18. Dezember 2009 - Aufwendig? Wirkungsvoll!

Der Datenschutz-Jahresbericht

Ein Jahresdatenschutzbericht ist zwar mit Zeitaufwand und Mühe verbunden. Doch die vielen Vorteile wiegen die Nachteile bei Weitem auf. So verbessern Sie etwa das Verständnis für den Datenschutz und sichern sich die Unterstützung von Vorgesetzten und Kollegen.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Zweck eines Jahresdatenschutzberichts ist es, die im Geschäftsjahr getroffenen Datenschutzmaßnahmen und ihre Einbindung in das Datenschutzmanagement Ihres Unternehmens darzustellen. So schaffen Sie Transparenz. Darüber hinaus entfaltet der Bericht Wirkungen, die Ihnen Ihre Arbeit als DSB wesentlich erleichtern.

Die Dokumentation sichert die Qualität

Ein Jahresdatenschutzbericht, der im Betrieb bekannt gemacht wird, unterstützt Ihre Tätigkeit als DSB in vielerlei Hinsicht. Zunächst nimmt er Sie selbst in die Pflicht. Sie müssen quasi ein Datenschutztagebuch führen, um bei der Erstellung keine Einzelheiten zu vergessen. Diese Disziplin kann anfangs als lästig empfunden werden, erzeugt aber letztlich ein effektives, zielgerichtetes Vorgehen.

Sie sichert Sie auch gegen Vorwürfe ab

Die Dokumentation dient als Beleg für erfolgtes Hinwirken in allen Bereichen – sowohl nach außen als auch nach innen. Mehr noch: Sie können damit auch ungerechtfertigten Vorwürfen, Haftungs- oder gar Schadenersatz-ansprüchen vorbeugen oder entgehen.

Der richtige Zeitpunkt

Denken Sie bei der Veröffentlichung Ihres Berichts strategisch: Geben Sie ihn z.B. kurz vor der Betriebsversammlung ab! Da das Betriebsverfassungsgesetz (BetrVG) und das Bundesdatenschutzgesetz (BDSG) im Bereich Beschäftigtendatenschutz etliche Schnittmengen haben, finden Sie hier neben Intranet, Betriebsmitteilungen oder Schwarzem Brett eine weitere wirkungsvolle Plattform.

Aufklärung für die Kollegen und die zuständige Aufsichtsbehörde

Regen Sie zudem die Veröffentlichung im Internet als Ergänzung des Links „Datenschutzerklärung“ an! Bei Überprüfungen durch die Aufsichtsbehörde haben Sie einen Beleg für Ihre Aktivitäten, deren Umsetzung oder ihre Ablehnung durch die Leitung.

Sie fördern das Datenschutzbewusstsein bei Mitarbeitern und Leitung

Die interne Wirkung jedoch ist erfahrungsgemäß die wichtigste: Ein Mitarbeiter, der einen gut etablierten Datenschutz in seinem Betrieb angesiedelt weiß, verhält sich ganz anders – auch nach außen – als einer, der nicht einmal den Namen seines DSB kennt.

Und letztlich gibt ein Jahresdatenschutzbericht der Geschäftsleitung einen genauen Überblick über den Status des Unternehmen, und zwar sowohl positiv als auch negativ.

Download Mustergliederung
Eine beispielhafte Gliederung für einen Jahresdatenschutz-Bericht finden Datenschutz-PRAXIS-Abonnenten kostenlos in unserem Download-Center.

Weiterer nützlicher Download:

So schaffen Sie eine Wissensbasis

Der Inhalt Ihres Berichts sollte in einen allgemeinen und einen betriebsspezifischen Abschnitt unterteilt sein.

Im allgemeinen Teil sind neben den allgemeinen BDSG-Bestimmungen alle weiteren für Ihr Unternehmen zutreffenden bereichsspezifischen Rechtsgrundlagen sowie die Fortentwicklung der Rechtsprechung zu erläutern, die in Ihrem Bereich beachtet werden müssen. In diesem Abschnitt können Sie auch die aktuellen Datenschutzdiskussionen in den Medien ansprechen.

Diese Themen gehören in Ihren Jahresbericht für 2009

Für das Jahr 2009 sind dies zweifellos die drei BDSG-Novellen, deren Auswirkungen für den Betrieb hier ihren Platz finden. Liegen Auftragsdatenverarbeitungen vor, ist die Umsetzung des neuen § 11 BDSG zu erläutern.

Ebenfalls in den ersten Abschnitt gehören allgemeine Aussagen zum DSB: Aufgaben, Befugnisse, organisatorische Einbindung im Betrieb, Handlungsermächtigungen und erfolgte eigene Weiterbildung. Es kann zweckmäßig sein, die Verantwortlichkeiten für den Datenschutz präzise darzustellen.

Des Weiteren ist hier die zuständige Aufsichtsbehörde anzusprechen, deren Befugnisse und relevante Themen aus ihrem aktuellen Tätigkeitsbericht, gegebenenfalls auch gestellte Anfragen und Diskurse.

Mit Lob motivieren Sie

Im Bericht macht sich ein Dank für die Unterstützung durch die Geschäftsleitung, die Mitarbeiter, die Systemadministration und die Mitarbeitervertretung immer gut – auch wenn die Hilfe tatsächlich hinter Ihren Erwartungen zurückgeblieben ist.

Erwähnen Sie auch Ihre Wünsche

Als Abschluss des ersten Teils kann durchaus eine persönliche „Wunsch-liste“ dienen, in der Sie grundsätzliche organisatorische Mängel kritisch ansprechen können. Formulieren Sie etwa folgendermaßen:

„Ich hätte mir gewünscht, dass im zurückliegenden Geschäftsjahr

  • die in allen Schulungen angesprochenen technisch-organisatorischen Maßnahmen mehr beachtet worden wären,
  • vor Einführung neuer Verfahren meine Einbindung zur Durchführung der Vorabkontrolle erfolgt wäre und
  • die private Rechner-Nutzung in einer Betriebsvereinbarung endgültig geregelt wäre.“

Firmenspezifische Besonderheiten

Der betriebsspezifische Abschnitt ist weitgehend abhängig von Struktur und Größe des Betriebs, vor allem aber von seinem Geschäftsfeld. Immer anzusprechen sind aber:

  • erreichte/nicht erreichte Ziele des Vorjahrs
  • das EDV-System mit Stärken und Schwächen für die Datensicherheit
  • festgestellte Mängel technisch-organisatorischer Maßnahmen
  • Stand der Bereinigung
  • Erfolge/Misserfolge im Datenschutz
  • durchgeführte und ausstehende Schulungen
  • Eingaben von internen und externen Betroffenen und deren Bearbeitung
  • Ziele für das neue Berichtsjahr

Keinesfalls sollten Sie personenbezogene Daten erwähnen; sie stehen einer Weiterleitung Ihres Berichts entgegen!

Alleiniger Adressat: Geschäftsleitung

Alleiniger Adressat Ihres Berichts ist die Geschäftsleitung! Aber: Streben Sie an, dass der Bericht auch den Betriebsrat, die Systemadministration und die jährliche Mitarbeiterversammlung bzw. das Intranet erreicht.

So machen Sie Ihre Arbeit bekannt

Sollte die Geschäftsleitung Ihrem Wunsch widersprechen: Fragen Sie nach den Gründen! Bitten Sie die Geschäftsleitung, ihrerseits den Bericht weiterzuleiten. Erfolgt keinerlei Reaktion, müssen Sie deutlicher werden: Kündigen Sie nach der zweiten Erinnerung die Bekanntgabe der Existenz des Jahresberichts und die Nichtzustimmung der Geschäftsleitung zu dessen Bekanntgabe an!

Tipp aus der Praxis:
Bauen Sie folgenden Nebensatz in Ihr Anschreiben ein: „Ich gehe davon aus, dass eine Weiterleitung in den nächsten Wochen an (genannte Empfänger) in Ihrem Interesse liegt.“ Oder: „Ich beabsichtige, den Bericht für Interessierte bereitzuhalten (Transparenzgebot)“. Folgt kein Widerspruch, haben Sie freie Bahn!

Verweisen Sie auf Ihre Hinwirkungspflicht und Ihre Möglichkeit, die offensichtlich zu verschweigenden Mängel in Ihre Schulungen einzubeziehen. Begründung: Transparenzgebot. Die Veröffentlichung können Sie nicht erzwingen. Doch kann auch ein Hinweis auf die Unterstützungspflicht der Leitung und eine entsprechende Anfrage an die Aufsichtsbehörde hilfreich sein.

Wettbewerbsvorteil Datenschutz

Der sorgsam recherchierte Jahresdatenschutzbericht ist für die Leitung der nicht-öffentlichen Stelle eine wertvolle Hilfe für ihr Qualitätsmanagement. Die Dokumentation eines gut aufgestellten Datenschutzes gibt ihr die Möglichkeit, offensiv ihr Datenschutzmanagement in die Außenwerbung einzubeziehen.

Datenschutz im Dienste der Kollegen

Und innerhalb des Unternehmens? Da weiß dank Ihres guten, im Jahresdatenschutzbericht dargestellten Datenschutzmanagements jeder Mitarbeiter, dass sein Recht auf informationelle Selbstbestimmung bewusst beachtet und immer besser verwirklicht wird.

Manfred von Reumont

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln