Facebook-f Instagram Linkedin-in Youtube
  • +49 3841 22 33-0
  • info@dsbnet.de

Faktencheck: IT-Dienstleister-als-DSB

Alle Fäden in einer Hand? Gefährlich!

Rollen­konflikt? Rechts­sicherheit ade

IT-Dienstleister als DSB (Data Service for Business)
HS Untertitel
HS Grafikelement

Faktencheck

Darf ein IT-Dienstleister gleichzeitig Datenschutz­beauftragter sein?

Intern oder extern – was ist besser? Immer wieder stellen Unternehmen – gerade beim Wachstum – die Frage: „Sollten wir den Datenschutz­beauftragten lieber intern stellen oder extern beauftragen?“ Beide Modelle haben ihre Vor- und Nachteile. Doch eine besonders kritische Variante ist, wenn ein externes IT-Systemhaus gleichzeitig als Datenschutz­beauftragter (DSB) eingesetzt wird. Diese Praxis birgt klare rechtliche Risiken – und ist in vielen Fällen nicht zulässig

Was sagt das Gesetz?

Die DSGVO (Art. 38 Abs. 6) fordert, dass ein Datenschutz­beauftragter unabhängig agiert und keine Interessens­konflikte haben darf. Er darf also nicht gleichzeitig Aufgaben übernehmen, die er überwachen soll – z. B. IT-Administration, Sicherheit oder Datenverarbeitung selbst.

Warum IT & Datenschutz nicht in einer Hand sein dürfen

Wenn ein externes Systemhaus …

  • Netzwerke und Server betreut,
  • Adminrechte hat,
  • Backups verwaltet,
  • IT-Sicherheitskonzepte umsetzt,
  • Regelmäßige Mitarbeiterschulungen zu Cyberrisiken

… und zugleich als DSB agiert, kontrolliert es letztlich sich selbst.

Das widerspricht der Pflicht zur objektiven Überwachung datenschutz­relevanter Vorgänge und stellt einen klassischen Interessens­konflikt dar – ein klarer Verstoß gegen die DSGVO.

Wer trägt die Verantwortung im Datenschutz?

Ein häufiges Missverständnis ist die Annahme, dass der Datenschutz­beauftragte (DSB) für die Umsetzung aller Maßnahmen verantwortlich ist. Tatsächlich liegt die Verantwortung klar verteilt:

Geschäftsführung (Verantwortlicher):

  • Trägt die Gesamtverantwortung für den Datenschutz im Unternehmen
  • Muss Ressourcen bereitstellen (Personal, Budget, Technik)
  • Entscheidet über die Umsetzung von Datenschutz­maßnahmen
  • Ist haftbar bei Verstößen (auch wenn ein DSB bestellt wurde)
  • Bestellt und entlässt den DSB

Datenschutzbeauftragter (DSB):

  • Berät die Geschäftsführung und Fachabteilungen
  • Überwacht die Einhaltung der DSGVO
  • Wirkt mit, entscheidet aber nicht selbst
  • Ist nicht verantwortlich für operative Maßnahmen
  • Muss sich auf die Rolle als neutraler Begleiter und Warner beschränken

Was passiert, wenn die Geschäftsführung sich anders entscheidet?

Ja – die Geschäftsführung kann anders entscheiden!

Der DSB kann eine Maßnahme empfehlen, z. B. die Einführung einer Ende-zu-Ende-Verschlüsselung – die Geschäftsführung darf diese Empfehlung aber auch ablehnen. Das ist rechtlich zulässig, liegt aber in ihrer eigenen Verantwortung und Haftung.

Und der DSB? Ist es ihm dann egal?
Nein – aber er haftet auch nicht, solange er:

  • richtig und rechtzeitig berät
  • nachweislich dokumentiert, was empfohlen wurde
  • klar warnt, wenn Verstöße drohen

Der DSB ist nicht der „Datenschutzchef“, sondern Berater und Wächter. Seine Pflicht endet nicht mit dem Rat, sondern mit der nachweisbaren Beratung.

Was droht bei Missachtung?

  • Beanstandung durch die Aufsichtsbehörde
  • Bußgelder wegen Interessens­konflikt oder Organisations­verschulden
  • Haftung der Geschäftsführung trotz DSB
  • Vertrauensverlust bei Kunden & Partnern

Bessere Lösungen

Rollen sauber trennen:

  • IT-Dienstleister bleibt technischer Partner
  • Datenschutz­beauftragter wird unabhängig bestellt (intern ohne Konflikt oder extern durch spezialisierten Anbieter)

Alternativ:

  • Interne Person schulen, die nicht operativ in der IT oder Personalverantwortung tätig ist

Fazit

Wer Datenschutz ernst nimmt, trennt Verantwortung, Umsetzung und Kontrolle sauber.

Ein IT-Dienstleister als DSB kann seine eigene Arbeit nicht kontrollieren – und gefährdet damit die Datenschutz­konformität des Unternehmens. Nur ein unabhängiger DSB kann neutral beraten und überwachen, während die Geschäfts­leitung weiterhin die Umsetzung sicherstellen muss.

Die Geschäftsführung entscheidet – der DSB berät. 
Doch wer Ratschläge ignoriert, übernimmt die volle Verantwortung.

Hinweis

Dieser Artikel ersetzt keine Rechtsberatung, sondern bietet eine fundierte Orientierung basierend auf geltendem Recht und behördlicher Praxis (Stand: 2025).

Zurück zur Übersicht