Data Protection Academy » Data Protection Wiki » Tätigkeitsbericht

Datenschutzbeauftragte erstellen eine Tätigkeitsbericht gemäß DSGVO

Datenschutz gemäß DSGVO

Der Tätigkeitsbericht Vorlage, Muster und Inhalt nach DSGVO

Über die Einhaltung bestimmter Maßnahmen im Zuge der Datenschutz-Grundverordnung (DSGVO) müssen Datenschutzbeauftragte und Verantwortliche Rechenschaft ablegen bzw. deren Umsetzung nachweisen können. Um die Umsetzung relevanter Tätigkeiten im Datenschutz nachzuweisen, ist es ratsam einen Tätigkeitsbericht zu pflegen. Auch um im Fall einer Überprüfung durch die Datenschutz-Aufsichtsbehörde aussagekräftig zu sein.

Ein aussagekräftiger Tätigkeitsbericht sollte kontinuierlich geführt werden und detaillierte Informationen zu gesetzlich vorgeschriebenen Datenschutz-Maßnahmen enthalten. Das klingt zunächst aufwendig und kann auch zeitintensiv sein. Allerdings gibt es mittlerweile viele digitale Lösungen, mit der Sie einen Tätigkeitsbericht als Zusammenfassung aller durchgeführten Tätigkeiten quasi per Knopfdruck erstellen können.

Im nachfolgenden Beitrag informieren wir Sie über Notwendigkeit eines Tätigkeitsberichts und dessen Inhalte. Außerdem stellen wir Ihnen eine effektive digitale Lösung zur Erstellung eines Tätigkeitsberichtes vor.

Wichtigste Informationen über den Tätigkeitsbericht

  • Die DSGVO enthält lediglich eine Verpflichtung von Aufsichtsbehörden zur Erstellung eines Tätigkeitsberichts, es gib allerdings viele Gründe für Datenschutzbeauftragte und Verantwortliche ebenfalls einen solchen Bericht zu erstellen
  • Der Tätigkeitsbericht dient als zentrales Nachweisdokument und sollte alle Tätigkeiten enthalten, die im Zusammenhang mit den Rechenschafts-, Nachweis- sowie Dokumentationspflichten stehen
  • Der Tätigkeitsbericht gibt Übersicht über alle aktuellen Tätigkeiten und Aufgaben im Bereich Datenschutz und ermöglicht die kollaborative Zusammenarbeit aller Mitglieder der Datenschutzorganisation
  • Die digitale Verwaltung eines Tätigkeitsberichts ist mittlerweile möglich und hat viele Vorteile

Inhalt zum Tätigkeitsbericht:

Whitepaper: Nachweispflichten DSGVO-konform im Tätigkeitsbericht umsetzen

Whitepaper zum DSGVO-konformen Tätigkeitsbericht

Im Whitepaper Nachweispflichten DSGVO-konform im Tätigkeitsbericht umsetzen finde Sie:

  • Get information on the Definition und Bedeutung des Tätigkeitsberichts
  • Understand the relationship between the Nachweispflichten der DSGVO und dem Tätigkeitsbericht
  • Learn the Inhalte des Tätigkeitsberichtes Know
  • Get important notes on implementation des Tätigkeitsberichts
  • Learn how to work in only 6 Schritten den Tätigkeitsbericht complete
  • Including Beispielen für Tätigkeiten und Kategorien von Tätigkeiten

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

Definition und Bedeutung: Was ist der Tätigkeitsbericht nach DSGVO?

The Tätigkeitsbericht kann als interner Auditbericht zum Stand des Datenschutzes im Unternehmen betrachtet werden. Dieser Bericht ist eine schriftliche Dokumentation aller wichtigen Informationen über den aktuellen Stand des Datenschutzes sowie durchgeführten Maßnahmen. Verantwortlich für die Umsetzung des Tätigkeitsberichts ist der internal / external data protection officers in cooperation with other members of the data protection organisation.

Neben der Dokumentation umgesetzter Maßnahmen werden im Tätigkeitsbericht auch offene Punkte aufgezeigt, die dem Verantwortlichen als Entscheidungsgrundlage dienen sollen. Mit der Pflege und Dokumentation des Tätigkeitsberichts kommt der interne / externe Datenschutzbeauftragte der Dokumentationspflicht gegenüber der Geschäftsführung / dem Verantwortlichen requires.

Der Tätigkeitsbericht gemäß General Data Protection Regulation is defined in Article 59 GDPR. definiert. Gemäß des Artikels sind Aufsichtsbehörden gesetzlich verpflichtet, jährlich einen Tätigkeitsbericht zu verfassen. Dieser Bericht beinhaltet eine Liste der Arten der gemeldeter Verstöße und der Arten der getroffenen Maßnahmen nach Article 58 (2) GDPR.

Eine gesetzliche Verpflichtung für Datenschutzbeauftragten oder auch Verantwortlichen über die Erstellung eines Tätigkeitsberichtes besteht somit nicht. Es gibt allerdings verschiedene Vorteile und Gründe, die für die Erstellung eines Tätigkeitsberichtes sprechen.

Nachweis- und Rechenschaftspflichten erfüllen

Für den Verantwortlichen besteht zwar keine gesetzliche Pflicht zur Erstellung eines Tätigkeitsberichts, es bestehen aber sogenannte Rechenschafts- und Nachweispflichten.

The accountability requirements are set out in Article 5 (2) GDPR definiert und verpflichten den Verantwortlichen im Wesentlichen dazu, die Grundsätze für die Verarbeitung personenbezogener Daten einzuhalten. Das diese Grundsätze eingehalten wurden, muss nachweisbar sein und kann von Datenschutz-Aufsichtsbehörden überprüft werden. Im Fokus einer solchen Überprüfung stehen insbesondere die Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten, der Auftragsverarbeitungsvertrag, die technisch organisatorischen Maßnahmen, die Datenschutz-Folgenabschätzung, die Meldung eines Datenschutzbeauftragten, der Nachweis über durchgeführte Mitarbeiterschulungen sowie der Umgang mit Datenschutzvorfällen.

Die Umsetzung dieser Anforderungen der DSGVO sind als Tätigkeiten im Datenschutz zu verstehen. Der Nachweis über die DSGVO-konforme Umsetzung kann und sollte kontinuierlich in einen Tätigkeitsbericht eingearbeitet werden.

Nachweis gegenüber Aufsichtsbehörden erbringen

Die Datenschutz-Aufsichtsbehörden sind gesetzlich verpflichtet, die Anwendung der DSGVO zu überwachen und durchzusetzen (Article 57 GDPR). Weiterhin verfügen die Aufsichtsbehörden über entsprechende Untersuchungsbefugnisse, die es ihnen gestatten, Verantwortlichen anzuweisen, Informationen über die Umsetzung der Vorgaben der DSGVO bereitzustellen (Article 57 GDPR). Den Nachweis über die Umsetzung dieser Anforderungen können Verantwortliche und Datenschutzbeauftragte mittels des Tätigkeitsberichts erbringen.

Dokumentationspflichten der DSGVO erfüllen

Neben dem Tätigkeitsbericht und den Rechenschafts- und Nachweispflichten enthält die DSGVO weitere documentation obligations. Die zwei wichtigsten Dokumentationspflichten sind die Pflicht zur Führung des Verzeichnisses für Verarbeitungstätigkeiten gemäß Article 30 GDPR sowie die Erstellung von Datenschutz-Folgenabschätzungen gemäß Erwägungsgrund 90 of the GDPR.

Important component of the data protection management system

Das Zusammentragen der Datenschutz-Tätigkeiten in einem Bericht ist weiterhin ein wichtiger Bestandteil bei der Etablierung eines funktionierenden Datenschutz-Management-Systems. Die verschiedenen Personen der Datenschutzorganisation wie Verantwortlicher, Datenschutzbeauftragter oder Datenschutzkoordinator pflegen den Status zu einzelnen Tätigkeiten im Datenschutz in diesem Bericht. Dadurch behalten alle Beteiligten einen Überblick über den Stand, die Vorgänge und die Einhaltung des Datenschutzes. Datenschutzbeauftragte nutzen den Tätigkeitsbericht zur Kontrolle der Umsetzung definierter Datenschutzrichtlinien. Verantwortliche ihrerseits können mittels des Berichts die Leistung des (externen) Datenschutzbeauftragten beurteilen.

Unterstützung bei der Umsetzung des Tätigkeitsberichts

Die verschiedenen gesetzlichen und normativen Anforderungen in einen Tätigkeitsbericht umzusetzen, kann kompliziert erscheinen. Regelmäßige Überprüfungen und Aktualisierungen Ihres Tätigkeitsberichtes tragen zur Optimierung Ihres Compliance-Management-Systems bei. Unsere Datenschutzbeauftragten (DSB) unterstützen Sie gern bei der Umsetzung Ihres Tätigkeitsberichtes. Informieren Sie sich über Vorteile, Ablauf und Kosten mit Robin Data.

Discover DPO services

Inhalte des Tätigkeitsbericht

Die Datenschutz-Grundverordnung regelt nicht im Detail, welche Inhalte ein Tätigkeitsbericht enthalten muss. Es ist aber sinnvoll alle Tätigkeiten, die im Zusammenhang mit den Rechenschafts- und Nachweispflichten stehen, im Bericht zu erfassen. Dies betrifft alle durchgeführten Datenschutz-Maßnahmen im Laufe des aktuellen Jahres über:

  • Prüfung und Bestellung eines Datenschutzbeauftragten
  • Den Status der aktuellen Verarbeitungstätigkeiten im Unternehmen
  • Alle Verträge zur Auftragsverarbeitung, Geheimhaltungsvereinbarungen, Datenschutzvorfälle und alle weiteren Punkte den Datenschutz im Unternehmen betreffend.
  • Die Umsetzung von Datenschutzrichtlinien wie Geheimhaltungsvereinbarungen oder den Umgang mit Datenschutzvorfällen
  • Der aktuelle Stand der technisch organisatorischen Maßnahmen (TOMs)
  • Handlungsanweisungen für Mitarbeiter zum Umgang mit definierten TOMs
  • Implementation of data subject rights
  • Erstellung und Stand des Löschkonzeptes
  • Durchgeführte Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter

Generelle Angaben und Inhalte wie die Kontaktdaten des Verantwortlichen / Datenschutzbeauftragten und das Datum der Erstellung des Tätigkeitsberichts müssen ebenfalls enthalten sein.

Abgrenzung zwischen Tätigkeitsberichten und Datenschutzberichten

Data protection audit report

A Data Protection Audit überprüft die Umsetzung des Datenschutzes im Unternehmen und zeigt Verbesserungspotenziale auf. Das Ergebnis wird in einem Bericht ausgewertet und konkrete Maßnahmen und Verantwortlichkeiten definiert. Bestandteil des Datenschutz-Auditberichtes sind die Ziele, der Umfang, relevante Kriterien und die Nennung des Auditors. Der hauptsächliche Unterschied zum Tätigkeitsbericht ist, dass ein externer Auditor beauftragt wird, das Datenschutzniveau des Unternehmens zu überprüfen, wohingegen der Tätigkeitsbericht in der Hauptverantwortung des Datenschutzbeauftragten liegt.

Tätigkeitsberichte der Datenschutz-Aufsichtsbehörden der Bundesländer

Die Landesdatenschutzbeauftragten der Bundesländer sowie der Bundesdatenschutzbeauftragte sind gemäß Artikel 59 DSGVO dazu verpflichtet, einen jährlichen Tätigkeitsbericht zu veröffentlichen. Dieser Bericht wird ebenfalls an das Parlament sowie die Regierung des Landes übergeben. Die aktuellen Tätigkeitsberichte finden Sie auf den Webseiten der Datenschutz-Aufsichtsbehörden.

Hinweise zur Umsetzung des Tätigkeitsberichts

Wie können Maßnahmen dokumentiert werden?

Die DSGVO gibt keine konkreten Anforderungen an die Erstellung eines Tätigkeitsberichtes vor. Allerdings ist im Zuge der Nachweispflicht eine schriftliche Dokumentation der Tätigkeiten im Tätigkeitsbericht sinnvoll. Den Überblick bei der Dokumentation aller relevanten Tätigkeiten zu behalten ist die größte Herausforderung bei der Erstellung eines Tätigkeitsberichts. Aus diesem Grund gibt es automatisierte und digitale Lösungen zur Umsetzung des Tätigkeitsberichts mittels Software. Setzen Sie Ihr Löschkonzept assistiert und unter Anwendung der aktuellen Gesetzeslage DSGVO-konform um.

Wie oft muss der Tätigkeitsbericht aktualisiert und überprüft werden?

Um der Dokumentations- und Rechenschaftspflicht nachzukommen, ist es nötig den Tätigkeitsbericht und die enthaltenen Tätigkeiten regelmäßig zu überprüfen und aktuell zu halten. Es reicht allerdings aus, einen Tätigkeitsbericht jährlich zu erstellen.

Erstellung mit der Robin Data ComplianceOS®

Tätigkeitsbericht-Vorlage in Robin Data

Die Umsetzung des Datenschutzes erfolgt gemäß der geltenden Datenschutzgesetze (z. B. GDPR, BDSG.) und spezieller Regelungen innerhalb der Branche einer Organisation. Aus diesen gesetzlichen Vorgaben ergeben sich für den Verantwortlichen gewisse Pflichten, deren Umsetzung häufig nachzuweisen ist. Die Umsetzung dieser Pflichten erfolgt innerhalb von Tätigkeiten, die in der Robin Data ComplianceOS® dokumentiert werden können. All diese Tätigkeiten verwalten Sie im Tätigkeiten-Manager von Robin Data.

The Robin Data compliance platform offers standardised template and samples in Form von Formularen, die Sie bei der Erstellung von Tätigkeiten unterstützen. Wichtige Daten können erfasst oder mittels Dropdown-Menü aus der umfangreichen Datenbank von Robin Data ausgewählt werden. Hinterlegen Sie Verantwortlichkeiten und informieren Sie Personen per E-Mail. Teilen Sie Tätigkeiten in Kategorien ein, die sich teilweise aus dem Datenschutzrecht ableiten (z. B. aus den Betroffenenrechten) oder aus der alltäglichen Arbeit im Datenschutz entstehen (z. B. durch geplante Datenlöschungen).

Sollten Sie sich für die Umsetzung und Dokumentation der Tätigkeiten mit der Robin Data ComplianceOS® interessieren, können Sie die einzelnen Schritte in unserem Help Center or book free initial meetings .

Screenshot des Tätigkeiten-Managers aus der Robin Data ComplianceOS

In 6 Schritten zum Tätigkeitsbericht mit Robin Data

  • 1

    Tätigkeit anlegen

    • Vergeben Sie eine Bezeichnung und Beschreibung zur Tätigkeit
    • Wählen Sie eine zutreffende Kategorie der Tätigkeit aus der Datenbank von Robin Data
    • Store relevant information such as start date, deadline, input channel or the enquirer
    • Vergeben Sie einen Status zur Tätigkeit
  • 2

    Tätigkeit einen Verantwortlichen zuordnen

    • Wählen Sie einen Verantwortlichen aus Ihrer Datenschutzorganisation aus
    • Hinterlegen Sie diesen Verantwortlichen im Formular zur Tätigkeit
    • Informieren Sie diesen Verantwortlichen über die Tätigkeit per E-Mail
  • 3

    Define subtasks

    • Legen Sie weitere Unteraufgaben zur Tätigkeit an
    • Assign these to persons from your data protection organisation
  • 4

    Tätigkeit weiter bearbeiten

    • Arbeiten Sie kollaborativ weiter an der Tätigkeit
    • Aktualisieren Sie den Status oder ändern Sie die Verantwortlichkeit
    • Fügen Sie weitere relevante Inhalte wie Anlagen, externe Links oder verknüpfte Dokumente an
  • 5

    Alle Tätigkeiten im Tätigkeiten-Manager verwalten

    • Die Tätigkeit wird automatisch zum Tätigkeiten-Manager hinzugefügt
    • Der Tätigkeiten-Manager enthält eine Auflistung aller Tätigkeiten Ihrer Organisation
    • Überblicken, bearbeiten und verwalten Sie Ihre Tätigkeiten an einer Stelle im Tätigkeiten-Manager
  • 6

    Tätigkeitsbericht erstellen

    • Wählen Sie die relevanten Tätigkeiten für Ihren Tätigkeitsbericht aus
    • Drucken Sie den Tätigkeitsbericht digital als PDF aus

Schedule a meeting with Robin Data

Gerne zeigen wir Ihnen in einem persönlichen Online-Termin, wie Sie Ihre Anforderungen mit Robin Data ComplianceOS® umsetzen können. Bekommen Sie einen Einblick in den Aufbau und den Funktionsumfang und stellen Sie Ihre Fragen aus Anwendersicht. Buchen Sie zunächst ein kurzes Kennenlern-Meeting mit uns.

Schedule a meeting
Caroline Schwabe
Latest posts by Caroline Schwabe (see all)

Das könnte Sie auch interessieren:

Verzeichnis von Verarbeitungstätigkeit nach Art. 30 DSGVO. Schritt für Schritt erklärt mit umfangreichen Informationen. Datenschutz einfach gemacht.
Read more
Alle Informationen zu den Technisch Organisatorischen Maßnahmen nach DSGVO. Was müssen Verantwortliche bei der Umsetzung und Dokumentation beachten?
Read more
Alle Informationen zum Auftragsverarbeitungsvertrag nach DSGVO. Was müssen Verantwortliche bei der Erstellung und Verwaltung beachten?
Read more