Der Tätigkeitsbericht nach DSGVO für den Datenschutzbeauftragten.

Tätigkeitsbericht Muster nach DSGVO inkl. Vorlagen als PDF

von

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

  • Datenschutz-Managementsystem nach DSGVO in Word, Excel oder Online
  • Verzeichnis von Verarbeitungstätigkeiten, TOM, Risikoanalyse uvm.
  • Sparen Sie tausende Euro Beratungsgebühren und tagelange Recherche

Als Datenschutzbeauftragter sollte man am besten jährlich für sich oder seinen Auftraggeber einen Tätigkeitsbericht oder Datenschutzbericht erstellen. Nicht nur dann, auch als Unternehmer kann es hilfreich sein, diesen anzufordern, um die Tätigkeiten des externen Datenschutzbeauftragten zu überprüfen. Wie Sie das DSGVO-konform am besten machen, soll Ihnen der nachfolgende Artikel verständlich machen.

In diesem Artikel erfahren Sie:

  • was genau ein Tätigkeitsbericht ist,
  • wieso es wichtig ist, einen Tätigkeitsbericht zu schreiben,
  • wie er sich zu anderen Berichten der DSGVO abgegrenzt,
  • und wie Sie einen ausführlichen Tätigkeitsbericht erstellen können.

Wieso Sie einen Tätigkeitsbericht nach DSGVO schreiben sollten

Die DSGVO verpflichtet gemäß § 59 DSGVO die Aufsichtsbehörden jährlich dazu, einen Tätigkeitsbericht aller getroffenen Maßnahmen und Tätigkeiten zu erstellen. Eine vergleichbare Pflicht des Datenschutzbeauftragten bzw. Verantwortlichen eines Unternehmens zum Verfassen eines Tätigkeitsberichtes gibt es sowohl nach der europäischen DSGVO, als auch nach dem deutschen BDSG nicht.

Wie Sie als Datenschutzbeauftragter einen Tätigkeitsbericht nach DSGVO schreiben.

Im ersten Moment erscheint eine zusätzliche Pflicht zum Führen eines Tätigkeitsberichtes mühsam. Dennoch sollten Sie sich nicht zurücklehnen. Auch wenn keine gesetzliche Pflicht besteht, ist es durchaus sinnvoll, mindestens einmal im Jahr einen Tätigkeitsbericht zu erstellen bzw. erstellen zu lassen.

Vier gute Gründen finden Sie hier:

Nachweis- und Rechenschaftspflichten einhalten und festhalten

Den Verantwortlichen der Datenverarbeitung treffen nach der DSGVO zahlreiche umfassende Nachweis-, Dokumentations- und Rechenschaftspflichten. Ihn trifft beispielsweise gemäß § 5 (2) DSGVO die Rechenschaftspflicht über die Einhaltung der Datenschutzgrundsätze und gemäß § 24 DSGVO die Nachweispflicht der Einhaltung technischer Sicherheitsmaßnahmen des Datenschutzes.

Natürlich nicht zu vergessen ist das Führen eines VVTs oder das Dokumentieren von Datenschutzvorfällen.

Die Nachweise zur Erstellung können auch anhand des Tätigkeitsberichtes erstellt werden, da die Inhalte notwendigerweise ineinander greifen.

Etablierung eines funktionstüchtigen Datenschutzsystems

Weiterhin hilft Ihrem Datenschutzbeauftragten ein Tätigkeitsbericht bei der Umsetzung und Kontrolle der Datenschutzrichtlinien im Unternehmen. So haben auch Sie als Verantwortlicher einen Überblick über die Vorgänge und die Einhaltung des Datenschutzes. Es fördert das notwendige Verständnis für datenschutzrelevante Verarbeitungen und die Einhaltung des Schutzes sensibler Verarbeitungsvorgänge. Insbesondere, wenn Sie einen externen Datenschutzbeauftragten haben, sollte der Datenschutzbericht auch helfen, die Leistung zu bewerten.

Entlastung bei Datenschutzverletzungen

Sollte es zu einer Beschwerde gegen Ihr Unternehmen kommen und der Betroffene der Datenschutzverletzung Schadensersatz von Ihnen fordern, können sie möglicherweise auch den Tätigkeitsbericht heranziehen und nachweisen, dass Sie und auch Ihr Datenschutzbeauftragter keine Verantwortung am eingetretenen Schaden tragen, gemäß § 82 (3) DSGVO.

Hilfe bei Datenschutzverletzungen.

Auch bei einer Datenpanne, die von Amtswegen verfolgt wird (Verletzung des Schutzes personenbezogener Daten, Art. 4 Nr. 12 DSGVO), kann ein guter Datenschutzbericht entlastend wirken und zeigen, wie ernst es Ihnen mit dem Datenschutz war und ist.

Nachweis gegenüber Aufsichtsbehörden

Aufsichtsbehörden sind ihrerseits gemäß § 57 und § 58 DSGVO verpflichtet, die Einhaltung der DSGVO zu überprüfen und gegebenenfalls Nachweise einzufordern. Sollten Sie hierzu von der Aufsichtsbehörde aufgefordert werden, können sie anhand des Tätigkeitsberichtes Ihres Datenschutzbeauftragten nachweisen, dass die Datenverarbeitung den Grundsätzen der DSGVO entspricht.

Zumindest können Sie auf jeden Fall nachweisen, dass Sie das Thema mindestens einmal jährlich auf der Agenda hatten.

Tätigkeitsbericht Muster – die Inhalte eines Rechenschaftsberichtes nach DSGVO

Ein solcher Tätigkeitsbericht (auch Rechenschaftsbericht genannt) besteht aus einer umfassenden Dokumentation der unternehmensinternen Maßnahmen in Datenschutz und Datensicherheit. Insbesondere ist dabei die Überwachung der Einhaltung der Datenschutzvorschriften, die Überprüfung der Datenschutzstrategien, die Sensibilisierung und Schulung der Mitarbeiter, die Beratung der Geschäftsleitung zu effektivem Datenschutz, die begleitende Durchführung einer Datenschutzfolgenabschätzung und der Kontakt mit der Aufsichtsbehörde davon erfasst, was gemäß Art. 39 DSGVO in die Nachweispflicht Ihres Datenschutzbeauftragten fällt.

Insgesamt ist zu sagen, dass Sie als DSB den Rechenschaftsbericht am besten anhand der Art 38 und 39 DSGVO ausgestalten sollten.

Eine ausführliche Vorlage erhalten Sie in allen Vorlagenpaketen.

Kontaktdaten

Die Kontaktdaten des Verantwortlichen und des von ihm benannten Datenschutzbeauftragten sollten aufgelistet werden.

Ist-Status des Datenschutzes

Zunächst sollte der aktuelle Zustand des Datenschutzes im Unternehmen erhoben und dokumentiert werden. Relevant sind hierbei unter anderem die ergriffenen technischen und organisatorischen Maßnahmen oder Regelungen zu regelmäßigen Datenschutzüberprüfungen. Auch die investierte Zeit und Ressourcen, die in den Datenschutz geflossen ist, kann dokumentiert werden.

Schulungen und Weiterbildungen der Mitarbeiter

Weiterhin sollten die besuchten Schulungen und Lehrgänge, sowie weitere individuelle Weiterbildungen aller Mitarbeiter umfangreich und detailliert aufgelistet werden. Insbesondere ist aufzuführen, dass Sie Ihrer Pflicht gemäß Art. 38 Abs. 2 DSGVO nachkommen und dokumentieren, wie regelmäßig, wann und in welchem Umfang Sie den Datenschutzbeauftragten in seinem Fachwissen schulen und weiterbilden.

Schulungen und Lehrgänge für den Datenschutz.

Dokumentation von Vorgängen und Vorkehrungen

Außerdem sollten die datenschutzrelevanten Dokumente überblicksartig aufgelistet werden. Relevante Dokumente sind unter anderem das Verzeichnis von Verarbeitungstätigkeiten oder die durchgeführte Datenschutzfolgenabschätzung. Dokumentieren Sie diese Vorgänge so, dass einsehbar ist, wo und wann ihre letzten Überprüfungen und Aktualisierungen abgespeichert und verwahrt werden. Das zählt jedoch nicht nur für die Führung eines Datenschutzmanagementsystems, sondern auch für die Dokumentation der Anzahl der Betroffenenanfragen oder der eingetretenen Datenschutzverletzungen.

Soll-Status des Datenschutzes

Abschließend ist eine Zusammenfassung des anzustrebenden Datenschutzniveaus für das kommende Jahr neben möglichen auftretenden Problemen oder Schwierigkeiten auszuformulieren.

Tätigkeitsbericht für den Datenschutz erstellen – so geht’s

Benötigte Zeit: 1 Tag

Wie Sie einen Tätigkeitsbericht nach DSGVO erstellen.

  1. Machen Sie sich eine Gliederung

    Was möchten Sie in Ihren Datenschutzbericht abbilden? Überlegen Sie sich am besten vor Beginn, wie Sie vorgehen wollen und was Ihr Rechenschaftsbericht beinhalten sollte.

  2. Beschreiben Sie den IST-Status

    Wie steht es um den Datenschutz in Ihrem Betrieb? Gibt es Punkte, die Sie angesprochen sehen möchten? Bilden Sie am besten ab, wie es um die Umsetzung der Datenschutzgrundsätze bestellt ist. Erläutern Sie auch Ihr Tätigkeitsgebiet, was haben Sie bzgl. Datenschutz vergangenes Jahr gemacht?

  3. Geben Sie einen Ausblick

    Was wird im kommenden Jahr relevant? Beschreiben Sie Ihrem Auftraggeber oder Chef möglichst genau, was in Punkto Datenschutz die nächsten Monate aktuell wird. Halten Sie sich kurz, aber gehen Sie wo nötig ins Detail.

  4. Zirkulieren Sie Ihren Bericht

    Ihren Rechenschaftsbericht sollten Sie nun an die jeweiligen Verantwortlichen verteilen, z.B. an die Geschäftsführung, die Datenschutzkoordinatorin oder aber auch den Auftraggebern.

  5. Terminieren Sie den nächsten Bericht

    Notieren Sie sich am besten jetzt schon, wann Sie vor haben, den nächsten Bericht zu erstellen. Legen Sie Ihr Dokument gut ab, sie können es nächstes Jahr erneut nutzen.

Abgrenzung zu anderen Datenschutzberichten nach DSGVO

Aufgrund der Vielzahl von neuen Normen und daraus resultierenden Pflichten der DSGVO kursiert eine Menge an ähnlichen Begriffen rund um den Tätigkeitsbericht. Einige Begriffe, wie ein Datenschutzbericht oder ein Datenschutzaudit hören sich ähnlich an, dürfen jedoch nicht miteinander verwechselt werden. Andere Begriffe können jedoch als Synonym für einen Tätigkeitsbericht verwendet werden.

Einen Datenschutzbericht nach DSGVO sollte jeder DSB erstellen.

Audit

Ein Audit dient dazu, die Umsetzung der Datenschutzgrundsätze in einem Unternehmen zu überprüfen und gegebenenfalls zu verbessern. Dabei wird das aktuelle Datenschutzniveau untersucht und ausgewertet.

Auditbericht

Der Auditbericht hingegen ist die präzise und konkrete (Nach-)Auswertung des Audits. Dabei werden im Besonderen die Auditziele und der Auditumfang unter Nennung des Auftraggebers und der relevanten Kriterien festgehalten.

Offizieller Tätigkeitsbericht der Bundesländer

Die Datenschutzbeauftragten der Bundesländer sind gemäß §59 DSGVO als Aufsichtsbehörden zu einem jährlichen Tätigkeitsbericht verpflichtet. Der Tätigkeitsbericht muss dem Parlament und der Regierung des Landes übergeben werden.

Eine Übersicht jährlich erschienenen Tätigkeitsberichte der einzelnen Bundesländer finden Sie hier: https://www.zaftda.de/.

Datenschutzbericht

Ein Datenschutzbericht kann mit einem Tätigkeitsbericht gleichbedeutend verwendet werden. Auch er dient der Rechenschaft gegenüber der Auftraggeber und der Abbildung des Status-Quo.

Allgemeine Dokumentationspflichten

Neben dem empfohlenen Tätigkeitsbericht fordert die DSGVO weitere Pflichten von den Verantwortlichen. Hierunter fallen allgemeine Dokumentationspflichten, die Rechenschaftspflicht über die Einhaltung der Datenschutzgrundsätze sowie die Nachweispflicht der Einhaltung technischer Sicherheitsmaßnahmen (TOM).

Muster für einen Tätigkeitsbericht nach DSGVO für einen Datenschutzbeauftragten

Laden Sie hier ein kostenloses gekürztes Muster eine Datenschutzberichts nach DSGVO herunter. Die Vollversion kann im Shop als Word Version erworben werden.

Download Muster DSGVO Tätigkeitsbericht Rechenschaftsbericht

Die häufigsten Fragen (FAQ) zum Thema Tätigkeitsbericht nach DSGVO

Gibt es eine Verpflichtung zur Erstellung eines Tätigkeitsberichtes?

Nein, es besteht keine gesetzliche Verpflichtung. Gute Gründe sprechen jedoch für die jährliche Erstellung eines Tätigkeitsberichtes.

Wer legt einen Tätigkeitsbericht an?

Der Tätigkeitsbericht ist von Ihrem Datenschutzbeauftragten anzulegen. Er sollte zudem der Geschäftsleitung vorgelegt werden. Es kann aber auch für Unternehmen relevant sein, welche keinen DSB bestellt haben, einfach um den Stand der Umsetzung und Einhaltung der DSGVO zu dokumentieren.

Welche Bestandteile müssen unbedingt in einen Tätigkeitsbericht?

Mangels einer gesetzlichen Verpflichtung bestehen auch keine Vorgaben hinsichtlich des Inhaltes des Tätigkeitsberichtes. Wenn Sie sich jedoch dazu entschlossen haben, jährlich einen Tätigkeitsbericht anzufertigen, sollte er ausreichend präzise und aussagekräftig sein.

Mithin sollten Sie wenigstens alle Dokumentationen auflisten, erfolgte und kommende Schulungen, Prüfungen, Stellungnahmen und bearbeitete Auskünfte von Betroffenen enthalten sein sowie mögliche Schwächen des Datenschutzes auflisten.

Wie schreibt man einen Tätigkeitsbericht?

Mangels einer gesetzlichen Verpflichtung bestehen auch keine Vorgaben hinsichtlich des Inhaltes des Tätigkeitsberichtes. Wenn Sie sich jedoch dazu entschlossen haben, jährlich einen Tätigkeitsbericht anzufertigen, sollte er ausreichend präzise und aussagekräftig sein.

Mithin sollten Sie wenigstens alle Dokumentationen auflisten, erfolgte und kommende Schulungen, Prüfungen, Stellungnahmen und bearbeitete Auskünfte von Betroffenen enthalten sein sowie mögliche Schwächen des Datenschutzes auflisten.

Was ist ein Tätigkeitsbericht?

Ein Tätigkeitsbericht ist ein Dokument, mit dem Sie gegenüber Ihrem Auftraggeber Rechenschaft ablegen, was Sie während der Beauftragung für Ihn erledigt haben. Sie sollten bei einem Tätigkeitsbericht nach DSGVO noch zusätzlich auf die rechtlichen Grundlagen eingehen.

Zusammenfassung: Verzichten Sie nicht auf den Tätigkeitsbericht!

Auch wenn Sie dazu nicht verpflichtet sind, sollten Sie sich stets vor Augen halten, dass der Bericht Ihnen und Ihrem Datenschutzbeauftragten bei der Erstellung und Führung eines geeigneten Datenschutzmanagementsystems helfen soll. Mit wenig Aufwand organisieren sie Ihre Datenschutzvorkehrungen effizient und übersichtlich. Bei Komplikationen und möglichen Datenschutzverletzungen können Sie schneller reagieren.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

  • Datenschutz-Managementsystem nach DSGVO in Word, Excel oder Online
  • Verzeichnis von Verarbeitungstätigkeiten, TOM, Risikoanalyse uvm.
  • Sparen Sie tausende Euro Beratungsgebühren und tagelange Recherche

Quellen

https://dsgvo-gesetz.de/art-39-dsgvo/

https://dsgvo-gesetz.de/art-38-dsgvo/

https://dsgvo-gesetz.de/art-24-dsgvo/

https://www.zaftda.de/

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

Jetzt sichern!

*Begrenzte Aktion, Normalpreis 49€ Netto