19. Orientierungshilfen der Datenschutzbeauftragten des Bundes und der Länder

19.1
Datenschutzrechtliche Protokollierung beim Betrieb informationstechnischer Systeme (IT-Systeme)

Anmerkung:
Die Datenschutzbeauftragten des Bundes und der Länder haben eine Reihe von Orientierungshilfen erarbeitet. Diese Orientierungshilfen sollen bei der Realisierung von Anwendungen berücksichtigt werden. Obwohl es sich um gemeinsam erarbeitete Papiere handelt, mag es in einzelnen Punkten zwischen einzelnen Datenschutzbeauftragten Abweichungen bei der Interpretation oder der Gewichtung geben.

In diesen Abdruck der Orientierungshilfe zur Protokollierung sind die jeweils in Hessen einschlägigen Rechtsvorschriften eingefügt.

1. Begriff

1.1 Unter Protokollierung beim Betrieb von IT-Systemen ist im datenschutzrechtlichen Sinn die Erstellung von manuellen oder automatisierten Aufzeichnungen
- über die tatsächlichen Veränderungen an Hardwarekomponenten (z.B. vorübergehendes Entfernen von Sicherheitselementen wie Diskettenschachtverriegelungen o.ä.) und an der Software (Betriebssystem, systemnahe Software, Anwendungssoftware) sowie
- über die Verarbeitung (Erhebung, Speicherung, Veränderung, Löschung, Sperrung, Übermittlung und sonstige Nutzung) von personenbezogenen Daten
zu verstehen.

1.2 Elemente einer Protokollierung sind:
- Art des Vorgangs,
- Zeitpunkt der Aktivität bzw. des Ereignisses,
- Merkmale der Maßnahme (z.B. Eingabewerte),
- ausführende Person.

Aus den Protokollen muß sich mithin die Frage beantworten lassen: "Wer hat wann mit welchen Mitteln was veranlaßt bzw. worauf zugegriffen?" Außerdem müssen sich Systemzustände ableiten lassen: "Wer hatte von wann bis wann welche Zugriffsrechte?"

2. Rechtsgrundlagen

2.1 Im Datenschutzrecht des Bundes und der Länder sind die Bestimmungen, die eine Protokollierungspflicht begründen, in der Regel nicht gleichlautend (vgl. z.B. bezüglich der Übermittlungskontrolle § 10 Abs. 3 Nr. 6 HDSG im Verhältnis zu Nr. 6 der Anlage zu § 9 BDSG). Die Differenzen gehen über rein redaktionelle Unterschiede hinaus, so daß von allgemein gültigen datenschutzrechtlichen Protokollierungsbestimmungen nicht gesprochen werden kann.

2.2 Für eine Reihe von Verwaltungsverfahren gelten zudem bereichsspezifische, vom Datenschutzrecht des Bundes bzw. des betreffenden Landes abweichende Protokollierungsvorschriften. Als Beispiele hierfür sind zu nennen: Meldegesetze, Polizeigesetze, Verfassungsschutzgesetze, Gesetz über das ZEVIS usw.

2.3 Nur wenige gesetzliche Bestimmungen enthalten explizite Protokollierungsverpflichtungen wie z.B. § 10 Abs. 3 Nr. 6 und Nr. 7 HDSG oder Nr. 7 der Anlage zu § 9 BDSG). Die meisten Regelungen bedingen (lediglich) eine Protokollierung, um die jeweils geforderte Maßnahme realisieren zu können (vgl. z.B. bezüglich der Speicherkontrolle und der automatischen Abrufverfahren § 10 Abs. 3 Nr. 3 und 15 (2) HDSG sowie Nr. 3 der Anlage zu § 9 BDSG oder vergleichbare Passagen anderer Datenschutzgesetze).

2.4 Bevor Art und Umfang von Protokollierungen festgelegt werden, haben die datenverarbeitenden Stellen mithin zu ermitteln, welche gesetzlichen Regelungen für ihren Zuständigkeitsbereich welche Rahmenbedingungen definieren. Der Komplex "Protokollierung" stellt sich daher nicht als eine Maßnahme im Rahmen des Ermessens dar, sondern als eine Folge aus den jeweils gültigen gesetzlichen Bestimmungen.

2.5 Die nachfolgenden Hinweise können daher nur unter diesem Vorbehalt den Charakter von Mindestanforderungen erfüllen.

3. Gegenstand der Protokollierung

3.1 Differenzierung zwischen der Administration und der Benutzung von IT-Systemen

3.1.1 Beim Betrieb von IT-Systemen sollte zwischen den Funktionen der Administration und der Benutzung unterschieden werden.

3.1.2 Als "Administration" sind die Maßnahmen zur Installation, Modifikation und Konfiguration von Hard- und Software einschließlich der Abarbeitung von Systemnachrichten zu verstehen. Es handelt sich hierbei im wesentlichen um Basisfunktionen, die die fortdauernde Benutzung des Systems überhaupt erst ermöglichen.

3.1.3 Unter "Benutzung" ist die Inanspruchnahme der vom IT-System bereitgestellten Ressourcen anzusehen. In der Praxis stellt sich dies als der Aufruf von Software dar, die entsprechend den in einem Benutzerprofil festgelegten Zugriffsrechten (in der Regel in einem Menü) zur Verfügung gestellt wird.

3.1.4 Die Protokollierung der Administrationsaktivitäten hat daher den Charakter einer Systemüberwachung, während die Protokollierung der Benutzeraktivitäten im wesentlichen der Verfahrensüberwachung dient. Dementsprechend finden sich die Anforderungen an die Art und den Umfang der systemorientierten Protokollierung überwiegend in dem "allgemeinen" Datenschutzrecht, während die verfahrensorientierte Protokollierung weitgehend durch bereichsspezifische "Regelungen" definiert wird (vgl. z.B. Tz. 2.2).

3.2 Administration von IT-Systemen

Folgende Aktivitäten sind vollständig zu protokollieren:

3.2.1 Systemgenerierung und Modifikation von Systemparametern
Da auf dieser Ebene in der Regel keine systemgesteuerten Protokolle erzeugt werden, bedarf es entsprechender detaillierter manueller Aufzeichnungen, die mit der Systemdokumentation korrespondieren sollten.

3.2.2 Einrichten von Benutzern
Wem von wann bis wann durch wen das Recht eingeräumt worden ist, das betreffende IT-System zu benutzen, ist vollständig zu protokollieren, dies ergibt sich auch aus der Eingabekontrolle. Für diese Protokolle sollten längerfristige Aufbewahrungszeiträume vorgesehen werden, da sie Grundlage praktisch jeder Revisionsmaßnahme sind.

3.2.3 Verwaltung von Befugnistabellen
Im Rahmen der Protokollierung von Befugniszuweisungen kommt es insbesondere auch darauf an aufzuzeichnen, wer die Anweisung zur Erteilung einer bestimmten Befugnis erteilt hat.

3.2.4 Einspielen und Änderung von Anwendungssoftware
Die Protokolle repräsentieren das Ergebnis der Programm- und Verfahrensfreigaben.

3.2.5 Änderung an der Dateiorganisation
Im Hinblick auf die vielfältigen Manipulationsmöglichkeiten, die sich bereits bei Benutzung der "Standard-Dateiverwaltungssysteme" ergeben, kommt einer vollständigen Protokollierung eine besondere Bedeutung zu (vgl. z.B. Datenbankmanagement).

3.2.6 Durchführung von Back-up-, Restore- und sonstigen Datensicherungsmaßnahmen
Da derartige Maßnahmen mit der Anfertigung von Kopien bzw. dem Überschreiben von Datenbeständen verbunden sind und häufig in "Ausnahmesituationen" durchgeführt werden, besteht eine erhöhte Notwendigkeit zur Protokollierung.

3.2.7 Sonstiger Aufruf von Administrations-Tools
Für praktisch alle IT-Systeme bestehen Tools, die nur in "Ausnahmesituationen" Anwendung finden sollten. Deshalb sollte ihr Einsatz besonders protokolliert werden.

3.3 Benutzung von IT-Systemen
Folgende Aktivitäten sind in Abhängigkeit von der Sensibilität der Verfahren/Daten vollständig bzw. selektiv zu protokollieren:

3.3.1 Versuche unbefugten Einloggens und Überschreitung von Befugnissen
Geht man von einer wirksamen Authentifizierungsprozedur und sachgerechten Befugniszuweisungen aus, kommt der vollständigen Protokollierung aller "auffälligen Abnormalitäten" beim Einloggen und der Benutzung von Hard- und Softwarekomponenten eine zentrale Bedeutung zu. Benutzer in diesem Sinne ist auch der Systemadministrator.

3.3.2 Eingabe von Daten
Die sog. Eingabekontrolle erfolgt grundsätzlich verfahrensorientiert (z.B. Protokollierung in Akten, soweit vorhanden; Protokollierung direkt im Datenbestand, sofern keine Akten geführt werden). Auch wenn man davon ausgeht, daß Befugnisüberschreitungen anderweitig protokolliert werden, dürfte eine vollständige Protokollierung von Dateneingaben als Regelfall angesehen werden müssen.

3.3.3 Datenübermittlungen
Nur soweit nicht gesetzlich eine vollständige Protokollierung vorgeschrieben ist (vgl. z.B. § 10 Abs. 3 Nr. 6 HDSG), kann eine selektive Protokollierung als ausreichend angesehen werden. In diesem Zusammenhang ist auch die Anfertigung von Dateikopien, Hardcopies usw. relevant. Dabei ist zu beachten, daß der Benutzer die grundsätzliche Befugnis haben muß, derartige Datenübermittlungen zu veranlassen, anderenfalls würde es sich um die Überschreitung von Befugnissen handeln (vgl. Tz. 3.3.1).

3.3.4 Benutzung von automatisierten Abrufverfahren
In der Regel dürfte eine vollständige Protokollierung der Abrufe und der Gründe der Abrufe (Vorgang, Aktenzeichen etc.) erforderlich sein, um unbefugte Kenntnisnahmen im Rahmen der grundsätzlich eingeräumten Zugriffsrechte aufdecken zu können.

3.3.5 Löschung von Daten
Eine vollständige Protokollierung ist insbesondere erforderlich, wenn die Daten ausschließlich in automatisierten Dateien gespeichert sind. In Abhängigkeit vom Gegenstand der Datenverarbeitung ist eine Protokollierung der gelöschten Daten oder lediglich die Tatsache der Löschung angezeigt. Ersteres dürfte "kontraproduktiv" sein, wenn Löschungsansprüche der Betroffenen erfüllt werden.

3.3.6 Aufruf von Programmen
Dies kann erforderlich sein bei besonders "sensiblen" Programmen, die z.B. nur zu bestimmten Zeiten oder Anlässen benutzt werden dürfen. Deshalb ist in diesen Fällen eine vollständige Protokollierung angezeigt. Die Protokollierung dient auch der Entlastung der befugten Benutzer (Nachweis des ausschließlich befugten Aufrufs der Programme).

4. Personenbezug von Protokolldaten

Protokolle, die aus den unter Tz. 3 genannten Gründen erzeugt werden, stellen faktisch alle personenbezogenen Dateien dar. In erster Linie besteht ein Personenbezug zu den "veranlassenden Personen oder Stellen" (vgl. Tz. 1.2). In vielen Fällen lassen Protokolle außerdem Rückschlüsse auf Daten von Betroffenen zu. Soweit in den einzelnen Datenschutzgesetzen nicht Ausnahmeregelungen enthalten sind (vgl. z.B. § 1 Abs. 3 Nr. 1 BDSG), sind diese Protokolle wie "normale" Dateien zu behandeln.

5. Berücksichtigung der Zweckbindung bei der Nutzung von Protokolldaten

5.1 Protokolldaten unterliegen aufgrund der nahezu übereinstimmenden Regelungen im Datenschutzrecht des Bundes und der Länder einer besonderen engen Zweckbindung (z.B. § 13 Abs. 5 HDSG, § 14 Abs. 4 BDSG). Sie dürfen nur zu den Zwecken genutzt werden, die Anlaß für ihre Speicherung waren.

5.2 Dies sind in der Regel die in einem Sicherheitskonzept festzulegenden allgemeinen Kontrollen, die zur Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit denen personenbezogene Daten verarbeitet werden, und die Kontrollen durch interne oder externe Datenschutzbeauftragte.

6. Aufbewahrungsdauer für Protokolle

6.1 Die Aufbewahrungsdauer der Protokolle richtet sich, da es sich um personenbezogene Daten handelt, nach den allgemeinen Löschungsregeln der Datenschutzgesetze. Gibt es keinen zwingenden Grund für das weitere Vorhalten von Protokolldateien, besteht eine Löschungspflicht.

6.2 Eine exakte Bestimmung des Zeitraums der Erforderlichkeit für Protokolle, deren Auswertung zeitlich nicht konkretisiert ist (vgl. z.B. die Protokolle im Zusammenhang mit der Administration, Tz. 3.2), ist nicht möglich. Als Anhaltspunkte können dienen:
- die Wahrscheinlichkeit, daß Unregelmäßigkeiten (noch) offenbar werden können und
- die Möglichkeit, die Gründe von Unregelmäßigkeiten anhand der Protokolle und anderer Unterlagen aufdecken zu können.

Erfahrungsgemäß sollte eine Frist von einem Jahr nicht überschritten werden.

6.3 Soweit Protokolle zum Zwecke gezielter Kontrollen angefertigt werden (vgl. insbesondere Tz 3.3.1 und 2.2.5), kommen kürzere Speicherungsfristen in Betracht. In der Regel reicht eine Aufbewahrung bis zur tatsächlichen Kontrolle.

6.4 Eine Begrenzung der Speicherungsdauer von Protokolldaten kann auch dadurch erreicht werden, daß durch eine "Ringspeicherung" nur eine maximale Anzahl von Protokolldatensätzen für die Kontrolle vorgehalten wird (z.B. die jeweils letzten "n" Sätze). Andere Möglichkeiten der Reduzierung der Datenmengen bestehen darin, Protokolldatensätze nach einem Zufallsprinzip (feste Prozentsätze o.ä.) zu erzeugen oder die Erstellung durch den Kontrolleur zu initiieren.

7. Technische und organisatorische Rahmenbedingungen

Die Effektivität der Protokollierung und ihre Auswertung im Rahmen von Kontrollen hängt im entscheidenden Maße von den technischen und organisatorischen Rahmenbedingungen ab. In diesem Zusammenhang sollten folgende Aspekte Berücksichtigung finden:

7.1 Es sollte ein Revisionskonzept erstellt werden, das die Zielrichtung der Protokolle und der Kontrollen sowie Schutzmechanismen für die Rechte der Mitarbeiter und der sonstigen betroffenen Personen klar definiert.

7.2 Die Zwangsläufigkeit und damit die Vollständigkeit der Protokolle muß gewährleistet werden.

7.3 Das gleiche gilt für die Manipulationssicherheit der Einträge in Protokolldateien.

7.4 Entsprechend der Zweckbindung der Datenbestände müssen wirksame Zugriffsbeschränkungen realisiert werden.

7.5 Die Protokolle müssen so gestaltet sein, daß seitens der Revisoren eine effektive Überprüfung möglich ist.

7.6 Die Auswertungsmöglichkeiten sollten vorab mit den Revisoren abgestimmt und festgelegt sein.

7.7 Kontrollen sollten nach dem 4-Augen-Prinzip erfolgen.

7.8 Es sollte vorab definiert werden, welche Konsequenzen sich aus Verstößen ergeben, die durch die Kontrolle von Protokollen aufgedeckt werden.

7.9 Für Routinekontrollen sollten automatisierte Verfahren (z.B. watch dogs) verwendet werden.

7.10 Personalräte und Arbeitnehmervertreter(innen) sollten bei der Erarbeitung des Revisionskonzepts und bei der Auswertung der Protokolle beteiligt werden.

Inhalt, weiter,