Muster für einen Tätigkeitsbericht nach DSGVO

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Als Datenschutzbeauftragter sollte man am besten jährlich einen Tätigkeitsbericht oder Datenschutzbericht erstellen. Nicht nur dann, auch als Unternehmer kann es hilfreich sein, diesen anzufordern, um die Tätigkeiten des vergangenen Jahres zu prüfen. Wie Sie das DSGVO-konform am besten machen, soll Ihnen der nachfolgende Artikel verständlich machen.

In diesem Artikel erfahren Sie:

  • was genau ein Tätigkeitsbericht ist,
  • wieso es wichtig ist, einen Tätigkeitsbericht zu schreiben,
  • wie er sich zu anderen Berichten der DSGVO abgegrenzt,
  • und wie Sie einen ausführlichen Tätigkeitsbericht erstellen können.

Wieso Sie einen Tätigkeitsbericht nach DSGVO schreiben sollten

Die DSGVO verpflichtet gemäß § 59 DSGVO die Aufsichtsbehörden jährlich dazu, einen Tätigkeitsbericht aller getroffenen Maßnahmen und Tätigkeiten zu erstellen. Eine vergleichbare Pflicht des Datenschutzbeauftragten bzw. Verantwortlichen eines Unternehmens zum Verfassen eines Tätigkeitsberichtes gibt es sowohl nach der europäischen DSGVO, als auch nach dem deutschen BDSG nicht.

Wie Sie als Datenschutzbeauftragter einen Tätigkeitsbericht nach DSGVO schreiben.

Im ersten Moment erscheint eine zusätzliche Pflicht zum Führen eines Tätigkeitsberichtes mühsam. Dennoch sollten Sie sich nicht zurücklehnen. Auch wenn keine gesetzliche Pflicht besteht, ist es durchaus sinnvoll, mindestens einmal im Jahr einen Tätigkeitsbericht zu erstellen bzw. erstellen zu lassen.

Vier gute Gründen finden Sie hier:

Um andere Nachweis- und Rechenschaftspflichten zu erfüllen

Den Verantwortlichen der Datenverarbeitung treffen nach der DSGVO zahlreiche umfassende Nachweis-, Dokumentations- und Rechenschaftspflichten. Ihn trifft beispielsweise gemäß § 5 (2) DSGVO die Rechenschaftspflicht über die Einhaltung der Datenschutzgrundsätze und gemäß § 24 DSGVO die Nachweispflicht der Einhaltung technischer Sicherheitsmaßnahmen des Datenschutzes.

Diese Nachweise können auch anhand des Tätigkeitsberichtes erstellt werden, da die Inhalte notwendigerweise ineinander greifen.

Nachweis gegenüber Aufsichtsbehörden

Aufsichtsbehörden sind ihrerseits gemäß § 57 und § 58 DSGVO verpflichtet, die Einhaltung der DSGVO zu überprüfen und gegebenenfalls Nachweise einzufordern. Sollten Sie hierzu von der Aufsichtsbehörde aufgefordert werden, können sie anhand des Tätigkeitsberichtes Ihres Datenschutzbeauftragten nachweisen, dass die Datenverarbeitung den Grundsätzen der DSGVO entspricht.

Zumindest können Sie auf jeden Fall nachweisen, dass Sie das Thema mindestens einmal jährlich auf der Agenda hatten.

Etablierung eines funktionstüchtigen Datenschutzsystems

Weiterhin hilft Ihrem Datenschutzbeauftragten ein Tätigkeitsbericht bei der Umsetzung und Kontrolle der Datenschutzrichtlinien im Unternehmen. So haben auch Sie als Verantwortlicher einen Überblick über die Vorgänge und die Einhaltung des Datenschutzes. Es fördert das notwendige Verständnis für datenschutzrelevante Verarbeitungen und die Einhaltung des Schutzes sensibler Verarbeitungsvorgänge. Insbesondere, wenn Sie einen externen Datenschutzbeauftragten haben, sollte der Datenschutzbericht auch helfen, die Leistung zu bewerten.

Entlastung bei Datenschutzverletzungen

Sollte es zu einer Beschwerde gegen Ihr Unternehmen kommen und der Betroffene der Datenschutzverletzung Schadensersatz von Ihnen fordern, können sie möglicherweise auch den Tätigkeitsbericht heranziehen und nachweisen, dass Sie und auch Ihr Datenschutzbeauftragter keine Verantwortung am eingetretenen Schaden tragen, gemäß § 82 (3) DSGVO.

Auch bei einer Datenpanne, die von Amtswegen verfolgt wird (Verletzung des Schutzes personenbezogener Daten, Art. 4 Nr. 12 DSGVO), kann ein guter Datenschutzbericht entlastend wirken und zeigen, wie ernst es Ihnen mit dem Datenschutz war und ist.

Die Inhalte eines Rechenschaftsberichtes nach DSGVO

Ein solcher Tätigkeitsbericht (auch Rechenschaftsbericht genannt) besteht aus einer umfassenden Dokumentation der unternehmensinternen Maßnahmen in Datenschutz und Datensicherheit. Insbesondere ist dabei die Überwachung der Einhaltung der Datenschutzvorschriften, die Überprüfung der Datenschutzstrategien, die Sensibilisierung und Schulung der Mitarbeiter, die Beratung der Geschäftsleitung zu effektivem Datenschutz, die begleitende Durchführung einer Datenschutzfolgenabschätzung und der Kontakt mit der Aufsichtsbehörde davon erfasst, was gemäß Art. 39 DSGVO in die Nachweispflicht Ihres Datenschutzbeauftragten fällt.

Insgesamt ist zu sagen, dass Sie als DSB den Rechenschaftsbericht am besten anhand der Art 38 und 39 DSGVO ausgestalten sollten.

Eine ausführliche Vorlage erhalten Sie in allen Vorlagenpaketen.

Kontaktdaten

Die Kontaktdaten des Verantwortlichen und des von ihm benannten Datenschutzbeauftragten sollten aufgelistet werden.

Ist-Status des Datenschutzes

Zunächst sollte der aktuelle Zustand des Datenschutzes im Unternehmen erhoben und dokumentiert werden. Relevant sind hierbei unter anderem die ergriffenen technischen und organisatorischen Maßnahmen oder Regelungen zu regelmäßigen Datenschutzüberprüfungen. Auch die investierte Zeit und Ressourcen, die in den Datenschutz geflossen ist, kann dokumentiert werden.

Schulungen und Weiterbildungen der Mitarbeiter

Weiterhin sollten die besuchten Schulungen und Lehrgänge, sowie weitere individuelle Weiterbildungen aller Mitarbeiter umfangreich und detailliert aufgelistet werden. Insbesondere ist aufzuführen, dass Sie Ihrer Pflicht gemäß Art. 38 Abs. 2 DSGVO nachkommen und dokumentieren, wie regelmäßig, wann und in welchem Umfang Sie den Datenschutzbeauftragten in seinem Fachwissen schulen und weiterbilden.

Dokumentation von Vorgängen und Vorkehrungen

Außerdem sollten die datenschutzrelevanten Dokumente überblicksartig aufgelistet werden. Relevante Dokumente sind unter anderem das Verzeichnis von Verarbeitungstätigkeiten oder die durchgeführte Datenschutzfolgenabschätzung. Dokumentieren Sie diese Vorgänge so, dass einsehbar ist, wo und wann ihre letzten Überprüfungen und Aktualisierungen abgespeichert und verwahrt werden. Das zählt jedoch nicht nur für die Führung eines Datenschutzmanagementsystems, sondern auch für die Dokumentation der Anzahl der Betroffenenanfragen oder der eingetretenen Datenschutzverletzungen.

Soll-Status des Datenschutzes

Abschließend ist eine Zusammenfassung des anzustrebenden Datenschutzniveaus für das kommende Jahr neben möglichen auftretenden Problemen oder Schwierigkeiten auszuformulieren.

Abgrenzung zu anderen Datenschutzberichten nach DSGVO

Aufgrund der Vielzahl von neuen Normen und daraus resultierenden Pflichten der DSGVO kursiert eine Menge an ähnlichen Begriffen rund um den Tätigkeitsbericht. Einige Begriffe, wie ein Datenschutzbericht oder ein Datenschutzaudit hören sich ähnlich an, dürfen jedoch nicht miteinander verwechselt werden. Andere Begriffe können jedoch als Synonym für einen Tätigkeitsbericht verwendet werden.

Einen Datenschutzbericht nach DSGVO sollte jeder DSB erstellen.

Audit

Ein Audit dient dazu, die Umsetzung der Datenschutzgrundsätze in einem Unternehmen zu überprüfen und gegebenenfalls zu verbessern. Dabei wird das aktuelle Datenschutzniveau untersucht und ausgewertet.

Auditbericht

Der Auditbericht hingegen ist die präzise und konkrete (Nach-)Auswertung des Audits. Dabei werden im Besonderen die Auditziele und der Auditumfang unter Nennung des Auftraggebers und der relevanten Kriterien festgehalten.

Offizieller Tätigkeitsbericht der Bundesländer

Die Datenschutzbeauftragten der Bundesländer sind gemäß §59 DSGVO als Aufsichtsbehörden zu einem jährlichen Tätigkeitsbericht verpflichtet. Der Tätigkeitsbericht muss dem Parlament und der Regierung des Landes übergeben werden.

Eine Übersicht jährlich erschienenen Tätigkeitsberichte der einzelnen Bundesländer finden Sie hier: https://www.zaftda.de/.

Datenschutzbericht

Ein Datenschutzbericht kann mit einem Tätigkeitsbericht gleichbedeutend verwendet werden.

Allgemeine Dokumentationspflichten

Neben dem empfohlenen Tätigkeitsbericht fordert die DSGVO weitere Pflichten von den Verantwortlichen. Hierunter fallen allgemeine Dokumentationspflichten, die Rechenschaftspflicht über die Einhaltung der Datenschutzgrundsätze sowie die Nachweispflicht der Einhaltung technischer Sicherheitsmaßnahmen (TOM).

Muster für einen Tätigkeitsbericht nach DSGVO für einen Datenschutzbeauftragten

Laden Sie hier ein kostenloses gekürztes Muster eine Datenschutzberichts nach DSGVO herunter. Die Vollversion kann im Shop als Word Version erworben werden.

Download Muster DSGVO Tätigkeitsbericht Rechenschaftsbericht

Die 4 häufigsten Fragen zum Thema Tätigkeitsbericht nach DSGVO

Gibt es eine Verpflichtung zur Erstellung eines Tätigkeitsberichtes?

Nein, es besteht keine gesetzliche Verpflichtung. Gute Gründe sprechen jedoch für die jährliche Erstellung eines Tätigkeitsberichtes.

Wer legt einen Tätigkeitsbericht an?

Der Tätigkeitsbericht ist von Ihrem Datenschutzbeauftragten anzulegen. Er sollte zudem der Geschäftsleitung vorgelegt werden. Es kann aber auch für Unternehmen relevant sein, welche keinen DSB bestellt haben, einfach um den Stand der Umsetzung und Einhaltung der DSGVO zu dokumentieren.

Welche Bestandteile müssen unbedingt in einen Tätigkeitsbericht?

Mangels einer gesetzlichen Verpflichtung bestehen auch keine Vorgaben hinsichtlich des Inhaltes des Tätigkeitsberichtes. Wenn Sie sich jedoch dazu entschlossen haben, jährlich einen Tätigkeitsbericht anzufertigen, sollte er ausreichend präzise und aussagekräftig sein. Mithin sollten Sie wenigstens alle Dokumentationen auflisten, erfolgte und kommende Schulungen, Prüfungen, Stellungnahmen und bearbeitete Auskünfte von Betroffenen enthalten sein sowie mögliche Schwächen des Datenschutzes auflisten.

Welche Form muss ein Tätigkeitsbericht haben?

Auch in der Form des Tätigkeitsberichtes sind Sie völlig frei. Wichtig ist allein, dass übersichtlich die wichtigsten Inhalte dargestellt werden. Diese Inhalte sind natürlich nicht abschließend. Es können auch weitere Inhalte aufgenommen werden, je nachdem was für Ihr Unternehmen als besonders relevant und wichtig angesehen wird. Wenn Sie sich unsicher beim Erstellen des Berichtes sind, können Sie sich am empfohlenen Mindestinhalt orientieren oder ein ausführliches Muster im Vorlagenpaket erwerben.

Was ist ein Tätigkeitsbericht?

Ein Tätigkeitsbericht ist ein Dokument, mit dem Sie gegenüber Ihrem Auftraggeber Rechenschaft ablegen, was Sie während der Beauftragung für Ihn erledigt haben. Sie sollten bei einem Tätigkeitsbericht nach DSGVO noch zusätzlich auf die rechtlichen Grundlagen eingehen.

Zusammenfassung: Verzichten Sie nicht auf den Tätigkeitsbericht!

Mit diesen Empfehlungen können Sie beim Erstellen Ihres Tätigkeitsberichtes nichts falsch machen! Auch wenn Sie dazu nicht verpflichtet sind, sollten Sie sich stets vor Augen halten, dass der Bericht Ihnen und Ihrem Datenschutzbeauftragten bei der Erstellung und Führung eines geeigneten Datenschutzmanagementsystems helfen soll. Mit wenig Aufwand organisieren sie Ihre Datenschutzvorkehrungen effizient und übersichtlich. Bei Komplikationen und möglichen Datenschutzverletzungen können Sie schneller reagieren.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://dsgvo-gesetz.de/art-39-dsgvo/

https://dsgvo-gesetz.de/art-38-dsgvo/

https://dsgvo-gesetz.de/art-24-dsgvo/

https://www.zaftda.de/