2.1 Im Datenschutzrecht des Bundes und der Länder sind die Bestimmungen,
die eine Protokollierungspflicht begründen, in der Regel nicht gleichlautend
(vgl. z. B. bezüglich der Übermittlungskontrolle Nr. 6 der Anlage
zu § 9 BDSG im Verhältnis zu § 10 Abs. 3 Nr. 6 Hessisches
Datenschutzgesetz, § 6 Abs. 2 Nr. 6 Bremisches Datenschutzgesetz ...
). Die Differenzen gehen über rein redaktionelle Unterschiede hinaus,
so daß von allgemein gültigen datenschutzrechtlichen
Protokollierungsbestimmungen nicht gesprochen werden kann.
2.2 Für eine Reihe von Verwaltungsverfahren gelten zudem
bereichsspezifische, vom Datenschutzrecht des Bundes bzw. des betreffenden
Landes abweichende Protokollierungsvorschriften. Als Beispiele hierfür
sind zu nennen: Meldegesetze, Polizeigesetze, Verfassungsschutzgesetze, Gesetz
über das ZEVIS usw.
2.3 Nur wenige gesetzliche Bestimmungen enthalten explizite
Protokollierungsverpflichtungen wie z. B. in Nr. 7 der Anlage zu § 9
BDSG, § 7 Abs. 2 Nr. 6 und § 11 Abs. 2 LDSG SH ... ). Die meisten
Regelungen bedingen (lediglich) eine Protokollierung, um die jeweils geforderte
Maßnahme realisieren zu können (vgl. z. B. bezüglich der
Speicherkontrolle und der, automatischen Abrufverfahren Nr. 3 der Anlage
zu § 9 BDSG, § 10 Abs. 2 BDSG, § 20 LDSGSH, ...).
2.4 Bevor Art und Umfang von Protokollierungen festgelegt werden, haben die
datenverarbeitenden Stellen mithin zu ermitteln, welche gesetzlichen Regelungen
für ihren Zuständigkeitsbereich welche Rahmenbedingungen definieren.
Der Komplex "Protokollierung" stellt sich mithin nicht als eine Maßnahme
im Rahmen des Ermessens dar, sondern als eine Folge aus den jeweils
gültigen gesetzlichen Bestimmungen.
2.5 Die nachfolgenden Hinweise können daher nur unter diesem Vorbehalt
den Charakter von Mindestanforderungen erfüllen.
3. Gegenstand der Protokollierung
3.1 Differenzierung zwischen der Administration und der Benutzung von IT-Systemen
3.1.1 Beim Betrieb von IT-Systemen sollte zwischen den Funktionen der
Administration und der Benutzung unterschieden werden.
3.1.2 Als "Administration" sind die Maßnahmen zur Installation,
Modifikation und Konfiguration von Hard- und Software einschließlich
der Abarbeitung von Systemnachrichten zu verstehen. Es handelt sich hierbei
im wesentlichen um Basisfunktionen, die die fortdauernde Benutzung des Systems
überhaupt erst ermöglichen.
3.1.3 Unter "Benutzung" ist die Inanspruchnahme der vom IT-System
bereitgestellten Ressourcen anzusehen. In der Praxis stellt sich dies als
der Aufruf von Software dar, die entsprechend den in einem Benutzerprofil
festgelegten Zugriffsrechten (in der Regel in einem Menü) zur
Verfügung gestellt wird.
3.1.4 Die Protokollierung der Administrationsaktivitäten hat daher den
Charakter einer Systemüberwachung, während die Protokollierung
der Benutzeraktivitäten im wesentlichen der Verfahrensüberwachung
dient. Dementsprechend finden sich die Anforderungen an die Art und den Umfang
der systemorientierten Protokollierung überwiegend in dem "allgemeinen"
Datenschutzrecht, während die verfahrensorientierte Protokollierung
weitgehend durch bereichsspezifische "Regelungen" definiert wird (vgl. z.
B. Tz 2.2).
3.2. Administration von IT-Systemen
Folgende Aktivitäten sind vollständig zu protokollieren:
3.2.1 Systemgenerierung und Modifikation von Systemparametern
Da auf dieser Ebene in der Regel keine systemgesteuerten Protokolle erzeugt
werden, bedarf es entsprechender detaillierter manueller Aufzeichnungen,
die mit der Systemdokumentation korrespondieren sollten.
3.2.2 Einrichten von Benutzern
Wem von wann bis wann durch wen das Recht eingeräumt worden ist das
betreffende IT-System zu benutzen, ist vollständig zu protokollieren,
dies ergibt sich auch aus der Eingabekontrolle. Für diese Protokolle
sollten längerfristige Aufbewahrungszeiträume vorgesehen werden,
da sie Grundlage praktisch jeder Revisionsmaßnahme sind.
3.2.3 Verwaltung von Befugnistabellen
Im Rahmen der Protokollierung von Befugniszuweisungen kommt es insbesondere
auch darauf an aufzuzeichnen, wer die Anweisung zur Erteilung einer bestimmten
Befugnis erteilt hat.
3.2.4 Einspielen und Änderung von Anwendungssoftware
Die Protokolle repräsentieren das Ergebnis der Programm- und
Verfahrensfreigaben.
3.2.5 Änderungen an der Dateiorganisation
Im Hinblick auf die vielfältigen Manipulationsmöglichkeiten, die
sich bereits bei Benutzung der "Standard-Dateiverwaltungssysteme" ergeben,
kommt einer vollständigen Protokollierung eine besondere Bedeutung zu
(vgl. z. B. Datenbankmanagement).
3.2.6 Durchführung von Back-up- Restore- und sonstigen
Datensicherungsmaßnahmen
Da derartige Maßnahmen mit der Anfertigung von Kopien bzw. dem
Überschreiben von Datenbeständen verbunden sind und häufig
in "Ausnahmesituationen" durchgeführt werden, besteht eine erhöhte
Notwendigkeit zur Protokollierung.
3.2.7 Sonstiger Aufruf von Administrations-Tools
3.3 Benutzung von IT-Systemen
Folgende Aktivitäten sind in Abhängigkeit von der Sensibilität
der Verfahren/Daten vollständig bzw. selektiv zu protokollieren:
3.3.1 Versuche unbefugten Einloggens und Überschreitung von Befugnissen
Geht man von einer wirksamen Authentifizierungsprozedur und sachgerechten
Befugniszuweisungen aus, kommt der vollständigen Protokollierung aller
"auffälligen Abnormalitäten" beim Einloggen und der Benutzung von
Hard- und Softwarekomponenten eine zentrale Bedeutung zu. Benutzer in diesem
Sinne ist auch der Systemadministrator.
3.3.2 Eingabe von Daten
Die sogenannte Eingabekontrolle erfolgt grundsätzlich verfahrensorientiert
(z. B. Protokollierung in Akten, soweit vorhanden, Protokollierung direkt
im Datenbestand, sofern keine Akten geführt werden). Auch wenn man davon
ausgeht, daß Befugnisüberschreitungen anderweitig protokolliert
werden, dürfte eine vollständige Protokollierung von Dateneingaben
als Regelfall angesehen werden müssen.
3.3.3 Datenübermittlungen
Nur soweit nicht gesetzlich eine vollständige Protokollierung vorgeschrieben
ist (vgl. z. B. § 10 Abs. 2 Nr. 6 DSGNB ... ), kann eine selektive
Protokollierung als ausreichend angesehen werden. In diesem Zusammenhang
ist auch die Anfertigung von Dateikopien, Hardcopies usw. relevant. Dabei
ist zu beachten, daß der Benutzer die grundsätzliche Befugnis
haben muß, derartige Datenübermittlungen zu veranlassen, anderenfalls
würde es sich um die Überschreitung von Befugnissen handeln (vgl.
Tz. 3.3.1).
3.3.4 Benutzung von automatisierten Abrufverfahren
In der Regel dürfte eine vollständige Protokollierung der Abrufe
und der Gründe der Abrufe (Vorgang, Aktenzeichen etc.) erforderlich
sein, um unbefugte Kenntnisnahmen im Rahmen der grundsätzlich
eingeräumten Zugriffsrechte aufdecken zu können.
3.3.5 Löschung von Daten
Eine vollständige Protokollierung ist insbesondere erforderlich, wenn
die Daten ausschließlich in automatisierten Dateien gespeichert sind.
In Abhängigkeit vom Gegenstand der Datenverarbeitung ist eine
Protokollierung der gelöschten Daten oder lediglich die Tatsache der
Löschung angezeigt. Ersteres dürfte "kontraproduktiv" sein, wenn
Löschungsansprüche der Betroffenen erfüllt werden.
3.3.6 Aufruf von Programmen
Dies kann erforderlich sein bei besonders "sensiblen" Programmen, die z.
B. nur zu bestimmten Zeiten oder Anlässen benutzt werden dürfen.
Deshalb ist in diesen Fällen eine vollständige Protokollierung
angezeigt. Die Protokollierung dient auch der Entlastung der befugten Benutzer
(Nachweis des ausschließlich befugten Aufrufs der Programme).
4. Personenbezug von Protokolldaten
Protokolle, die aus den unter Tz. 3 genannten Gründen erzeugt werden,
stellen faktisch alle personenbezogenen Dateien dar. In erster Linie besteht
ein Personenbezug zu den "veranlassenden Personen oder Stellen" (vgl. Tz.
1.2). In vielen Fällen lassen Protokolle außerdem
Rückschlüsse auf Daten von Betroffenen zu. Soweit in den einzelnen
Datenschutzgesetzen nicht Ausnahmeregelungen enthalten sind (vgl. z. B. §
1 Abs. 3 Nr. 1 BDSG, § 8 Abs. 1 Satz 3 LDSGSH, ...), sind diese Protokolle
wie "normale" Dateien zu behandeln.
5. Berücksichtigung der Zweckbindung bei der Nutzung von Protokolldaten
5.1 Protokolldaten unterliegen aufgrund der nahezu übereinstimmenden
Regelungen im Datenschutzrecht des Bundes und der Länder einer besonderen
engen Zweckbindung (z. B. § 14 Abs. 4 BDSG, § 13 Abs. 5 HDSG ...
). Sie dürfen nur zu den Zwecken genutzt werden, die Anlaß für
ihre Speicherung waren.
5.2 Dies sind in der Regel die in einem Sicherheitskonzept festgelegten
allgemeinen Kontrollen, die in den meisten Datenschutzgesetzen geforderte
"Überwachung der ordnungsgemäßen Anwendung der
Datenverarbeitungsprogramme, mit denen personenbezogene Daten verarbeitet
werden" (vgl. § 18 Abs. 2 BDSG, § 8 Abs. 3 LDSGSH, ...) und die
Kontrollen durch interne oder externe Datenschutzbeauftragte. (Näheres
hierzu vgl. Schaar, Schläger in CR 7/1993, S. 435).
6. Aufbewahrungsdauer für Protokolle
6.1 Die Aufbewahrungsdauer der Protokolle richtet sich, da es sich um
personenbezogene Daten handelt, nach den allgemeinen Löschungsregeln
der Datenschutzgesetze. Maßstab ist mithin die "Erforderlichkeit zur
Aufgabenerfüllung". Gibt es keinen zwingenden Grund für das weitere
Vorhalten von Protokolldateien, besteht eine Löschungspflicht (vgl.
z. B. § 20 Abs. 2 BDSG).
6.2 Eine exakte Bestimmung des Zeitraums der Erforderlichkeit für
Protokolle, deren Auswertung zeitlich nicht konkretisiert ist (vgl. z. B.
die Protokolle im Zusammenhang mit der Administration, Tz. 3.2), ist nicht
möglich.
Als Anhaltspunkte können dienen:
-
die Wahrscheinlichkeit, daß Unregelmäßigkeiten (noch) offenbar
werden können und
-
die Möglichkeit, die Gründe von Unregelmäßigkeiten anhand
der Protokolle und anderer Unterlagen aufdecken zu können.
Erfahrungsgemäß sollte eine Frist von einem Jahr nicht
überschritten werden.
6.3 Soweit Protokolle zum Zwecke gezielter Kontrollen angefertigt werden
(vgl. insbesondere Tz. 3.3.1 und 3.3.5), kommen kürzere Speicherungsfristen
in Betracht. In der Regel reicht eine Aufbewahrung bis zur tatsächlichen
Kontrolle.
6.4 Eine Begrenzung der Speicherungsdauer von Protokolldaten kann auch dadurch
erreicht werden, daß durch eine "Ringspeicherung" nur eine maximale
Anzahl von Protokolldatensätzen für die Kontrolle vorgehalten wird
(z. B. die jeweils letzten "n" Sätze). Andere Möglichkeiten der
Reduzierung der Datenmengen bestehen darin, Protokolldatensätze nach
einem Zufallsprinzip (feste Prozentsätze o. ä.) zu erzeugen oder
die Erstellung durch den Kontrolleur zu initiieren.
7. Technische und organisatorische Rahmenbedingungen
Die Effektivität der Protokollierung und ihre Auswertung im Rahmen von
Kontrollen hängt im entscheidenden Maße von den technischen und
organisatorischen Rahmenbedingungen ab. In diesem Zusammenhang sollten folgende
Aspekte Berücksichtigung finden:
7.1 Es sollte ein Revisionskonzept erstellt werden, das die Zielrichtung
der Protokolle und der Kontrollen sowie Schutzmechanismen für die Rechte
der Mitarbeiter und der sonstigen betroffenen Personen klar definiert.
7.2 Die Zwangsläufigkeit und damit die Vollständigkeit der Protokolle
muß gewährleistet werden.
7.3 Das gleiche gilt für die Manipulationssicherheit der Einträge
in Protokolldateien.
7.4 Entsprechend der Zweckbindung der Datenbestände müssen wirksame
Zugriffsbeschränkungen realisiert werden.
7.5 Die Protokolle müssen so gestaltet sein, daß seitens der Revisoren
eine effektive Überprüfung möglich ist.
7.6 Die Auswertungsmöglichkeiten sollten vorab mit den Revisoren abgestimmt
und festgelegt sein.
7.7 Kontrollen sollten nach dem 4-Augen-Prinzip erfolgen.
7.8 Es sollte vorab definiert werden, welche Konsequenzen sich aus
Verstößen ergeben, die durch die Kontrolle von Protokollen aufgedeckt
werden.
7.9 Für Routinekontrollen sollten automatisierte Verfahren. (z. B. watch
dogs) verwendet werden.
7.10 Personalräte und Arbeitnehmervertreter(innen) sollten bei der
Erarbeitung des Revisionskonzeptes und bei der Auswertung der Protokolle
beteiligt werden.
|