Protokolldaten & Protokollierung | Datenschutz.org 2019

Das Wichtigste zur Protokolldaten in Kürze

Die Protokollierung ist gemäß § 76 des neugefassten Bundesdatenschutzgesetzes (BDSG-neu) erforderlich, um die Prüfung der Verarbeitungsprozesse unter datenschutzrechtlichen Aspekten zu ermöglichen.
Sie dient zum einen der Prüfung der Systeme in automatisierten Verarbeitungssystemen, zum anderen der Zugriffskontrolle und -überwachung.
Da Protokolldaten selbst personenbezogene Daten sind, ist auch bei der Protokollierung den Datenschutzgrundsätzen Rechnung zu tragen.

Wozu dient die Protokollierung im Bereich Datenschutz?

Wie können Sie jede Server-Anmeldung protokollieren und dabei den Datenschutz bei den Logfiles beachten?

Inhaltsverzeichnis

Aufzeichnungen dazu, wer wann was (usf.) getan hat, dienen in der Regel als Nachweis über entsprechende Aktivitäten. Bei der Verarbeitung personenbezogener Daten soll so lückenlos Buch darüber geführt werden, welche Verarbeitungstätigkeiten bei bestehenden IT-Systemen wann und zu welchem Zweck überhaupt unternommen wurden.

Unterschieden wird dabei grundsätzlich zwischen der Protokollierung der Administration und der Benutzer. Während letztere vor allem der Überwachung der jeweils angewandten Verfahren dient, ist die Aktivitätenverfolgung der Admins auf die Systemüberwachung ausgerichtet.

Bei der Überprüfung der durch das Log-Management gesammelten Protokolldaten lassen sich so zum Beispiel auch Lücken im Datenschutz oder unberechtigte Zugriffe aufdecken. Die Protokollierung dient jedoch nicht nur dem Datenschutz, sie muss den dadurch gemachten Vorgaben zudem ebenfalls entsprechen.

Das bedeutet: Es dürfen grundsätzlich nicht sämtliche Daten in die Protokolldateien Eingang finden und gar bis ins Unendliche gespeichert werden.

Vorgaben zur datenschutzkonformen Erhebung von Protokolldaten

Suche im Internet und andere Aktivitäten protokollieren: Datenschutzgrundsätze beachten!

Ob Sie nun den Zugriff auf Dateien oder Server protokollieren wollen oder die Internet-Aktivitäten Ihrer Mitarbeiter oder Website-Besucher – die folgenden Datenschutzgrundsätze sollten Sie stets beachten, wenn Sie Protokolldaten erheben:

Datensparsamkeit: Protokollieren Sie nur solche personenbezogenen Daten, die dem jeweiligen Zweck auch tatsächlich dienlich sind (je weniger, desto besser).
Zweckbindung: Die Erhebung der jeweiligen Protokolldaten muss an einen spezifischen Zweck gebunden sein.
Anonymisierung: Sind IP-Adressen von der Erhebung betroffen oder umfangreiche Datensammlungen erforderlich, sollte eine Anonymisierung der Protokolldaten erfolgen.
Löschfristen: Die Protokolldaten sollten in regelmäßigen Abständen auch wieder gelöscht werden. Spätestens mit Erfüllung des Zwecks oder aber dem Ende des Folgejahres der Erhebung sollte die Löschung der Protokolldaten erfolgen (s. § 76 Abs. 4 BDSG-neu). Ein entsprechendes Löschprotokoll ist gemäß Datenschutz dabei ebenso vorgeschrieben.
Manipulationssicherheit: Um den Beweischarakter der Protokolldaten zu erhalten, sollte gewährleistet sein, dass diese nicht durch Dritte willkürlich verändert werden können.

Herrscht in Ihrem Unternehmen Unsicherheit bezüglich der Pflicht und des Umfangs der erforderlichen Erhebung von Protokolldaten, sollten Sie sich an einen versierten Datenschutzbeauftragten wenden. Dieser ist ab 10 Angestellten, die in der Datenverarbeitung tätig sind, ohnehin vorgeschrieben.