Das Wichtigste zur Protokolldaten in Kürze
- Die Protokollierung ist gemäß § 76 des neugefassten Bundesdatenschutzgesetzes (BDSG-neu) für öffentliche Stellen, die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen sind, erforderlich, um die Prüfung der Verarbeitungsprozesse unter datenschutzrechtlichen Aspekten zu ermöglichen.
- Sie dient zum einen der Prüfung der Systeme in automatisierten Verarbeitungssystemen, zum anderen der Zugriffskontrolle und -überwachung.
- Da Protokolldaten selbst personenbezogene Daten sind, ist auch bei der Protokollierung den Datenschutzgrundsätzen Rechnung zu tragen.
Wozu dient die Protokollierung im Bereich Datenschutz?
Inhaltsverzeichnis
Aufzeichnungen dazu, wer wann was (usf.) getan hat, dienen in der Regel als Nachweis über entsprechende Aktivitäten. Bei der Verarbeitung personenbezogener Daten durch Sicherheitsbehörden soll so lückenlos Buch darüber geführt werden, welche Verarbeitungstätigkeiten bei bestehenden IT-Systemen wann und zu welchem Zweck bei der Verhütung, Ermittlung, Aufdeckung, Verfolgung und Ahndung von Straftaten bzw. von Ordnungswidrigkeiten unternommen wurden.
Denn durch die Verarbeitung personenbezogener Daten greift die entsprechende Sicherheitsbehörde in die Grundrechte der betroffenen Personen ein. Die Protokolldaten sollen den entsprechenden Eingriff in die Grundrechte abmildern und zählen daher zu den verfahrenssichernden Maßnahmen. Denn unabhängige Datenschutzaufsichtsbehörden müssen zu diesem Zweck die Datenverarbeitung von Polizei- und Strafverfolgungsbehörden kontrollieren. Dies ist nur möglich, wenn die Verarbeitung revisionssicher protokolliert wird. Darüber hinaus muss aus den Protokolldaten ersichtlich sein, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat.
Bei der Überprüfung der durch das Log-Management gesammelten Protokolldaten lassen sich so zum Beispiel auch Lücken im Datenschutz oder unberechtigte Zugriffe aufdecken. Die Protokollierung dient jedoch nicht nur dem Datenschutz, sie muss den dadurch gemachten Vorgaben zudem ebenfalls entsprechen.
Das bedeutet: Es dürfen grundsätzlich nicht sämtliche Daten in die Protokolldateien Eingang finden und gar bis ins Unendliche gespeichert werden.
Wichtig! Gemäß § 76 Abs. 4 BDSG sind Protokolldaten am Ende des auf deren Generierung folgenden Jahres zu löschen.
Vorgaben zur datenschutzkonformen Erhebung von Protokolldaten
Ob öffentliche Stellen nun den Zugriff auf Dateien oder Server protokollieren wollen oder die Internet-Aktivitäten im Zuge der Strafverfolgung – die folgenden Datenschutzgrundsätze sollten Sie stets beachten, wenn Sie Protokolldaten erheben:
- Datensparsamkeit: Protokollieren Sie nur solche personenbezogenen Daten, die dem jeweiligen Zweck auch tatsächlich dienlich sind (je weniger, desto besser).
- Zweckbindung: Die Erhebung der jeweiligen Protokolldaten muss an einen spezifischen Zweck gebunden sein.
- Anonymisierung: Sind IP-Adressen von der Erhebung betroffen oder umfangreiche Datensammlungen erforderlich, sollte eine Anonymisierung der Protokolldaten erfolgen.
- Löschfristen: Die Protokolldaten sollten in regelmäßigen Abständen auch wieder gelöscht werden. Spätestens mit Erfüllung des Zwecks oder aber dem Ende des Folgejahres der Erhebung sollte die Löschung der Protokolldaten erfolgen (s. § 76 Abs. 4 BDSG-neu). Ein entsprechendes Löschprotokoll ist gemäß Datenschutz dabei ebenso vorgeschrieben.
- Manipulationssicherheit: Um den Beweischarakter der Protokolldaten zu erhalten, sollte gewährleistet sein, dass diese nicht durch Dritte willkürlich verändert werden können.
Klaus T. meint
11. September 2023 at 15:35
Sehr geehrte Damen und Herren,
seit Ende März 2021 wird mindestens der Vor- und Zuname und meine private Festnetznummer bei den Ermittlungsbehörden in NRW in einer elektronischen Akte verarbeitet. Mit diesem Ermittlungsverfahren bin ich rechtlich nicht
in Verbindung zu bringen.
Zunächst stritt man auf Anfrage von Seiten der Ermittlungsbehörden ab, dass man meine personenbezogenen Daten jemals verarbeitet habe.
Als nach eigenen Recherchen nachgewiesen werden konnte, dass die Daten in den Akten eines Ermittlungsverfahrens auftauchten, die mich nicht betreffen und ich daraufhin die Löschung beantragte, erklärte mir das zuständige Verwaltungsgericht mit aller Deutlichkeit, dass es sich um sogenannte Protokolldaten handele.
Lt. BFI werden alle Daten von Behörden elektronisch erfasst werden auch elektronisch verarbeitet und gespeichert.
Demgemäß handelt es sich auch in diesem Fall um die Datenverarbeitung von personenbezogenen Daten.
Verstehe ich das richtig.
Für Ihre Mühewaltung herzlichen Dank.
Mit freundlichen Grüßen