19. Orientierungshilfen der Datenschutzbeauftragten des Bundes und der Länder
19.1
Datenschutzrechtliche Protokollierung beim
Betrieb informationstechnischer Systeme
(IT-Systeme)
Anmerkung:
Die Datenschutzbeauftragten des Bundes und
der Länder haben eine Reihe von
Orientierungshilfen erarbeitet. Diese
Orientierungshilfen sollen bei der
Realisierung von Anwendungen berücksichtigt
werden. Obwohl es sich um gemeinsam
erarbeitete Papiere handelt, mag es in
einzelnen Punkten zwischen einzelnen
Datenschutzbeauftragten Abweichungen bei der
Interpretation oder der Gewichtung geben.
In diesen Abdruck der Orientierungshilfe zur Protokollierung sind die jeweils in Hessen einschlägigen Rechtsvorschriften eingefügt.
1. Begriff
1.1 Unter Protokollierung beim Betrieb von
IT-Systemen ist im
datenschutzrechtlichen Sinn die
Erstellung von manuellen oder
automatisierten Aufzeichnungen
- über die tatsächlichen Veränderungen
an Hardwarekomponenten (z.B.
vorübergehendes Entfernen von
Sicherheitselementen wie
Diskettenschachtverriegelungen o.ä.)
und an der Software (Betriebssystem,
systemnahe Software,
Anwendungssoftware) sowie
- über die Verarbeitung (Erhebung,
Speicherung, Veränderung, Löschung,
Sperrung, Übermittlung und sonstige
Nutzung) von personenbezogenen Daten
zu verstehen.
1.2 Elemente einer Protokollierung sind:
- Art des Vorgangs,
- Zeitpunkt der Aktivität bzw. des
Ereignisses,
- Merkmale der Maßnahme (z.B.
Eingabewerte),
- ausführende Person.
Aus den Protokollen muß sich mithin die Frage beantworten lassen: "Wer hat wann mit welchen Mitteln was veranlaßt bzw. worauf zugegriffen?" Außerdem müssen sich Systemzustände ableiten lassen: "Wer hatte von wann bis wann welche Zugriffsrechte?"
2. Rechtsgrundlagen
2.1 Im Datenschutzrecht des Bundes und der Länder sind die Bestimmungen, die eine Protokollierungspflicht begründen, in der Regel nicht gleichlautend (vgl. z.B. bezüglich der Übermittlungskontrolle § 10 Abs. 3 Nr. 6 HDSG im Verhältnis zu Nr. 6 der Anlage zu § 9 BDSG). Die Differenzen gehen über rein redaktionelle Unterschiede hinaus, so daß von allgemein gültigen datenschutzrechtlichen Protokollierungsbestimmungen nicht gesprochen werden kann.
2.2 Für eine Reihe von Verwaltungsverfahren gelten zudem bereichsspezifische, vom Datenschutzrecht des Bundes bzw. des betreffenden Landes abweichende Protokollierungsvorschriften. Als Beispiele hierfür sind zu nennen: Meldegesetze, Polizeigesetze, Verfassungsschutzgesetze, Gesetz über das ZEVIS usw.
2.3 Nur wenige gesetzliche Bestimmungen enthalten explizite Protokollierungsverpflichtungen wie z.B. § 10 Abs. 3 Nr. 6 und Nr. 7 HDSG oder Nr. 7 der Anlage zu § 9 BDSG). Die meisten Regelungen bedingen (lediglich) eine Protokollierung, um die jeweils geforderte Maßnahme realisieren zu können (vgl. z.B. bezüglich der Speicherkontrolle und der automatischen Abrufverfahren § 10 Abs. 3 Nr. 3 und 15 (2) HDSG sowie Nr. 3 der Anlage zu § 9 BDSG oder vergleichbare Passagen anderer Datenschutzgesetze).
2.4 Bevor Art und Umfang von Protokollierungen festgelegt werden, haben die datenverarbeitenden Stellen mithin zu ermitteln, welche gesetzlichen Regelungen für ihren Zuständigkeitsbereich welche Rahmenbedingungen definieren. Der Komplex "Protokollierung" stellt sich daher nicht als eine Maßnahme im Rahmen des Ermessens dar, sondern als eine Folge aus den jeweils gültigen gesetzlichen Bestimmungen.
2.5 Die nachfolgenden Hinweise können daher nur unter diesem Vorbehalt den Charakter von Mindestanforderungen erfüllen.
3. Gegenstand der Protokollierung
3.1 Differenzierung zwischen der Administration und der Benutzung von IT-Systemen
3.1.1 Beim Betrieb von IT-Systemen sollte zwischen den Funktionen der Administration und der Benutzung unterschieden werden.
3.1.2 Als "Administration" sind die Maßnahmen zur Installation, Modifikation und Konfiguration von Hard- und Software einschließlich der Abarbeitung von Systemnachrichten zu verstehen. Es handelt sich hierbei im wesentlichen um Basisfunktionen, die die fortdauernde Benutzung des Systems überhaupt erst ermöglichen.
3.1.3 Unter "Benutzung" ist die Inanspruchnahme der vom IT-System bereitgestellten Ressourcen anzusehen. In der Praxis stellt sich dies als der Aufruf von Software dar, die entsprechend den in einem Benutzerprofil festgelegten Zugriffsrechten (in der Regel in einem Menü) zur Verfügung gestellt wird.
3.1.4 Die Protokollierung der
Administrationsaktivitäten hat daher den
Charakter einer Systemüberwachung,
während die Protokollierung der
Benutzeraktivitäten im wesentlichen der
Verfahrensüberwachung dient.
Dementsprechend finden sich die
Anforderungen an die Art und den Umfang
der systemorientierten Protokollierung
überwiegend in dem "allgemeinen"
Datenschutzrecht, während die
verfahrensorientierte Protokollierung
weitgehend durch bereichsspezifische
"Regelungen" definiert wird (vgl. z.B.
Tz. 2.2).
3.2 Administration von IT-Systemen
Folgende Aktivitäten sind vollständig zu protokollieren:
3.2.1 Systemgenerierung und Modifikation von
Systemparametern
Da auf dieser Ebene in der Regel keine
systemgesteuerten Protokolle erzeugt
werden, bedarf es entsprechender
detaillierter manueller Aufzeichnungen,
die mit der Systemdokumentation
korrespondieren sollten.
3.2.2 Einrichten von Benutzern
Wem von wann bis wann durch wen das
Recht eingeräumt worden ist, das
betreffende IT-System zu benutzen, ist
vollständig zu protokollieren, dies
ergibt sich auch aus der
Eingabekontrolle. Für diese Protokolle
sollten längerfristige
Aufbewahrungszeiträume vorgesehen
werden, da sie Grundlage praktisch jeder
Revisionsmaßnahme sind.
3.2.3 Verwaltung von Befugnistabellen
Im Rahmen der Protokollierung von
Befugniszuweisungen kommt es
insbesondere auch darauf an
aufzuzeichnen, wer die Anweisung zur
Erteilung einer bestimmten Befugnis
erteilt hat.
3.2.4 Einspielen und Änderung von
Anwendungssoftware
Die Protokolle repräsentieren das
Ergebnis der Programm- und
Verfahrensfreigaben.
3.2.5 Änderung an der Dateiorganisation
Im Hinblick auf die vielfältigen
Manipulationsmöglichkeiten, die sich
bereits bei Benutzung der
"Standard-Dateiverwaltungssysteme"
ergeben, kommt einer vollständigen
Protokollierung eine besondere Bedeutung
zu (vgl. z.B. Datenbankmanagement).
3.2.6 Durchführung von Back-up-, Restore-
und sonstigen Datensicherungsmaßnahmen
Da derartige Maßnahmen mit der
Anfertigung von Kopien bzw. dem
Überschreiben von Datenbeständen
verbunden sind und häufig in
"Ausnahmesituationen" durchgeführt
werden, besteht eine erhöhte
Notwendigkeit zur Protokollierung.
3.2.7 Sonstiger Aufruf von
Administrations-Tools
Für praktisch alle IT-Systeme bestehen
Tools, die nur in "Ausnahmesituationen"
Anwendung finden sollten. Deshalb sollte
ihr Einsatz besonders protokolliert
werden.
3.3 Benutzung von IT-Systemen
Folgende Aktivitäten sind in
Abhängigkeit von der Sensibilität der
Verfahren/Daten vollständig bzw.
selektiv zu protokollieren:
3.3.1 Versuche unbefugten Einloggens und
Überschreitung von Befugnissen
Geht man von einer wirksamen
Authentifizierungsprozedur und
sachgerechten Befugniszuweisungen aus,
kommt der vollständigen Protokollierung
aller "auffälligen Abnormalitäten" beim
Einloggen und der Benutzung von Hard-
und Softwarekomponenten eine zentrale
Bedeutung zu. Benutzer in diesem Sinne
ist auch der Systemadministrator.
3.3.2 Eingabe von Daten
Die sog. Eingabekontrolle erfolgt
grundsätzlich verfahrensorientiert (z.B.
Protokollierung in Akten, soweit
vorhanden; Protokollierung direkt im
Datenbestand, sofern keine Akten geführt
werden). Auch wenn man davon ausgeht,
daß Befugnisüberschreitungen anderweitig
protokolliert werden, dürfte eine
vollständige Protokollierung von
Dateneingaben als Regelfall angesehen
werden müssen.
3.3.3 Datenübermittlungen
Nur soweit nicht gesetzlich eine
vollständige Protokollierung
vorgeschrieben ist (vgl. z.B. § 10
Abs. 3 Nr. 6 HDSG), kann eine selektive
Protokollierung als ausreichend
angesehen werden. In diesem Zusammenhang
ist auch die Anfertigung von
Dateikopien, Hardcopies usw. relevant.
Dabei ist zu beachten, daß der Benutzer
die grundsätzliche Befugnis haben muß,
derartige Datenübermittlungen zu
veranlassen, anderenfalls würde es sich
um die Überschreitung von Befugnissen
handeln (vgl. Tz. 3.3.1).
3.3.4 Benutzung von automatisierten
Abrufverfahren
In der Regel dürfte eine vollständige
Protokollierung der Abrufe und der
Gründe der Abrufe (Vorgang, Aktenzeichen
etc.) erforderlich sein, um unbefugte
Kenntnisnahmen im Rahmen der
grundsätzlich eingeräumten
Zugriffsrechte aufdecken zu können.
3.3.5 Löschung von Daten
Eine vollständige Protokollierung ist
insbesondere erforderlich, wenn die
Daten ausschließlich in automatisierten
Dateien gespeichert sind. In
Abhängigkeit vom Gegenstand der
Datenverarbeitung ist eine
Protokollierung der gelöschten Daten
oder lediglich die Tatsache der Löschung
angezeigt. Ersteres dürfte
"kontraproduktiv" sein, wenn
Löschungsansprüche der Betroffenen
erfüllt werden.
3.3.6 Aufruf von Programmen
Dies kann erforderlich sein bei
besonders "sensiblen" Programmen, die
z.B. nur zu bestimmten Zeiten oder
Anlässen benutzt werden dürfen. Deshalb
ist in diesen Fällen eine vollständige
Protokollierung angezeigt. Die
Protokollierung dient auch der
Entlastung der befugten Benutzer
(Nachweis des ausschließlich befugten
Aufrufs der Programme).
4. Personenbezug von Protokolldaten
Protokolle, die aus den unter Tz. 3 genannten Gründen erzeugt werden, stellen faktisch alle personenbezogenen Dateien dar. In erster Linie besteht ein Personenbezug zu den "veranlassenden Personen oder Stellen" (vgl. Tz. 1.2). In vielen Fällen lassen Protokolle außerdem Rückschlüsse auf Daten von Betroffenen zu. Soweit in den einzelnen Datenschutzgesetzen nicht Ausnahmeregelungen enthalten sind (vgl. z.B. § 1 Abs. 3 Nr. 1 BDSG), sind diese Protokolle wie "normale" Dateien zu behandeln.
5. Berücksichtigung der Zweckbindung bei der Nutzung von Protokolldaten
5.1 Protokolldaten unterliegen aufgrund der nahezu übereinstimmenden Regelungen im Datenschutzrecht des Bundes und der Länder einer besonderen engen Zweckbindung (z.B. § 13 Abs. 5 HDSG, § 14 Abs. 4 BDSG). Sie dürfen nur zu den Zwecken genutzt werden, die Anlaß für ihre Speicherung waren.
5.2 Dies sind in der Regel die in einem Sicherheitskonzept festzulegenden allgemeinen Kontrollen, die zur Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit denen personenbezogene Daten verarbeitet werden, und die Kontrollen durch interne oder externe Datenschutzbeauftragte.
6. Aufbewahrungsdauer für Protokolle
6.1 Die Aufbewahrungsdauer der Protokolle richtet sich, da es sich um personenbezogene Daten handelt, nach den allgemeinen Löschungsregeln der Datenschutzgesetze. Gibt es keinen zwingenden Grund für das weitere Vorhalten von Protokolldateien, besteht eine Löschungspflicht.
6.2 Eine exakte Bestimmung des Zeitraums der
Erforderlichkeit für Protokolle, deren
Auswertung zeitlich nicht konkretisiert
ist (vgl. z.B. die Protokolle im
Zusammenhang mit der Administration,
Tz. 3.2), ist nicht möglich.
Als Anhaltspunkte können dienen:
- die Wahrscheinlichkeit, daß
Unregelmäßigkeiten (noch) offenbar
werden können und
- die Möglichkeit, die Gründe von
Unregelmäßigkeiten anhand der
Protokolle und anderer Unterlagen
aufdecken zu können.
Erfahrungsgemäß sollte eine Frist von einem Jahr nicht überschritten werden.
6.3 Soweit Protokolle zum Zwecke gezielter Kontrollen angefertigt werden (vgl. insbesondere Tz 3.3.1 und 2.2.5), kommen kürzere Speicherungsfristen in Betracht. In der Regel reicht eine Aufbewahrung bis zur tatsächlichen Kontrolle.
6.4 Eine Begrenzung der Speicherungsdauer von Protokolldaten kann auch dadurch erreicht werden, daß durch eine "Ringspeicherung" nur eine maximale Anzahl von Protokolldatensätzen für die Kontrolle vorgehalten wird (z.B. die jeweils letzten "n" Sätze). Andere Möglichkeiten der Reduzierung der Datenmengen bestehen darin, Protokolldatensätze nach einem Zufallsprinzip (feste Prozentsätze o.ä.) zu erzeugen oder die Erstellung durch den Kontrolleur zu initiieren.
7. Technische und organisatorische Rahmenbedingungen
Die Effektivität der Protokollierung und ihre Auswertung im Rahmen von Kontrollen hängt im entscheidenden Maße von den technischen und organisatorischen Rahmenbedingungen ab. In diesem Zusammenhang sollten folgende Aspekte Berücksichtigung finden:
7.1 Es sollte ein Revisionskonzept erstellt werden, das die Zielrichtung der Protokolle und der Kontrollen sowie Schutzmechanismen für die Rechte der Mitarbeiter und der sonstigen betroffenen Personen klar definiert.
7.2 Die Zwangsläufigkeit und damit die Vollständigkeit der Protokolle muß gewährleistet werden.
7.3 Das gleiche gilt für die Manipulationssicherheit der Einträge in Protokolldateien.
7.4 Entsprechend der Zweckbindung der Datenbestände müssen wirksame Zugriffsbeschränkungen realisiert werden.
7.5 Die Protokolle müssen so gestaltet sein, daß seitens der Revisoren eine effektive Überprüfung möglich ist.
7.6 Die Auswertungsmöglichkeiten sollten vorab mit den Revisoren abgestimmt und festgelegt sein.
7.7 Kontrollen sollten nach dem 4-Augen-Prinzip erfolgen.
7.8 Es sollte vorab definiert werden, welche Konsequenzen sich aus Verstößen ergeben, die durch die Kontrolle von Protokollen aufgedeckt werden.
7.9 Für Routinekontrollen sollten automatisierte Verfahren (z.B. watch dogs) verwendet werden.
7.10 Personalräte und Arbeitnehmervertreter(innen) sollten bei der Erarbeitung des Revisionskonzepts und bei der Auswertung der Protokolle beteiligt werden.