Tätigkeitsbericht als wichtige DSGVO Maßnahme

Ein Tätigkeitsbericht dokumentiert die Arbeit und Maßnahmen des Datenschutz-Beauftragten und ist für verschiedene Empfänger bestimmt, einschließlich der Öffentlichkeit.

Es fördert das Verständnis für notwendige datenschutzrelevante Prozesse und kann auch bei der Leistungsbewertung eines externen Datenschutz-Beauftragten helfen. Ein Tätigkeitsbericht kann organisatorische Datenschutzziele, die Entwicklung vom Datenschutz im Unternehmen, Datenschutz-Maßnahmen und Perspektiven und Prioritäten des Datenschutz enthalten.

Was versteht man unter einem Tätigkeitsbericht?

Der Tätigkeitsbericht dokumentiert die Tätigkeiten und Umsetzungsmaßnahmen des Datenschutz-Beauftragten oder der nationalen Datenschutzbehörde und unterstützt damit deren Verantwortung.

Nicht jedes Unternehmen muss einen Tätigkeitsbericht erstellen. Es gibt keine allgemeine gesetzliche Pflicht. Die Notwendigkeit zur Erstellung eines Tätigkeitsberichts kann sich für bestimmte Unternehmen aber aus entsprechenden Rechtsgrundlagen ergeben.

Jede Aufsichtsbehörde beispielsweise muss einen Jahresbericht über ihre Tätigkeiten erstellen, der eine Liste der gemeldeten Verstöße und ergriffenen Maßnahmen enthält.

Für wen erstellt man Tätigkeitsberichte

Diese Berichte stehen der Öffentlichkeit, der Kommission und dem Ausschuss zur Verfügung. Sie sind für viele Datenschutzbeauftragte eine wertvolle Informationsquelle und können genutzt werden, um Sachverhalte im Zusammenhang mit der Beurteilung bestimmter Aufsichtsbehörden besser einzuordnen.

Tätigkeitsbericht für die Dokumentation des Datenschutzes

Das größte Plus der Tätigkeitsberichte von Seite des Datenschutzbeauftragten: Der Tätigkeitsbericht eignet sich auch perfekt, um die Sensibilität der Verwaltung für datenschutzrechtliche Probleme und Tätigkeiten zu schärfen und die Motivation zur Umsetzung der empfohlenen Maßnahmen zu steigern.

Als Verantwortlicher haben Sie zudem einen Überblick über die Prozesse und die Einhaltung des Datenschutzes. Es fördert das Verständnis für notwendige datenschutzrelevante Verarbeitungen sowie die Einhaltung des Schutzes sensibler Verarbeitungsvorgänge.

Gerade wenn Sie einen externen Datenschutzbeauftragten haben, soll der Datenschutz-Bericht auch bei der Leistungsbewertung helfen.

Ziele eines Tätigkeitsberichts

Das Erstellen eines Tätigkeitsberichts ist ohnehin sehr nützlich. Aufgrund der Dokumentation der Ausführung der Aufgaben und der Beschreibung der Maßnahmen, kann der Datenschutzbeauftragte seine Tätigkeiten durchführen.

Darüber hinaus kann der Tätigkeitsbericht auch Informationen oder Anfragen an die Geschäftsleitung dokumentieren, die bestimmten Themen besondere Bedeutung beimessen können. Zusätzlich dient der Tätigkeitsbericht der Dokumentation und Rechenschaftspflicht der zuständigen Stellen.

Was soll ein Tätigkeitsbericht enthalten?

Da keine gesetzliche Verpflichtung zur Erstellung eines Tätigkeitsberichts besteht, ist der Datenschutzbeauftragte inhaltlich und formal grundsätzlich frei. Das Ausfüllen von vorgegebenen Formularen beim Tätigkeitsbericht entfällt. So kann der Bericht frei formatiert und gestaltet werden. Der Umfang und die Schwerpunkte des Tätigkeitsberichts hängt von der Tätigkeit ab.

Üblicherweise wird jährlich ein Tätigkeitsbericht erstellt, der in der Regel im Management Audit der Organisation vorgelegt wird.

Folgende Punkte können enthalten sein

• Organisatorische Datenschutzziele
• Entwicklung des Datenschutzes des Unternehmens
• Datenschutzmaßnahmen im Berichtszeitraum, z.B. Bearbeitung von registrierten Anfragen, Datenschutzfälle und deren Verwaltung, Datenschutzerklärungen etc.
• Perspektiven und Prioritäten des Datenschutzes im nächsten Berichtszeitraum
• Angaben zum Berichtszeitraum und zur Anordnung
• zur Anpassung wichtiger Änderungen und Entwicklungen in Gesetzgebung und Rechtspraxis

Wie erstelle ich einen Tätigkeitsbericht?

Den Überblick über alle relevanten Bedingungen zu behalten, ist die größte Herausforderung bei der Erstellung eines Tätigkeitsberichts. Daher gibt es automatisierte und digitale Lösungen zur Generierung des Berichtes mittels Software.

Auch eine Gliederung der einzelnen Schritte kann bei der Erstellung vieles erleichtern.

1. Was möchten Sie in Ihrer Datenschutzerklärung zeigen?
   Machen Sie sich vor dem Start am besten Gedanken darüber, wie Sie vorgehen möchten und was der Tätigkeitsbericht beinhalten soll.
2. Beschreibung der aktuellen Situation
   Wie sieht es mit dem Datenschutz in Ihrem Unternehmen aus? Haben Sie Punkte, die Sie ansprechen möchten? Es ist am besten, zu zeigen, wie die Datenschutzgrundsätze angewendet werden. Erzählen Sie uns auch von Ihrem Tätigkeitsfeld, was haben Sie letztes Jahr im Bereich Datenschutz gemacht?
3. Meinungen abgeben
   Was wird im nächsten Jahr wichtig sein? Beschreiben Sie dem Kunden oder Vorgesetzten so genau wie möglich, was in den kommenden Monaten mit Datenschutz zu tun hat. Halten Sie es kurz, aber ausführlich, wenn nötig.
4. Teilen Sie Ihren Bericht
   Der Bericht sollte jetzt mit Verantwortlichen geteilt werden. Beispielsweise mit der Geschäftsführung, dem Datenschutzkoordinator oder dem Kunden.
5. Nächsten Bericht planen
   Am besten schon jetzt notieren, wann Sie den nächsten Bericht erstellen. Bewahren Sie den erstellten Bericht bzw. dessen Vorlage auf, Sie können diesen nächstes Jahr wieder verwenden.

Wie oft muss der Tätigkeitsbericht aktualisiert werden?

Gemäß Artikel 59 Absatz 1 Buchstabe e der DSGVO in Österreich wie auch Deutschland sind die Aufsichtsbehörden verpflichtet, einen jährlichen Tätigkeitsbericht über alle durchgeführten Initiativen und Aktivitäten zu erstellen.
Der Datenschutzbeauftragte eines Unternehmens oder die Unternehmensverantwortlichen sind dazu laut DSGVO und BDSG nicht verpflichtet.

Die Aufgabe zur Führung eines Tätigkeitsberichts sollte nicht vernachlässigt werden. Auch wenn keine gesetzliche Verpflichtung besteht, ist es empfehlenswert, dass Sie mindestens einmal jährlich einen Tätigkeitsbericht erstellen oder aktualisieren.

Vorlage für Tätigkeitsberichte

Es gibt unter anderem Vorlagen, Muster und auch Software, die bei der Erstellung von Tätigkeitsberichten verwendet werden. Einige Anbieter für Datenschutzsoftware stellen standardisierte Vorlagen in Form von Formularen bereit, um die Erstellung von Aktivitäten zu unterstützen.

Es können Stammdaten erfasst oder aus der Datenbank ausgewählt werden. Verantwortlichkeiten können hinterlegt werden und die Personen können direkt mit eingebunden werden. Man kann Funktionen in Kategorien einteilen, die teilweise aus Datenschutzgesetzen abgeleitet sind oder aus der täglichen Datenschutzarbeit.

Muss ein Tätigkeitsbericht DSGVO-konform sein?

Es wird empfohlen, einen Tätigkeitsbericht DSGVO-konform zu führen. Datenschutzbeauftragte sind für die Einhaltung bestimmter Maßnahmen nach der Datenschutz-Grundverordnung verantwortlich oder müssen deren Umsetzung nachweisen können. Sinnvoll ist es auch, wenn die Datenschutzaufsichtsbehörde eine regelmäßige Kontrolle durchführt.

Ein aussagekräftiger Tätigkeitsbericht wird laufend geführt und muss detaillierte Angaben zu den gesetzlich vorgeschriebenen Datenschutzmaßnahmen enthalten. Das klingt zunächst kompliziert und kann auch zeitaufwendig sein.

Mittlerweile gibt es jedoch viele digitale Lösungen, mit denen Sie auf Knopfdruck einen Tätigkeitsbericht erstellen können, der alle durchgeführten Tätigkeiten zusammenfasst.

Nachweis und Rechenschaftspflichten erfüllen

Die Pflichten sind in der DSGVO definiert und verpflichten den Verantwortlichen im Wesentlichen zur Einhaltung der Grundsätze zur Verarbeitung personenbezogener Daten. Die Einhaltung dieser Grundsätze muss überprüfbar sein und wird von Datenschutzaufsichtsbehörden kontrolliert.

Im Mittelpunkt einer solchen Einsichtnahme stehen vor allem die Pflicht zur Aufbewahrung von Verzeichnissen, der Vertrag zur Auftragsverarbeitung, technische organisatorische Maßnahmen, die Bewertung der Datenschutzauswirkungen, die Benachrichtigung des Datenschutzbeauftragten, die Bestätigung der Mitarbeiterschulung und die Datenverarbeitung.