Die Datenschutzaufsichtsbehörden sind gesetzlich dazu verpflichtet, einen regelmäßigen Bericht über ihre Tätigkeiten im Datenschutz zu veröffentlichen. Doch ist auch der betriebliche Datenschutzbeauftragte verpflichtet, einen Tätigkeitsbericht zu erstellen? Und wenn ja, welchen Inhalt sollte dieser Datenschutzbericht haben? Das soll nachfolgend beantwortet werden.
Der Inhalt im Überblick
Keine Verpflichtung nach aktueller Rechtslage
Gemäß § 38 Abs. 1 S. 7 BDSG sind die Aufsichtsbehörden im Datenschutz verpflichtet, regelmäßig und spätestens alle zwei Jahre einen Tätigkeitsbericht zu veröffentlichen. Sie beschreiben darin die im Berichtszeitraum durchgeführten Kontrollen und Maßnahmen ebenso wie beispielsweise wichtige gesetzliche Änderungen oder aktuelle datenschutzrechtliche Probleme.
Für den betrieblichen Datenschutzbeauftragten eines Unternehmens enthält das BDSG keine entsprechende Regelung. Den betrieblichen Datenschutzbeauftragten trifft daher keine gesetzliche Pflicht, einen Tätigkeitsbericht zu erstellen.
Vorteile eines regelmäßigen Tätigkeitsberichts
Die Erstellung eines regelmäßigen Datenschutzberichts ist aber auch im Unternehmenskontext sinnvoll.
Durch die fortlaufende Dokumentation seiner Maßnahmen ist der Datenschutzbeauftragte in der Lage, seine Tätigkeit gegenüber der Unternehmensleitung zu belegen. Für Unternehmen kann der Bericht die Grundlage sein, um auf Verlangen der Aufsichtsbehörde ihre Bemühungen im Datenschutz nachzuweisen.
Daneben bietet ein aussagekräftiger Tätigkeitsbericht dem Datenschutzbeauftragten die Möglichkeit, Aufmerksamkeit auf wichtige Themen zu lenken und die Verantwortlichen im Unternehmen für die Einhaltung des Datenschutzes zu motivieren. Daher ist es für betriebliche Datenschutzbeauftragte ratsam, den zusätzlichen Aufwand für den Bericht auf sich zu nehmen.
Änderung durch die Datenschutz-Grundverordnung?
Die regelmäßige Erstellung eines Datenschutzberichts ist auch vor dem Hintergrund der Neuregelungen der Datenschutz-Grundverordnung (DSGVO) sinnvoll.
Erfüllung der Dokumentations- und Rechenschaftspflichten
Die DSGVO führt zu einer deutlichen Erweiterung der Dokumentations- und Rechenschaftspflichten von Unternehmen. So trifft Unternehmen nach Art. 5 Abs. 2 DSGVO die weitgehende Pflicht, die Einhaltung der in Art. 5 Abs. 1 DSGVO niedergelegten Grundsätze für eine ordnungsgemäße Datenverarbeitung nachzuweisen. Dazu gehören insbesondere die Grundsätze der Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Integrität und Vertraulichkeit.
Um dieser umfassenden Rechenschaftspflicht nachkommen zu können, ist ein regelmäßiger Tätigkeitbericht des Datenschutzbeauftragten eine wichtige Hilfe.
Haftungsumfang des Datenschutzbeauftragten
Zudem verschärft die Datenschutz-Grundverordnung die gesetzlichen Pflichten des Datenschutzbeauftragten selbst. Nach dem BDSG hat der Datenschutzbeauftragte lediglich die Aufgabe, auf die Einhaltung der datenschutzrechtlichen Vorgaben im Unternehmen hinzuwirken (§ 4g Abs. 1 S. 1 BDSG). Ihm kommt damit eine vorwiegend unterstützende und beratende Funktion zu.
Gemäß Art. 39 Abs. 1 lit. b) DSGVO ist der Datenschutzbeauftragte zukünftig zur Überwachung der Einhaltung der Datenschutz-Grundverordnung und nationalen Sonderregelungen im Unternehmen verpflichtet. Er wird damit in stärkerem Maße auch für die Umsetzung der von ihm vorgeschlagenen Maßnahmen verantwortlich sein.
Gerade vor dem Hinblick eines eventuellen Haftungsrisikos ist es für den Datenschutzbeauftragten wichtig, die Erfüllung dieser erweiterten gesetzlichen Aufgaben nachweisen zu können. Dies ist durch den Datenschutzbericht möglich.
Form und Inhalt des Tätigkeitsberichts
Da keine gesetzliche Verpflichtung zur Erstellung eines Tätigkeitsberichts besteht, ist der betriebliche Datenschutzbeauftragte in der Gestaltung von Form und Inhalt frei.
In der Regel bietet sich ein jährlicher Datenschutzbericht an. Dieser ist der Geschäftsführung zur Verfügung zu stellen.
Mögliche Inhalte sind:
- erfolgte Prüfungen und Maßnahmen, z.B. Bearbeitung von Anfragen Betroffener, Kontakt mit der Aufsichtsbehörde, Überprüfung von Verpflichtungserklärungen auf das Datengeheimnis, datenschutzrechtliche Stellungnahmen etc.
- aktueller Status des IT-Systems mit Stärken und Schwächen sowie Handlungsbedarf aus datenschutzrechtlicher Sicht
- durchgeführte Vorabkontrollen
- durchgeführte und geplante Schulungen
- relevante Änderungen und Entwicklungen der Gesetzgebung und Rechtsprechung
Daneben kann der Datenschutzbeauftragte beliebige weitere Informationen und Inhalte aufnehmen, um die Sensibilität der Unternehmensleitung für Datenschutzthemen zu erhöhen und gegebenenfalls Verständnis für von ihm geplante Maßnahmen zu erreichen.
Wie detailliert sollte ein solcher Bericht Ihrer Ansicht nach denn sein? Können Sie evtl. ein Beispiel geben hinsichtlich eines bestimmten Projekts?
Wie detailliert der Tätigkeitsbericht im Einzelfall sein soll, sollten Sie mit der Unternehmensleitung absprechen. Empfehlenswert ist es, zu jedem Themenbereich ihre Tätigkeit bzw. Empfehlung, ggf. den zuständigen Ansprechpartner, sowie den Zeitpunkt der Durchführung bzw. Umsetzung zu dokumentieren.
Beispiel: Datenschutzrechtliche Überprüfung des Online-Bewerbertools der Firma xy, Empfehlung von automatischen Löschroutinen von 6 Monaten für eingereichte Bewerbungsunterlagen, softwareseitige Implementierung am … in Abstimmung mit … (z.B. Mitarbeiter IT).
Hinsichtlich der Gliederung bietet sich entweder eine Gliederung nach Themenbereichen oder eine chronologische Gliederung nach Monaten an.
Das ein interner DSB mehr in die Verantwortung gezogen wird, die empfohlenen Maßnahmen verantwortlich umzusetzen, kann ich verstehen und auch nachvollziehen, aber wie schaut es bei externen DSB aus? Da der eDSB zwar bestellt ist, aber sich nicht ständig im Unternehmen befindet, stelle ich mir eine direkte Verantwortung schwierig vor. Was sagt die DSGVO denn hierzu?
Die DSGVO unterscheidet hinsichtlich der Verantwortlichkeit nicht zwischen einem internen und externen DSB. Gemäß Art. 38 Abs. 1 DSGVO haben Unternehmen aber sicherzustellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
Insoweit ist einerseits der externe DSB in der Pflicht, sich im Rahmen des zumutbaren über relevante Vorgänge zu informieren. Andererseits aber gleichsam das Unternehmen, dass ihm alle nötigen Informationen (auch unaufgefordert) zur Verfügung stellen muss.