Tätig­keits­be­richt

Als Daten­schutz­be­auf­trag­ter besteht weder nach der DSGVO noch nach dem BDSG die Pflicht zum Ver­fas­sen eines Tätigkeitsberichtes.

Doch obwohl das Füh­ren eines Tätig­keits­be­rich­tes im ers­ten Moment müh­sam erscheint, soll­ten Sie den­noch nicht dar­auf verzichten.

Denn auch wenn kei­ne gesetz­li­che Pflicht besteht, ist es durch­aus sinn­voll, min­des­tens ein­mal im Jahr einen Tätig­keits­be­richt zu erstel­len bzw. erstel­len zu lassen.

Hier­für spre­chen eini­ge Gründe:

Die Rechen­schafts­pflicht des Verantwortlichem

Den Ver­ant­wort­li­chen der Daten­ver­ar­bei­tung tref­fen nach der DSGVO zahl­rei­che umfas­sen­de Nachweis‑, Doku­men­ta­ti­ons- und Rechenschaftspflichten.

Ihn trifft bei­spiels­wei­se gemäß § 5 (2) DSGVO die Rechen­schafts­pflicht über die Ein­hal­tung der Daten­schutz­grund­sät­ze und gemäß § 24 DSGVO die Nach­weis­pflicht der Ein­hal­tung tech­ni­scher Sicher­heits­maß­nah­men des Datenschutzes.

Die­se Nach­wei­se kön­nen auch anhand des Tätig­keits­be­rich­tes erstellt wer­den, da die Inhal­te not­wen­di­ger­wei­se ineinandergreifen.

Der Nach­weis gegen­über Aufsichtsbehörden

Auf­sichts­be­hör­den sind ihrer­seits nach § 57 und § 58 DSGVO ver­pflich­tet, die Ein­hal­tung der DSGVO zu über­prü­fen und gege­be­nen­falls Nach­wei­se einzufordern.

Soll­ten Sie hier­zu von der Auf­sichts­be­hör­de auf­ge­for­dert wer­den, kön­nen sie anhand des Tätig­keits­be­rich­tes Ihres Daten­schutz­be­auf­trag­ten nach­wei­sen, dass die Daten­ver­ar­bei­tung den Grund­sät­zen der DSGVO entspricht.

Zumin­dest kön­nen Sie auf jeden Fall nach­wei­sen, dass Sie das The­ma min­des­tens ein­mal im Jahr auf der Agen­da haben.

Das Daten­schutz­ma­nage­ment­sys­tem

Wei­ter­hin hilft dem Ver­ant­wort­li­chen und auch dem Daten­schutz­be­auf­trag­ten ein Tätig­keits­be­richt bei der Umset­zung und Kon­trol­le der Daten­schutz­richt­li­ni­en im Unternehmen.

So haben auch Ver­ant­wort­li­che einen Über­blick über die Vor­gän­ge und die Ein­hal­tung des Datenschutzes.

Es för­dert das not­wen­di­ge Ver­ständ­nis für daten­schutz­re­le­van­te Ver­ar­bei­tun­gen und die Ein­hal­tung des Schut­zes sen­si­bler Verarbeitungsvorgänge.

Ins­be­son­de­re, wenn Sie einen exter­nen Daten­schutz­be­auf­trag­ten haben, soll­te der Tätig­keits­be­richt auch hel­fen, die Leis­tung zu bewerten.

Die Ent­las­tung bei Datenschutzverletzungen

Soll­te es zu einer Beschwer­de gegen Ihr Unter­neh­men kom­men und der Betrof­fe­ne der Daten­schutz­ver­let­zung Scha­dens­er­satz von Ihnen for­dern, kön­nen sie mög­li­cher­wei­se auch den Tätig­keits­be­richt her­an­zie­hen und nach­wei­sen, dass Sie und auch Ihr Daten­schutz­be­auf­trag­ter kei­ne Ver­ant­wor­tung am ein­ge­tre­te­nen Scha­den tra­gen, gemäß § 82 (3) DSGVO.

Auch bei einer Daten­pan­ne, die von Amts­we­gen ver­folgt wird (Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten, Art. 4 Nr. 12 DSGVO) kann ein guter Tätig­keits­be­richt ent­las­tend wir­ken und zei­gen, wie ernst es Ihnen mit dem Daten­schutz war und ist.

Die Inhal­te eines Tätig­keits­be­rich­tes nach DSGVO

Ein sol­cher Tätig­keits­be­richt (auch Rechen­schafts­be­richt genannt) besteht aus einer umfas­sen­den Doku­men­ta­ti­on der unter­neh­mens­in­ter­nen Maß­nah­men in Daten­schutz und Datensicherheit.

Ins­be­son­de­re ist bzw. sind dabei

  • die Kon­takt­da­ten des Ver­ant­wort­li­chen und des von ihm benann­ten Daten­schutz­be­auf­trag­ten anzugeben
  • die Über­prü­fung der Datenschutzstrategien
  • die Sen­si­bi­li­sie­rung und Schu­lung der Mitarbeiter
  • die Bera­tung der Geschäfts­lei­tung zu effek­ti­vem Datenschutz
  • die beglei­ten­de Durch­füh­rung einer Datenschutzfolgenabschätzung
  • und der Kon­takt mit der Auf­sichts­be­hör­de davon erfasst, was gemäß Art. 39 DSGVO in die Nach­weis­pflicht eines Daten­schutz­be­auf­trag­tem fällt.

Ins­ge­samt ist zu sagen, dass Sie als DSB den Rechen­schafts­be­richt am bes­ten anhand der Art 38 und 39 DSGVO aus­ge­stal­ten sollten.

Wenn ich als Daten­schutz­be­auf­trag­ter für Sie tätig bin, wird zur gesam­ten Abwick­lung des Daten­schut­zes eine Soft­ware eingesetzt.

Ein Bestand­teil die­ser Soft­ware ist die Erstel­lung eines sol­chen Tätig­keits­be­rich­tes im Rah­men des Datenmanagementsystems.

Unab­hän­gig von einer Beauf­tra­gung bzw. Benen­nung als Daten­schutz­be­auf­trag­ter bie­tet sich auch ein Audit durch einen exter­nen Bera­ter an.

Audit

Ein Audit dient dazu, die Umset­zung des Daten­schut­zes in einem Unter­neh­men zu über­prü­fen und gege­be­nen­falls zu verbessern.

Dabei wird das aktu­el­le Daten­schutz­ni­veau unter­sucht und ausgewertet.

Anhand eines Audit­be­richts erfolgt die prä­zi­se und kon­kre­te Aus­wer­tung des Audits.

Dabei wer­den im Beson­de­ren die Audit­zie­le und der Audit­um­fang unter Nen­nung des Auf­trag­ge­bers und der rele­van­ten Kri­te­ri­en festgehalten.

Las­sen Sie sich also gut beraten.

Kommentar hinzufügen