Ein Unternehmen übergibt eine Datenschutzdokumentation, die ein externer DSB erstellt hat, an einen neuen (auch externen) Datenschutzbeauftragten. Es stellt sich heraus, dass die dokumentierten Vorgänge/Verarbeitungen/Konzepte usw. zum großen Teil falsch bzw. erfunden waren. Wie gravierend ist dies? Wer trägt die Verantwortung? (Nur der Verantwortliche?)
Bevor dies überprüft werden konnte, passierte ein Datenschutzvorfall (Hacking aufgrund niemals stattgefundener Updates einer Webshop-Software). Wer wird zur Rechenschaft gezogen, falls ein Bußgeld verhängt wird?
(“Verantwortung” ist im Zusammenhang mit dem DSB eher selten zutreffend.)
In diesem Fall wird die geleistete… Leistung mangelhaft sein. Der frühere DSB hat seinen Dienstleistungsvertrag nicht erfüllt. Vorab bzw. laufend ist das schwer festzustellen, weil er i. d. R. der einzige Fachkundige sein wird. In der Anwendung unterliegt er nicht der Kontrolle durch den Verantwortlichen. So werden Unzulänglichkeiten eher zufällig herauskommen; bzw. nur nachdem etwas arg schiefläuft.
Die praktische Versionsüberwachung sehe ich eher nicht als DSB-Aufgabe. Allenfalls kann man generelle Schwachstellen feststellen und dazu beraten, ein System für Patchmanagement einzuführen, das dann der Verantwortliche (dessen IT) betreibt.
D., dem es manchmal erstaunt, worin er sich alles auskennen soll. Der solche Fachfragen mit Hinweis auf die datenschutzrechtlichen Anforderungen den Fachleuten beim Verantwortlichen stellt und das dokumentiert. = fein raus.
In erster Linie ist der Verantwortliche verantwortlich… dieser kann aber im Nachgang auf den alten DSB zugehen und da eine Vertragsstrafe etc rausholen bzw. Schadensersatz.
Das gravierende wäre nicht die Falschberetung sondern der Vorfall. DSB sind keine Verantwortlichen.
Würde ich auch so sehen. Natürlich ist zunächst der Verantwortliche in der Verantwortung.
Es stellte sich allerdings heraus, dass die Organisation dem DSB keine Unterlagen zukommen ließ und er daraufhin alles mögliche frei erfunden hat (Sicherheitskonzept, TOM).
Für den Datenschutzvorfall ist erst einmal das Unternehmen verantwortlich. Die Versorgung der genutzten Software mit Sicherheitsupdates ist ja - je nach Zuständigkeitsverteilung - Aufgabe der IT oder manchmal auch der Fachabteilung.
Wenn ein Unternehmen seine:n Datenschutzbeauftragte:n trotz Aufforderung keine Informationen zu Verarbeitungen personenbezogener Daten liefert, ist auch das ein Versäumnis des Unternehmens. Allerdings würde ich als Datenschutzbeauftragter die Nichtlieferung erforderlicher Informationen zum einen zur Geschäftsführung bzw. zum Vorstand eskalieren und wenn das auch keinen Erfolg hat u.a. in meinem Tätigkeitsbericht dokumentieren und nichts frei erfinden.
Dass nichts frei erfunden werden darf, versteht sich von selbst, das ist ein klarer Verstoß gegen die DSGVO. Die Frage ist, ob das Unternehmen an den betreffenden früheren DSB bei einer Bußgeldverhängung Haftungsansprüche stellen kann.
Ein Unternehmen muss seine Dienstleister und auch seinen externen DSB sorgfältig auswählen. Dafür gelten konkrete Anforderungen (Qualifikation und Fachwissen auf dem Gebiet des Datenschutzrechts). Damit ist ein DSB, der diese Anforderungen nicht erfüllt, m.E. aber nicht entlastet.
Das kommt darauf an, was die Beauftragung des DSB beinhaltete. Was steht in dem Vertrag zu den Leistungen? Existieren Dokumente über die Kommunikation/Interaktion zwischen beiden Seiten? Hat der DSB ein ausreichendes Ressourcenkontingent und Arbeitsaufträge für seine Arbeit erhalten?
Ein Konzept ist ja erstmal nur ein theoretisches Konstrukt, es ist ja z.B. durchaus möglich, ein Basis-IT-Sicherheitskonzept ohne konkrete individuelle Details zu entwickeln, also quasi sich “auszudenken”. Das kann dann der Ausgangspunkt werden für ein “richtiges” Konzept zur konkreten Umsetzung in die Praxis.
Ich hatte auch schon mal so einen ähnlichen Fall auf meinem Tisch. Da wurde ein (interner) DSB pro forma eingesetzt, der aber keine Stunden dafür bekam - die Geschäftsführung war gar nicht daran interessiert, was zu dem Thema zu machen. Später wurde nach Wechsel der GF eine externe Datenschutzfirma hinzugezogen, die eine Bestandsaufnahme machte mit dem Fazit " Datenschutz - Schulnote 5-6". Die alte Geschäftsführung war der Meinung, dass sie mit Bestellung eines DSB alles Erforderliche getan hätte, um den Datenschutz umzusetzen. Eine etwaig mangelhafte Umsetzung des Datenschutzes liege hiernach nicht in Verantwortung der GF, sondern in der des DSB.
Das haben wir als DS-Aufsicht etwas anders beurteilt
Na ja, auch wenn der DSB die Unterlagen nicht erhalten hat, die er für seine Beratung gebraucht hätte, darf er keine falschen Angaben über die Verarbeitungen machen und sollte die TOM auch nicht einfach erfinden.
Aber eindeutig ist die Verantwortung des Unternehmens im Vordergrund. Vielen Dank für den interessanten Link!
