Datenschutz

Datenschutzrechtliche Aspekte von Protokollierungen

(Auszug aus dem 6. Tätigkeitsbericht, 1.5

Ein wesentliches Sicherheitsziel der Datenverarbeitung ist die Gewährleistung der Revisionsfähigkeit der durchgeführten Verarbeitungsprozesse. Insbesondere bei der Verarbeitung personenbezogener Daten geht es hierbei nicht nur darum die Daten verarbeitenden Stellen (Behörden, Unternehmen) vor Schäden zu bewahren, sondern auch den Einzelnen als Betroffenen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. In § 9 Abs. 2 Nr. 5 ThürDSG wird demzufolge auch für die Verarbeitung von personenbezogenen Daten u. a. gefordert, dass festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat. Sowohl bei der datenschutzrechtlichen/ sicherheitstechnischen Bewertung von Sicherheitskonzepten durch den TLfD als auch aufgrund von Anfragen von öffentlichen Stellen zeigte sich, dass für die datenschutzgerechte Umsetzung dieses Sicherheitszieles ein zunehmender Informationsbedarf besteht. Nachfolgend deshalb aus datenschutzrechtlicher Sicht einige grundsätzliche Hinweise zu aktuellen Fragen im Zusammenhang mit Protokollierungsvorgängen:

Sowohl Betriebssysteme als auch Anwendungsprogramme ermöglichen neben spezifischen Protokollierungsprogrammen das Aufzeichnen einer Vielzahl von benutzer-, prozess- und sicherheitstechnischen Ereignissen. Die Speicherung der protokollierten Daten erfolgt in sog. Log-Dateien. Solche Log-Dateien kamen historisch gesehen mit den Großrechnern verbreitet zum Einsatz. Sie kommen heutzutage nahezu auf allen IT-Systemen zum Einsatz und werden vorwiegend zur Beweissicherung des ordnungsgemäßen Ablaufes der Datenverarbeitungsprozesse geführt. Aufgrund ihrer möglichen Personenbeziehbarkeit stellen sie aber auch ein Instrument zur Kontrolle der Benutzer und Verwalter der IuK-Systeme dar. Gemäß § 20 Abs. 4 ThürDSG dürfen personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, nur für diese Zwecke verwendet werden. Demnach ist bspw. eine Nutzung zu Zwecken der Verhaltens- und Leistungskontrolle nicht erlaubt.

Auch für Protokollierungen ist das Prinzip der Erforderlichkeit und der Angemessenheit zu beachten. Der Grundsatz zur Zweckbindung erfordert konkrete Festlegungen an die Nutzung der Protokolldaten und somit schon im Vorfeld präzise Aussagen zur Zielstellung von Protokollierungen. Die hierzu in der Praxis häufig gebrauchte allgemeine Formulierung, dass die „durchgeführten Protokollierungen zu Sicherungszwecken und/oder zur Gewährleistung der Datensicherheit erfolgen“ ist somit unzureichend. Konkrete Zweckvorgaben für eine Protokollierung wären bspw. der Einsatz der Protokollierung zur Kontrolle der Einhaltung dienst- oder arbeitsrechtlicher Vorgaben, zur Aufrechterhaltung der Systemsicherheit, zur Prüfung/ Optimierung der Performance des IT-Systems und/oder zur Analyse und Behebung technischer Schwachstellen/ Fehler. Unter Beachtung einer solchen Zweckbindung ist es grundsätzlich zulässig, auch personenbezogene Daten zur Nachvollziehbarkeit von Nutzeraktivitäten zu erheben und auszuwerten, z. B. zur Aufdeckung von vorsätzlichen Datenmanipulationen oder unbefugten Zugriffsversuchen. Auch für das Erheben und Auswerten von Protokolldateien gelten die datenschutzrechtlichen Grundsätze der Datenvermeidung und der Datensparsamkeit. Das heißt, die Gestaltung der Protokolle hat sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu verarbeiten oder zu nutzen. Soweit es möglich ist, ist somit von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen.

In jedem Fall bedarf es genauer Festlegungen, wer diese Daten wie, mit welchen Hilfsmitteln, in welchen Abständen und zu welchem Zweck auswerten darf. Soweit personenbezogene Daten der Mitarbeiter protokolliert werden, ist der Personalrat bzw. Betriebsrat rechtzeitig zu informieren, damit er seine Beteiligungsrechte wahrnehmen kann. Enthalten die Protokolldaten auch personenbezogene Daten über Betroffene, z. B. wenn in deren zu verarbeitenden Datensätzen von den Nutzern (z. B. Sachbearbeiter) inhaltliche Ergänzungen oder Änderungen vorgenommen werden müssen und diese nachvollziehbar protokolliert werden, unterliegen auch diese Daten der Zweckbindung gemäß § 20 Abs. 4 ThürDSG. Im Übrigen haben die Betroffenen nach § 13 Abs. 1 Satz 2 ThürDSG kein Recht auf Auskunft zu diesen Daten. 

Die gesetzlichen Regelungen enthalten keine ausdrücklichen zeitlichen Vorgaben für die Vorhaltung von Protokolldaten. Allein für die Nutzung von Telediensten sind anfallende personenbezogene Daten unmittelbar nach Beendigung der Nutzung zu löschen, soweit sie nicht für Zwecke der Abrechnung mit dem Nutzer erforderlich sind.

Gemäß den konkreten Gegebenheiten ist somit die Speicherungsdauer von der Daten verarbeitenden Stelle verbindlich festzulegen, wobei sie in der Regel ein Jahr nicht überschreiten sollte.

Protokollierungen können je nach Erforderlichkeit in den unterschiedlichsten IuK-Prozessen durchgeführt werden. So auch bei der Nutzung des Internet sowie beim E-Mail-Verkehr (6.9). Zur Zulässigkeit solcher Protokollierungen wird auf die Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und anderen Internet-Diensten am Arbeitsplatz des AK Medien verwiesen (www.datenschutz.thueringen.de).

Um Protokollierungen angemessen auszuführen und den protokollierten Datenumfang auch überschaubar zu gestalten, sind je nach Einsatzzweck die relevanten zu protokollierenden Ereignisse schon im Vorfeld sorgfältig auszuwählen. Insbesondere ist zu prüfen, in welchen Fällen es ausreichend ist, nur das fehlgeschlagene Ereignis festzuhalten. Häufig trifft dies für Regelübertretungen zu, z. B. beim Überschreiten der maximal zulässigen Zugangsversuche eines Logins oder bei der Feststellung unzulässiger Objekt- und Dateizugriffe. Andererseits sind auch erfolgreiche Ereignisse, wie durchgeführte Änderungen an den eingestellten Systemrichtlinien oder inhaltliche Änderungen an Datenobjekten aus Sicherheitsgründen nachvollziehbar festzuhalten. Als Nachweis unberechtigter Eingriffsversuche ist die Protokollierung vorwiegend fehlgeschlagener Ereignisse wichtig. Zur Nachvollziehbarkeit ausgeführter Aktionen von Berechtigten (Mitarbeiter, Administratoren) sind auch die erfolgreichen Ereignisse einzubeziehen.

In den Anwendungssystemen sind je nach Sensibilität der Daten Zugriffe auf und Veränderungen an Daten stichprobenweise oder vollständig zu protokollieren. Die mit einer lückenlosen Protokollierung entstehenden umfangreichen Datenmengen sind gemäß dem Stand der Technik beherrschbar. Eine effektive und gezielte Auswertung der zumeist massenhaft anfallenden Protokolldaten erfordert jedoch den Einsatz entsprechender automatisierter Auswertungsprogramme. Ohne solche werden Protokolldateien zu Datenfriedhöfen. 

Mit Hilfe von Protokollierungen können i. d. R. Verstöße gegen vorgegebene Regelungen nur nachträglich festgestellt werden. Verhindert werden können sie damit nicht. In der Praxis zeigt sich allerdings, dass allein schon der Einsatz von angemessenen und notwendigen Protokollierungen einen vorbeugenden Sicherheitseffekt bewirkt. Durch die Auswertung protokollierter Verstöße können weiterhin die getroffenen technischen und organisatorischen Maßnahmen gezielt aktualisiert bzw. ergänzt werden, um mögliche Sicherheitsverletzungen zukünftig schon präventiv auszuschließen.

Protokollierungen erfordern ein planmäßiges Vorgehen, um letztendlich auch ihren Einsatz verbindlich in Dienst-/Betriebsvereinbarungen zu regeln. So sind schon im Vorfeld u. a. folgende Festlegungen zu treffen:

  • welche Ereignisse/Aktionen auf welchen IT-Systemen und in welchen Programmsystemen aufzuzeichnen sind,
  • welche Datenobjekte zu erfassen sind,
  • Stichproben- oder Vollprotokollierung,
  • auf welchen IT-Systemen/Datenträgern die Protokolldateien physisch vorgehalten werden,
  • zum Speicherumfang der Protokolldateien,
  • zur Archivierung/Auslagerung der Aufzeichnungen,
  • zur Auswertung der Protokolle,
    • wer darf die Protokolle wann und wie auswerten,
    • welche Auswertungssoftware wird eingesetzt,
  • Fristen zum Löschen der gespeicherten Datensätze,
  • zur Unterrichtung der Mitarbeiter über die durchzuführenden Protokollierungen,
  • Maßnahmen zum Schutz der protokollierten Daten vor unbefugten Zugriff sowie zur Verhinderung und zur Aufdeckung von Manipulationsversuchen,
  • zur Vorgehensweise bei Feststellung von Verstößen,
  • zur Einbeziehung des DSB und des Personal-/Betriebsrates.

Ihr Kontakt zum TLfDI


Logo des TLFDI

Sie brauchen die Hilfe des TLfDI?

Postfach 90 04 55 | 99107 Erfurt
Häßlerstrasse 8 | 99096 Erfurt

Tel.: 03 61 / 37 71 900
Fax : 03 61 / 37 71 904

Logo Freistaat Thüringen