Protokollierung des Zugriffs auf personen- bezogene Daten

Möglichkeiten und Grenzen

Robert Riemann, Januar 2019

Kontext

Datenschutzbestimmung

BDSG §76

(1) In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorgänge zu protokollieren:

Erhebung,
Veränderung,
Abfrage,
Offenlegung einschließlich Übermittlung,
Kombination und
Löschung.

DSGVO Art. 32

[…] geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; […]

Voraussetzung für ein Protokoll

Modell

Definition eines Zugriffs auf personenbezogene Daten
insbesondere wichtig für systematische Verarbeitung

Sicherheit

Kontrolle des Zugriffs durch organisatorische oder technische Maßnahmen

Möglichkeiten
für ein Protokoll

chronologische Auflistung aller Zugriffe in einer Tabelle

(Excel oder Calc)

Praxis

(Grenzen der Protokollierung)

Protokolle bei der Überwachung

Überwachungsprotokoll zur Aufzeichnung
des Verhaltens der Zielpersonen
Zugriffsprotokoll zur Aufzeichnung
aller Zugriffe auf das Überwachungsprotokoll

Zusammenfassung

Sicherheit des Zugriffs für
Protokolierung unabdingbar
vollständiges Model des Zugriffs für systematische Protokolierung nötig
Protokolleigenschaften:
- Vollständigkeit
- Integrität & Schutz vor illegaler Änderung
- Konsens verschiedener Versionen
Vervielfältigung von Daten erschwert die Zugriffsprotokollierung

Fazit

Korrekt protokollieren ist in der Praxis schwer.

Automatisierte Massenüberwachung ist auch keine Lösung.