Sehr geehrte Leserinnen und Leser,

der Frühling kehrt langsam ein und die Tage werden wieder länger. Einige Menschen nutzen diese Zeit für ihren Frühjahrsputz. Obwohl die weltpolitische Lage schwierig ist, wird die allgemeine Stimmung der Menschen in Deutschland durch jeden Sonnenstrahl scheinbar etwas besser. Es ist gerade wohl auch die Zeit für einen datenschutzrechtlichen Frühjahrsputz.

Schließlich veröffentlichen viele deutsche Datenschutzbehörden in diesen Tagen ihre Tätigkeitsberichte für das vergangene Jahr. Ich kann mir zumindest vorstellen, dass es bei der Erstellung dieser Berichte ein kleines bisschen ähnlich wie bei einem Frühjahrsputz zugeht. Man wird eventuell versuchen, die ein oder andere Akte bis vor der Finalisierung des Berichts noch abzuschließen und den langumkämpften Fall noch mit in den Bericht aufzunehmen. Die an der Erstellung der Berichte beteiligten Behördenmitarbeiter müssen bei den von ihnen beigesteuerten Texten wahrscheinlich auch sicherstellen, dass die intern abgestimmte, hauseigene Meinung hinreichend im Bericht deutlich erkennbar wird.

In den Tätigkeitsberichten werden u.a. ausgewählte behördliche Verfahren beschrieben und Rechtsfragen von allgemeiner Bedeutung anhand von verschiedenen konkreten Fällen erläutert. Für die Rechtsanwendung sind die Berichte der Datenschutzbehörden häufig sehr relevant und hilfreich, weil die von der jeweiligen Behörde zu einzelnen Rechtsfragen vertretenen Positionen häufig etwas umfangreicher dargelegt und begründet werden. Einige der deutschen Datenschutzbehörden haben die Relevanz der Jahresberichte offensichtlich erkannt. Mittlerweile werden die Berichte schließlich sogar in einem Podcast-Format besprochen oder anderweitig für die interessierte Allgemeinheit online und nicht nur in einer Landtagssitzung vorgestellt.

Unternehmen und öffentliche Stellen können die Veröffentlichung des Tätigkeitsberichts der für sie vorrangig zuständigen Datenschutzbehörde auch zum Anlass nehmen, um bei sich eine Art datenschutzrechtlichen Frühjahrsputz durchzuführen. Denn die Behördenpositionen zu verschiedensten Themen werden in den Berichten erläutert und man kann – gerade im Bereich Mitarbeiterdatenschutz und bei anderen unabhängig vom eignen Tätigkeitsfeld immer geltenden Datenschutzvorgaben – seine eigenen Auffassungen und Vorgehensweisen gut mit den Äußerungen der Behörde aus dem Bericht vergleichen. Das kann eventuell auch dazu führen, dass man bei sich im Unternehmen oder in der öffentlichen Stelle Handlungsbedarf erkennt. Es kann natürlich aber auch einmal so sein, dass man in der Vergangenheit entgegen der Behördenauffassung gehandelt hat, und man nun im Nachhinein aus den Aussagen in dem Bericht für sich trotzdem noch etwas mitnehmen kann.

Auch für die Datenschutzbeauftragten in Unternehmen und öffentlichen Stellen ist es wohl nun an der Zeit, den Tätigkeitsbericht für das vergangene Jahr fertigzustellen. Die Erstellung eines Jahresberichts des Datenschutzbeauftragten ist zwar nicht direkt als Pflicht vorgesehen. Trotzdem hat sich dieses Instrument in der Vergangenheit in vielen Unternehmen und öffentlichen Stellen etabliert. Es wird zumindest als eine Form der Berichterstattung ggü. der höchsten Managementebene entsprechend Art. 38 Abs. 3 Satz 3 DSGVO verstanden. Damit der Bericht des Datenschutzbeauftragten genauso wertvoll wie der Bericht der „eigenen Datenschutzbehörde“ wird, muss der Datenschutzbeauftragte – genauso wie die Datenschutzbehörde – in dessen Erstellung wohl eine nicht unerhebliche Menge an Zeit investieren.

Ein solcher Bericht kann bspw. durch darin für das nächste Berichtsjahr erteilte, konkrete Empfehlungen und an die Entscheidungsebene gerichtete Hinweise zum Ist- und Soll-Zustand unter Beachtung der Wirtschaftlichkeit einen signifikanten Mehrwert haben. Sofern die Kerntätigkeit oder ein Segment eines Unternehmens stark von der Verarbeitung personenbezogener Daten abhängig ist, hat der Datenschutzbeauftragte viele Möglichkeiten, seinen Bericht auch aus Perspektiver der Wirtschaftlichkeit betrachtet besonders wertvoll zu gestalten. Spätestens dann ist wohl auch eine Art datenschutzrechtlicher Frühjahrsputz anhand des Tätigkeitsberichts der eigenen Datenschutzbehörde angemessen.

Beim Lesen dieser Ausgabe wünsche ich Ihnen viel Spaß und sende frühlingshafte Grüße

Ihr

Philipp Quiel

Dieser Beitrag erschien als Editorial in der Ausgabe 04/2026 des Datenschutz-Berater.