Protokolldaten & Datenschutz

Letztes Update:
23
.
04
.
2021
Lesezeit:
0
Min
Protokolldaten sind u.a. ein wichtiger Bestandteil der technisch-organisatorischen Maßnahmen, aber stellen selbst auch personenbezogene Daten dar. Dies gilt es bei der Erhebung & Verarbeitung zu beachten.
Protokolldaten & Datenschutz
Die wichtigsten Erkenntnisse
  • Protokolldaten sind personenbezogene Daten und unterliegen der DSGVO.
  • Protokolldaten dokumentieren Zugriffe auf Systeme und Gebäude.
  • Sie dienen der Aufdeckung unberechtigter Zugriffe und Datenschutzlücken.
  • Erhebung und Speicherung von Protokolldaten müssen DSGVO-konform sein.
  • Datensparsamkeit und Integrität sind zentrale Prinzipien für Protokolldaten.

Die DSGVO sieht z.T. eine Protokollierung verschiedener Tätigkeiten vor. Da die anfallenden Protokolldaten aber selbst personenbezogene Daten darstellen, ist hier erhöhte Vorsicht geboten.
 

Was sind Protokolldaten?

Diese Daten geben zum Beispiel Aufschluss darüber, wer sich wann, wie lange Zugriff und zu welchem Zweck zu einem elektronischen System verschafft hat oder wer wann mittels elektronischen Schlüssels ein Gebäude betreten bzw. verlassen hat. Eine Protokollierung kann aber auch analog stattfinden, wie beispielsweise über eine Zugriffsliste vor einem Medizinschrank, in die sich Mitarbeiter:innen manuell eintragen müssen.

Solche aufgezeichneten Daten ermöglichen es, nachzuvollziehen, wer wann Zugriff zu welchem System bzw. Zutritt zu welchem Gebäude(teil) hatte. Gilt es im Nachhinein etwas aufzuklären, beispielsweise wer versehentlich einen Eintrag in einem Register gelöscht hat, kann auf die protokollierten Logins zurückgegriffen werden.
 

Wozu dient die Protokollierung im Bereich Datenschutz?

Die Protokollierung gemäß DSGVO dient vor allem zwei Hauptzwecken: der Aufdeckung unberechtigter Zugriffe und der Identifizierung von Lücken im Datenschutzmanagement.

Konkret kommen Protokolldaten im Datenschutzbereich beispielsweise bei den technisch-organisatorischen Maßnahmen (TOM) zum Einsatz. Gemäß gem. ist ein wesentlicher Bestandteil der TOM die Wiederherstellung des Zugangs zu den personenbezogenen Daten bei einem physischen oder technischen Zwischenfall. Damit ein solcher Zwischenfall aufgeklärt werden kann, helfen erhobene Protokolldaten: Sie sagen aus, wer als letzte:r Zugriff zu dem entsprechenden Datensatz hatte und ob der- oder diejenige einen versehentlichen Zwischenfall produziert hat bzw. zur Wiederherstellung der Daten beitragen kann.

Allerdings stellen erhobene Protokolldaten ebenfalls personenbezogene Daten dar und unterliegen damit der Datenschutzgrundverordnung (DSGVO). Konkret bedeutet das, dass es für die Erhebung, Datenverarbeitung und Speicherung von Protokolldaten selbst auch Vorgaben gibt.
 

Datenschutzkonforme Erhebung von Protokolldaten

Die Erhebung von Protokolldaten in automatisierten Verarbeitungssystemen stützt sich auf § 76 Abs. 1 BDSG-neu, wonach folgende Aktivitäten protokolliert werden müssen:

  • Erhebung,
  • Veränderung,
  • Abfrage,
  • Offenlegung einschließlich Übermittlung,
  • Kombination und
  • Löschung.

In diesem Paragrafen findet sich unter Absatz vier zugleich die Löschfrist für die erhobenen Protokolldaten: Die Löschung soll nach dem Ende des Folgejahres der Erhebung durchgeführt werden oder aber, wenn die Daten ihren Zweck erfüllt haben (Zweckbindung). So kann eine betroffene Person, über die Protokolldaten gespeichert werden sicher sein, dass diese Daten nicht unendlich lange gespeichert werden.

Die Zweckbindung gem. Art. 5 Abs. 2 lit. b DSGVO besagt übrigens auch, dass die Protokollierung solcher Daten nicht ohne Weiteres erfolgen darf, etwa weil Arbeitgeber:innen die Internet-Aktivitäten von Arbeitnehmer:innen nachvollziehen wollen (vgl. auf § 76 Abs. 3 BDSG-neu). Vielmehr braucht es für die Erhebung von Protokolldaten eine Rechtsgrundlage, die diese rechtfertig.

Des Weiteren gelten für Protokolldaten die Grundsätze der DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten, Art. 5), wie:

  • Datensparsamkeit: Es dürfen nur diese Daten erhoben werden, die auch tatsächlich benötigt werden.
  • Integrität und Vertraulichkeit: Die Protokolldaten müssen vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung gesichert werden. So muss beispielsweise zur Gewährleistung der Integrität auch eine bewusste Manipulation von protokollierten Daten verhindert werden.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!