Rechtzeitig die Tücken bei der Protokollierung vermeiden

By Monika Stucki aus dem CAS Data Privacy Officer

Die Auswertung von Protokolldaten ist wichtig, kann allerdings rasch zu Konflikten mit dem Datenschutz führen. So ersparen Sie sich Ärger: Behalten Sie die Vorschriften frühzeitig im Auge, um später nicht darüber zu stolpern.

IT-Systeme werden immer umfangreicher, komplexer und immer weniger einsehbar. Damit Unternehmen nachvollziehen können, wie ihre IT-Systeme funktionieren und wie sie genutzt werden, kommt die Protokollierung zum Einsatz. Bei dieser werden definierte Aktivitäten innerhalb eines IT-Systems aufgezeichnet.

Protokolleinträge können sich aus verschiedenen Angaben zusammensetzen: Sie geben etwa Auskunft darüber, wer zu welchem Zeitpunkt an welcher Stelle im System welche Aktion mit welchem Ergebnis ausgeführt hat. Gewinnbringend sind solche Protokolleinträge aber vor allem dann, wenn sie aktiv dazu genutzt werden, die Datensicherheit und den Datenschutz aufrechtzuerhalten.

Datensicherheit mit Protokolldaten erhöhen

Aus Sicht der Datensicherheit kann eine Auswertung von Protokolldaten helfen, die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit sicherzustellen. Beispielsweise können im laufenden Betrieb Abweichungen vom normalen Nutzungsverhalten, potenzielle Sicherheitsvorfälle wie der Missbrauch eines Systems oder gezielte Angriffe erkannt werden. Des Weiteren können Aussagen zu Nutzerfähigkeiten eine Grundlage für gezieltere Sicherheitsschulungen bilden. Diese Vorteile werden auch im Kapitel «B.2 Protokollierung» im Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes (TOM) des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) angedeutet. Gemäss TOM «erlauben solche Aufzeichnungen herauszufinden, wo ein Zwischenfall, ein unbefugter Zugriff oder eine unbefugte Bearbeitung von Daten stattgefunden hat».

Kein Erfassen nur um des Erfassens willen

Doch Achtung: Es gilt dabei frühzeitig sicherzustellen, dass diese Aufzeichnungen auch datenschutzkonform sind. Daten dürfen nur dann erfasst werden, wenn die Rechts-, Zweck- und Verhältnismässigkeit gegeben sind. Was genau erlaubt oder fordert der Datenschutz hinsichtlich solcher Auswertungen eigentlich?

Einhaltung der Grundsätze bei einer Auswertung gewährleisten

Erfolgt eine Auswertung von Protokolldaten, die sich auf eine bestimmte oder bestimmbare Person beziehen, fällt diese Tätigkeit gemäss Art. 3 lit a i.v.m. lit e unter das Schweizerische Datenschutzgesetz (DSG). Das bedeutet, dass die Prinzipien der Datenbearbeitung nach DSG zu berücksichtigen sind.

Auf Nummer sicher gehen und diese Punkte beachten

Protokolldaten zum Zweck der Datensicherheit dürfen demnach nur ausgewertet werden, wenn

eine gesetzliche Rechtfertigung, ein überwiegendes Interesse oder eine freiwillige und bei besonders schützenswerten Personendaten noch dazu ausdrückliche Einwilligung der betroffenen Person vorliegt (Art. 4 Abs. 1 und 5 DSG).
die Bearbeitung transparent erfolgt und die Person ausführlich und umfassend über die Auswertung informiert ist (Art. 4 Abs. 2 DSG).
nur die Menge an Daten vorhanden ist und ausgewertet wird, die unbedingt notwendig ist zur Erreichung des angegebenen Zwecks (Art. 4 Abs. 2 und 3 DSG).
die Protokolldaten richtig sind (Art. 5 DSG).

Wer diese Grundsätze nicht erfüllt, verstösst mit der Auswertung der Protokolldaten auch zu Zwecken der Datensicherheit gegen das Gesetz und handelt rechtswidrig. Denn: «Ein rechtswidriges Verhalten liegt […] immer schon dann vor, wenn die Bearbeitung der Daten […] gegen eine in der Schweiz geltende rechtlich verbindliche Norm verstösst» (Epiney et al., 2009).

Planung und Vorsorge sind das A und O

Für die Gewährleistung der Datensicherheit haben Unternehmen unzählige Möglichkeiten, um ihre IT-Systeme zu schützen. Mit Rahmenwerken wie zum Beispiel ISO 27001 oder NIST Cybersecurity Framework bestehen ganze Anforderungskataloge für die Planung, Umsetzung und Verbesserung der Datensicherheit inklusive Protokollierung. Hinsichtlich Datenschutz wird jedoch häufig nur die Gesetzeskonformität aufgeführt, da sich diese je nach Land unterschiedlich ausgestaltet.

Sorgen Sie daher besser vor: Werfen Sie frühzeitig – schon vor der Protokollierung – einen Blick in das Gesetz. So stellen Sie sicher, dass Sie bereits bei der Datenerhebung dem Datenschutz Rechnung tragen.

Weiterführende Links

Verbindet Datensicherheit und -schutz : Monika Stucki beschäftigt sich beruflich mit Informationssicherheit: Sie ist Security Consultant bei der Redguard AG und bloggt für unseren Weiterbildungs-Blog aus dem Unterricht des CAS Data Privacy Officer.

Weiterkommen mit dem CAS Data Privacy Officer: Dieses Weiterbildungsprogramm vermittelt die erforderlichen Fachkenntnisse zur Ausübung der Funktion des/der betrieblichen Datenschutzverantwortlichen bzw. des/der Datenschutzberatenden. Die Entwicklungen im Zusammenhang mit der laufenden Revision des Datenschutzgesetzes der Schweiz sowie die relevanten Aspekte der EU-Datenschutzgrundverordnung (DSGVO) – der General Data Protection Regulation (GDPR) 2016/679 – werden in diesem Kurs mitberücksichtigt.

Gefällt Ihnen unser Informatik-Blog? Hier erhalten Sie Tipps und lesen über Trends aus der Welt der Informatik. Wir bieten Einsichten in unser Departement und Porträts von IT-Vordenkerinnen, Visionären und spannenden Menschen: Abonnieren Sie jetzt unseren Blog!

Stöbern Sie in unserem Weiterbildungs-Blog: Was lernen unsere CAS-Teilnehmenden? Was sind ihre Fachgebiete? Im Weiterbildungs-Blog der Hochschule Luzern – Informatik erfahren Sie mehr. Aktuelle CAS-Teilnehmende bloggen aus ihren Weiterbildungsprogrammen heraus. Wir unterstützen und fördern die Bloggenden aktiv in diesem Qualifikationsschritt.