- Die Technischen Empfehlungen des EDÖB zur Protokollierung nach Art. 4 DSV sind nicht rechtsverbindlich und richten sich an Private.
- Private müssen protokollieren, wenn sie besonders schützenswerte Personendaten in großem Umfang automatisiert bearbeiten oder Profiling durchführen.
- Protokolle müssen Alle Zugriffe, auch maschinelle, speichern und Informationen über die Bearbeitung bereitstellen.
- Protokolldaten sollten mindestens ein Jahr separat vom produktiven System aufbewahrt werden.
- Der EDÖB empfiehlt Standardformate für die Protokollierung und fordert regelmäßige Überprüfung der Protokolldaten.
Der EDÖB hat auf den 15. September 2023 datierte (aber wohl erst Ende Oktober aufgeschaltete) Technische Empfehlungen zur Protokollierung nach Art. 4 DSV des EDÖB veröffentlicht.
Die Empfehlungen sind nicht rechtsverbindlich. Sie scheinen auf Private zugeschnitten; jedenfalls ist nur von den Privaten die Rede, und der Dateiname ist “Empfehlung Protokollierung nach DSV – Private.pdf”, auch wenn sich im Dokument keine entsprechende ausdrückliche Einschränkung findet.
Art. 4 regelt im Privatbereich folgendes:
- Private – einschliesslich von Auftragsbearbeitern – müssen nach Art. 4 DSV grundsätzlich dann protokollieren, wenn sie besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeiten oder ein Profiling mit hohem Risiko durchführen.
- Das gilt nicht, wenn die präventiven Massnahmen “den Datenschutz gewährleisten”.
- Die Protokollierung muss zumindest das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten erfassen und “Aufschluss geben über die Identität der Person, die die Bearbeitung vorgenommen hat, die Art, das Datum und die Uhrzeit der Bearbeitung sowie gegebenenfalls die Identität […] des Empfängers der Daten”.
- Protokolle sind mindestens ein Jahr getrennt vom produktiven System aufzubewahren.
Diese Bestimmung wirft diverse Fragen auf, bspw.:
- Was ist eine Bearbeitung “in grossem Umfang”?
- Wann ist eine Bearbeitung “automatisiert”? Reicht es, dass es um elektronisch gespeicherte Daten geht, oder ist eine Automatisierung auch des inhaltlichen Bearbeitungsvorgangs erforderlich?
- Unter welchen Voraussetzungen können die präventiven Massnahmen den Datenschutz gewährleisten?
- Wie erfolgt eine separate Aufbewahrung der Protokolle? Insbesondere: Müssen Protokolle real-time in ein gesondertes System transferiert werden, wenn sie im produktiven System anfallen, oder nur in Intervallen, und wenn ja in welchen? Dürfen die Protokolle auch im Produktivsystem gespeichert bleiben?
- Inwieweit oder unter welchen Voraussetzungen ist der Auftragsbearbeiter zur Protokollierung verpflichtet, nachdem er oft gar nicht weiss, ob die Protokollierungsvoraussetzungen erfüllt sind und ob die präventiven Massnahmen des Verantwortlichen den Datenschutz i.S.v. Art. 4 Abs. 1 DSV sicherstellen? Kann bzw. soll er deshalb den Verantwortlichen verpflichten, die Protokollierungspflicht zu klären, ggf. einen optionalen Protokollierungsservice zu beziehen und dem Auftragsbearbeiter zu Dokumentationszwecken auf Anfrage einen entsprechenden Nachweis zu erbringen?
- Stellen die Protokollierungsvorgaben Mindestanforderungen der Datensicherheit dar, deren vorsätzliche Verletzung strafbedroht ist (dazu hier)?
Die nicht verbindlichen Empfehlungen des EDÖB wollen dabei “eine Übersicht geben, was zu dieser Protokollierung gehört und was zur technischen Erfüllung des Art.4 DSV gemacht werden muss”. Die systemseitige Umsetzung ist nicht Gegenstand der Empfehlungen.
Hervorzuheben sind folgende Punkte:
- “Lesen” – ein ausser bei allgemein öffentlich zugänglichen Daten zu protokollierender Vorgang – bedeute “Zugriff ohne ‘Verändern’ ”. Es reicht demnach, “wenn die Zugriffe auf Personendaten und das Verändern dieser Daten protokolliert werden”.
- Es müssen alle Zugriffe protokolliert werden, nicht nur jene eines Menschen, sondern auch maschinelle Zugriffe (also bspw. durch Umsysteme).
- Dem Zweck der Protokollierung entsprechend müssen Protokolldaten bei Bedarf analysiert werden können. Das ist ein nachvollziehbares Anliegen, aber die Analyse von Protokolldaten ist kein Erfordernis des DSG oder der DSV. Werden Protokolldaten nicht analysiert, weil der Verantwortliche das nicht kann oder nicht will, liegt darin für sich genommen kein Datenschutzverstoss. Es kann nur Fragen der Datensicherheit aufwerfen. Die Ausführungen des EDÖB verstehen sich aber auch als Empfehlungen und nicht als Auslegung des Mindeststandards.
- Es sei ein “Konzept für die Protokollierung zu erstellen”, das “eine umfassende und systematische Beschreibung der Protokollierungspolitik und ‑verfahren enthalten” sollte. Der EDÖB gibt Empfehlungen für den Inhalt eines solchen Konzepts.
In technischer Hinsicht empfiehlt der EDÖB Folgendes:
- Es sollen standardisierte Protokollierungsformate verwendet werden, wie bspw. Syslog oder das Common Event Format (CEF).
- Protokolle “sollen nicht nur abgelegt, sondern auch eingelesen und interpretiert werden (Parsing und Indexing)”. Dabei “sollten alle Informationselemente beim Einlesen (Ingestion) mithilfe von Muster- Extraktion extrahiert werden und wo sinnvoll mit Informationen aus bestehenden Protokollen ergänzt werden (Korrelation). Nicht verwendete Informationsfelder sollten in diesem Prozess ausgelassen werden, um u.A. Speicherplatz zu sparen.”
- Die Protokolldaten sollen “regelmässig überprüft werden”.
- Es sollten “Mechanismen zur Erkennung von Anomalien in den Protokolldaten implementiert werden”.
- Es sollen “geeignete Zugriffskontrollen für die Protokolldaten” implementiert werden.
- Protokolldaten müssen mit Zeitstempel versehen sein. Dazu sollen auch alle Systeme im Netzwerk “über eine zuverlässige und genaue Zeitsynchronisation verfügen”.
- Protokolldaten sollen mit zusätzlichen Informationen angereichert werden (Data Enrichment ), um ein besseres Verständnis der Ereignisse zu ermöglichen.
- Die Protokoll-Analyseapplikationen sollten beim Auftreten von Anomalien oder bekannter sicherheitsrelevanter Ereignisse sofort informieren.
Zur Speicherung der Protokolldaten empfiehlt der EDÖB u.a., Protokolldaten für die Analyse so lange verfügbar zu halten, wie sie für das Erkennen und Reagieren auf Indicents benötigt werden. Anschliessend können sie in ein längerfristiges Speichersystem verschoben werden. Auch die Langzeitspeicherung – im Rahmen des Erlaubten – sei ein “wichtiger Teil der Datensicherungsstrategie”. Offen bleibt damit leider die Frage, wie die gesetzlich verlangte separate Speicherung konkret zu verstehen ist.
Bei der Übergangsbestimmung (Art. 46 DSV) scheint der EDÖB davon auszugehen, dass sie auch für Private gelte. Das ist willkommen, wenn auch überraschend:
-
In Art. 46 Absatz 1 DSV sind die Übergangsbestimmungen für bestehende Anwendungen festgehalten:
1 Für Datenbearbeitungen, die nicht in den Anwendungsbereich der Richtlinie (EU) 2016/6804 fallen, gilt Artikel 4 Absatz 2 spätestens drei Jahre nach Inkrafttreten dieser Verordnung oder spätestens nach Ende des Lebenszyklus des Systems. In der Zwischenzeit unterliegen diese Bearbeitungen Artikel 4 Absatz 1.
Bei neuen Anwendungen ist es relativ einfach von Beginn an alle Aktivitäten mit Personendaten zu protokollieren. Bei bestehenden, älteren Applikationen ist es aber nicht immer möglich die Applikation selbst anzupassen. Für diese Fälle gibt es aber verschiedene Lösungsansätze.
Die Umsetzung der Protokollierung hängt von vielen Aspekten wie der Programmiersprache, der Laufzeitumgebung und der benutzten Entwicklungsmethoden der Anwendung ab. Unsere Empfehlungen sind deshalb generischer Natur, können aber bei konkreten Anwendungen die Planung unterstützen.
- Der EDÖB schliesst hier Empfehlungen für den Umgang mit Altsystemen an. Soweit eine Bearbeitung nur lokal beim Anwender stattfindet, d.h. ohne Kommunikation mit einem Server, reiche es bspw., das erstmalige Herunterladen zu protokollieren. Falls ansonsten keine Protokollierung bereits möglich ist und auch auf Netzwerkebene keine solche erfolgt, müsse die Applikation erweitert werden.
Abschliessend finden sich FAQ, mit u.a. folgenden Hinweisen, die offenbar vom NCSC stammen:
- “Allgemein öffentlich verfügbar” i.S.v. Art. 4 Abs. DSV sind Daten, wenn sie ohne Authentisierung “breit zugänglich sind, wie z.B. eine Adresssuche über eine Webseite”.
- Ein Backup der Protokolldaten genügt der Anforderung einer separaten Speicherung nach Art. 2 Absatz 5 DSV (s. oben: das Intervall ist offen, aber offenbar ist nicht real-time gemeint – man nimmt entsprechend ein gewisses Risiko in Kauf, dass etwa bei einem Ransom-Angriff Protokolldaten vor dem Backup kompromittiert werden).
- Ein Zugriff in unstruktierten Datenablagen (z.B. das Öffnen eines Dokuments in einem lokalen Drive) muss nicht protokolliert werden, sondern nur ein Zugriff “in automatisierten Datenbearbeitungssystemen “. Hier stützt sich der EDÖB bzw. das NCSC auf Art. 3 Abs. 3 lit. a DSV.
- Es müssen nicht alle Protokolle am selben Ort gespeichert werden. Es reicht, wenn sie sinnvoll zusammengeführt werden können.