Der betriebliche oder externe Datenschutzbeauftragte sollte seine Tätigkeiten regelmäßig dokumentieren. Einerseits kann er so jederzeit gegenüber der Geschäftsführung und Aufsichtsbehörden nachweisen, dass er seiner Überwachungspflicht nachgekommen ist. Andererseits gibt er dem Verantwortlichen ein gutes Bild von der aktuellen Umsetzung des Datenschutzes im Unternehmen.
Dokumentation des datenschutzrechtlichen Ist-Zustandes
Die moderne Führung in Unternehmen gebietet es der Geschäftsführung Aufgaben aller Art an die Belegschaft zu delegieren. Darunter fallen auch Tätigkeiten, die auf die Umsetzung von Datenschutzmaßnahmen zielen. Die Erstellung der unternehmensweiten Verzeichnisse der Verarbeitungstätigkeiten, die Formulierung und Aktualisierung der Datenschutzhinweise auf der Website und die Prüfung von Auftragsverarbeitern sind typische Beispiele der Delegierung. Die Fülle an datenschutzrechtlichen Pflichten, die sich aus der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) ergeben, führt jedoch schnell dazu, dass die Geschäftsführung den Überblick verliert und nicht zu jeder Zeit über den aktuellen Datenschutzstatus des Unternehmens informiert ist.
Ein Datenschutzbericht bzw. Tätigkeitsbericht des Datenschutzbeauftragten bringt in diesem Fall Abhilfe. Er fasst die unternommenen Bemühungen innerhalb eines bestimmten Zeitraums in verständlicher Form zusammen und verschafft der Geschäftsführung klaren Überblick bezüglich der offenen Aufgaben bei der Umsetzung datenschutzrechtlicher Vorgaben. Typischerweise fertigt der betriebliche oder externe Datenschutzbeauftragte den Tätigkeitsbericht und stellt ihn der Geschäftsführung und anderen beteiligten Abteilungen bzw. Personen im Unternehmen zur Verfügung. Unter den weiteren Empfängerkreis fällt zum Beispiel die Rechtsabteilung der Organisation oder das Datenschutzteam, das kontinuierlich an der Einhaltung der gesetzlichen Vorgaben arbeitet.
Diese Dokumentation der Datenschutztätigkeiten muss nicht allen Mitarbeitern des Unternehmens zugänglich gemacht werden, sondern nur den organisatorisch für diese Aufgabe vorgesehenen. Um die Geschäftsführung und alle Beteiligten informiert zu halten, ist es ratsam, innerhalb regelmäßig stattfindender Gespräche über den aktuellen Status aufzuklären.
Dokumentation zur Erfüllung der Rechenschaftspflicht
Neben dem Nutzen einen allgemeinen Überblick zu schaffen, erfüllt der Tätigkeitsbericht auch eine rechtliche Anforderung, die sich aus Art. 5 Abs. 2 DSGVO und Art. 58 Abs. 1 lit. a DSGVO ergibt. Die sogenannte Rechenschaftspflicht bindet das Unternehmen daran, Nachweise über die Einhaltung datenschutzrechtlicher Vorgaben erbringen zu können. Wenn also die Datenschutzbehörde Auskunft zu einer speziellen Frage oder der allgemeinen Compliance-Situation einholt, kann ein Tätigkeitsbericht entweder direkt Aufschluss über die ergriffenen Maßnahmen geben oder als Wegweiser zur internen Dokumentation dienen.
Beispiel: Der Tätigkeitsbericht wird nicht konkret beschreiben, wie das Prüfungsergebnis zu jedem Auftragsverarbeiter des Berichtszeitraums lautet und wie man dazu gekommen ist. Dennoch lässt sich je nach Detailgrad des Berichts daraus ableiten, dass die Prüfung erfolgte, wann sie erfolgte und wo sie zu finden ist.
Aufbau und Inhalt des Tätigkeitsberichts
Zur konkreten Ausgestaltung des Berichts bestehen keine gesetzlichen Vorgaben. Wir empfehlen Ihnen jedoch, mindestens die folgenden Inhaltspunkte zu thematisieren:
- Allgemeines zum Datenschutz (aktuelle Neuigkeiten zu z.B. Rechtsprechung, Beschlüssen und Technologie)
- Aktueller Ist-Status im Datenschutz und getroffene Maßnahmen im Berichtszeitraum (insbesondere Verzeichnis der Verarbeitungstätigkeiten; Auftragsverarbeitung mit Liste der Auftraggeber und Auftragnehmer; Schulungsmaßnahmen; technische und organisatorische Maßnahmen; Online-Datenschutz z.B. bezüglich Website, Facebook-Fanpage und Newsletter)
- Durchführung von internen Kontrollen
- Finanzieller, zeitlicher und personeller Ressourcenbedarf
- Sonstiges
- Ausblick (geplante Vorhaben)
Tipp: Nutzen Sie einfach unsere kostenlose Vorlage für einen Datenschutzbericht und passen Sie diese an die speziellen Anforderungen Ihrer Organisation an.
Wie oft sollte ein Datenschutzbericht erstellt werden?
Abschließend stellt sich die Frage, wie oft ein Tätigkeitsbericht angefertigt werden sollte. Bezüglich des Turnus für den Berichtszeitraum ist es schwierig, allgemeine Aussagen zu treffen, die auf jede Art von Organisation passen. In datengetriebenen Unternehmen ist es durchaus sinnvoll, einen quartalsmäßigen oder halbjährlichen Turnus einzuführen. Im produzierenden Gewerbe kann dagegen ein Zeitraum von einem Jahr angemessen sein.
Der zeitliche Abstand der Berichte bemisst sich nicht zuletzt auch daran, wie viele datenschutzrechtliche Maßnahmen insgesamt getroffen werden und wie übersichtlich sich diese Maßnahmen in einem einzigen Tätigkeitsbericht dokumentieren lassen. Findet eine Vielzahl an Maßnahmen durch verschiedene Mitarbeiter bzw. Abteilungen statt, kann es für die Beteiligten nach Ablauf eines ganzen Jahres schwierig sein, die Maßnahmen übersichtlich, vollständig und präzise genug darzustellen.
Fazit: Dokumentation ist elementar
Der Tätigkeitsbericht hilft in einer arbeitsteiligen Organisation den Überblick über die Umsetzung von datenschutzrechtlichen Vorgaben zu bewahren und dient gleichzeitig als Nachweis gegenüber Aufsichtsbehörden. Inhaltliche Vorgaben an den Tätigkeitsbericht gibt es keine. Inhalt und Turnus sollten aber an der Natur der Organisation ausgerichtet werden, so dass die Übersichtlichkeit und der Sinngehalt des Berichts gewahrt wird.
Mit anderen Worten: Wie Sie den Datenschutz in Ihrem Unternehmen am besten dokumentieren, können Sie nur selbst herausfinden. Wichtig ist nur, dass Sie es in jedem Fall tun!
Die Dokumentation des Datenschutzes ist Ihnen einfach zu aufwändig? Dann bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen – und konzentrieren sich lieber auf Ihren Geschäftserfolg!