Personalunions-Konflikt zwischen IT und Datenschutz

| gepostet in Allgemein, Datenschutz

Kann ein IT-Dienstleister gleichzeitig Datenschutzbeauftragter in der selben Firma sein?

Eine zentrale Aufgabe des Datenschutzbeauftragten gemäß Artikel 39 Abs. 1 lit. b) DSGVO ist die Überwachung der Einhaltung der Datenschutzgrundverordnung. Dies beinhaltet explizit auch den Artikel 32, die „Sicherheit der Verarbeitung“ durch geeignete technische und organisatorische Maßnahmen.
Aufgrund seines technischen Sachverstandes wäre der IT-Dienstleister hierfür geradezu prädestiniert. Jedoch ist der IT-Dienstleister zugleich auch die Instanz, die den Verantwortlichen im Hinblick auf seine IT-Ausstattung berät.

Hieraus ergeben sich zwei Konflikte. Zum einen müsste sich der IT-Dienstleister, wenn er gleichzeitig als Administrator tätig wird, selbst überwachen. Hier entsteht zwangsläufig ein Interessenkonflikt. Zum anderen verfolgt der IT-Dienstleister eigene wirtschaftliche Interessen. Ist er nun zugleich der Datenschutzbeauftragte des Unternehmens müsste er im Zweifel gegen diese Interessen beraten. Hier wirkt sich dieser Konflikt auf die Neutralität der Beratung aus.

IT-Dienstleister und Datenschutzbeauftragter in Personalunion
Durch Interessenkonflikt zum Scheitern verurteilt

Beide Fälle zeigen den klassischen Interessenkonflikt, der entsteht, wenn der IT-Dienstleister auch der Datenschutzbeauftragte des Unternehmens ist. Es ist hierbei auch unerheblich, ob es sich um unterschiedliche Personen im gleichen Unternehmen handelt. Das gemeinsame Glied beider ist der Geschäftsführer, der beiden gegenüber weisungsbefugt ist.

Setzt der Verantwortliche nun den IT-Dienstleister ebenfalls als Datenschutzbeauftragten ein, kann ein Verstoß gegen Artikel 38 Absatz 6 DSGVO, zur Sicherstellung, dass es nicht zum Interessenkonflikt kommen kann, vorliegen. Dies könnte gemäß Artikel 83 Abs. 4 lit. a) zu einem Bußgeld in Höhe von bis zu 10.000.000 Euro oder 2% des gesamten weltweit erzielten Vorjahresumsatzes führen.

Aber auch für den IT-Dienstleister kann dies Konsequenzen haben. Gemäß Artikel 39 Abs. 1 lit. a) DSGVO ist es Grundaufgabe des Datenschutzbeauftragten, den Verantwortlichen über seine Pflichten nach der DSGVO zu Beraten. Hier kann demnach eine Pflichtverletzung angenommen werden, was im Schadensfall, wie Bußgeld, Schadenersatz oder anderweitige Maßnahme der Aufsichtsbehörde, zu einer Haftung durch den Dienstleister führen kann.

Argumentativ könnte man vorbringen, dass die Beratungspflicht erst nach der Benennung beginnt. In diesem Fall hätte der Rat jedoch lauten können, dass entweder der Datenschutzbeauftragte wieder abberufen werden müsste oder der IT-Dienstleister gewechselt werden sollte.


 

Wir beraten Sie mit Kompetenz und Fachwissen, denn wir sind Ihr zuverlässiger Partner in Sachen Digitalisierung, Datenschutz, IT-Sicherheit und IT-Compliance.