Für den IT-Dienstleister, der dem Kunden beratend und umsetzend zur Seite steht, ergibt sich aus dieser “Symbiose” ein ernsthafter Interessenskonflikt
Der IT-Dienstleister als umsetzende Instanz im IT-Projekten im Unternehmen wird durch eine übergeordnete Instanz – die des Datenschutzbeauftragten -, die nach DSGVO im Unternehmen weisungsfrei agieren muss, soll und darf, gewissermaßen “kontrolliert”. Daraus ergeben sich weitere Handlungsfelder und ToDo`s, die abgearbeitet dafür sorgen, dass die IT im Rahmen der Digitalisierung oder auch nur “im Rahmen der Durchführung des Datenschutzes” eine unabhängige Bewertung der Maßnahmen erfährt und damit “sicher aufgestellt” ist.
Die mit dem Datenschutz beauftragte Person dokumentiert den jeweiligen Umsetzungsstand, vermittelt an den Verantwortlichen im Sinne der DSGVO, regt Innovationen, Verbesserungen und Fehlerbeseitigungen an. Er ist das Kontrollorgan aber auch das Bindeglied zwischen Verantwortlichem und dem IT-Dienstleister. Das gilt nicht nur für klassische IT-Dienstleister, die Support, Rollout, Wartung, Datensicherungen etc. sicherstellen sondern auch zunehmend für IT-Dienstleister in Sachen Webdesign, App-Entwicklung etc. Erledigt der IT-Dienstleister den Datenschutz als zusätzliche Dienstleistung “nebenbei” mit, hat der Verantwortliche weder die Sicherheit, dass das, was der IT-Dienstleister umgesetzt hat, sicher und belastbar ist, noch ist er im Sinne des Datenschutzes “unterwegs”. Die Aufsichtsbehörden reagieren in diesem Falle sehr “allergisch”. Der Datenschutz ist gerade in diesem Falle eine enorm wichtige Kontrollinstanz und kann den Verantwortlichen erheblich schützen, da die Einschätzungen zur Verfügbarkeit, Integrität und Vertraulichkeit hinsichtlich der Maßnahmen des IT-Dienstleisters bei korrekter Dokumentation in den technischen und Organisatorischen Maßnahmen (TOMs) ein Nachweis für die Wirksamkeit nach dem Stand der Technik darstellen. Handlungsfelder und ToDOs als auch Risikoeinschätzungen geben dem IT-Dienstleister eine RoadMap und dem Verantwortlichen eine Übersicht.
Die Umsetzung der IT-Maßnahmen ist oftmals eine Philosophie des IT-Dienstleisters. Diese Philosophie ist gelenkt durch Fachkenntnisse und Überzeugungen. Fehlende Fachkenntnis und Erfahrung führen nicht selten dazu, dass der “Blick auf die Dinge” und vor allem der “Blick über den Tellerrand” nur sehr eindimensional erfolgen. So empfiehlt beispielsweise der Dienstleister eine Maßnahme und der nächste Dienstleister mit einer anderen Philosophie schlägt die Hände über dem Kopf zusammen. Das führt nicht selten zu erheblichen Migrationskosten bei Wechsel der IT-Dienstleister.
Die Datenschutzbeauftragten sind hier die Initiatoren zum Paradigmenwechsel für beide Seiten, die unabhängigen Berater und leider oftmals auch die “Aufdecker”. Die Bayerische Aufsichtsbehörde nahm hierzu bereits 2016 eindeutig Stellung!.. und das gilt bis heute.
