Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 06.02.2008

Datenschutzgerechte Protokollierung beim Betrieb von Informations- und Kommunikationstechnik-Systemen (IuK-Systeme)

Aus Gründen der Revisionsfähigkeit der Datenverarbeitung muss nachvollziehbar sein, wer welche personenbezogenen Daten zu welchem Zeitpunkt mit welchen Mitteln verarbeitet bzw. auf sie zugegriffen hat. Außerdem müssen sich Systemzustände ableiten lassen: "Wer hatte von wann bis wann welche Zugriffsrechte?"

Die Beantwortung dieser Fragen ist insbesondere wichtig, um im Nachhinein die Rechtmäßigkeit der Datenzugriffe, -änderung oder -löschung überprüfen zu können. Eine geeignete Methode, dies sicherzustellen, ist die automatische Protokollierung bestimmter Vorgänge.

Die Protokollierung dient in erster Linie der Beweissicherung eines ordnungsgemäßen Ablaufs von DV-Aktionen. Sie sind jedoch auch für eine nachträgliche Kontrolle von Benutzeraktivitäten, insbesondere für die Datenschutzkontrolle geeignet. Außerdem kann eine Protokollierung präventiv wirken, da die Benutzer wissen, dass Ihre Aktivitäten aufgezeichnet werden (können).

1. Begriff

Unter Protokollierung beim Betrieb von IuK-Systemen ist in datenschutzrechtlichem Sinne die Erstellung von manuellen oder automatisierten Aufzeichnungen

• über die tatsächlichen Veränderungen an Hardware-Komponenten (z. B. vorübergehendes Entfernen von Sicherheitselementen) und an der Software (Betriebssystem, systemnahe Software, Anwendungssoftware) sowie
• über Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten

zu verstehen.

Elemente einer Protokollierung sind:

• Art der Aktivität,
• Zeitpunkt der Aktivität bzw. des Ereignisses,
• ausführende Person,
• eventuell Eingabedaten.

2. Rechtsgrundlagen

Nur wenige gesetzliche Bestimmungen enthalten explizit Protokollierungsverpflichtungen wie z. B. in Art. 7 Abs. 2 Nr. 6 und 7 BayDSG. Die meisten Regelungen bedingen (lediglich) eine Protokollierung, um die jeweils geforderte Maßnahme realisieren zu können (vgl. z. B. bezüglich der Speicherkontrolle - Art. 7 Abs. 2 Nr. 3 BayDSG und der automatischen Abrufverfahren - Art. 8 Abs. 2 BayDSG).

Für eine Reihe von Verwaltungsverfahren gelten zudem bereichsspezifische, vom Datenschutzrecht des Bundes bzw. des betreffenden Landes abweichende Protokollierungsvorschriften. Als Beispiele hierfür sind zu nennen: Meldegesetze, Polizeigesetze, Verfassungsschutzgesetze, Gesetz über das ZEVIS usw.

Bevor Art und Umfang von Protokollierungen festgelegt werden, haben die Daten verarbeitenden Stellen zu ermitteln, welche gesetzlichen Regelungen für ihren Zuständigkeitsbereich welche Rahmenbedingungen definieren. Der Komplex "Protokollierung" stellt sich mithin nicht als eine Maßnahme im Rahmen des Ermessens dar, sondern als eine Folge aus den jeweils gültigen gesetzlichen Bestimmungen.

Die nachfolgenden Hinweise können daher nur unter diesem Vorbehalt den Charakter von Mindestanforderungen erfüllen.

3. Gegenstand der Protokollierung

3.1 Differenzierung zwischen der Administration und der Benutzung von IuK-Systemen

Beim Betrieb von IuK-Systemen sollte zwischen der Funktion der Administration und der Benutzung unterschieden werden.

Als "Administration" sind die Maßnahmen zur Installation, Modifikation und Konfiguration von Hard- und Software einschließlich der Abarbeitung von Systemnachrichten zu verstehen. Es handelt sich hierbei im Wesentlichen um Basissystemfunktionen, die die fortdauernde Benutzung des Systems überhaupt erst ermöglichen.

Unter "Benutzung" ist die Inanspruchnahme der vom IuK-System bereitgestellten Ressourcen anzusehen. In der Praxis stellt sich dies als der Aufruf von Software und Daten dar, die entsprechend den in einem Benutzerprofil definierten Zugriffsrechten zur Verfügung gestellt wird.

Die Protokollierung der Administrationsaktivitäten hat daher den Charakter einer Systemüberwachung, während die Protokollierung der Benutzeraktivitäten im Wesentlichen der Verfahrensüberwachung dient. Dementsprechend finden sich die Anforderungen an die Art und den Umfang der systemorientierten Protokollierung überwiegend in dem "allgemeinen" Datenschutzrecht, während die verfahrensorientierte Protokollierung weitgehend durch bereichsspezifische "Regelungen" definiert wird.

3.2 Administration von IuK-Systemeen

Folgende Aktivitäten sind im Regelfall vollständig zu protokollieren:

3.2.1 Systemgenerierung und Modifikation von Systemparametern

Da auf dieser Ebene häufig keine systemgesteuerten Protokolle erzeugt werden, bedarf es unter Umständen entsprechender detaillierter manueller Aufzeichnungen, die mit der Systemdokumentation korrespondieren sollten.

3.2.2 Einrichten von Benutzern

Wem von wann bis wann durch wen das Recht eingeräumt worden ist, das betreffende IuK-System zu benutzen, ist vollständig zu protokollieren. Dies ergibt sich auch aus der Eingabekontrolle. Für diese Protokolle sollten längerfristige Aufbewahrungszeiträume (mindestens drei Jahre) vorgesehen werden, da sie Grundlage praktisch jeder Revisionsmaßnahme sind.

3.2.3 Verwaltung von Rechtetabellen

Im Rahmen der Protokollierung von Befugniszuweisungen kommt es insbesondere auch darauf an aufzuzeichnen, wer die Anweisung zur Erteilung einer bestimmten Befugnis erteilt hat.

3.2.4 Einspielen und Änderung von Anwendungssoftware

Diese Protokolle repräsentieren zum Großteil das Ergebnis der Programm- und Verfahrensfreigaben.

3.2.5 Änderungen an der Dateiorganisation

Im Hinblick auf die vielfältigen Manipulationsmöglichkeiten, die sich bereits bei Benutzung der "Standard-Dateiverwaltungssysteme" ergeben, kommt einer vollständigen Protokollierung eine besondere Bedeutung zu (siehe auch Datenbankmanagement).

3.2.6 Durchführung von Backup-, Restore- und sonstigen Datensicherungsmaßnahmen

Da derartige Maßnahmen mit der Anfertigung von Kopien bzw. dem Überschreiben von Datenbeständen verbunden sind und häufig in "Ausnahmesituationen" durchgeführt werden, besteht zur Protokollierung eine erhöhte Notwendigkeit.

3.2.7 Aufruf von weiteren Administrations-Tools

Für praktisch alle IuK-Systemee existieren Tools, die nur in "Ausnahmesituationen" verwendet werden. Ihr Einsatz ist auf alle Fälle zu protokollieren.

3.3 Benutzung von IuK-Systemen

Folgende Aktivitäten sind in Abhängigkeit von der Sensibilität der Verfahren/Daten vollständig bzw. selektiv oder stichprobenweise zu protokollieren:

3.3.1 Versuche unbefugten Einloggens sowie die Überschreitung von Befugnissen

Geht man von einer wirksamen Authentifizierungsprozedur und sachgerechten Befugniszuweisungen aus, kommt der vollständigen Protokollierung aller "auffälligen Abnormalitäten" beim Einloggen und der Benutzung von Hard- und Software-Komponenten eine zentrale Bedeutung zu. Benutzer in diesem Sinne ist auch der Systemadministrator.

3.3.2 Eingabe von Daten

Die so genannte Eingabekontrolle erfolgt grundsätzlich direkt im Datenbestand. Zumindest bei der Verarbeitung sensibler personenbezogener Daten sollte eine vollständige Protokollierung von Dateneingaben als Regelfall angesehen werden.

3.3.3 Datenübermittlungen

Bei der Übermittlung personenbezogener Daten ist darauf zu achten, dass der Benutzer die grundsätzliche Befugnis haben muss, derartige Datenübermittlungen zu veranlassen, anderenfalls würde es sich um die Überschreitung von Befugnissen handeln (vgl. Tz. 3.3.1). Die Protokollierung der Übermittlungstätigkeit sollte in der Regel zumindest stichprobenartig erfolgen.

3.3.4 Benutzung von automatisierten Abrufverfahren

Nur soweit nicht gesetzlich eine vollständige Protokollierung vorgeschrieben ist (Art. 8 Abs. 2 BayDSG), kann eine selektive Protokollierung als ausreichend angesehen werden. In der Regel dürfte eine vollständige Protokollierung des Abrufs und der Gründe für den Abruf (Vorgang, Aktenzeichen etc.) erforderlich sein, um unbefugte Übermittlungen im Rahmen der grundsätzlich eingeräumten Zugriffsrechte aufdecken zu können.

3.3.5 Veränderung oder Löschung von Daten

Durch eine Protokollierung des Veränderns oder Löschens von Daten kann zwar die Aktion selbst nicht verhindert, zumindest aber nachvollzogen werden. Deshalb sollte zumindest bei sensiblen Daten eine vollständige Protokollierung dieser Tätigkeiten erfolgen.

3.3.6 Aufruf von Programmen

Beim Aufruf von besonders "sensiblen" Programmen, die z. B. nur zu bestimmten Zeiten oder Anlässen benutzt werden dürfen, kann eine vollständige Protokollierung angezeigt sein. Die Protokollierung dient schließlich auch der Entlastung der befugten Benutzer (Nachweis des ausschließlich befugten Aufrufs der Programme).

4. Einbindung der Personalvertretung

Die Protokolldaten sind personenbezogen, da sie Aufschluss über die Aktivitäten eines Benutzers geben. Sie unterliegen nach dem Datenschutzrecht einer strikten Zweckbindung (Art. 17 Abs. 4 BayDSG) und dürfen nur zum Nachweis der fehlerfreien und ordnungsgemäßen Datenverarbeitung oder zur Aufdeckung von missbräuchlichen Zugriffen oder Zugriffsversuchen, keinesfalls jedoch für Zwecke der Verhaltens- oder Leistungskontrolle der Mitarbeiter verwendet oder ausgewertet werden.

Es empfiehlt sich deshalb, eine Vereinbarung mit dem Personalrat abzuschließen, in der die zulässigen Protokollierungen, ihre Aufbewahrungsdauer sowie die Art ihrer Auswertung und ihrer sonstigen Nutzung genau definiert sind. Da die Protokollierung eine technische Einrichtung zur Überwachung des Verhaltens der Beschäftigten der speichernden Stelle darstellt, hat der Personalrat gemäß Art. 75a Abs. 1 BayPVG ein Mitbestimmungsrecht. Durch eine Vereinbarung mit dem Personalrat sollte daher sichergestellt sein, dass das Instrument der Protokollierung nicht zweckentfremdet verwendet wird.

5. Protokollierung von lesenden Zugriffen

In der Praxis wird auf die Protokollierung von lesenden Satzzugriffen meist verzichtet, da den Benutzern ein aufgabenbezogenes Zugriffsberechtigungsprofil zugeordnet wurde, so dass Lese- und Schreibzugriffe nur im Rahmen dieser Zugriffsberechtigung auftreten können. Schreibende Zugriffe, wie Einfügen, Ändern, Löschen, werden in vielen Anwendungen ohnehin veranlasserbezogen festgehalten, so dass für einen festgelegten Zeitraum dokumentiert bleibt, wer aus welchem Grund was verändert hat. Auch Datenbanksysteme protokollieren alle schreibenden Zugriffe.

Die Aufzeichnung von solchen Lesezugriffen würde zu dem in vielen Fällen eine Unmenge von Protokolldaten erzeugen, die für die Kontrolle der Zugriffsberechtigung eigentlich irrelevant sind, weil diese bereits vorher maschinell erfolgt ist.

Da es sich aber bei Protokolldaten um personenbezogene Daten handelt, dürfen bei einer Protokollierung außerdem nur diejenigen Daten erhoben, verarbeitet und genutzt werden, deren Kenntnis, Speicherung und Nutzung zur Aufgabenerfüllung der betreffenden Stelle notwendig sind. So ist eine Protokollierung lesender Zugriffe in der Regel nur erforderlich, wenn es sich beispielsweise um sehr sensible Anwendungen und Daten, um Zugriffe über öffentliche Netze sowie um Übermittlungen im Rahmen der Einrichtung automatisierter Abrufverfahren (Art. 8 BayDSG) handelt oder wenn eine bestimmte Rechtsnorm oder Vorschrift diese Protokollierung vorschreibt.

Beispiele für automatisierte Abrufe aus dem öffentlichen Bereich sind Abrufe beim maschinellen Grundbuch (SOLUM STAR), beim Kfz-Halter-Register des Kraftfahrt-Bundesamts oder beim Ausländerzentralregister.

Bei manchen Verfahren wird wegen der Menge der Abfragen nur stichprobenweise protokolliert.

6. Sonderfall Patientendaten

Eine Protokollierung eines satzbezogenen Zugriffs kann auch bei der Patientenstammdatei eines großen Klinikums geboten sein, wenn Ärzte anderer Abteilungen zur Behandlung bestimmter Patienten beratend hinzugezogen werden, so dass ihnen ein Zugriff auf diese Patienten eröffnet werden muss.

Für einen solchen Fall bietet sich für den Benutzer die Einrichtung zweier Zugriffskennungen an:

• eine Kennung für ihn als behandelnder Stationsarzt für den Zugriff auf alle Patienten seiner Station (keine Protokollierung),
• eine andere Kennung für ihn als Dienst habenden Notarzt oder hinzugezogenen Konsiliarius (sog. Generalschlüssel) mit dem umfassenden Zugriff auf alle Patienten (Protokollierung des satzbezogenen Zugriffs).

Im Prinzip wäre auch eine satzweise Freischaltung des Zugriffs möglich. Eine solche Vorgehensweise wäre jedoch vom Handling her viel zu aufwendig. Deshalb wird dieser Kennung der gesamte Datenbestand zur Verfügung gestellt und jeder Zugriff für spätere Kontrollzwecke protokolliert.

7. Aufbewahrungsdauer für Protokolle

Die Aufbewahrungsdauer der Protokolle richtet sich, da es sich um personenbezogene Daten handelt, nach den allgemeinen Löschungsregeln der Datenschutzgesetze. Maßgeblich ist mithin die "Erforderlichkeit zur Aufgabenerfüllung". Gibt es keinen zwingenden Grund für das weitere Vorhalten von Protokolldateien, besteht eine Löschungspflicht (Art 12 Abs. 1 Nr. 2 BayDSG).

Eine exakte Bestimmung des Aufbewahrungszeitraums für Protokolle, deren Auswertung zeitlich nicht konkretisiert ist (z. B. die Protokolle im Zusammenhang mit der Administration, Tz. 3.2), ist nicht möglich.

Als Anhaltspunkte können dienen:

• die Wahrscheinlichkeit, dass Unregelmäßigkeiten (noch) aufgedeckt werden können und
• die Möglichkeit, die Gründe von Unregelmäßigkeiten anhand der Protokolle und anderer Unterlagen aufdecken zu können.

Erfahrungsgemäß sollte eine Frist von einem halben Jahr nicht überschritten werden.

Soweit Protokolle zum Zwecke gezielter Kontrollen angefertigt werden, z.B. Versuche unbefugten Einloggens sowie die Überschreitung von Befugnissen bzw. Eindringversuche an einer Firewall zu ermitteln, kommen auch mitunter wesentlich kürzere Speicherungsfristen in Betracht. In der Regel reicht hier eine Aufbewahrung bis zur tatsächlichen Kontrolle. Gerade bei diesen Beispielen kommt es auf eine sehr zeitnahe Auswertung mit entsprechenden Reaktionen an.

Eine Begrenzung der Speicherungsdauer von Protokolldaten kann auch dadurch erreicht werden, dass durch eine physische "Ringspeicherung" nur eine maximale Anzahl von Protokolldatensätzen für die Kontrolle vorgehalten wird (z. B. die jeweils letzten "n" Sätze).

8. Technische und organisatorische Rahmenbedingungen

Die Effektivität der Protokollierung und ihre Auswertung im Rahmen von Kontrollen hängen im entscheidenden Maße von den technischen und organisatorischen Rahmenbedingungen ab. In diesem Zusammenhang sollten folgende Aspekte Berücksichtigung finden:

• Es sollte ein Revisionskonzept erstellt werden, das die Zielrichtung der Protokolle und der Kontrollen sowie Schutzmechanismen für die Rechte der Mitarbeiter und der sonstigen betroffenen Personen klar definiert.
• Die Zwangsläufigkeit und damit die Vollständigkeit (soweit gewünscht) der Protokolle muss gewährleistet werden.
• Das Gleiche gilt für die Manipulationssicherheit der Einträge in Protokolldateien.
• Entsprechend der Zweckbindung der Datenbestände müssen wirksame Zugriffsbeschränkungen realisiert werden.
• Die Protokolle müssen so gestaltet sein, dass seitens der Revisoren eine effektive Überprüfung möglich ist.
• Die Auswertungsmöglichkeiten sollten vorab mit den Revisoren abgestimmt und festgelegt sein.
• Kontrollen sollten möglichst nach dem 4-Augen-Prinzip erfolgen.
• Es sollte außerdem vorab definiert werden, welche Konsequenzen sich aus Verstößen ergeben, die durch die Kontrolle von Protokollen aufgedeckt werden.
• Für Routinekontrollen sollten geeignete automatisierte Verfahren Verwendung finden.
• Personalräte sind bei der Erarbeitung des Revisionskonzeptes und bei der Auswertung der Protokolle zu beteiligen, da es sich bei Protokolldaten - wie bereits erwähnt - zumindest teilweise um Beschäftigtendaten handelt.

Die Ursprungsform dieser Orientierungshilfe ist 1994 vom Arbeitskreis "Technik" der Datenschutzbeauftragten des Bundes und der Länder erarbeitet worden. Sie wurde zwischenzeitlich immer wieder von der Geschäftstelle des Bayerischen Landesbeauftragten für den Datenschutz redaktionell überarbeitet und an die bayerische Gesetzgebung angepasst.