1. Home
  2. Tätigkeitsbericht als...
DataAgenda

Tätigkeitsbericht als Steuerungsinstrument für Datenschutzbeauftragte

Tätigkeitsbericht des DSB

Die französische Datenschutzbehörde CNIL jüngst eine Empfehlung samt Mustervorlage für den Tätigkeitsbericht des Datenschutzbeauftragten veröffentlicht. Die Empfehlungen decken sich weitgehend mit der deutschen Praxis – mit einer bemerkenswerten Ausnahme.

Obwohl weder DS-GVO noch BDSG einen Tätigkeitsbericht für betriebliche Datenschutzbeauftragte vorschreiben, empfiehlt die CNIL diesen als zentrale Best Practice. Das entspricht der gelebten Praxis auch im deutschen Raum: Die in Art. 38 Abs. 3 DS-GVO verankerte Pflicht, unmittelbar an die höchste Managementebene zu berichten, bildet die natürliche Grundlage für einen strukturierten Jahresbericht. Auch das DSK-Kurzpapier Nr. 12 unterstreicht, dass der DSB den Stand des Datenschutzniveaus analysiert und der Geschäftsleitung Verbesserungsvorschläge sowie Defizithinweise gegenüber kommuniziert.

Inhaltlich empfiehlt die CNIL, den Bericht als strategisches Steuerungsinstrument zu nutzen: Er soll Verarbeitungstätigkeiten und Projekte diagnostizieren, rechtliche, finanzielle und reputationsbezogene Risiken bewerten sowie Maßnahmen zur Compliance dokumentieren – ergänzt durch Kennzahlen wie Betroffenenanfragen, Datenpannen oder erstellte Dokumentenvorlagen. Das entspricht dem deutschen Verständnis des Tätigkeitsberichts als Risiko- und Steuerungsdokument an die Geschäftsführung.

Einen Unterschied gibt es allerdings: Die CNIL empfiehlt, Berichtsinhalte auch an Mitarbeitende und Arbeitnehmervertretungen weiterzugeben. Die CNIL sieht den Tätigkeitsbericht nicht nur als Managementinstrument, sondern auch als Mittel zur Sensibilisierung der Beschäftigten.

Ein Bericht könne:

  • die Sichtbarkeit des Datenschutzbeauftragten erhöhen,
  • laufende Datenschutzaktivitäten sichtbar machen,
  • den Handlungsbedarf verdeutlichen.

Hierfür empfiehlt die CNIL, wesentliche Erkenntnisse aus dem Managementbericht in geeigneter Form mit Mitarbeitenden und Arbeitnehmervertretungen zu teilen.

Im deutschen Kontext dürfte in diesem Punkt zumindest Zurückhaltung geboten sein. Da der Tätigkeitsbericht typischerweise sensible Risikoeinschätzungen enthält, sollte eine Weitergabe an den Betriebsrat oder die Belegschaft stets in Abstimmung mit der Geschäftsführung erfolgen – andernfalls kann das Vertrauensverhältnis zwischen DSB und Leitung belastet werden.

Hinsichtlich Form und Rhythmus besteht Gestaltungsfreiheit: Der Bericht kann quartalsweise, halbjährlich oder jährlich erstellt werden. Die Mustervorlage der CNIL bietet auch für deutsche DSB eine praxistaugliche Orientierungshilfe.

(Foto: magele-picture – stock.adobe.com)

Letztes Update:04.06.26

Das könnte Sie auch interessieren

  • Data Breach Management

    Praxisnahe Handreichung zum Datenpannenmanagement

    Passend zur jüngsten Verwarnung der BVG durch die BlnBDI hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) eine strukturierte Handreichung zum Vorgehen bei Datenpannen veröffentlicht – ein nützliches Referenzdokument für Datenschutzverantwortliche, das die wesentlichen Pflichten kompakt und praxisorientiert aufbereitet. Meldepflicht und Risikobewertung als Ausgangspunkt Die Meldepflicht nach Art. 33 DS-GVO liegt stets beim Verantwortlichen –

    Mehr erfahren
  • Chatbots in der Verwaltung

    LLM-gestützte Chatbots in der öffentlichen Verwaltung

    Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat mit „AI in a Nutshell 3“ eine praxisorientierte Kurzinformation zum datenschutzkonformen Einsatz von LLM-gestützten Chatbots in bayerischen Behörden veröffentlicht. Das Dokument strukturiert die relevanten Anforderungen entlang der drei Phasen Beschaffung, Implementierung und Nutzung. Beschaffung: Vorabprüfung als Pflichtprogramm Bereits im Vorfeld der Beschaffung ist umfassend zu klären, ob

    Mehr erfahren
  • Incidentmanagement im Krankenhaus

    Datenpannenmanagement: LDI NRW identifiziert strukturelle Schwachstellen

    Keine Datenpanne in zwei Jahren – klingt gut, ist aber verdächtig. Zu diesem Schluss kommt die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) nach einer Befragung von 33 Kliniken zum Umgang mit Datenschutzvorfällen. Das Ergebnis zeigt ein gemischtes Bild: solide IT-Sicherheitsstandards auf der einen, mögliche Lücken im internen Meldewesen auf der anderen Seite. Untersuchungsgegenstand

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner