeit und ist eine einfache Feststellung für jede Aufsichtsbehörde.
- Anzunehmen, dass die höchstrangige Zertifizierung gewinnt. Ein CISM-Inhaber ist deshalb nicht als DPO qualifiziert, und ein starker DPO-Nachweis macht aus jemandem keine Sicherheitsführungskraft. Stimmen Sie den Nachweis auf das Mandat ab.
- Einen Vorstandsbericht zu schreiben, der Sicherheitsrisiko und Datenschutzrisiko zu einer einzigen Zahl vermischt. Der Vorstand muss beide sehen, denn die Konsequenzen und die beteiligten Behörden sind unterschiedlich.
Die Organisationen, die dies richtig machen, haben nicht mehr Personal als jene, die es falsch machen. Sie haben eine klare Antwort auf eine einzige Frage: Wer baut bei jeder Entscheidung über personenbezogene Daten die Lösung, und wer beurteilt sie unabhängig. Halten Sie diese beiden Antworten in zwei verschiedenen Personen, geben Sie jeder den Nachweis, der zu ihrem Mandat passt, und das Organigramm hört auf, eine Quelle von Audit-Feststellungen zu sein.
Frequently asked questions
01Kann dieselbe Person CISO und DPO sein?
Technisch ja in kleinen Organisationen, doch der EDPB rät davon dringend ab. Der DPO muss unabhängig von den Verarbeitungsentscheidungen bleiben; der CISO setzt diese Entscheidungen um. In einer kleinen Organisation, in der dieselbe Person die Entscheidung trifft, ist die Unabhängigkeit fiktiv.
In jeder Organisation von nennenswerter Größe (mehr als 50 Vollzeitkräfte, die in nennenswertem Umfang personenbezogene Daten verarbeiten) sollten die Rollen getrennt werden. Der DPO kann im Rechtsteam oder im Risikoteam angesiedelt sein oder direkt an den CEO berichten. Der CISO ist in der Technologie- oder Sicherheitsorganisation angesiedelt.
02Welche Zertifizierungen stehen für einen CISO?
CISM (ISACA) ist der häufigste Nachweis in einem CISO-Lebenslauf; etwa 60 % der CISO-Ausschreibungen in Europa verlangen ihn. ISO 27001 Lead Implementer oder Lead Auditor (PECB) ist der zweithäufigste. CISSP ist die traditionelle Alternative im US-Stil.
Für französische RSSI-Rollen haben von der ANSSI anerkannte Qualifikationen (EBIOS Risk Manager, Qualifikationen über die Programme SecNumCloud oder PASSI) Gewicht, zusätzlich zu oder anstelle von internationalen Nachweisen.
03Welche Zertifizierungen stehen für einen DPO?
Der Certified Data Protection Officer (CDPO, von PECB ausgestellt, an der GDPR ausgerichtet) ist die europäische Referenz. Der CIPP/E (IAPP) ist der alternative internationale Datenschutznachweis, besonders anerkannt in Unternehmen mit US-Präsenz.
Für technische DPOs (Privacy Engineers, die innerhalb oder neben dem Sicherheitsteam arbeiten) ist CDPSE (ISACA) die technische Ergänzung. ISO/IEC 27701 Lead Implementer (PECB) ist der Managementsystem-Nachweis für Organisationen, die ein Datenschutz-ISMS betreiben.
04Wie unterscheiden sich ihre Gehälter in Europa?
Große Schwankungsbreite je nach Land und Branche. In Frankreich verdient ein erfahrener CISO/RSSI im Jahr 2026 in einem CAC-40-Unternehmen 130.000 bis 220.000 Euro Grundgehalt. Ein erfahrener DPO im selben Unternehmen verdient 90.000 bis 150.000 Euro Grundgehalt. Im Finanzdienstleistungssektor liegen beide Rollen tendenziell 20 % bis 30 % höher. Im Mittelstand liegen beide Rollen tendenziell 30 % bis 40 % niedriger.
Die Gehaltsspanne spiegelt den Aufgabenbereich wider: CISO/RSSI verantwortet Budget, Personal und Technologieentscheidungen. Der DPO verantwortet Überwachung, Unabhängigkeit und den Kontakt zur Aufsichtsbehörde.







