Seit dem 1. September 2023 sind private Verantwortliche und ihre privaten Auftragsbearbeiter verpflichtet, bestimmte Schritte bei der automatisierten Bearbeitung von besonders schützenswerte Personendaten zu protokollieren. Dies umfasst das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten von Daten, sofern bestimmte Bedingungen erfüllt sind. Der EDÖB hat konkrete technische Empfehlungen für die Protokollierung gemäß Art. 4 DSV herausgegeben. Diese unverbindlichen Empfehlungen sollen einen klaren Leitfaden zur Erfüllung der Anforderungen des Art. 4 DSV bieten. Dieser Beitrag soll Privaten aufzeigen, was bei der Umsetzung der Protokollierungspflicht zu beachten ist.
Was regelt Art. 4 DSV
Eine Protokollierung nach Art. 4 der Verordnung vom 31. August 2022 über den Datenschutz (Datenschutzverordnung, DSV; SR 235.11) muss von privaten Verantwortlichen einschliesslich deren Auftragsbearbeiter dann erfolgen, wenn besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet werden oder ein Profiling mit hohem Risiko durchgeführt wird. Dies gilt jedoch nur dann, wenn präventive Massnahmen den Datenschutz nicht gewährleisten. Die Protokollierung muss aber insbesondere dann erfolgen, wenn ansonsten nachträglich nicht festgestellt werden kann, ob die Daten für diejenigen Zwecke bearbeitet wurden, für die sie beschafft (Sammlung) oder bekanntgegeben (Weitergabe) wurden.
Die Protokollierung umfasst mindestens die Schritte
- Speichern,
- Verändern,
- Lesen,
- Bekanntgeben,
- Löschen und
- Vernichten der Daten.
Darüber hinaus muss die Protokollierung Aufschluss geben über folgende Informationen (vgl. Art. 4 Abs. 4 DSV):
- Identität der Person, welche die Bearbeitung vorgenommen hat;
- Art der Bearbeitung (u.a. Personen oder Maschinen);
- Datum und Uhrzeit der Bearbeitung;
- Identität des Datenempfängers.
Während mindestens einem Jahr müssen die Protokolle getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt werden (vgl. Art. 4 Abs. 5 DSV).
Zweck dieser Protokollierung
Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter technische und organisatorische Massnahmen treffen, damit die bearbeiteten Daten ihrem Schutzbedarf entsprechend nachvollziehbar bearbeitet werden. Die Protokollierung erlaubt es, dieses Schutzziel der Nachvollziehbarkeit gemäss Art. 2 Abs. 1 lit. d DSV zu erreichen und damit Zweckkonformität sowie angemessene Datensicherheit zu gewährleisten. Sodann kann die Protokollierung auch dazu dienen, Verletzungen der Datensicherheit aufzudecken und gar aufzuklären, darf aber nicht zum Ziel der Verhaltensüberwachung ausgewertet werden. Insofern handelt es sich bei der Protokollierung um eine Massnahme der Datensicherheit im weiteren Sinne.
«Die drei Grundpfeiler der Protokollierung»
Die Protokollierung im Datenschutzrecht bezieht sich auf die systematische Aufzeichnung von Informationen über die Bearbeitung von Personendaten und erfasst drei Aspekte:
- Die Erfassung von Protokolldaten beinhaltet das Protokollieren von Zugriffen auf Personendaten, einschliesslich der obgenannten Informationen nach Art. 4 Abs. 4 DSV);
- Die Speicherung erfordert eine sichere und geschützte Aufbewahrung der Protokolldaten, getrennt von den Datenbearbeitungssystemen, um die Verfügbarkeit auch im Falle von Störungen des primären Systems namentlich durch Ransomware sicherzustellen. Zugriff ist nur autorisierten Personen erlaubt.
- Die Analyse der Protokolldaten ermöglicht die Entdeckung von Datenschutzverletzungen und die Gewährleistung rechtmässiger Datenzugriffe. Dafür sind leistungsfähige Analysetools notwendig, die nur autorisierten Personen zur Verfügung stehen.
Konzept für die Protokollierung zu erstellen
Der EDÖB empfiehlt die Erstellung eines Protokollierungskonzepts, worin folgende Punkte berücksichtigt werden sollten:
- Definition von klaren Zielen, die durch die Protokollierung erreicht werden sollen bspw. Sicherheitsüberwachung, Fehlerbehebung;
- Protokollierungsrichtlinien: Welche Ereignisse werden protokolliert? Welche Daten werden erfasst? Welche Speicherzeit ist vorgesehen? Wer darf auf die Protokolldaten zugreifen?
- Protokollierungswerkzeuge: Welche Systeme/Werkzeuge werden verwendet bspw. SIEM?
- Alarmierung: Welche Ereignisse generieren einen Alarm und wie wird darauf reagiert?
- Verantwortlichkeiten und Rollen: Zu definieren für die Verwaltung der Protokollierung
- Mitarbeiterschulungen
- Überprüfung: Protokollierungspolitik und –verfahren sollten regelmässig überprüft werden
Technische Empfehlungen des EDÖB
Im Zusammenhang mit der Protokollierung in der Informationssicherheit oder dem Datenschutz empfiehlt der EDÖB in technischer Hinsicht das Folgende:
- Verwendung standardisierter Protokollierungsformate: Die Nutzung standardisierter Protokollierungsformate wie Syslog oder Common Event Format (CEF) gewährleistet eine einheitliche Protokollierung von Ereignissen.
- Einlesen und Interpretation von Protokollen: Protokolle sollten nicht nur abgelegt, sondern auch eingelesen und interpretiert werden. Dies bildet die Grundlage für Überwachung, Alarmierung und die Erkennung von Abweichungen.
- Regelmäßige Überprüfung der Protokolldaten: Protokolldaten sollten in regelmässigen Abständen überprüft werden, um sicherzustellen, dass sie vollständig sind und den Sicherheitsrichtlinien entsprechen.
- Mechanismen zur Erkennung von Anomalien: Implementieren Sie Mechanismen zur Erkennung von Anomalien in den Protokolldaten, um verdächtige Aktivitäten zu identifizieren, wie bspw. Zugriff von ungewöhnlichen Geolokationen
- Sicherheitsvorkehrungen für Protokolldaten: Führen Sie geeignete Zugriffskontrollen ein, um die Protokolldaten vor unbefugtem Zugriff zu schützen.
- Zeitstempel: Jede Protokolldatei sollte mit Zeitstempel versehen sein, um den genauen Zeitpunkt eines Ereignisses zu erfassen und den zeitlichen Zusammenhang zwischen verschiedenen Ereignissen im System zu verstehen.
- Zeitsynchronisation: Stellen Sie sicher, dass alle Systeme im Netzwerk über zuverlässige und genaue Zeitsynchronisation verfügen, um genaue Zeitstempel sicherzustellen.
- Data Enrichment: Erweitern Sie Protokolldaten mit zusätzlichen Informationen wie Geo-Informationen, Benutzerkontext oder Systemkonfigurationsdaten, um eine bessere Analyse und schnellere Erkennung potenzieller Sicherheitsbedrohungen zu ermöglichen.
- Alarmierung: Ihre Protokoll-Analyseanwendungen sollten die Verantwortlichen sofort benachrichtigen, wenn Anomalien oder sicherheitsrelevante Ereignisse auftreten.
Herausforderung der Protokollierung: erforderliches Speichervolumen
Eine der Herausforderungen bei der Protokollierung ist das benötigte Speichervolumen. Werden Protokolldaten nicht mehr direkt für die Analyse benötigt, wird empfohlen, diese in ein längerfristiges Speichersystem zu verschieben. Dazu empfiehlt der EDÖB das Folgende:
- Verwendung geeigneter Speichermedien: Für die Langzeitspeicherung von Protokolldaten sollten zuverlässige und langlebige Speichermedien verwendet werden.
- Speicherdauer: Definieren Sie eine klare Speicherdauer für Protokolldaten, um sicherzustellen, dass sie nicht unnötig lange aufbewahrt werden und die gesetzlichen Vorgaben zur Aufbewahrungsdauer eingehalten werden.
- Berechnung des Speichervolumens: Berücksichtigen Sie die Menge der erzeugten Protokolldaten, die Anzahl der Systeme im Netzwerk und die Dauer der Speicherung, um ausreichend Speicherkapazität bereitzustellen.
Die Langzeitspeicherung der Protokolldaten ist Teil Ihrer Datensicherungsstrategie. Sie sollte getrennt von Datenbearbeitungssystemen erfolgen, um die Integrität und Verfügbarkeit zu gewährleisten. Ein zusätzliches Backup der Protokolldaten ist gemäss EDÖB normalerweise nicht erforderlich, wenn eine robuste Speicherlösung vorhanden ist und die Daten regelmässig auf Integrität und Vollständigkeit überprüft werden.
Zur Protokollierung bei bestehenden Anwendungen
Da gemäss EDÖB für bestehende Anwendungen die Übergangsbestimmungen nach Art. 46 DSV zur Anwendung gelangen, wird dem Umstand Rechnung getragen, dass bei bestehenden älteren Applikationen es nicht immer möglich ist die Applikation selbst anzupassen. So hängt die Umsetzung der Protokollierung von Aspekten der Programmiersprache, Laufzeitumgebung und der benutzten Entwicklungsmethode ab. Der EDÖB liefert für die Umsetzung der Protokollierung eine Schritt-für-Schritt-Anleitung (Punkt. 3.3 der Empfehlungen)
Umsetzung der Empfehlung?
Die Empfehlungen des EDÖB zur Protokollierung sind für Private unverbindlich und allgemeiner Art. Um die Informationssicherheit von Systemen gewährleisten zu können, besteht jedoch eine Notwendigkeit zur Protokollierung. Gemäss dem EDÖB schreibt Art. 4 DSV nicht vor ob und welches Analyse-Tool zu verwenden wäre, weshalb der EDÖB davon ausgeht, dass viele Datenbearbeitungssysteme «out of the box» den Anforderungen der geforderten Protokollierungen genügen. Sollten Sie unsicher sein, ob Ihr Datenbearbeitungssystem den Anforderungen genügt oder rechtliche Unterstützung bei der Umsetzung der Protokollierungspflicht benötigen, stehen wir Ihnen gerne zur Verfügung.
Quellen
- Baeriswyl Bruno, Pärli Kurt, Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum Datenschutzgesetz, 2. Aufl., Zürich/Basel 2023.
- Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG; SR 235.1).
- Husi-Stämpfli Sandra, Morand Anne-Sophie, Sury Ursula, Datenschutzrecht, 2. Aufl., Zürich 2023.
- Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Technische Empfehlungen für die Protokollierung gemäss Art. 4 DSV des EDÖB vom 15. September 2023.
- Verordnung vom 31. August 2022 über den Datenschutz (Datenschutzverordnung, DSV; SR 235.11).