Als Datenschutzbeauftragter besteht weder nach der DSGVO noch nach dem BDSG die Pflicht zum Verfassen eines Tätigkeitsberichtes.
Doch obwohl das Führen eines Tätigkeitsberichtes im ersten Moment mühsam erscheint, sollten Sie dennoch nicht darauf verzichten.
Denn auch wenn keine gesetzliche Pflicht besteht, ist es durchaus sinnvoll, mindestens einmal im Jahr einen Tätigkeitsbericht zu erstellen bzw. erstellen zu lassen.
Hierfür sprechen einige Gründe:
Die Rechenschaftspflicht des Verantwortlichem
Den Verantwortlichen der Datenverarbeitung treffen nach der DSGVO zahlreiche umfassende Nachweis‑, Dokumentations- und Rechenschaftspflichten.
Ihn trifft beispielsweise gemäß § 5 (2) DSGVO die Rechenschaftspflicht über die Einhaltung der Datenschutzgrundsätze und gemäß § 24 DSGVO die Nachweispflicht der Einhaltung technischer Sicherheitsmaßnahmen des Datenschutzes.
Diese Nachweise können auch anhand des Tätigkeitsberichtes erstellt werden, da die Inhalte notwendigerweise ineinandergreifen.
Der Nachweis gegenüber Aufsichtsbehörden
Aufsichtsbehörden sind ihrerseits nach § 57 und § 58 DSGVO verpflichtet, die Einhaltung der DSGVO zu überprüfen und gegebenenfalls Nachweise einzufordern.
Sollten Sie hierzu von der Aufsichtsbehörde aufgefordert werden, können sie anhand des Tätigkeitsberichtes Ihres Datenschutzbeauftragten nachweisen, dass die Datenverarbeitung den Grundsätzen der DSGVO entspricht.
Zumindest können Sie auf jeden Fall nachweisen, dass Sie das Thema mindestens einmal im Jahr auf der Agenda haben.
Das Datenschutzmanagementsystem
Weiterhin hilft dem Verantwortlichen und auch dem Datenschutzbeauftragten ein Tätigkeitsbericht bei der Umsetzung und Kontrolle der Datenschutzrichtlinien im Unternehmen.
So haben auch Verantwortliche einen Überblick über die Vorgänge und die Einhaltung des Datenschutzes.
Es fördert das notwendige Verständnis für datenschutzrelevante Verarbeitungen und die Einhaltung des Schutzes sensibler Verarbeitungsvorgänge.
Insbesondere, wenn Sie einen externen Datenschutzbeauftragten haben, sollte der Tätigkeitsbericht auch helfen, die Leistung zu bewerten.
Die Entlastung bei Datenschutzverletzungen
Sollte es zu einer Beschwerde gegen Ihr Unternehmen kommen und der Betroffene der Datenschutzverletzung Schadensersatz von Ihnen fordern, können sie möglicherweise auch den Tätigkeitsbericht heranziehen und nachweisen, dass Sie und auch Ihr Datenschutzbeauftragter keine Verantwortung am eingetretenen Schaden tragen, gemäß § 82 (3) DSGVO.
Auch bei einer Datenpanne, die von Amtswegen verfolgt wird (Verletzung des Schutzes personenbezogener Daten, Art. 4 Nr. 12 DSGVO) kann ein guter Tätigkeitsbericht entlastend wirken und zeigen, wie ernst es Ihnen mit dem Datenschutz war und ist.
Die Inhalte eines Tätigkeitsberichtes nach DSGVO
Ein solcher Tätigkeitsbericht (auch Rechenschaftsbericht genannt) besteht aus einer umfassenden Dokumentation der unternehmensinternen Maßnahmen in Datenschutz und Datensicherheit.
Insbesondere ist bzw. sind dabei
- die Kontaktdaten des Verantwortlichen und des von ihm benannten Datenschutzbeauftragten anzugeben
- die Überprüfung der Datenschutzstrategien
- die Sensibilisierung und Schulung der Mitarbeiter
- die Beratung der Geschäftsleitung zu effektivem Datenschutz
- die begleitende Durchführung einer Datenschutzfolgenabschätzung
- und der Kontakt mit der Aufsichtsbehörde davon erfasst, was gemäß Art. 39 DSGVO in die Nachweispflicht eines Datenschutzbeauftragtem fällt.
Insgesamt ist zu sagen, dass Sie als DSB den Rechenschaftsbericht am besten anhand der Art 38 und 39 DSGVO ausgestalten sollten.
Wenn ich als Datenschutzbeauftragter für Sie tätig bin, wird zur gesamten Abwicklung des Datenschutzes eine Software eingesetzt.
Ein Bestandteil dieser Software ist die Erstellung eines solchen Tätigkeitsberichtes im Rahmen des Datenmanagementsystems.
Unabhängig von einer Beauftragung bzw. Benennung als Datenschutzbeauftragter bietet sich auch ein Audit durch einen externen Berater an.
Audit
Ein Audit dient dazu, die Umsetzung des Datenschutzes in einem Unternehmen zu überprüfen und gegebenenfalls zu verbessern.
Dabei wird das aktuelle Datenschutzniveau untersucht und ausgewertet.
Anhand eines Auditberichts erfolgt die präzise und konkrete Auswertung des Audits.
Dabei werden im Besonderen die Auditziele und der Auditumfang unter Nennung des Auftraggebers und der relevanten Kriterien festgehalten.
Lassen Sie sich also gut beraten.
1 Kommentar