News

Archiv

Orientierungshilfe zur Protokollierung

Sowohl Bundesdatenschutzgesetz als auch die verschiedenen Datenschutzgesetze der Länder beinhalten
Regelungen, aus denen sich die Pflicht zur Protokollierung ergibt bzw. ableiten
lässt. Der Arbeitskreis „Technische und organisatorische Datenschutzfragen“ der Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat deshalb hierzu schon vor einiger Zeit eine Orientierungshilfe „Protokollierung“ herausgegeben, an die wir gerne erinnern möchten.

NUR WENIGE VORGABEN

Obwohl die Datenschutzgesetze von Bund und Ländern vielfach die Pflicht zur Protokollierung vorgeben, gibt es tatsächlich nur wenige Vorgaben für die konkrete Ausgestaltung einer solchen Protokollierung. Dennoch haben sich auf Basis der Anforderungen erprobte Vorgehensweisen entwickelt, die in der Orientierungshilfe als grundlegende Empfehlungen dargestellt werden.

ZWECK UND ANFORDERUNG

Die Orientierungshilfe beschreibt welchem Zweck die Protokollierung dient und welchen Anforderungen sie gerecht werden muss: „Der Zweck der Protokollierung besteht darin, ein Verfahren zur Verarbeitung personenbezogener Daten so transparent zu machen, dass die Ordnungsmäßigkeit bzw. ein Verstoß gegen die Ordnungsmäßigkeit einer Verarbeitung personenbezogener Daten nachweisbar ist.“ Dabei ist es wichtig, dass Protokolldaten mit Personenbezug zweckgebunden, vollständig und datensparsam eingerichtet werden. Besonders wichtig: Protokolldaten dürfen nicht nachträglich verändert werden können und nur Berechtigten zugänglich sein.

WAS MUSS DENN WIE PROTOKOLLIERT WERDEN?

Die Orientierungshilfe zeigt die wichtigsten Protokollierungen auf und was dabei beachtet werden sollte. Hier wird auf die Protokollierung von administrativen Tätigkeiten und der Nutzung von IuK-Systemen beschrieben. Dabei ist die Qualität der Protokollierung von großer Wichtigkeit: „Entsprechend dem Zweck der Protokollierung müssen die in Protokolldaten aufgeführten Aktionen so aggregiert werden können bzw. sein, dass sie der kontrollierenden Instanz helfen, einen Sachverhalt zu rekonstruieren und zu bewerten.“ Dies ergibt sich aus Vorgaben zu Inhalt und Format, wobei aber auch die technischen und organisatorischen Aspekte, wie die Erzeugung der Protokolldaten, deren Übertragung, Speicherung, Auswertung und Löschung nicht außer Acht gelassen werden dürfen.