Apr 29, 2020 von Monika Stucki
Die Auswertung von Protokolldaten kann helfen, die Datensicherheit zu erhöhen. Das Datenschutzgesetz erlaubt aber nicht alles. Was gilt für die Auswertung von Protokolldaten?
IT-Systeme werden immer umfangreicher, komplexer und immer weniger einsehbar. Damit Unternehmen nachvollziehen können, wie ihre IT-Systeme funktionieren und wie sie genutzt werden, kommt die Protokollierung zum Einsatz. Bei dieser werden definierte Aktivitäten innerhalb eines IT-Systems aufgezeichnet.
Protokolleinträge können sich aus verschiedenen Angaben zusammensetzen, die Auskunft darüber geben, wer zu welchem Zeitpunkt, an welcher Stelle im System, welche Aktion mit welchem Ergebnis ausgeführt hat. Gewinnbringend sind solche Protokolleinträge aber vor allem dann, wenn sie aktiv dazu genutzt werden, die Datensicherheit und den Datenschutz aufrechtzuerhalten.
Aus Sicht der Datensicherheit kann eine Auswertung von Protokolldaten helfen, die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit sicherzustellen. Beispielsweise können im laufenden Betrieb Abweichungen vom normalen Nutzungsverhalten, potenzielle Sicherheitsvorfälle wie der Missbrauch eines Systems oder gezielte Angriffe erkannt werden. Des Weiteren können Aussagen zu Nutzerfähigkeiten eine Grundlage für gezieltere Sicherheitsschulungen bilden. Diese Vorteile werden auch im Kapitel «B.2 Protokollierung» im Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes (TOM) des EDÖB angedeutet. Gemäss TOM «erlauben solche Aufzeichnungen herauszufinden, wo ein Zwischenfall, ein unbefugter Zugriff oder eine unbefugte Bearbeitung von Daten stattgefunden hat».
Doch was erlaubt beziehungsweise fordert der Datenschutz hinsichtlich solcher Auswertungen eigentlich?
Erfolgt eine Auswertung von Protokolldaten, die sich auf eine bestimmte oder bestimmbare Person beziehen, fällt diese Tätigkeit gemäss Art. 3 lit a i.v.m. lit e unter das Schweizerische Datenschutzgesetz (DSG). Das bedeutet, dass die Prinzipien der Datenbearbeitung nach DSG zu berücksichtigen sind. Protokolldaten zum Zweck der Datensicherheit dürfen demnach nur ausgewertet werden, wenn
Werden diese Grundsätze nicht erfüllt, verstösst die Auswertung der Protokolldaten auch zu Zwecken der Datensicherheit gegen das Gesetz und ist rechtswidrig. Denn:
«Ein rechtswidriges Verhalten liegt […] immer schon dann vor, wenn die Bearbeitung der Daten […] gegen eine in der Schweiz geltende rechtlich verbindliche Norm verstösst» (Epiney et al., 2009, S. 22)
Für die Gewährleistung von Datensicherheit haben Unternehmen unzählige Möglichkeiten, um ihre IT-Systeme zu schützen. Mit Rahmenwerken wie zum Beispiel ISO 27001 oder NIST Cybersecurity Framework bestehen ganze Anforderungskataloge für die Planung, Umsetzung und Verbesserung der Datensicherheit, inklusive Protokollierung. Hinsichtlich Datenschutz wird jedoch häufig nur die Gesetzeskonformität aufgeführt, da sich diese je nach Land unterschiedlich ausgestaltet. Nichtsdestotrotz lohnt sich ein Blick in das Gesetz schon vor der Protokollierung, damit bereits die Datenerhebung dem Datenschutz Rechnung trägt.
Dieser Blog-Artikel entstand im Rahmen des Fachkurses «Rolle DPO & Governance» an der Hochschule Luzern.