Betriebsrat beteiligen, Zugriffe beschränken
Da personenbezogene Daten ausgewertet werden und damit eine Leistungs- und Verhaltenskontrolle der Arbeitnehmer möglich ist, besteht ein Mitbestimmungsrecht des Betriebsrats nach § 87 I Nr. 6 BetrVG. Allerdings hat dieser im Ergebnis kein Verhinderungsrecht, da die Protokollierung eine gesetzliche Pflicht darstellt und der Arbeitgeber ein Recht darauf hat, sein IT-System vor Missbrauch zu schützen, zu kontrollieren und die Ergebnisse zu protokollieren. Hier sollte ein datenschutzfreundliches Verfahren implementiert werden. Bei entdeckten Auffälligkeiten – nach technischer Sicherung des Systems vor weiterem Missbrauch – sollte unter Beteiligung des Betriebsrats und des Datenschutzbeauftragten zunächst versucht werden, intern den Grund der Auffälligkeit mit dem betroffenen Mitarbeiter zu klären.

Da es sich bei den Protokolldaten selbst um personenbezogene Daten handelt, ist der Kreis der Zugriffsberechtigten auf die unbedingt Erforderlichen zu begrenzen.

Dies sind:

• IT Administrator
• IT-Sicherheitsbeauftragter
• Datenschutzbeauftragter
• Revisor
• Betriebsrat/Personalrat

Zum Zweck der Revisionssicherheit und Beweiskraft ist der Zugriff stets nur lesend zu gestatten. Sind besonders sensible Daten oder die IT-Administrator-Protokolle betroffen, ist nach dem Vier-Augen- Prinzip zu verfahren. Es darf nicht möglich sein, die laufenden Protokollierungsdaten zu löschen oder inhaltlich abzuändern. Der Beweiswert lässt sich durch eine digitale Signatur der einzelnen Ereignisse erhöhen. Allerdings erfordert dies in der Praxis oft einen unverhältnismäßig hohen Aufwand.

Organisatorische Maßnahmen
Das Verfahren der Protokollierung (Zugriffsberechtigung, Umfang und Inhalt der Protokollierung, Auswertungsverfahren) und die Konsequenzen bei einem Verstoß sollten durch eine Dienstanweisung geregelt sein. Das steigert nicht nur die Akzeptanz bei den Beschäftigten und dem Betriebsrat. Es verdeutlicht den IT-Verantwortlichen auch nochmals die Bedeutung der Eingabekontrolle. Denn oft wird vieles einfach so nebenher protokolliert oder eine Protokollierung ist programmtechnisch vorgegeben, ohne dass eine korrekte Auswertung vorgenommen wird.

Datenschutzfreundliche Protokollierung
Ist der Zugriff derart auf die unmittelbar erforderlichen Personen beschränkt und eine Beteiligung des Betriebsrats oder Datenschutzbeauftragten bei der Auswertung garantiert, ist einem Missbrauch der Protokolldaten hinreichend vorgebeugt. Dennoch wird vereinzelt empfohlen, zusätzlich zu den beschriebenen Maßnahmen noch eine Pseudonymisierung der Protokolle vorzunehmen, soweit sie personenbezogene Daten betreffen.

Hierzu dienen etwa komplexe kryptografische Verfahren oder einzelne Log-File-Anonymisierer, die personenbezogene Anteile der Log-Files datenschutzfreundlich verschlüsseln. Einer gesonderten Pseudonymisierung bedarf es vom Gebot der Datensparsamkeit her aber in der Regel nicht. Der einzelne Nutzer ist regelmäßig ohnehin nur über eine spezielle ID-Nummer identifizierbar und der Zugriff auf die Daten durch das abgestufte Berechtigungskonzept begrenzt.

Eine Protokollierung macht zudem nur Sinn, wenn sie zeitnah erfolgt. Je schneller kontrolliert und ausgewertet wird, desto schneller können Verfahren abgeschlossen und die erhobenen Daten gelöscht werden. Die Logdaten sollten zudem möglichst getrennt von anderen Daten aufbewahrt und zusätzlich an sicherer Stelle gespiegelt werden. Mittels Checksummenprüfung kann der Versuch eines Angreifers, einen Angriff durch Manipulation der Logdateien zu verschleiern, dann leicht aufgedeckt werden. Eine hilfreiche Checkliste hierzu finden Sie in der Tabelle "Checkliste für eine Eingabekontrolle". Diese stammt von der Landesdatenschutzbehörde Niedersachen [1].

Aus den Archivierungsfristen ergibt sich für den Anwender jedoch ein Dilemma: Einerseits soll er die Daten zum Nachweis eines etwaigen Missbrauchs speichern, andererseits gilt der Grundsatz, dass nicht mehr benötigte Daten zu löschen sind. Ob und wann die Protokolldaten benötigt werden, ist im Voraus nicht klar. Allgemeingültige Archivierungsfristen gibt es ebenfalls nicht. Sofern keine besonderen gesetzlichen Archivierungsfristen bestehen, werden gewöhnlich Aufbewahrungsfristen zwischen einem halben und einem Jahr vorgeschlagen. Unabhängig davon sollte der Anwender selbst entscheiden, in welchem Zeitraum unberechtigte Zugriffe und Fehler anhand der Protokolle überhaupt noch aufgedeckt werden können und daran die Speicherfrist bemessen.

Tools zur Protokollauswertung
Je größer die protokollierte Datenmenge ist, desto schwieriger gestaltet sich die Auswertung und Kontrolle der Daten. Daher bieten sich in der Praxis automatisierte Auswertungstools an, mit denen gezielt nach Auffälligkeiten und Abweichungen von vorgegebenen Sicherheitsrichtlinien gesucht werden kann. Auch wenn für proprietäre Werkzeuge teils erhebliche Kosten anfallen können, liegt der Vorteil auf der Hand: Lücken, Missbrauch und externe Angriffe werden schneller erkannt, Datenverlust und Imageschäden wird vorgebeugt und die IT/Revision wird entlastet.

Rechtsanwalt Christian Regnery, LL.M. ist Fachanwalt für IT-Recht, gewerblichen Rechtsschutz und Urheber- und Medienrecht sowie Consultant für Datenschutz und IT-Compliance bei der intersoft consulting services AG.

  <<Vorherige Seite                Seite 2 von 2

Christian Regnery/dr/ln

[1] www.lfd.niedersachsen.de/download/50587