Das Verfahrensverzeichnis der Tätigkeiten (VVT)

Was ist ein Verfahrensverzeichnis der Tätigkeiten (kurz VVT)?

Ein solches Verzeichnis dokumentiert die Verfahren der Datenverarbeitung. Es gibt ein internes und ein öffentliches. Letzteres muss nach § 4g Abs. 2 BDSG jedem, der es beantragt, durch den Datenschutzbeauftragten verfügbar gemacht werden.

Verfahrensverzeichnis der Tätigkeiten – IT

Jedes Unternehmen setzt heutzutage IT-Systeme zur Steuerung ihrer Unternehmensprozesse ein. Mit IT-Systemen werden häufig sensible Personenbezogen Daten verarbeitet.

Eine mögliche Formulierung der Rechtlichen Grundlagen für die Verarbeitung könnte hier wie folgt lauten:

Rechtliche Grundlagen:

BSI – Grundschutz

Art. 6 Abs. 1 lit. f DSGVO – Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Dies beinhaltet IT-Sicherheitsmaßnahmen, die Sicherstellung der Integrität und Verfügbarkeit der IT-Systeme sowie die Optimierung der IT-Infrastruktur zur Effizienzsteigerung und Verbesserung der Dienstleistungsqualität.

Art. 6 Abs. 1 lit. b DSGVO – Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen notwendig, die auf Anfrage der betroffenen Person erfolgen. Dies umfasst die Verwendung von IT-Systemen zur Bereitstellung von vertraglich vereinbarten Dienstleistungen oder Produkten.

Art. 6 Abs. 1 lit. c DSGVO – Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung notwendig, der der Verantwortliche unterliegt. Dies schließt die Einhaltung von gesetzlichen Anforderungen an die Datensicherheit, Berichterstattung und Aufbewahrung von Geschäftsunterlagen mit Hilfe von IT-Systemen ein.

Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO – Soweit anwendbar, basiert die Verarbeitung auf der ausdrücklichen Einwilligung der betroffenen Person zu spezifischen Zwecken der Datenverarbeitung, die über die vorherigen Punkte hinausgehen. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen.

Es wird hervorgehoben, dass alle IT-bezogenen Datenverarbeitungsaktivitäten unter strenger Einhaltung der Datenschutzprinzipien der DSGVO durchgeführt werden, einschließlich Transparenz, Datenminimierung und Sicherheit. Zudem werden regelmäßig Datenschutz-Folgenabschätzungen durchgeführt, um Risiken für die Rechte und Freiheiten natürlicher Personen zu bewerten und zu mindern.

Risikobewertung:

Risiko: Hoch

Im Falle eines Datendiebstahls (Hacks) oder Datenverlust können im schlimmsten Fall sämtliche erhobenen Daten des Unternehmens entwendet werden. Dies kann dann zur Selbstanzeige, bzw. Fremdanzeige führen und mit entsprechend hohen Strafen geahndet werden.