Protokollierung datenschutzgerecht gestalten

Fachbeitrag

Die Pflicht zur Protokollierung ist nicht nur eine datenschutzrechtliche Anforderung, sondern ergibt sich auch aus der IT-Sicherheit. Sowohl bei selbstprogrammierten Applikationen als auch bei der Beschaffung fremder IT-Systeme sollte auf diese Funktionalität geachtet werden. Der folgende Artikel erläutert, welche datenschutzrechtlichen Aspekte bei der Systemprotokollierung zu beachten sind.

Protokollierung / Logfiles / Loggen

Bei der Protokollierung wird jede Aktivität (z.B. Lesen, Ändern, Kopieren, Löschen) zusammen mit weiteren Informationen wie Zeitpunkt und Anwender aufgezeichnet. Der Informatiker verwendet in diesem Zusammenhang gerne auch die Ausdrücke: „Protokolldateien“, „Logdaten“ oder „Logfiles“. Dabei werden drei Protokollarten unterschieden:

  1. Aktivitäten der IT-Systeme selbst (meist zur Systemüberwachung)
  2. Aktivitäten der Administratoren (z.B. bei Installation, Konfiguration, Änderungen von Hardware und Software)
  3. Aktivitäten der Anwender

Inhalt und Umfang der Protokolldateien

Anhand der Protokolldateien muss verifiziert werden können, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat. Der Inhalt der Protokolldateien richtet sich dabei in erster Linie am Schutzbedarf der verarbeiteten Daten, der Risikobewertung und den Kontrollzweck. Werden sensible und kritische Systeme bzw. Daten genutzt und verarbeitet, so ist ein höherer Maßstab anzuwenden.

Unabhängig hiervon besteht aber grundsätzlich die Anforderung, dass der Inhalt für die Verifizierung von Systemfehlern und auch Manipulationen oder unbefugten Aktivitäten möglich sei soll. Daneben muss aber auch der Grundsatz der Erforderlichkeit beachtet werden, so dass nur Daten aufgezeichnet werden dürfen, die zur Erfüllung des Protokollierungszweckes erforderlich sind (Protokollierung auf Vorrat ist unzulässig).

Eine Protokolldatei sollte insbesondere folgende Angaben enthalten:

  • wer (Authentifizierung)
  • wann (Zeitstempel)
  • welche Aktivität (Dateneingabe und -modifikation)
  • an welchen Daten.

Zweckbindung und Auswertung

Protokolldaten dürfen zum Zwecke der Datenschutzkontrolle, der Datensicherung oder zur Sicherung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage aufgezeichnet werden (§ 31 BDSG). Die Protokolldaten müssen darüber Auskunft geben können, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat, um z.B. Manipulationen aufdecken zu können. Vor Beginn der erstmaligen Protokollierung muss also festgelegt werden, zu welchen Zweck die Protokollierung erfolgt. Dabei sollte die Begründung nicht pauschal (z.B. „Sicherungszweck“), sondern so detailgenau wie möglich erfolgen (z.B. Aufdecken und Analyse von System-Schwachstellen sowie deren Beseitigung).

Protokolldateien sollten regelmäßig in einem bestimmten Turnus (z.B. einmal im Monat) stichprobenartig ausgewertet werden, wobei möglichst eine automatisierte Auswertung zum Einsatz kommen sollte. Zusätzlich dürfen die Protokolle anlassbezogen ausgewertet werden. Insbesondere bei der anlassbezogenen Auswertung und Auswertung personenbezogener Daten ist zu beachten, dass diese gegebenenfalls nach dem Vier-Augen-Prinzip erfolgen sollte und zu dokumentieren ist.

Ganz wichtig ist es zu beachten, dass Protokolldateien nicht zur Verhaltens- und Leistungskontrolle der Beschäftigten ausgewertet werden dürfen (§ 31 BDSG).

Löschung von Protokolldateien

Protokolldateien dürfen nur solange gespeichert werden, wie sie für den vorgesehenen Zweck benötigt werden. Deswegen müssen auch die Löschfristen vor Beginn der Protokollierung festgelegt werden. Da keine gesetzliche Regelung zu Löschfristen existiert, ist eine Orientierung an der Erforderlichkeit zur Zweckerfüllung ratsam. Wie lange die Protokolldaten aufbewahrt werden dürfen, hängt also von dem festgelegten Zweck ab und kann auch mit dem  Auswertungs-Turnus korrespondieren.

Im Normalfall sollten die Daten aber spätestens nach 6 Monaten gelöscht werden (ähnlich wie bei § 15 Abs. 7 TMG geregelt). Daneben sollten aber auch weitere gesetzliche Anforderungen beachtet werden, die eventuell eine längere Speicherdauer rechtfertigen können.

Datenschutzrechtliche Anforderungen

Bei der Beschaffung von IT-Systemen aber auch bei bereits vorhandenen IT-Systemen sollte der Datenschutzbeauftragte bei seiner Prüfung auch die ordnungsgemäße Protokollierung im Auge behalten. Die folgende Checkliste gibt eine Übersicht, was dabei zu beachten ist:

1. Erstellen eines Protokollierungskonzeptes mit folgenden Punkten:

  • Zweck der Protokollierung
  • Inhalt und Umfang
  • Auswertung (wann durch wen, 4-Augen-Prinzip, typische Szenarien)
  • Löschfristen
  • Rollen und Berechtigungskonzept
  • Zuständigkeiten für das Controlling der Ordnungsmäßigkeit

2. Pseudonymisierung bzw. Anonymisierung personenbezogener Daten, wenn möglich

  • Einsatz einer Auswertungssoftware
  • Wahl eines gängigen Formates der Protokolldateien
  • Technische Maßnahmen zum Schutz vor Manipulation von Protokolldateien (z.B. separater Protokollserver)
  • Technische Maßnahmen zum Schutz vor unberechtigten Zugriff
  • Einsatz von Verschlüsselungstechniken (z.B. wenn Protokolldateien mit personenbezogenen Daten übermittelt werden)
  • Berücksichtigung bei der Vorabkontrolle
  • Prüfung der Involvierung des Betriebsrates
  • Testverfahren: Testen der ordnungsgemäßen Protokollierung
  • Regelmäßige Kontrolle und Anpassung
intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Sicherheit

8 Kommentare zu diesem Beitrag

  1. Eine Frage: Oben heißt es
    Da keine gesetzliche Regelung zu Löschfristen existiert, ist eine Orientierung an der Erforderlichkeit zur Zweckerfüllung ratsam.

    Wie ist in diesem Zusammenhang §76 (4) BDSG zu verstehen, wo es heißt

    (4) Die Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen.

    Ist hier nicht eindeutig eine Löschfrist genannt?

    • Wir bitten zu beachten, dass der Artikel unter Berücksichtigung des BDSG in der Fassung bis zum 25.05.2018 erstellt wurde. § 76 Abs. 4 des BDSG in der Fassung ab dem 25.05.2018 (BDSG-neu) legt durchaus eine bestimmte Löschfrist für Protokolldaten nach § 76 BDSG-neu fest. Die Vorschrift befindet sich im dritten Teil des BDSG-neu, der nach § 45 BDSG-neu jedoch nur für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen gilt, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten. Für nichtöffentliche Stellen fehlt es an einer entsprechenden ausdrücklichen Regelung.

  2. Gilt die Protokollierung hierbei eigentlich nur für den unternehmensseitigen Umgang mit Daten oder bspw. auch für die Dateneingabe durch den Nutzer? Beispiel: ein Nutzer loggt sich mit Benutzername/Passwort in seinen Nutzerbereich ein und erhält dadurch Einblick in die von ihm übertragenen Daten (bspw. Name oder E-Mail-Adresse). Muss dies auch protokolliert werden oder gilt dies nur, wenn jemand anders Einblick in diese Daten nimmt?

    • Die Pflicht zur Protokollierung ist meines Erachtens nicht nur auf Verarbeitungen von personenbezogenen Daten durch den Unternehmer beschränkt. Die Pflicht zur Protokollierung dient auch der Überprüfung der erfolgten Zugriffe auf Daten. Daher kann man nicht ausschließen, dass hierunter auch das Einloggen des berechtigten Nutzers mit seinem eigenen Benutzernamen/Passwort fällt.

  3. Vielen Dank für die umfangreichen Informationen.
    Mir fehlt ein gezielter Hinweis auf die Pflicht zur Protokollierung in einem Unternehmen, das keine Aufgaben von Polizei und Justiz wahrnimmt. Gilt §76 BDSG allgemein? In welchem Artikel der DSGVO finde ich die allgemeine Pflicht zur Protokollierung?
    Danke für Ihre Hilfe!

    • Eine konkrete Verpflichtung zur Protokollierung gibt es in der DSGVO nicht. Allerdings werden in Art. 32 DSGVO („Sicherheit der Verarbeitung“) Maßnahmen zur Datensicherheit gefordert, unter anderem auch die „Integrität der Daten“ zu gewährleisten, wozu auch die Eingabekontrolle/Protokollierung gehört. § 76 BDSG-neu gilt nur für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen, § 45 BDSG-neu. Für nichtöffentliche Stellen existiert eine solche Regelung nicht.

  4. Szenario: Es existiert eine Aufbewahrungspflicht bezüglich definierter personenbezogener Daten von 6 Jahren. Wie verhält es sich dann mit (personenbezogenen) Protokolldaten zur Veränderung dieser Daten (welche zum Zweck des Integritätsnachweises erhoben werden)? Greift hier die Löschfrist gem. BDSG (neu) §76 oder dürfen/müssen die Protokolldaten (zum Integritätsnachweis) solange aufbewahrt werden, wie die Daten, auch welche sie sich beziehen?

    • Die gesetzlichen Aufbewahrungsfristen richten sich stets nach bestimmten Informationen/Dokumenten/Daten. Die zum Nachweis der Integrität erstellten Protokolldaten sind davon zunächst nicht betroffen. Wie im Artikel dargestellt, kommt es auf den Zweck der Erhebung an. Der § 76 BDSG gilt wie in den obigen Kommentaren erläutert ausschließlich für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen. (§ 45 BDSG)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.