Als Datenschutzbeauftragter sollte man am besten jährlich für sich oder seinen Auftraggeber einen Tätigkeitsbericht oder Datenschutzbericht erstellen. Nicht nur dann, auch als Unternehmer kann es hilfreich sein, diesen anzufordern, um die Tätigkeiten des externen Datenschutzbeauftragten zu überprüfen. Wie Sie das DSGVO-konform am besten machen, soll Ihnen der nachfolgende Artikel verständlich machen.
In diesem Artikel erfahren Sie:
- was genau ein Tätigkeitsbericht ist,
- wieso es wichtig ist, einen Tätigkeitsbericht zu schreiben,
- wie er sich zu anderen Berichten der DSGVO abgegrenzt,
- und wie Sie einen ausführlichen Tätigkeitsbericht erstellen können.
Inhalte
- Wieso Sie einen Tätigkeitsbericht nach DSGVO schreiben sollten
- Tätigkeitsbericht Muster – die Inhalte eines Rechenschaftsberichtes nach DSGVO
- Tätigkeitsbericht für den Datenschutz erstellen – so geht’s
- Abgrenzung zu anderen Datenschutzberichten nach DSGVO
- Muster für einen Tätigkeitsbericht nach DSGVO für einen Datenschutzbeauftragten
- Die häufigsten Fragen (FAQ) zum Thema Tätigkeitsbericht nach DSGVO
- Zusammenfassung: Verzichten Sie nicht auf den Tätigkeitsbericht!
- Quellen
Wieso Sie einen Tätigkeitsbericht nach DSGVO schreiben sollten
Die DSGVO verpflichtet gemäß § 59 DSGVO die Aufsichtsbehörden jährlich dazu, einen Tätigkeitsbericht aller getroffenen Maßnahmen und Tätigkeiten zu erstellen. Eine vergleichbare Pflicht des Datenschutzbeauftragten bzw. Verantwortlichen eines Unternehmens zum Verfassen eines Tätigkeitsberichtes gibt es sowohl nach der europäischen DSGVO, als auch nach dem deutschen BDSG nicht.
Im ersten Moment erscheint eine zusätzliche Pflicht zum Führen eines Tätigkeitsberichtes mühsam. Dennoch sollten Sie sich nicht zurücklehnen. Auch wenn keine gesetzliche Pflicht besteht, ist es durchaus sinnvoll, mindestens einmal im Jahr einen Tätigkeitsbericht zu erstellen bzw. erstellen zu lassen.
Vier gute Gründen finden Sie hier:
Nachweis- und Rechenschaftspflichten einhalten und festhalten
Den Verantwortlichen der Datenverarbeitung treffen nach der DSGVO zahlreiche umfassende Nachweis-, Dokumentations- und Rechenschaftspflichten. Ihn trifft beispielsweise gemäß § 5 (2) DSGVO die Rechenschaftspflicht über die Einhaltung der Datenschutzgrundsätze und gemäß § 24 DSGVO die Nachweispflicht der Einhaltung technischer Sicherheitsmaßnahmen des Datenschutzes.
Natürlich nicht zu vergessen ist das Führen eines VVTs oder das Dokumentieren von Datenschutzvorfällen.
Die Nachweise zur Erstellung können auch anhand des Tätigkeitsberichtes erstellt werden, da die Inhalte notwendigerweise ineinander greifen.
Etablierung eines funktionstüchtigen Datenschutzsystems
Weiterhin hilft Ihrem Datenschutzbeauftragten ein Tätigkeitsbericht bei der Umsetzung und Kontrolle der Datenschutzrichtlinien im Unternehmen. So haben auch Sie als Verantwortlicher einen Überblick über die Vorgänge und die Einhaltung des Datenschutzes. Es fördert das notwendige Verständnis für datenschutzrelevante Verarbeitungen und die Einhaltung des Schutzes sensibler Verarbeitungsvorgänge. Insbesondere, wenn Sie einen externen Datenschutzbeauftragten haben, sollte der Datenschutzbericht auch helfen, die Leistung zu bewerten.
Entlastung bei Datenschutzverletzungen
Sollte es zu einer Beschwerde gegen Ihr Unternehmen kommen und der Betroffene der Datenschutzverletzung Schadensersatz von Ihnen fordern, können sie möglicherweise auch den Tätigkeitsbericht heranziehen und nachweisen, dass Sie und auch Ihr Datenschutzbeauftragter keine Verantwortung am eingetretenen Schaden tragen, gemäß § 82 (3) DSGVO.
Auch bei einer Datenpanne, die von Amtswegen verfolgt wird (Verletzung des Schutzes personenbezogener Daten, Art. 4 Nr. 12 DSGVO), kann ein guter Datenschutzbericht entlastend wirken und zeigen, wie ernst es Ihnen mit dem Datenschutz war und ist.
Nachweis gegenüber Aufsichtsbehörden
Aufsichtsbehörden sind ihrerseits gemäß § 57 und § 58 DSGVO verpflichtet, die Einhaltung der DSGVO zu überprüfen und gegebenenfalls Nachweise einzufordern. Sollten Sie hierzu von der Aufsichtsbehörde aufgefordert werden, können sie anhand des Tätigkeitsberichtes Ihres Datenschutzbeauftragten nachweisen, dass die Datenverarbeitung den Grundsätzen der DSGVO entspricht.
Zumindest können Sie auf jeden Fall nachweisen, dass Sie das Thema mindestens einmal jährlich auf der Agenda hatten.
Tätigkeitsbericht Muster – die Inhalte eines Rechenschaftsberichtes nach DSGVO
Ein solcher Tätigkeitsbericht (auch Rechenschaftsbericht genannt) besteht aus einer umfassenden Dokumentation der unternehmensinternen Maßnahmen in Datenschutz und Datensicherheit. Insbesondere ist dabei die Überwachung der Einhaltung der Datenschutzvorschriften, die Überprüfung der Datenschutzstrategien, die Sensibilisierung und Schulung der Mitarbeiter, die Beratung der Geschäftsleitung zu effektivem Datenschutz, die begleitende Durchführung einer Datenschutzfolgenabschätzung und der Kontakt mit der Aufsichtsbehörde davon erfasst, was gemäß Art. 39 DSGVO in die Nachweispflicht Ihres Datenschutzbeauftragten fällt.
Insgesamt ist zu sagen, dass Sie als DSB den Rechenschaftsbericht am besten anhand der Art 38 und 39 DSGVO ausgestalten sollten.
Eine ausführliche Vorlage erhalten Sie in allen Vorlagenpaketen.
Kontaktdaten
Die Kontaktdaten des Verantwortlichen und des von ihm benannten Datenschutzbeauftragten sollten aufgelistet werden.
Ist-Status des Datenschutzes
Zunächst sollte der aktuelle Zustand des Datenschutzes im Unternehmen erhoben und dokumentiert werden. Relevant sind hierbei unter anderem die ergriffenen technischen und organisatorischen Maßnahmen oder Regelungen zu regelmäßigen Datenschutzüberprüfungen. Auch die investierte Zeit und Ressourcen, die in den Datenschutz geflossen ist, kann dokumentiert werden.
Schulungen und Weiterbildungen der Mitarbeiter
Weiterhin sollten die besuchten Schulungen und Lehrgänge, sowie weitere individuelle Weiterbildungen aller Mitarbeiter umfangreich und detailliert aufgelistet werden. Insbesondere ist aufzuführen, dass Sie Ihrer Pflicht gemäß Art. 38 Abs. 2 DSGVO nachkommen und dokumentieren, wie regelmäßig, wann und in welchem Umfang Sie den Datenschutzbeauftragten in seinem Fachwissen schulen und weiterbilden.
Dokumentation von Vorgängen und Vorkehrungen
Außerdem sollten die datenschutzrelevanten Dokumente überblicksartig aufgelistet werden. Relevante Dokumente sind unter anderem das Verzeichnis von Verarbeitungstätigkeiten oder die durchgeführte Datenschutzfolgenabschätzung. Dokumentieren Sie diese Vorgänge so, dass einsehbar ist, wo und wann ihre letzten Überprüfungen und Aktualisierungen abgespeichert und verwahrt werden. Das zählt jedoch nicht nur für die Führung eines Datenschutzmanagementsystems, sondern auch für die Dokumentation der Anzahl der Betroffenenanfragen oder der eingetretenen Datenschutzverletzungen.
Soll-Status des Datenschutzes
Abschließend ist eine Zusammenfassung des anzustrebenden Datenschutzniveaus für das kommende Jahr neben möglichen auftretenden Problemen oder Schwierigkeiten auszuformulieren.
Tätigkeitsbericht für den Datenschutz erstellen – so geht’s
Benötigte Zeit: 1 Tag
Wie Sie einen Tätigkeitsbericht nach DSGVO erstellen.
- Machen Sie sich eine Gliederung
Was möchten Sie in Ihren Datenschutzbericht abbilden? Überlegen Sie sich am besten vor Beginn, wie Sie vorgehen wollen und was Ihr Rechenschaftsbericht beinhalten sollte.
- Beschreiben Sie den IST-Status
Wie steht es um den Datenschutz in Ihrem Betrieb? Gibt es Punkte, die Sie angesprochen sehen möchten? Bilden Sie am besten ab, wie es um die Umsetzung der Datenschutzgrundsätze bestellt ist. Erläutern Sie auch Ihr Tätigkeitsgebiet, was haben Sie bzgl. Datenschutz vergangenes Jahr gemacht?
- Geben Sie einen Ausblick
Was wird im kommenden Jahr relevant? Beschreiben Sie Ihrem Auftraggeber oder Chef möglichst genau, was in Punkto Datenschutz die nächsten Monate aktuell wird. Halten Sie sich kurz, aber gehen Sie wo nötig ins Detail.
- Zirkulieren Sie Ihren Bericht
Ihren Rechenschaftsbericht sollten Sie nun an die jeweiligen Verantwortlichen verteilen, z.B. an die Geschäftsführung, die Datenschutzkoordinatorin oder aber auch den Auftraggebern.
- Terminieren Sie den nächsten Bericht
Notieren Sie sich am besten jetzt schon, wann Sie vor haben, den nächsten Bericht zu erstellen. Legen Sie Ihr Dokument gut ab, sie können es nächstes Jahr erneut nutzen.
Abgrenzung zu anderen Datenschutzberichten nach DSGVO
Aufgrund der Vielzahl von neuen Normen und daraus resultierenden Pflichten der DSGVO kursiert eine Menge an ähnlichen Begriffen rund um den Tätigkeitsbericht. Einige Begriffe, wie ein Datenschutzbericht oder ein Datenschutzaudit hören sich ähnlich an, dürfen jedoch nicht miteinander verwechselt werden. Andere Begriffe können jedoch als Synonym für einen Tätigkeitsbericht verwendet werden.
Audit
Ein Audit dient dazu, die Umsetzung der Datenschutzgrundsätze in einem Unternehmen zu überprüfen und gegebenenfalls zu verbessern. Dabei wird das aktuelle Datenschutzniveau untersucht und ausgewertet.
Auditbericht
Der Auditbericht hingegen ist die präzise und konkrete (Nach-)Auswertung des Audits. Dabei werden im Besonderen die Auditziele und der Auditumfang unter Nennung des Auftraggebers und der relevanten Kriterien festgehalten.
Offizieller Tätigkeitsbericht der Bundesländer
Die Datenschutzbeauftragten der Bundesländer sind gemäß §59 DSGVO als Aufsichtsbehörden zu einem jährlichen Tätigkeitsbericht verpflichtet. Der Tätigkeitsbericht muss dem Parlament und der Regierung des Landes übergeben werden.
Eine Übersicht jährlich erschienenen Tätigkeitsberichte der einzelnen Bundesländer finden Sie hier: https://www.zaftda.de/.
Datenschutzbericht
Ein Datenschutzbericht kann mit einem Tätigkeitsbericht gleichbedeutend verwendet werden. Auch er dient der Rechenschaft gegenüber der Auftraggeber und der Abbildung des Status-Quo.
Allgemeine Dokumentationspflichten
Neben dem empfohlenen Tätigkeitsbericht fordert die DSGVO weitere Pflichten von den Verantwortlichen. Hierunter fallen allgemeine Dokumentationspflichten, die Rechenschaftspflicht über die Einhaltung der Datenschutzgrundsätze sowie die Nachweispflicht der Einhaltung technischer Sicherheitsmaßnahmen (TOM).
Muster für einen Tätigkeitsbericht nach DSGVO für einen Datenschutzbeauftragten
Laden Sie hier ein kostenloses gekürztes Muster eine Datenschutzberichts nach DSGVO herunter. Die Vollversion kann im Shop als Word Version erworben werden.
Die häufigsten Fragen (FAQ) zum Thema Tätigkeitsbericht nach DSGVO
Nein, es besteht keine gesetzliche Verpflichtung. Gute Gründe sprechen jedoch für die jährliche Erstellung eines Tätigkeitsberichtes.
Der Tätigkeitsbericht ist von Ihrem Datenschutzbeauftragten anzulegen. Er sollte zudem der Geschäftsleitung vorgelegt werden. Es kann aber auch für Unternehmen relevant sein, welche keinen DSB bestellt haben, einfach um den Stand der Umsetzung und Einhaltung der DSGVO zu dokumentieren.
Mangels einer gesetzlichen Verpflichtung bestehen auch keine Vorgaben hinsichtlich des Inhaltes des Tätigkeitsberichtes. Wenn Sie sich jedoch dazu entschlossen haben, jährlich einen Tätigkeitsbericht anzufertigen, sollte er ausreichend präzise und aussagekräftig sein.
Mithin sollten Sie wenigstens alle Dokumentationen auflisten, erfolgte und kommende Schulungen, Prüfungen, Stellungnahmen und bearbeitete Auskünfte von Betroffenen enthalten sein sowie mögliche Schwächen des Datenschutzes auflisten.
Mangels einer gesetzlichen Verpflichtung bestehen auch keine Vorgaben hinsichtlich des Inhaltes des Tätigkeitsberichtes. Wenn Sie sich jedoch dazu entschlossen haben, jährlich einen Tätigkeitsbericht anzufertigen, sollte er ausreichend präzise und aussagekräftig sein.
Mithin sollten Sie wenigstens alle Dokumentationen auflisten, erfolgte und kommende Schulungen, Prüfungen, Stellungnahmen und bearbeitete Auskünfte von Betroffenen enthalten sein sowie mögliche Schwächen des Datenschutzes auflisten.
Ein Tätigkeitsbericht ist ein Dokument, mit dem Sie gegenüber Ihrem Auftraggeber Rechenschaft ablegen, was Sie während der Beauftragung für Ihn erledigt haben. Sie sollten bei einem Tätigkeitsbericht nach DSGVO noch zusätzlich auf die rechtlichen Grundlagen eingehen.
Zusammenfassung: Verzichten Sie nicht auf den Tätigkeitsbericht!
Auch wenn Sie dazu nicht verpflichtet sind, sollten Sie sich stets vor Augen halten, dass der Bericht Ihnen und Ihrem Datenschutzbeauftragten bei der Erstellung und Führung eines geeigneten Datenschutzmanagementsystems helfen soll. Mit wenig Aufwand organisieren sie Ihre Datenschutzvorkehrungen effizient und übersichtlich. Bei Komplikationen und möglichen Datenschutzverletzungen können Sie schneller reagieren.
Quellen
https://dsgvo-gesetz.de/art-39-dsgvo/
https://dsgvo-gesetz.de/art-38-dsgvo/