Die Pflicht zur Protokollierung ist nicht nur eine datenschutzrechtliche Anforderung, sondern ergibt sich auch aus der IT-Sicherheit. Sowohl bei selbstprogrammierten Applikationen als auch bei der Beschaffung fremder IT-Systeme sollte auf diese Funktionalität geachtet werden. Der folgende Artikel erläutert, welche datenschutzrechtlichen Aspekte bei der Systemprotokollierung zu beachten sind.
Der Inhalt im Überblick
Protokollierung / Logfiles / Loggen
Bei der Protokollierung wird jede Aktivität (z.B. Lesen, Ändern, Kopieren, Löschen) zusammen mit weiteren Informationen wie Zeitpunkt und Anwender aufgezeichnet. Der Informatiker verwendet in diesem Zusammenhang gerne auch die Ausdrücke: „Protokolldateien“, „Logdaten“ oder „Logfiles“. Dabei werden drei Protokollarten unterschieden:
- Aktivitäten der IT-Systeme selbst (meist zur Systemüberwachung)
- Aktivitäten der Administratoren (z.B. bei Installation, Konfiguration, Änderungen von Hardware und Software)
- Aktivitäten der Anwender
Inhalt und Umfang der Protokolldateien
Anhand der Protokolldateien muss verifiziert werden können, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat. Der Inhalt der Protokolldateien richtet sich dabei in erster Linie am Schutzbedarf der verarbeiteten Daten, der Risikobewertung und den Kontrollzweck. Werden sensible und kritische Systeme bzw. Daten genutzt und verarbeitet, so ist ein höherer Maßstab anzuwenden.
Unabhängig hiervon besteht aber grundsätzlich die Anforderung, dass der Inhalt für die Verifizierung von Systemfehlern und auch Manipulationen oder unbefugten Aktivitäten möglich sei soll. Daneben muss aber auch der Grundsatz der Erforderlichkeit beachtet werden, so dass nur Daten aufgezeichnet werden dürfen, die zur Erfüllung des Protokollierungszweckes erforderlich sind (Protokollierung auf Vorrat ist unzulässig).
Eine Protokolldatei sollte insbesondere folgende Angaben enthalten:
- wer (Authentifizierung)
- wann (Zeitstempel)
- welche Aktivität (Dateneingabe und -modifikation)
- an welchen Daten.
Zweckbindung und Auswertung
Protokolldaten dürfen zum Zwecke der Datenschutzkontrolle, der Datensicherung oder zur Sicherung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage aufgezeichnet werden (§ 31 BDSG). Die Protokolldaten müssen darüber Auskunft geben können, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat, um z.B. Manipulationen aufdecken zu können. Vor Beginn der erstmaligen Protokollierung muss also festgelegt werden, zu welchen Zweck die Protokollierung erfolgt. Dabei sollte die Begründung nicht pauschal (z.B. „Sicherungszweck“), sondern so detailgenau wie möglich erfolgen (z.B. Aufdecken und Analyse von System-Schwachstellen sowie deren Beseitigung).
Protokolldateien sollten regelmäßig in einem bestimmten Turnus (z.B. einmal im Monat) stichprobenartig ausgewertet werden, wobei möglichst eine automatisierte Auswertung zum Einsatz kommen sollte. Zusätzlich dürfen die Protokolle anlassbezogen ausgewertet werden. Insbesondere bei der anlassbezogenen Auswertung und Auswertung personenbezogener Daten ist zu beachten, dass diese gegebenenfalls nach dem Vier-Augen-Prinzip erfolgen sollte und zu dokumentieren ist.
Ganz wichtig ist es zu beachten, dass Protokolldateien nicht zur Verhaltens- und Leistungskontrolle der Beschäftigten ausgewertet werden dürfen (§ 31 BDSG).
Löschung von Protokolldateien
Protokolldateien dürfen nur solange gespeichert werden, wie sie für den vorgesehenen Zweck benötigt werden. Deswegen müssen auch die Löschfristen vor Beginn der Protokollierung festgelegt werden. Da keine gesetzliche Regelung zu Löschfristen existiert, ist eine Orientierung an der Erforderlichkeit zur Zweckerfüllung ratsam. Wie lange die Protokolldaten aufbewahrt werden dürfen, hängt also von dem festgelegten Zweck ab und kann auch mit dem Auswertungs-Turnus korrespondieren.
Im Normalfall sollten die Daten aber spätestens nach 6 Monaten gelöscht werden (ähnlich wie bei § 15 Abs. 7 TMG geregelt). Daneben sollten aber auch weitere gesetzliche Anforderungen beachtet werden, die eventuell eine längere Speicherdauer rechtfertigen können.
Datenschutzrechtliche Anforderungen
Bei der Beschaffung von IT-Systemen aber auch bei bereits vorhandenen IT-Systemen sollte der Datenschutzbeauftragte bei seiner Prüfung auch die ordnungsgemäße Protokollierung im Auge behalten. Die folgende Checkliste gibt eine Übersicht, was dabei zu beachten ist:
1. Erstellen eines Protokollierungskonzeptes mit folgenden Punkten:
- Zweck der Protokollierung
- Inhalt und Umfang
- Auswertung (wann durch wen, 4-Augen-Prinzip, typische Szenarien)
- Löschfristen
- Rollen und Berechtigungskonzept
- Zuständigkeiten für das Controlling der Ordnungsmäßigkeit
2. Pseudonymisierung bzw. Anonymisierung personenbezogener Daten, wenn möglich
- Einsatz einer Auswertungssoftware
- Wahl eines gängigen Formates der Protokolldateien
- Technische Maßnahmen zum Schutz vor Manipulation von Protokolldateien (z.B. separater Protokollserver)
- Technische Maßnahmen zum Schutz vor unberechtigten Zugriff
- Einsatz von Verschlüsselungstechniken (z.B. wenn Protokolldateien mit personenbezogenen Daten übermittelt werden)
- Berücksichtigung bei der Vorabkontrolle
- Prüfung der Involvierung des Betriebsrates
- Testverfahren: Testen der ordnungsgemäßen Protokollierung
- Regelmäßige Kontrolle und Anpassung
Eine Frage: Oben heißt es
Da keine gesetzliche Regelung zu Löschfristen existiert, ist eine Orientierung an der Erforderlichkeit zur Zweckerfüllung ratsam.
Wie ist in diesem Zusammenhang §76 (4) BDSG zu verstehen, wo es heißt
(4) Die Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen.
Ist hier nicht eindeutig eine Löschfrist genannt?
Wir bitten zu beachten, dass der Artikel unter Berücksichtigung des BDSG in der Fassung bis zum 25.05.2018 erstellt wurde. § 76 Abs. 4 des BDSG in der Fassung ab dem 25.05.2018 (BDSG-neu) legt durchaus eine bestimmte Löschfrist für Protokolldaten nach § 76 BDSG-neu fest. Die Vorschrift befindet sich im dritten Teil des BDSG-neu, der nach § 45 BDSG-neu jedoch nur für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen gilt, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten. Für nichtöffentliche Stellen fehlt es an einer entsprechenden ausdrücklichen Regelung.
Gilt die Protokollierung hierbei eigentlich nur für den unternehmensseitigen Umgang mit Daten oder bspw. auch für die Dateneingabe durch den Nutzer? Beispiel: ein Nutzer loggt sich mit Benutzername/Passwort in seinen Nutzerbereich ein und erhält dadurch Einblick in die von ihm übertragenen Daten (bspw. Name oder E-Mail-Adresse). Muss dies auch protokolliert werden oder gilt dies nur, wenn jemand anders Einblick in diese Daten nimmt?
Die Pflicht zur Protokollierung ist meines Erachtens nicht nur auf Verarbeitungen von personenbezogenen Daten durch den Unternehmer beschränkt. Die Pflicht zur Protokollierung dient auch der Überprüfung der erfolgten Zugriffe auf Daten. Daher kann man nicht ausschließen, dass hierunter auch das Einloggen des berechtigten Nutzers mit seinem eigenen Benutzernamen/Passwort fällt.
Vielen Dank für die umfangreichen Informationen.
Mir fehlt ein gezielter Hinweis auf die Pflicht zur Protokollierung in einem Unternehmen, das keine Aufgaben von Polizei und Justiz wahrnimmt. Gilt §76 BDSG allgemein? In welchem Artikel der DSGVO finde ich die allgemeine Pflicht zur Protokollierung?
Danke für Ihre Hilfe!
Eine konkrete Verpflichtung zur Protokollierung gibt es in der DSGVO nicht. Allerdings werden in Art. 32 DSGVO („Sicherheit der Verarbeitung“) Maßnahmen zur Datensicherheit gefordert, unter anderem auch die „Integrität der Daten“ zu gewährleisten, wozu auch die Eingabekontrolle/Protokollierung gehört. § 76 BDSG-neu gilt nur für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen, § 45 BDSG-neu. Für nichtöffentliche Stellen existiert eine solche Regelung nicht.
Protokollierung findet sich beispielsweise in IT-SIG sprich kritische Infrastrukturen oder in anderen Sektoren wie Medizin Gesetz. Praktisch können sie auch davon ausgehen, dass in diversen Versicherungsverträgen dies auch vorgesehen ist
Szenario: Es existiert eine Aufbewahrungspflicht bezüglich definierter personenbezogener Daten von 6 Jahren. Wie verhält es sich dann mit (personenbezogenen) Protokolldaten zur Veränderung dieser Daten (welche zum Zweck des Integritätsnachweises erhoben werden)? Greift hier die Löschfrist gem. BDSG (neu) §76 oder dürfen/müssen die Protokolldaten (zum Integritätsnachweis) solange aufbewahrt werden, wie die Daten, auch welche sie sich beziehen?
Die gesetzlichen Aufbewahrungsfristen richten sich stets nach bestimmten Informationen/Dokumenten/Daten. Die zum Nachweis der Integrität erstellten Protokolldaten sind davon zunächst nicht betroffen. Wie im Artikel dargestellt, kommt es auf den Zweck der Erhebung an. Der § 76 BDSG gilt wie in den obigen Kommentaren erläutert ausschließlich für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen. (§ 45 BDSG)
„Szenario: Es existiert eine Aufbewahrungspflicht bezüglich definierter personenbezogener Daten von 6 Jahren. “ – Können Sie mir bitte die Quelle nennen?
z.B. Überstundenlisten, wenn diese Lohnbelege sind, dann 10 Jahre: § 147 AO, § 257 HGB
Hallo, gibt es denn ein Äquivalent zum § 31 BDSG-alt in den aktuellen Regelungen? Ist es empfehlenswert eine entsprechende vertragliche Regelung auszunehmen (auch im Sinne des Art 32 DSGVO) gerade weil eine Vorschrift wie § 31 BDSG alt nicht mehr für nicht-öffentliche Stelle existiert?
Eine entsprechende Norm, die den Wortlaut des § 31 BDSG (alt) wiedergibt, findet sich in der Tat nicht in der DSGVO bzw. BDSG (neu). Allerdings kann der Regelungsgehalt den allgemeinen Prinzipien der DSGVO entnommen werden, insbesondere den Art. 5 Abs. 1 (b) und (c).
Demnach müssen personenbezogene Daten
(b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden […] („Zweckbindung“);
(c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
Dies bedeutet natürlich auch, dass (trotz der fehlenden expliziten Benennung) personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, auch nur für diese Zwecke verwendet werden dürfen. Mithin ist der Aussagegehalt des § 31 BDSG (alt) auch nach Anwendbarkeit der DSGVO weiterhin aktuell. Etwaige Zweckänderungen, die eine andere Verwendung der erhobenen Daten zulassen würden, sind darüber hinaus nur in engen Grenzen möglich (vgl. Art. 6 Abs. 4 DSGVO).
Ob man daneben noch eine gesonderte vertragliche Regelung als sinnvoll erachtet, ist eine Frage des Einzelfalls (bspw. wie wichtig gerade diese Art der Zweckbindung für das Vertragsverhältnis ist). Allerdings handelt es sich dabei wohl eher um eine Konkretisierung der allgemeinen Grundsätze der DSGVO, als um eine eigenständige Verpflichtung. Werden Daten, die aus Sicherheitsgründen erhoben werden, für andere Zwecke verwendet (z.B. zur Mitarbeiterkontrolle) stellt dies für sich regelmäßig bereits einen Verstoß gegen den Zweckbindungsgrundsatz und damit gegen die Vorschriften der DSGVO dar.
Da im betrieblichen Kontext fast alle Systeme (auch Vor- und Nachsysteme) steuerrelevante Daten beinhalten, dürfte die Aufbewahrungsfrist in der Praxis oft bei 10 Jahren liegen und nicht wie oben beschrieben lediglich bei 6-Monaten (§ 147 Abs.3 AO). Daneben sind Fristablaufhemmungen zu berücksichtigen (§§ 147 Abs. 3 S. 5 i.V.m. 170, 171 AO). Demnach dürfte sich in der Praxis die Verpflichtung zur Datenlöschung frühestens nach 10 Jahren ergeben. Die obige Darstellung kann ja nur für eindeutig nicht steuerrelevante Daten gelten. Da von der Finanzverwaltung Vor- und Nachsysteme für steuerrelevante Daten sehr weit gefasst werden, dürften nur wenige Fälle davon ausgenommen sein.
Wie im Artikel erläutert, geht es bei Logfiles im Wesentlichen darum zu protokollieren, wer wann in welcher Weise auf welche Datei zugegriffen hat. Inwieweit dies steuerlich relevant sein soll, erschließt sich mir nicht. Falls Sie diesbezüglich anderweitige Entscheidungen der Finanzgerichte kennen, würden wir uns über entsprechende Hinweise freuen. Anders kann es bei den jeweiligen Dateien sein, auf die zugegriffen wurde. Hier würde ich Ihnen zustimmen, dass die steuerliche Relevanz weit interpretiert werden kann.
spätestens nach drei Jahren (Strafverfahren) ist hoffentlich Schluss und die Empfehlung vom BSI ist ein Jahr
Ist eine Protokollierung der erfolgten Authentifizierung vor einem Datenverarbeitungsprozess also z.B. die Abfrage einer Service PIN im Kundencenter zum Nachweis der angemessenen Authentifizierung erforderlich oder reicht der dokumentierte Prozess?
Wenn der erfolgte Authentifizierungsprozess protokolliert wird, dürfen die Protokolle dann 3 Jahre zum Nachweis aufbewahrt werden?
Ein dokumentierter Prozess ist immer die Ausgangslage und stellt das Minimum dar. Sie sollten aber, um Ihren Rechenschaftspflichten bestmöglich nachkommen zu können, auch den Mindeststandard an tatsächlicher Protokollierung einhalten.
Wie lange Sie die Nachweise aufbewahren können kann sich auch aus gesetzlichen Fristen ergeben. Dazu können wir leider im Rahmen des Blogs keine Angaben machen, da es sich hierbei um eine Rechtsberatung handeln würde.