Takea­ways (AI):
  • Die Tech­ni­schen Emp­feh­lun­gen des EDÖB zur Pro­to­kol­lie­rung nach Art. 4 DSV sind nicht rechts­ver­bind­lich und rich­ten sich an Private.
  • Pri­va­te müs­sen pro­to­kol­lie­ren, wenn sie beson­ders schüt­zens­wer­te Per­so­nen­da­ten in gro­ßem Umfang auto­ma­ti­siert bear­bei­ten oder Pro­fil­ing durchführen.
  • Pro­to­kol­le müs­sen Alle Zugrif­fe, auch maschi­nel­le, spei­chern und Infor­ma­tio­nen über die Bear­bei­tung bereitstellen.
  • Pro­to­koll­da­ten soll­ten min­de­stens ein Jahr sepa­rat vom pro­duk­ti­ven System auf­be­wahrt werden.
  • Der EDÖB emp­fiehlt Stan­dard­for­ma­te für die Pro­to­kol­lie­rung und for­dert regel­mä­ßi­ge Über­prü­fung der Protokolldaten.

Der EDÖB hat auf den 15. Sep­tem­ber 2023 datier­te (aber wohl erst Ende Okto­ber auf­ge­schal­te­te) Tech­ni­sche Emp­feh­lun­gen zur Pro­to­kol­lie­rung nach Art. 4 DSV des EDÖB veröffentlicht.

Die Emp­feh­lun­gen sind nicht rechts­ver­bind­lich. Sie schei­nen auf Pri­va­te zuge­schnit­ten; jeden­falls ist nur von den Pri­va­ten die Rede, und der Datei­na­me ist “Emp­feh­lung Pro­to­kol­lie­rung nach DSV – Private.pdf”, auch wenn sich im Doku­ment kei­ne ent­spre­chen­de aus­drück­li­che Ein­schrän­kung findet.

Art. 4 regelt im Pri­vat­be­reich fol­gen­des:

  • Pri­va­te – ein­schliess­lich von Auf­trags­be­ar­bei­tern – müs­sen nach Art. 4 DSV grund­sätz­lich dann pro­to­kol­lie­ren, wenn sie beson­ders schüt­zens­wer­te Per­so­nen­da­ten in gro­ssem Umfang auto­ma­ti­siert bear­bei­ten oder ein Pro­fil­ing mit hohem Risi­ko durchführen.
  • Das gilt nicht, wenn die prä­ven­ti­ven Mass­nah­men “den Daten­schutz gewährleisten”.
  • Die Pro­to­kol­lie­rung muss zumin­dest das Spei­chern, Ver­än­dern, Lesen, Bekannt­ge­ben, Löschen und Ver­nich­ten der Daten erfas­sen und “Auf­schluss geben über die Iden­ti­tät der Per­son, die die Bear­bei­tung vor­ge­nom­men hat, die Art, das Datum und die Uhr­zeit der Bear­bei­tung sowie gege­be­nen­falls die Iden­ti­tät […] des Emp­fän­gers der Daten”.
  • Pro­to­kol­le sind min­de­stens ein Jahr getrennt vom pro­duk­ti­ven System aufzubewahren.

Die­se Bestim­mung wirft diver­se Fra­gen auf, bspw.:

  • Was ist eine Bear­bei­tung “in gro­ssem Umfang”?
  • Wann ist eine Bear­bei­tung “auto­ma­ti­siert”? Reicht es, dass es um elek­tro­nisch gespei­cher­te Daten geht, oder ist eine Auto­ma­ti­sie­rung auch des inhalt­li­chen Bear­bei­tungs­vor­gangs erforderlich?
  • Unter wel­chen Vor­aus­set­zun­gen kön­nen die prä­ven­ti­ven Mass­nah­men den Daten­schutz gewährleisten?
  • Wie erfolgt eine sepa­ra­te Auf­be­wah­rung der Pro­to­kol­le? Ins­be­son­de­re: Müs­sen Pro­to­kol­le real-time in ein geson­der­tes System trans­fe­riert wer­den, wenn sie im pro­duk­ti­ven System anfal­len, oder nur in Inter­val­len, und wenn ja in wel­chen? Dür­fen die Pro­to­kol­le auch im Pro­duk­tiv­sy­stem gespei­chert bleiben?
  • Inwie­weit oder unter wel­chen Vor­aus­set­zun­gen ist der Auf­trags­be­ar­bei­ter zur Pro­to­kol­lie­rung ver­pflich­tet, nach­dem er oft gar nicht weiss, ob die Pro­to­kol­lie­rungs­vor­aus­set­zun­gen erfüllt sind und ob die prä­ven­ti­ven Mass­nah­men des Ver­ant­wort­li­chen den Daten­schutz i.S.v. Art. 4 Abs. 1 DSV sicher­stel­len? Kann bzw. soll er des­halb den Ver­ant­wort­li­chen ver­pflich­ten, die Pro­to­kol­lie­rungs­pflicht zu klä­ren, ggf. einen optio­na­len Pro­to­kol­lie­rungs­ser­vice zu bezie­hen und dem Auf­trags­be­ar­bei­ter zu Doku­men­ta­ti­ons­zwecken auf Anfra­ge einen ent­spre­chen­den Nach­weis zu erbringen?
  • Stel­len die Pro­to­kol­lie­rungs­vor­ga­ben Min­dest­an­for­de­run­gen der Daten­si­cher­heit dar, deren vor­sätz­li­che Ver­let­zung straf­be­droht ist (dazu hier)?

Die nicht ver­bind­li­chen Emp­feh­lun­gen des EDÖB wol­len dabei “eine Über­sicht geben, was zu die­ser Pro­to­kol­lie­rung gehört und was zur tech­ni­schen Erfül­lung des Art.4 DSV gemacht wer­den muss”. Die system­sei­ti­ge Umset­zung ist nicht Gegen­stand der Empfehlungen.

Her­vor­zu­he­ben sind fol­gen­de Punkte:

  • Lesen” – ein ausser bei all­ge­mein öffent­lich zugäng­li­chen Daten zu pro­to­kol­lie­ren­der Vor­gang – bedeu­te “Zugriff ohne ‘Ver­än­dern’ ”. Es reicht dem­nach, “wenn die Zugrif­fe auf Per­so­nen­da­ten und das Ver­än­dern die­ser Daten pro­to­kol­liert werden”.
  • Es müs­sen alle Zugrif­fe pro­to­kol­liert wer­den, nicht nur jene eines Men­schen, son­dern auch maschi­nel­le Zugrif­fe (also bspw. durch Umsysteme).
  • Dem Zweck der Pro­to­kol­lie­rung ent­spre­chend müs­sen Pro­to­koll­da­ten bei Bedarf ana­ly­siert wer­den kön­nen. Das ist ein nach­voll­zieh­ba­res Anlie­gen, aber die Ana­ly­se von Pro­to­koll­da­ten ist kein Erfor­der­nis des DSG oder der DSV. Wer­den Pro­to­koll­da­ten nicht ana­ly­siert, weil der Ver­ant­wort­li­che das nicht kann oder nicht will, liegt dar­in für sich genom­men kein Daten­schutz­ver­stoss. Es kann nur Fra­gen der Daten­si­cher­heit auf­wer­fen. Die Aus­füh­run­gen des EDÖB ver­ste­hen sich aber auch als Emp­feh­lun­gen und nicht als Aus­le­gung des Mindeststandards.
  • Es sei ein “Kon­zept für die Pro­to­kol­lie­rung zu erstel­len”, das “eine umfas­sen­de und syste­ma­ti­sche Beschrei­bung der Pro­to­kol­lie­rungs­po­li­tik und ‑ver­fah­ren ent­hal­ten” soll­te. Der EDÖB gibt Emp­feh­lun­gen für den Inhalt eines sol­chen Konzepts.

In tech­ni­scher Hin­sicht emp­fiehlt der EDÖB Folgendes:

  • Es sol­len stan­dar­di­sier­te Pro­to­kol­lie­rungs­for­ma­te ver­wen­det wer­den, wie bspw. Sys­log oder das Com­mon Event For­mat (CEF).
  • Pro­to­kol­le “sol­len nicht nur abge­legt, son­dern auch ein­ge­le­sen und inter­pre­tiert wer­den (Par­sing und Index­ing)”. Dabei “soll­ten alle Infor­ma­ti­ons­ele­men­te beim Ein­le­sen (Inge­sti­on) mit­hil­fe von Muster- Extrak­ti­on extra­hiert wer­den und wo sinn­voll mit Infor­ma­tio­nen aus bestehen­den Pro­to­kol­len ergänzt wer­den (Kor­re­la­ti­on). Nicht ver­wen­de­te Infor­ma­ti­ons­fel­der soll­ten in die­sem Pro­zess aus­ge­las­sen wer­den, um u.A. Spei­cher­platz zu sparen.”
  • Die Pro­to­koll­da­ten sol­len “regel­mä­ssig über­prüft werden”.
  • Es soll­ten “Mecha­nis­men zur Erken­nung von Anoma­lien in den Pro­to­koll­da­ten imple­men­tiert werden”.
  • Es sol­len “geeig­ne­te Zugriffs­kon­trol­len für die Pro­to­koll­da­ten” imple­men­tiert werden.
  • Pro­to­koll­da­ten müs­sen mit Zeit­stem­pel ver­se­hen sein. Dazu sol­len auch alle Syste­me im Netz­werk “über eine zuver­läs­si­ge und genaue Zeit­syn­chro­ni­sa­ti­on verfügen”.
  • Pro­to­koll­da­ten sol­len mit zusätz­li­chen Infor­ma­tio­nen ange­rei­chert wer­den (Data Enrich­ment ), um ein bes­se­res Ver­ständ­nis der Ereig­nis­se zu ermöglichen.
  • Die Pro­to­koll-Ana­ly­se­ap­pli­ka­tio­nen soll­ten beim Auf­tre­ten von Anoma­lien oder bekann­ter sicher­heits­re­le­van­ter Ereig­nis­se sofort informieren.

Zur Spei­che­rung der Pro­to­koll­da­ten emp­fiehlt der EDÖB u.a., Pro­to­koll­da­ten für die Ana­ly­se so lan­ge ver­füg­bar zu hal­ten, wie sie für das Erken­nen und Reagie­ren auf Indi­cents benö­tigt wer­den. Anschlie­ssend kön­nen sie in ein län­ger­fri­sti­ges Spei­cher­sy­stem ver­scho­ben wer­den. Auch die Lang­zeit­spei­che­rung – im Rah­men des Erlaub­ten – sei ein “wich­ti­ger Teil der Daten­si­che­rungs­stra­te­gie”. Offen bleibt damit lei­der die Fra­ge, wie die gesetz­lich ver­lang­te sepa­ra­te Spei­che­rung kon­kret zu ver­ste­hen ist.

Bei der Über­gangs­be­stim­mung (Art. 46 DSV) scheint der EDÖB davon aus­zu­ge­hen, dass sie auch für Pri­va­te gel­te. Das ist will­kom­men, wenn auch überraschend:

  • In Art. 46 Absatz 1 DSV sind die Über­gangs­be­stim­mun­gen für bestehen­de Anwen­dun­gen festgehalten:

    1 Für Daten­be­ar­bei­tun­gen, die nicht in den Anwen­dungs­be­reich der Richt­li­nie (EU) 2016/6804 fal­len, gilt Arti­kel 4 Absatz 2 spä­te­stens drei Jah­re nach Inkraft­tre­ten die­ser Ver­ord­nung oder spä­te­stens nach Ende des Lebens­zy­klus des Systems. In der Zwi­schen­zeit unter­lie­gen die­se Bear­bei­tun­gen Arti­kel 4 Absatz 1.

    Bei neu­en Anwen­dun­gen ist es rela­tiv ein­fach von Beginn an alle Akti­vi­tä­ten mit Per­so­nen­da­ten zu pro­to­kol­lie­ren. Bei bestehen­den, älte­ren Appli­ka­tio­nen ist es aber nicht immer mög­lich die Appli­ka­ti­on selbst anzu­pas­sen. Für die­se Fäl­le gibt es aber ver­schie­de­ne Lösungsansätze.

    Die Umset­zung der Pro­to­kol­lie­rung hängt von vie­len Aspek­ten wie der Pro­gram­mier­spra­che, der Lauf­zeit­um­ge­bung und der benutz­ten Ent­wick­lungs­me­tho­den der Anwen­dung ab. Unse­re Emp­feh­lun­gen sind des­halb gene­ri­scher Natur, kön­nen aber bei kon­kre­ten Anwen­dun­gen die Pla­nung unterstützen.

  • Der EDÖB schliesst hier Emp­feh­lun­gen für den Umgang mit Alt­sy­ste­men an. Soweit eine Bear­bei­tung nur lokal beim Anwen­der statt­fin­det, d.h. ohne Kom­mu­ni­ka­ti­on mit einem Ser­ver, rei­che es bspw., das erst­ma­li­ge Her­un­ter­la­den zu pro­to­kol­lie­ren. Falls anson­sten kei­ne Pro­to­kol­lie­rung bereits mög­lich ist und auch auf Netz­wer­kebe­ne kei­ne sol­che erfolgt, müs­se die Appli­ka­ti­on erwei­tert werden.

Abschlie­ssend fin­den sich FAQ, mit u.a. fol­gen­den Hin­wei­sen, die offen­bar vom NCSC stammen:

  • All­ge­mein öffent­lich ver­füg­bar” i.S.v. Art. 4 Abs. DSV sind Daten, wenn sie ohne Authen­ti­sie­rung “breit zugäng­lich sind, wie z.B. eine Adress­su­che über eine Webseite”.
  • Ein Back­up der Pro­to­koll­da­ten genügt der Anfor­de­rung einer sepa­ra­ten Spei­che­rung nach Art. 2 Absatz 5 DSV (s. oben: das Inter­vall ist offen, aber offen­bar ist nicht real-time gemeint – man nimmt ent­spre­chend ein gewis­ses Risi­ko in Kauf, dass etwa bei einem Ran­som-Angriff Pro­to­koll­da­ten vor dem Back­up kom­pro­mit­tiert werden).
  • Ein Zugriff in unstruk­tier­ten Daten­ab­la­gen (z.B. das Öff­nen eines Doku­ments in einem loka­len Dri­ve) muss nicht pro­to­kol­liert wer­den, son­dern nur ein Zugriff “in auto­ma­ti­sier­ten Daten­be­ar­bei­tungs­sy­ste­men “. Hier stützt sich der EDÖB bzw. das NCSC auf Art. 3 Abs. 3 lit. a DSV.
  • Es müs­sen nicht alle Pro­to­kol­le am sel­ben Ort gespei­chert wer­den. Es reicht, wenn sie sinn­voll zusam­men­ge­führt wer­den können.

AI-generierte Takeaways können falsch sein.