Am Ende des Jahres wird Bilanz gezogen. Jahresabschlüsse in der Buchhaltung und geschäftiges Treiben in der Personalabteilung verbindet wohl jeder mit dem Jahreswechsel.
In diesem Beitrag möchten wir einen Blick auf den datenschutzrechtlichen Jahresabschluss werfen, mit welchem der Datenschutzbeauftragte das vergangene Jahr Revue passieren lässt.
Mit dem „Jahresbericht des Datenschutzbeauftragten“ kann der Datenschutzbeauftragte seine Tätigkeiten im vergangenen Jahr zusammenfassen und der zuständigen Geschäftsführung einen aktualisierten Stand über den Datenschutz im Unternehmen vermitteln. Zusätzlich können hier die im vorangegangenen Jahresbericht geplanten Tätigkeiten aufgegriffen und den erfolgreich umgesetzten Aktivitäten gegenübergestellt werden.
Der Jahresbericht des Datenschutzbeauftragten
Im Jahresbericht sollte darauf eingegangenen werden, welche Einzelprojekte und -themen aus datenschutzrechtlicher Sicht begleitet wurden.
Neue Prozesse, Systeme oder Programme
Das umfasst bspw. neue Prozesse, Systeme oder Programme zur Datenverarbeitung, welche im Unternehmen integriert wurden. Aus dem Jahresbericht sollte hervorgehen, wie weit die Integration bereits fortgeschritten ist und an welchem Punkt die Einführung sowie die datenschutzrechtliche Dokumentation steht. Auf etwaige Schwierigkeiten oder erhöhte Aufwände beim Abschluss eines Auftragsverarbeitungsvertrages (AV-Vertrag) oder der datenschutzkonformen Anpassungen der Prozesse sollte hingewiesen werden. Für den Leser muss sich ein bestmögliches Bild über den aktuellen Stand zum Jahreswechsel ergeben. Daran anschließend ist darzustellen, welche weiteren Schritte noch zu gehen sind oder wo noch Aufwände im kommenden Jahr zu erwarten sind. Risiken, welche sich aus der Integration ergeben haben, sind an dieser Stelle ebenfalls aufzuzeigen.
Anfragen von Behörden/Betroffenen, Datenpannen und andere Ereignisse
Einzelereignisse, wie Anfragen von Aufsichtsbehörden oder Betroffenen sowie Datenpannen, sollten ebenfalls Teil des Jahresberichts sein.
Aufsichtsbehördliche Anfragen und die hier vollzogene Kommunikation sind im Bericht kurz darzustellen. Nicht selten können Sachverhalte auch im folgenden Kalenderjahr noch relevant sein und die dazugehörige Korrespondenz fortgesetzt werden.
Die Beantwortung von Betroffenenanfragen wäre zu thematisieren, wenn diese nicht fristgerecht oder unzureichend erfolgten. Daraus können notwendige Anpassungen in den eigenen Abläufen abgeleitet werden. Anderenfalls wären die Verarbeitungsprozesse zu überarbeiten, um den Betroffenenanfragen gerecht werden zu können. Die Summe der Betroffenenanfragen kann unter Umständen darauf hinweisen, dass anderweitig die Transparenzpflichten nicht ausreichend erfüllt werden. Hier können Anpassungen bei den Informationen nach Art. 13 DSGVO in Erwägung gezogen werden, um weiteren Betroffenenanfragen zuvorzukommen.
Etwaige Datenpannen und die hieraus ggf. resultierenden Meldungen an die Aufsichtsbehörden oder Betroffenen sind ebenfalls Bestandteil eines datenschutzrechtlichen Jahresberichts. Vorrangig sollte dargestellt werden, ob aufgrund von Datenschutzverletzungen noch offene Sachverhalte in das neue Jahr übernommen werden. Auf der anderen Seite ist es wichtig darzustellen, ob die geplanten Maßnahmen zur Vermeidung erneuter Vorfälle bereits umgesetzt werden konnten. Insbesondere langfristige Maßnahmen können auch den Jahreswechsel überdauern. Erfolgreich abgeschlossene Maßnahmen sind aus Gründen der Vollständigkeit ebenfalls zu benennen.
Stand der Schulungen, Zusammenarbeit und Dokumentation
Neben den tagesaktuellen Vorgängen sollte auch der allgemeine Stand des Datenschutzes kommuniziert werden.
Die Ergebnisse von Schulungen oder die Kommunikation und Zusammenarbeiten mit den Abteilungen und Datenschutzkoordinatoren sind wichtige Faktoren. Somit können Rückschlüsse auf die Integration des Themas Datenschutz im Unternehmen gezogen werden. Dabei sind Einschätzungen des Datenschutzbeauftragten hilfreich, aus welchen hervorgeht, ob die dokumentierten Prozesse auch tatsächlich gelebt werden.
Der Stand der Dokumentation, insbesondere des Verfahrensverzeichnisses, ist ein weiterer relevanter Punkt. Grundsätzlich wird dieses Verzeichnis ständigen Anpassungen und Ergänzungen unterworfen sein. Somit wird es vermutlich nie „fertig“ sein. Jedoch ermöglicht die Aktualität der einzelnen Prozesse, die Detailtiefe sowie die Anzahl der dokumentierten Prozesse eine gute Einschätzung des Status quo. Sofern es notwendig ist, kann an dieser Stelle auf etwaige Datenschutz-Folgenabschätzungen eingegangen werden. Da diese einen nicht unerheblichen Arbeits- und Zeitaufwand im Unternehmen fordern, sollte ihre Durchführung in einer Planung entsprechend berücksichtigt werden.
Daneben können die im Unternehmen verwendeten Informationen nach Art. 13 DSGVO ein wichtiges Thema für den Jahresabschluss sein. Deren Anpassung und Überarbeitung sollte i. d. R. mit Prozessintegrationen oder -änderungen einhergehen. Ob und wie weit diese Anpassungen umgesetzt wurden, kann hier dargestellt werden.
Datenschutz-Audits
Auch die Durchführung von Audits (eigene oder auch durch Dritte im eigenen Unternehmen) sollte im Jahresbericht dokumentiert werden. Zwar kann bzgl. der einzelnen Ergebnisse auf die jeweiligen Auditberichte verwiesen werden, jedoch ist die Summe der erfolgreich durchgeführten Audits eine sicherlich willkommene Kennzahl im Datenschutzbericht. Sollten sich aus den Audits eventuelle „findings“ ergeben haben, ist deren Aufarbeitung ebenfalls zu erläutern.
Datenlöschung
Ein nicht zuletzt wichtiger Punkt ist die Datenlöschung. Mit Ablauf des Jahres werden auch verschiedene Fristen enden. Je nach interner Organisation kann hierauf eingegangen werden. Ebenso können auch Ergebnisse von etwaigen Löschtagen mit aufgenommen werden.
Aufgaben für das kommende Jahr
Der Ausblick für das kommende Jahr kann auch Themen außerhalb des eigenen Unternehmens aufgreifen. Meist werfen Gesetzesänderungen oder zu erwartende Gerichtsentscheidungen ihre Schatten voraus. Aus datenschutzrechtlicher Sicht kann sich hier auch ein relevantes Thema für das eigene Unternehmen ergeben.
Somit bietet der Jahresbericht eine Momentaufnahme zum Datenschutz beim Jahreswechsel. Dem Leser wird verdeutlicht, welche Themen und Prozesse abgeschlossen wurden und welche Aufgaben bereits für das kommende Jahr zu berücksichtigen sind. Basierend auf dem aktuellen Stand der Dokumentation im Datenschutz-Managementsystem, sind offene Punkte zu benennen und auch als Aufgabenstellungen für das kommende Jahr zu vermerken. Die Priorisierung von Aufgaben und deren zeitliche Aufarbeitung im kommenden Jahr ist mit der Geschäftsführung und ggf. mit den Abteilungen abzustimmen. Dabei kann der Datenschutzbeauftragte eine nach seiner Einschätzung empfohlene Priorisierung im Jahresbericht vermerken. Die sich hieraus ergebenden Aufgaben bilden die Grundlage für das neue Kalenderjahr. Im kommenden Jahresbericht kann erneut hierauf referenziert werden.
Fazit
Entgegen den Vorgaben gemäß Art. 59 DSGVO für die Datenschutz-Aufsichtsbehörden, müssen interne und externe Datenschutzbeauftragte nach aktueller Rechtslage keinen Tätigkeitsbericht erstellen. Es müssen jedoch die Rechenschafts- und Dokumentationspflichten der Verantwortlichen berücksichtigt werden, welche einen Tätigkeitsbericht notwendig machen können. Für eine ordnungsgemäße Dokumentation sowie eine pflichtbewusste Unterrichtung und Beratung des Verantwortlichen ist der Tätigkeitsbericht aus Sicht des Datenschutzbeauftragten ein probates Mittel. Es lohnt sich daher, diesen zeitnah zu erstellen, um eine fundierte Grundlage für den Start in das neue Jahr zu haben.