Datensicherheit und Informationssicherheit ist aus meiner Sicht dasselbe.
Datenschutz grenzt sich von Informationssicherheit so ab, dass Datenschutz den Betroffenen vor den Systemen schützt und die Informationssicherheit die Systeme selbst schützt.
Beim Thema Technische und Organisatorische Maßnahmen gibt es zwischen ISB und DSB eine Überschneidung, bei der sie zusammenarbeiten sollten. Am Besten regelmäßig abgleichen, ob beide (ISMS und DSMS) dasselbe vorliegen haben und ggf. anpassen.
Alle Verarbeitungen des DSMS sollten im ISMS mit Schutzbedarf hoch (oder sehr hoch bei besonderen Kategorien) gelistet sein.
Bei den Maßnahmen sehe ich hauptsächlich den ISB in der Pflicht. Wobei ich hier die Prüfung der AVV-TOMs bei externen Stellen ausnehmen würde. Das kommt in der Realität ohnehin recht selten vor, da die AVV-Anhänge in der Regel recht dünn sind und Vor-Ort-Prüfungen nur bei sehr kritischen Verarbeitungen Sinn machen.
Ein wichtiger Unterschied zwischen Informationssicherheit und Datenschutz ist tatsächlich die Risikobetrachtung. Während bei der Informationssicherheit das Risiko aus Sicht des Unternehmens betrachtet wird, gilt das Augenmerk beim Datenschutz den Personen, dessen Daten verarbeitet werden. Außerdem sind beim Datenschutz neben den “klassischen” Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit weitere Aspekte - die Grundsätze des Datenschutzes - zu betrachten: Transparenz, Datenminimierung, Nichtverkettung, Intervenierbarkeit.
In der praktischen Umsetzung wird sich der DSB hinsichtlich der technischen Betrachtungen und TOM-Umsetzung wohl überwiegend auf den ISB verlassen.