Der jährliche Tätigkeitsbericht des Datenschutzbeauftragten

Der Datenschutzbeauftrage sollte mindestens einmal jährlich einen Tätigkeitsbericht erstellen. Mit diesem dokumentiert er die vorgenommenen Maßnahmen für das Unternehmen und weist gleichzeitig nach, dass er seinen Verpflichtungen als Datenschutzbeauftragter nachgekommen ist. Wir zeigen Ihnen wie Sie einen strukturierten und aussagekräftigen Bericht erstellen können.

Was ist ein Tätigkeitsbericht und wozu dient er?

Ein Tätigkeitsbericht ist genau genommen ein interner Auditbericht eines bestellten Datenschutzbeauftragten gegenüber dem Unternehmen. Er dient dazu, den aktuellen Stand des Datenschutzes im Unternehmen und der durchgeführten Maßnahmen hinsichtlich des Datenschutzes und der IT-Sicherheit gegenüber der Geschäftsführung ausführlich und schriftlich dokumentiert darzustellen. Dabei werden beispielsweise auch kritische und nicht datenschutzkonforme Punkte gegenüber dem Verantwortlichen aufgezeigt, so dass dieser eine entsprechende Entscheidungsgrundlage hat. Eine aussagekräftige Zusammenfassung aller Maßnahmen und offenen Punkte, wenn Sie es so wollen. Mit dem Tätigkeitsbericht kommt der Datenschutzbeauftragte letztendlich auch seiner Dokumentationspflicht gegenüber der Geschäftsführung effektiv nach.

Klingt aufwändig? Ist es auch. Zumindest ohne eine geeignete Software, mit der Sie einen Tätigkeitsbericht als Zusammenfassung aller durchgeführten Aktivitäten quasi per Knopfdruck erstellen.

 

Gibt es für Datenschutzbeauftragte eine gesetzliche Pflicht zur Erstellung eines Tätigkeitsberichts?

Eine gesetzliche Pflicht zur Erstellung eines Tätigkeitsberichtes gibt es nicht. In vielen Verträgen (intern wie extern) gibt es allerdings entsprechende Verpflichtungen einmal jährlich einen Tätigkeitsbericht zu erstellen und der Geschäftsführung zur Verfügung zu stellen.

Nach dem bisherigen alten Recht waren lediglich gemäß § 38 I S.7 BDSG a.F. die jeweiligen Aufsichtsbehörden dazu verpflichtet, regelmäßig, jedoch mindestens alle zwei Jahre, einen ausführlichen Bericht zu erstellen. In diesem Berichten mussten die Aufsichtsbehörden Rechenschaft darüber ablegen, welche Kontrollen und Maßnahmen sie in dem vom Tätigkeitsbericht umfassenden Zeitraum durchgeführt hatten.

Die Vorlage eines Tätigkeitsberichtes bietet jedoch vor allem dem externen Datenschutzbeauftragten eine gute Gelegenheit, dem Kunden die vorgenommenen Maßnahmen des vergangenen Jahres zu präsentieren. Die Zusammenarbeit zu festigen. Dem Kunden ein gutes Gefühl zu vermitteln, dass sein Datenschutz in guten Händen ist. Zu zeigen, dass der Name des Datenschutzbeauftragten nicht nur auf dem Papier steht.

 

Was beinhaltet ein solcher Tätigkeitsbericht?

Zusammenfassend kann man sagen, dass ein aussagekräftiger Tätigkeitsbericht die kontinuierliche, umfassende und fortlaufende Dokumentation aller Maßnahmen beinhaltet, die der betriebliche Datenschutzbeauftragter im Unternehmen umgesetzt hat. Diese durchaus zeitaufwendige und auch lästige Arbeit ist jedoch von entscheidender Wichtigkeit für den betrieblichen Datenschutzbeauftragten; dies aus zweierlei Gründen.

  1. Zum einen kann der Datenschutzbeauftragte mit diesem Bericht Nachweis und Rechenschaft gegenüber der Geschäftsführung oder dem Kunden ablegen und
  2. zum anderen aus dem gleichen Grund gegenüber der Aufsichtsbehörde.

 

Und die Inhalte im Detail?

Da eine gesetzliche Regelung fehlt, muss sich der Datenschutzbeauftragte entsprechend selbst über die Form Gedanken machen und was in seinem Tätigkeitsbericht inhaltlich abgebildet sein soll.

Grundsätzlich ist es sicherlich empfehlenswert, alle im Laufe des Jahres durchgeführten Maßnahmen aufzunehmen und den aktuellen Stand des Datenschutzes detailliert darzustellen. Dies beinhaltet den Status der Verarbeitungstätigkeiten, Verträge zur Auftragsverarbeitung, Gemeinsame Verantwortlichkeit und Geheimhaltungsvereinbarungen, Datenschutzvorfälle und alle weiteren Punkte den Datenschutz im Unternehmen betreffend.

Fehlen sollte zudem auch nicht der aktuelle Stand der TOMs (technisch und organisatorischen Maßnahmen) und gegebenenfalls Handlungsanweisungen für zukünftige Maßnahmen, falls der aktuelle Tätigkeitsbericht kein ausreichendes Schutzniveau ausweist.

Ebenso sollten stattgefundene Mitarbeiterschulungen, mögliche Änderungen der Gesetzgebung, neue Richtlinien und Betriebsanweisungen Inhalt des Tätigkeitsberichts des Datenschutzbeauftragten sein.

Der Bericht sollte übersichtlich und transparent strukturiert sein, so dass auch nicht so sehr mit der Materie vertraute Personen schnell die wichtigen Eckpunkte erfassen können.

 

Wann sollte der Bericht abgeliefert werden?

Mangels gesetzlicher Normierung bieten sich als Zeitpunkt für den Tätigkeitsbericht des Datenschutzbeauftragten idealerweise zwei Möglichkeiten an. Einerseits zum Ende des jeweiligen Kalenderjahres oder andererseits zum Ende des jeweiligen Geschäftsjahres. Diese beiden Zeitpunkte bieten sich an, um der Geschäftsleitung beziehungsweise dem Kunden eine Übersicht der datenschutzrelevanten Punkte und Maßnahmen des zu Ende gehenden (Geschäfts-)Jahres zu präsentieren.

 

Gibt es Vorlagen oder Muster für einen solchen Tätigkeitsbericht?

Es gibt verschiedenste Vorlagen eines solchen Tätigkeitsberichts. Diese unterscheiden sich in Form und Inhalt natürlich voneinander. Dies kann natürlich auch davon abhängen, ob eine solche Vorlage kostenfrei zur Verfügung gestellt wird oder Sie auf eine kostenpflichtige Vorlage zurückgreifen. Sie kommen nur nicht drum herum, die Inhalte in mühsamer Arbeit zusammenzufassen.

Datenschutzbeauftragte, die einen Multi-Accounts von DSM-Online nutzen, haben die Möglichkeit für jeden dort angelegten Kunden unter dem Reiter AUDIT, einen individuellen Tätigkeitsbericht in wenigen und übersichtlichen Schritten zu erstellen.

Tätigkeitsbericht (AUDIT) mit DSM-online erstellen

Ein Datenschutzbeauftragter, der mit DSM-Online bereits arbeitet und über den Multi Account den Datenschutz seiner Kunden verwaltet, erstellt einen Tätigkeitsbericht mühelos in wenigen Schritten. DSM-Online leitet den Ersteller in gewohntem Workflow von Modul zu Modul, so dass ein datenschutzrelevanter Punkt nach dem anderen einfach abgearbeitet werden kann. Die einzelnen Schritte sehen Sie im Video.

So bleibt der Bericht insgesamt sehr übersichtlich, transparent und verständlich. Zudem werden keine wichtigen Punkte übersehen oder vergessen. DSM-Online geht jeden einzelnen Punkt des Subaccounts (Kundenaccounts) bei einem Tätigkeitsbericht durch, der Datenschutzbeauftragte kann zu jedem Punkt einen Status und Kommentar abspeichern, wie etwa seine Handlungsempfehlungen oder weitere Bemerkungen.

Damit der Tätigkeitsbericht des Datenschutzbeauftragten auch optisch übersichtlich bleibt, werden die einzelnen Punkte mit den bekannten Ampelfarben grün, gelb und rot bewertet, so dass klar erkennbar ist, welche Punkte nach Meinung des Datenschutzbeauftragten einen adäquaten Stand haben, bei welchen Verbesserungspotential besteht und welche Punkte aktuell nicht datenschutzkonform sind.

Sind alle Module auf diese Art und Weise im Modul Audit abgearbeitet, kommentiert und farblich zugeordnet, wird automatisch ein PDF Dokument generiert, welches den gesamten Tätigkeitsbericht vollumfänglich darstellt. Dieses PDF Dokument kann der Geschäftsführung des auditierten Unternehmens übergeben werden.

 

Wie hoch ist der Zeitaufwand mit DSM-Online zur Erstellung eines Tätigkeitsberichtes?

Für einen durchschnittlichen DSM-Online-Subaccount benötigt ein versierter Datenschutzbeauftragter maximal 2 Stunden, um einen umfänglichen, übersichtlichen und strukturierten Tätigkeitsbericht zu erstellen. Eine manuelle Erstellung in gleichem Umfang würde wesentlich länger dauern. Hier kommt der Vorteil zum Tragen, dass der Tätigkeitsbericht die gesamte Struktur eines DSM-Online-Accounts spiegelt und einfach nur kommentiert werden muss.

Mit dem durch DSM-Online erstellten Tätigkeitsbericht erfüllt der Datenschutzbeauftragte nicht nur seine Dokumentationspflicht, sondern sichert sich außerdem in ggf. kritischen und strittigen Punkten ab, da diese im Tätigkeitsbericht des Datenschutzbeauftragten dokumentiert sind.