Protokoll-Code am PC

Protokolldaten & Datenschutz

Protokolldaten sind u.a. ein wichtiger Bestandteil der technisch-organisatorischen Maßnahmen, aber stellen selbst auch personenbezogene Daten dar. Dies gilt es bei der Erhebung & Verarbeitung zu beachten.

2021-04-22

Logo

Die DSGVO sieht z.T. eine Protokollierung verschiedener Tätigkeiten vor. Da die anfallenden Protokolldaten aber selbst personenbezogene Daten darstellen, ist hier erhöhte Vorsicht geboten.
 

Was sind Protokolldaten?

Diese Daten geben zum Beispiel Aufschluss darüber, wer sich wann, wie lange Zugriff und zu welchem Zweck zu einem elektronischen System verschafft hat oder wer wann mittels elektronischen Schlüssels ein Gebäude betreten bzw. verlassen hat. Eine Protokollierung kann aber auch analog stattfinden, wie beispielsweise über eine Zugriffsliste vor einem Medizinschrank, in die sich Mitarbeiter:innen manuell eintragen müssen.

Solche aufgezeichneten Daten ermöglichen es, nachzuvollziehen, wer wann Zugriff zu welchem System bzw. Zutritt zu welchem Gebäude(teil) hatte. Gilt es im Nachhinein etwas aufzuklären, beispielsweise wer versehentlich einen Eintrag in einem Register gelöscht hat, kann auf die protokollierten Logins zurückgegriffen werden.
 

Wozu dient die Protokollierung im Bereich Datenschutz?

Die Protokollierung gemäß DSGVO dient vor allem zwei Hauptzwecken: der Aufdeckung unberechtigter Zugriffe und der Identifizierung von Lücken im Datenschutzmanagement.

Konkret kommen Protokolldaten im Datenschutzbereich beispielsweise bei den technisch-organisatorischen Maßnahmen (TOM) zum Einsatz. Gemäß gem. Art. 32 Abs. 1 DSGVO ist ein wesentlicher Bestandteil der TOM die Wiederherstellung des Zugangs zu den personenbezogenen Daten bei einem physischen oder technischen Zwischenfall. Damit ein solcher Zwischenfall aufgeklärt werden kann, helfen erhobene Protokolldaten: Sie sagen aus, wer als letzte:r Zugriff zu dem entsprechenden Datensatz hatte und ob der- oder diejenige einen versehentlichen Zwischenfall produziert hat bzw. zur Wiederherstellung der Daten beitragen kann.

Allerdings stellen erhobene Protokolldaten ebenfalls personenbezogene Daten dar und unterliegen damit der Datenschutzgrundverordnung (DSGVO). Konkret bedeutet das, dass es für die Erhebung, Datenverarbeitung und Speicherung von Protokolldaten selbst auch Vorgaben gibt.
 

Datenschutzkonforme Erhebung von Protokolldaten

Die Erhebung von Protokolldaten in automatisierten Verarbeitungssystemen stützt sich auf § 76 Abs. 1 BDSG-neu, wonach folgende Aktivitäten protokolliert werden müssen:

  • Erhebung,

  • Veränderung,

  • Abfrage,

  • Offenlegung einschließlich Übermittlung,

  • Kombination und

  • Löschung.

In diesem Paragrafen findet sich unter Absatz vier zugleich die Löschfrist für die erhobenen Protokolldaten: Die Löschung soll nach dem Ende des Folgejahres der Erhebung durchgeführt werden oder aber, wenn die Daten ihren Zweck erfüllt haben (Zweckbindung). So kann eine betroffene Person, über die Protokolldaten gespeichert werden sicher sein, dass diese Daten nicht unendlich lange gespeichert werden.

Die Zweckbindung gem. Art. 5 Abs. 2 lit. b DSGVO besagt übrigens auch, dass die Protokollierung solcher Daten nicht ohne Weiteres erfolgen darf, etwa weil Arbeitgeber:innen die Internet-Aktivitäten von Arbeitnehmer:innen nachvollziehen wollen (vgl. auf § 76 Abs. 3 BDSG-neu). Vielmehr braucht es für die Erhebung von Protokolldaten eine Rechtsgrundlage, die diese rechtfertig.

Des Weiteren gelten für Protokolldaten die Grundsätze der DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten, Art. 5), wie:

  • Datensparsamkeit: Es dürfen nur diese Daten erhoben werden, die auch tatsächlich benötigt werden.

  • Integrität und Vertraulichkeit: Die Protokolldaten müssen vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung gesichert werden. So muss beispielsweise zur Gewährleistung der Integrität auch eine bewusste Manipulation von protokollierten Daten verhindert werden.


Autorin: Kathrin Strauß
Artikel veröffentlicht am: 23.04.2021

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

Check: Datensensibilität bei Mitarbeitern

Die DSGVO kann in einem Unternehmen nur umgesetzt werden, wenn die Mitarbeiter umfassend in diesem Bereich geschult sind.

Mitarbeiter, die mit der automatisierten Verarbeitung von personenbezogenen Daten zu tun haben, müssen für den richtigen Umgang mit diesen Daten sensibilisiert werden. Nur so können sie Datenschutzpannen vorgebeugt werden. Sind Ihre Mitarbeiter fit im Datenschutz?

Zum Check

Geöffneter Laptop, auf welchem derCheck zur Datensensibilität der Mitarbeiter geöffnet ist

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr