Neues Jahr, gleiche Aufgaben. Haben Sie sich schon auf den nächsten Datenschutzbericht als Teil des Berichtswesens vorbereitet?
In einer europaweiten Prüfung zur Stellung und Aufgaben von Datenschutzbeauftragten hat der EDSA in seinem Prüfbericht u.a. Stellung zur fehlenden Berichterstattung des DSB an die höchste Managementebene der Organisation bezogen.
Artikel 38 Abs. 3 i.V.m. mit Art 39 Abs, 1 lit. a DSGVO verpflichtet den Datenschutzbeauftragten entsprechend seiner Stellung und im Rahmen seiner Aufgaben an die höchste Managementebene der Organisation zu berichten.
Mit Besorgnis und Erschrecken stellte der EDSA im Rahmen der Prüfaktion fest, dass in einigen Fällen vom DSB nicht erwartet wird, regelmäßig eine solche Berichterstattung vorzunehmen, oder dass sie dies nicht auf freiwilliger Basis tun.
In vier Mitgliedstaaten haben 30 % oder mehr der Befragten sogar angegeben, dass vom DSB überhaupt keine solche Berichterstattung erwartet wird.
Die Ergebnisse deuten nach Ansicht des EDSA darauf hin, dass DSBs möglicherweise keinen direkten Zugang zur höchsten Managementebene haben. Drei nationale Aufsichtsbehörden berichteten, dass DSBs oft an untere Managementebenen berichten müssen. In einigen Organisationen wird dem DSB sogar eine untergeordnete Rolle zugewiesen. Das Organigramm zeigt nur eine „gepunktete Linie“ zum oberen Management, was auf eine unklare Beziehung hinweist.
Es ist bemerkenswert, dass die häufigste Antwort im gesamten EWR bezüglich der Häufigkeit der Berichterstattung durch den DSB nur „ein- bis zweimal pro Jahr“ war.
Während die DSGVO und die Leitlinien für DSB nicht festlegen, wie häufig die Berichterstattung erfolgen sollte, gibt eine seltene oder unregelmäßige Berichterstattung durch DSB an die höchste Managementebene Anlass zu erheblichen Bedenken hinsichtlich einer wirksamen Aufsicht und Governance.
Laut EDSA hängt dieses Problem mit der unzureichenden Einbindung der DSB zusammen. Die Leitlinien zu DSBs betonen, dass direkte Berichterstattung gemäß Artikel 39 Abs. 1 lit. a DSGVO sicherstellt, dass die Geschäftsleitung über die Empfehlungen des DSB informiert wird. Fehlender Zugang erschwert es DSBs ihre Meinung – insbesondere bei Differenzen – einzubringen, was ihre Rolle schwächt. Ohne regelmäßige Berichterstattung fehlen der Führungsebene wichtige Informationen, was die DSGVO-Compliance gefährdet und bei Verstößen zu Haftungsrisiken führt.
Die DSGVO und die Leitlinien zum DSB legen das Format der Berichte nicht fest. Am häufigsten wird ein schriftlicher Bericht für den Vorstand verwendet (Median 43 %). Allerdings wählten 28 % der Befragten die Kategorie „Sonstiges“, was auf uneinheitliche Praktiken hinweist. Möglicherweise erfolgen Berichte mündlich, obwohl schriftliche Berichte mehr Nachvollziehbarkeit und Rechenschaft bieten. Der EDSA sieht diesbezüglich deutliche Lücken und zeigt auf, dass ein regelmäßiges Berichtswesen daher unablässig ist.
Exkurs:
Weitere Informationen warum ein Datenschutzbericht wichtig ist erfahren Sie hier.
Fazit:
Ein etabliertes und regelmäßig gelebtes Berichtswesen mittels direkter Berichtslinien, -wege, und mittel ist unabkömmlich um nicht nur die Stellung des Datenschutzbeauftragten sicher zu verankern, sondern auch damit dieser seine rechtlichen Aufgaben erfüllen kann. Ein regelmäßiger Datenschutzbericht und die Entwicklung von Standards kann nach Ansicht des EDSA, als auch der nationalen Aufsichtsbehörden, ein Teil dessen sein, welcher Sie zeitgleich im Rahmen Ihrer Nachweispflicht unterstützt.
Auch interessant:
Profitieren Sie von unseren Mustern zur Erstellung und Umsetzung eines Berichts des Datenschutzbeauftragten.
