Protokollierung des Zugriffs auf personen- bezogene Daten

Möglichkeiten und Grenzen

Robert Riemann, Januar 2019

Kontext

Datenschutzbestimmung

BDSG §76

(1) In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorgänge zu protokollieren:

  1. Erhebung,
  2. Veränderung,
  3. Abfrage,
  4. Offenlegung einschließlich Übermittlung,
  5. Kombination und
  6. Löschung.

DSGVO Art. 32

[…] geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; […]

Voraussetzung für ein Protokoll

Modell

  • Definition eines Zugriffs auf personenbezogene Daten
  • insbesondere wichtig für systematische Verarbeitung

Sicherheit

  • Kontrolle des Zugriffs durch organisatorische oder technische Maßnahmen

Möglichkeiten
für ein Protokoll

chronologische Auflistung aller Zugriffe in einer Tabelle

(Excel oder Calc)

Praxis

(Grenzen der Protokollierung)

Protokolle bei der Überwachung

  1. Überwachungsprotokoll zur Aufzeichnung
    des Verhaltens der Zielpersonen
  2. Zugriffsprotokoll zur Aufzeichnung
    aller Zugriffe auf das Überwachungsprotokoll

Zusammenfassung

  • Sicherheit des Zugriffs für
    Protokolierung unabdingbar
  • vollständiges Model des Zugriffs für systematische Protokolierung nötig
  • Protokolleigenschaften:
    • Vollständigkeit
    • Integrität & Schutz vor illegaler Änderung
    • Konsens verschiedener Versionen
  • Vervielfältigung von Daten erschwert die Zugriffsprotokollierung

Fazit

Korrekt protokollieren ist in der Praxis schwer.

Automatisierte Massenüberwachung ist auch keine Lösung.

Made with Slides.com