In der Anlage zu § 9 BDSG stellt das Bundesdatenschutzgesetz acht Anforderungen an die innerbetriebliche Organisation der Datenverarbeitung auf. Auch wenn die IT-Abteilung den Zugriff und Zugang zu IT-Systemen umfassend geregelt hat – Lücken finden sich immer und kein System ist absolut sicher. Berechtigungen können etwa fehlerhaft vergeben oder nachträglich weggefallen sein, Passwörter missbraucht werden. Daher ist es wichtig nachträglich feststellen zu können, wer welche Daten wie in das System eingegeben oder verändert hat.

Revisions- und Beweisfunktion
Bei der Eingabekontrolle geht es weniger um die Verhinderung unberechtigten Zugriffs als vielmehr darum, nachträglich erkennen zu können, ob und wie es zu Fehlern gekommen ist und dies auch nachweisen zu können. Da die Daten letztlich zu Revisions- und Beweiszwecken verwendet werden, müssen die Daten vollständig sein, dürfen nur den berechtigten Personen zugänglich sein und nicht nachträglich verändert werden können.

Diese Kontrollpflicht bezieht sich allerdings nur auf personenbezogene Daten. Rein sachliche Protokolldaten werden hiervon nicht erfasst. Zudem betrifft die Protokollierung nur Programme und Verfahren, die auch personenbezogene Daten verarbeiten.

Zu erfassende Daten
Im Unternehmen werden in den verschiedensten Systemen und Programmen personenbezogene Daten erhoben und verarbeitet: von Personalsoftware und CRM-Systemen, ERP und individuellen Datenbanken bis hin zur Zeiterfassung, Zutrittskontrolle und Videoüberwachung. Obwohl das Gesetz bei der Eingabekontrolle keine Unterscheidung nach Art und Umfang der Daten macht, ist es kaum praktikabel, sämtliche Ereignisse zu erfassen.

Hier hilft das Gesetz weiter: Da nach § 9 BDSG nur die technischen und organisatorischen Maßnahmen getroffen werden müssen, die angesichts der Bedeutung der Daten angemessen sind, kann man auch bei den Maßnahmen zur Kontrolle der Eingabe nach der Sensibilität der Daten unterscheiden:

1. Frei zugängliche Daten: Etwa konzernweite Adressbücher, Ansprechpartner im CRM-System.
2. Unmittelbare Personaldaten: private Adressen, Familienverhältnisse, Einkommen, Unterhaltspflichten.
3. Besonders sensible Daten: Krankheit, Vorstrafen, Abmahnungen, Lohnpfändung, Kontodaten, Auswertungslisten.

Umfang der ProtokollierungBei frei zugänglichen Daten ist regelmäßig keine Protokollierung erforderlich. In allen anderen Fällen sind zu protokollieren:

• Log-In / Log-Out - Änderung von Passwörtern
• Änderung der Zugriffsrechte
• Schreibende Zugriffe auf Dateien und Datenbanken
• Identität des Eingebenden
• Datum der Eingabe
• Ordnungsnummer des Datensatzes und Software

Bei Änderung von Datensätzen sollte grundsätzlich auch der Inhalt des geänderten Datensatzes protokolliert werden. Anders bei besonders sensiblen Daten: Hier sollten Sie nur die Feldbezeichnung erfassen. Zudem gilt bei dieser Datenkategorie, dass immer auch der Nur-Lese- Zugriff zu protokollieren ist.

Differenzieren zwischen Admin und Nutzer
Es ist zu unterscheiden zwischen fachlichen und administrativen Zugriffen auf ein Informations- und Kommunikationssystem. Während der gewöhnliche Nutzer aufgrund des Berechtigungskonzepts ohnehin nur Zugriff auf die jeweils erforderlichen Daten haben darf, sind die Zugriffsrechte der IT-Administration naturgemäß nahezu unbegrenzt. Zu den genannten Basis-Daten sind daher nach einem Vorschlag des Landesdatenschutzbeauftragten Hessen bei der Administrationstätigkeit zusätzlich zu protokollieren:

Installation / Deinstallation von Anwendungssoftware
Änderungen und Modifikation der Anwendungskonfiguration (Customizing, Festlegen von Migrationsregeln, Residenzzeiten, Löschfristen, Login-Parameter, Anzeigeparameter et cetera)
Zugriffe im Rahmen einer etwaigen Mandantenverwaltung, die Anlage, Änderung und Löschung von Rollen, die Vergabe, Änderung und Löschung von Berechtigungen, die Administration von Benutzern (Anlage, Sperre, Löschung, Rollenzuweisung), die Einrichtung / Änderung standardmäßig vorgegebener Auswertungsmöglichkeiten (Reports), der Import / Export von Datenbeständen
Datenübermittlungen, Prozesse zur Aggregierung, Pseudonymisierung / Anonymisierung von Datenbeständen (Date Warehouse), Archivierungen / Datensicherungen.

Wichtig: Bei den gesammelten Protokolldaten handelt es sich selbst um personenbezogene Daten. Im gesamten Erhebungs- und Auswertungsverfahren sind daher die allgemeinen datenschutzrechtlichen Prinzipien zu beachten. Die Daten sind insbesondere nur soweit zu erheben, wie es wirklich erforderlich ist. Gerade für die Protokollierung ist dies ausdrücklich gesetzlich bestimmt: Gemäß § 31 BDSG (Besondere Zweckbindung) dürfen personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, nur für diese Zwecke verwendet werden. Eine Protokollierung sämtlicher Aktivitäten oder Auswertung von Protokolldaten zur allgemeinen Mitarbeiterüberwachung ist unzulässig.

                                                Seite 1 von 2                     Nächste Seite>>

Christian Regnery/dr/ln