Sie befinden sich hier:

Muss ein Datenschutzbeauftragter einen Tätigkeitsbericht erstellen?

Viele betriebliche und behördliche Datenschutzbeauftragte erstellen regelmäßig einen Tätigkeitsbericht. Aber ist dies überhaupt erforderlich?

Im Gegensatz zu den Datenschutzaufsichtsbehörden, die gemäß Art. 59 DSGVO jährlich einen Tätigkeitsbericht veröffentlichen müssen, gibt es für den betrieblichen bzw. behördlichen Datenschutzbeauftragten kein gesetzliches Muss.

Trotzdem macht es für Sie Sinn, einmal jährlich einen derartigen Bericht zu erstellen. Ein derartiger Tätigkeitsbericht kann beispielsweise ein geeignetes Mittel dazu sein, die Unternehmens- bzw. Behördenleitung über den aktuellen Stand des Datenschutzes und der Datensicherheit im Unternehmen/in der Behörde zu informieren und ihr das Thema wieder einmal in Erinnerung zu führen. Gleichzeitig können Sie durch die Erstellung eines Tätigkeitsberichts Ihre Kompetenz und Ihr Engagement für das Unternehmen/die Behörde als Datenschutzbeauftragter nachweisen.

Bei manchen Unternehmen bzw. bei mancher Behörde wird auch ein Tätigkeitsbericht als eine Art Arbeitsnachweis von der Unternehmens- bzw. Behördenleitung eingefordert.

Inhalte eines Tätigkeitsberichts

Da keine gesetzliche Pflicht für die Erstellung eines Tätigkeitsberichts vorhanden, existieren auch keine Formvorschriften. Somit können Sie den Inhalt und die Form des Tätigkeitsberichts selbst bestimmen. Eventuell macht es auch Sinn, der Geschäfts- bzw. Behördenleitung den Tätigkeitsbericht zusätzlich in Form eines Vortrags zu präsentieren.

Folgende Punkte sollten aber in einem Tätigkeitsbericht unbedingt angesprochen werden:

  • Gehen Sie kurz auf die noch offenen (unerledigten) Punkte des Vorjahresberichts ein.
  • Informieren Sie den geneigten Leser über Ihre Tätigkeiten als betrieblicher/behördlicher Datenschutzbeauftragter im Berichtszeitraum und Ihre Vorhaben im kommenden Jahr.
  • Stellen Sie die aktuelle Situation im Unternehmen/in der Behörde dar und zeigen sie bestehende Schwächen im Sicherheitskonzept und ungelöste Datenschutzprobleme in Ihrem Haus auf.
  • Berichten Sie über aktuelle Erkenntnisse (z. B. Gesetzesänderungen, neue Gefahren für die Datensicherheit) im Allgemeinen und in Ihrem Unternehmen bzw. Ihrer Behörde (z. B. kurzes Eingehen auf aufgetretene Verstöße).
  • Falls Ihr Unternehmen/Ihre Behörde im Berichtszeitraum einer datenschutzrechtlichen bzw. technischen Prüfung durch die Aufsichtsbehörde unterlag, so informieren Sie über das Ergebnis und was Sie daraufhin veranlasst haben.
  • Informieren Sie (zumindest in statistischer Form) über Auskunftsersuchen, Werbewidersprüche und Beschwerden von Betroffenen.

Umfang des Tätigkeitsberichts

Auch hier gilt das Sprichwort: In der Kürze liegt die Würze.

Ihre Unternehmens- bzw. Behördenleitung hat in der Regel nicht die Zeit und auch nicht die Muse, einen ellenlangen Bericht zu lesen. Vermeiden Sie daher Ausschweifungen und fassen Sie Ihren Bericht kurz und knackig: Im Regelfall sollte so ein Bericht nicht mehr als 50 Seiten umfassen.

Gestaltung

Am besten ist es, wenn sie bei der Erstellung Ihrer Tätigkeitsberichte strukturiert vorgehen. Erstellen Sie eine Mustervorlage, die Sie jedes Jahr neu verwenden können. Bereits im Lauf des Jahres sollten Sie immer wieder Stichpunkte und kurze Notizen in die aktuelle Vorlage eintragen. Dadurch sinkt die Gefahr, dass Sie wesentliche Punkte für Ihren nächsten Tätigkeitsbericht vergessen.

Adressatenkreis

Der jährliche Tätigkeitsbericht des betrieblichen/behördlichen DSB sollte als vertrauliche interne Information direkt an die Unternehmens- bzw. Behördenleitung gerichtet sein und muss daher auch nicht veröffentlicht und auch nicht jedermann zur Verfügung gestellt werden. Lediglich wenn die Unternehmens- bzw. Behördenleitung es wünscht, kann der Empfängerkreis (z. B. Leiter der IuK-Abteilung, IT-Sicherheitsbeauftragter, Personalvertretung) auch ausgeweitet werden.

Gewährleistung der Vertraulichkeit

Wie Ihnen ja bekannt ist, sind Sie als Datenschutzbeauftragter zur Verschwiegenheit (teilweise auch gegenüber der Geschäfts- bzw. Behördenleitung) über die Ihnen anvertraute Identität von betroffenen Personen sowie über Umstände, die Rückschlüsse auf die betroffenen Personen zulassen verpflichtet (Art. 38 Abs. 5 DSGVO). Achten Sie daher bei der Erstellung des Tätigkeitsberichts darauf, dass Sie möglichst keine Namen nennen oder Anhaltspunkte liefern, die einen Betroffenen bestimmbar machen.

nach oben