Jahresabschlussbericht Konzept 17 2021
Sie haben einen Datenschutzbeauftragten für Ihr Unternehmen, Ihre öffentliche Stelle oder Ihren Verein bestellt. Haben Sie als Verantwortlicher denn den jährlichen Tätigkeitsbericht Ihres Datenschutzbeauftragten erhalten?
Warum überhaupt ein Tätigkeitsbericht?
Wenn man ins Bundesdatenschutzgesetz schaut, wird man keine gesetzliche Verpflichtung zur Erstellung eines Tätigkeitsberichtes finden. Lässt sich dazu vielleicht etwas in der Datenschutz-Grundverordnung finden?
Die Aufsichtsbehörden sind nach Artikel 59 DSGVO dazu verpflichtet, jährlich einen Tätigkeitsbericht aller getroffenen Maßnahmen und Tätigkeiten zu erstellen. Aber verpflichtet die DSGVO auch die internen und externen Datenschutzbeauftragten dazu?
In Artikel 39 DSGVO sind die Aufgaben eines Datenschutzbeauftragten benannt. Gemäß Artikel 39 DSGVO obliegt dem Datenschutzbeauftragten zumindest die Unterrichtung und Beratung des Verantwortlichen. Zudem muss der Datenschutzbeauftragte nachweisen, dass er seiner beratenden Tätigkeit auch ausreichend nachgekommen ist und den für den Datenschutz Verantwortlichen entsprechend informiert hat.
Eine direkte Verpflichtung für einen Jahresabschlussbericht gibt es somit nicht; zielführend ist es jedoch für Datenschutzbeauftragten wie Geschäftsleitung, zumindest einmal jährlich den Status Quo des Datenschutzes der Organisation darzustellen und auf dieser Grundlage den weiteren Kurs abzustimmen.
Wie kann so ein Tätigkeitsbericht aussehen?
Falls Sie als Datenschutzbeauftragter über ein Datenschutzmanagementsystem (DSMS) verfügen, sollte sich ganz einfach ein Report des letzten Jahres erstellen lassen.
Grundsätzlich sollte ein Tätigkeitsbericht mindestens Informationen zu folgenden Themen enthalten:
- Strukturelle Form des Unternehmens, beispielsweise Mutter- und Tochtergesellschaften oder Eigentumsanteile, einschließlich erforderlicher datenschutzvertraglicher Regelungen
- Auditierungen des Unternehmens, der Behörde oder des Vereins
- Stand des Verzeichnisses der Verarbeitungstätigkeiten
- Handlungsempfehlungen des Datenschutzbeauftragten
- Datenschutzmaßnahmen des verantwortlichen Unternehmens
- Datenschutz-Folgenabschätzungen nach Artikel 35 DSGVO
- Datenschutzverletzungen nach Artikel 33 DSGVO
- Datenschutzverträge (AVV, Joint Controllership Agreements, Standvertragsklauseln)
- Webseitenanalysen
- Ausblick auf das kommende Jahr
Welchen Nutzen hat ein solcher Tätigkeitbericht?
Der jährliche Tätigkeitsbericht gibt einerseits dem Verantwortlichen einen Überblick über den aktuellen Stand des Datenschutzes in seiner Organisation. Andererseits dient der Tätigkeitsbericht als Nachweis für die Durchführung der Tätigkeiten des Datenschutzbeauftragten. Und schließlich lässt sich so über die Jahre der Fortschritt des Datenschutzmanagements der Organisation vergleichen.
Sie haben von Ihrem Datenschutzbeauftragten (noch) keinen Jahresabschlussbericht erhalten? Treten Sie gern mit uns in Kontakt. Wir sind für Sie da.
22. Dezember 2021
