Inspektion nach DSGVO?

Da der IT-Experte selbst Kunde war bzw. für einen Kunden tätig war, hat er ein berechtigtes Interesse die IT-Sicherheit und den Datenschutz des Auftragnehmers zu überprüfen:

DSGVO Art. 28 Abs. 3 h)

„dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.“

Das ist für mein Verständnis seine Pflicht und noch nicht mal White Hacking, wo man sich als Unbeteiligter an irgendwelchen fremden Systemen zu schaffen macht. Am Ende wäre der Typ bei einem Datengau noch selbst haftbar gewesen, weil er den Auftragnehmer nicht hinreichend nach Datenschutzgesetz überprüft hat.

"die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt"

Art 4 sagt, was der Verantwortliche ist

"Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliesstaaten vorgesehen werden"

Bitte nicht jeder Halbjurist mit irgendwelchen home-Weisheiten.

Verantwortlicher ist das Unternehmen, welches den Entwickler beauftragte. Der Typ war beauftragter Prüfer.

Häh?

Lies bitte noch mal genau den Gesetzestext.

Für Dummys: Verantwortlich für die Daten ist derjenige, der über die Daten "herrscht".

Innerhalb seines "Herrscherbereichs" darf der Entwickler gerne als Prüfer tätig sein. Also innerhalb seiner Firma.

Daten von anderen, da ist er nicht Verantwortlicher. Wie auch?

Wenn Du allerdings denkst, das er oder seine Firma Verantwortliche für einen Verstoss von anderen seien, müssten sie selbst die Strafe zahlen.

Wäre nach Deiner Argumentation zwingend erforderlich.

Denke hier liegt ein grundsätzliches Verständnisproblem vor.