Speicherdauer von Logfiles innerhalb des Unternehmensnetzwerks

Logfiles, auch Protokolldaten genannt, sind Aufzeichnungen von Aktivitäten, Ereignissen oder Nachrichten, die von Computersystemen, Anwendungen oder Geräten generiert werden. Es wird dabei unterschieden zwischen technischen Logfiles, welche lediglich Aktionen der Dienste selbst aufzeichnen, und personenbezogenen Logfiles, welche Aktionen der Nutzer des Systems aufzeichnen oder sogar protokollieren. Auf die Protokollierung haben lediglich bestimmte, vom jeweiligen Unternehmen ausgewählte Mitarbeiter Zugriff und diese findet stets im Hintergrund des IT-Systems statt.

Das Speichern von Logfiles dient der Sicherheit der Datenverarbeitung sowie der Aufrechterhaltung der IT-Infrastruktur innerhalb eines Unternehmens. Es ermöglicht mithin ebenso, Hard- und Softwareprobleme und auch Ressourcenengpässe frühzeitig zu erkennen und in diesem Zusammenhang zu eliminieren.

Restriktive Haltung zu Speicherdauer

Eine kritische Ansicht hat mithin nach wie vor die Aufsichtsbehörde im Zusammenhang mit der Speicherdauer von Logfiles. In dem Entwurf des zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme wurde eine Erhebung der Speicherdauer von drei auf zwölf Monate verhandelt. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit bezog sich in diesem Zusammenhang auf das Grundsatzurteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung. Er erwäge schon deshalb eine Speicherdauer von höchstens sechs Monaten unter Berücksichtigung der Verhältnismäßigkeitsprüfung zwischen dem verfolgten Zweck und der Speicherung von Daten betroffener Personen (häufig Mitarbeiter) und sieht diese als gerechtfertigt.

Welche Speicherdauer ist datenschutzkonform?

Bei der Speicherung von Logfiles kommt es stets auf das konkrete IT-System an, die dort verarbeiteten Daten und das Risiko für die IT-Infrastruktur im Unternehmen, aber auch der Personen, dessen Daten in diesem System verarbeitet werden. Es sollte deshalb von einem Unternehmen niemals eine pauschale Festlegung von Speicherfristen erfolgen. Es wird empfohlen, bei der Speicherung eine Interessenabwägung zwischen den dort verarbeiteten Daten und dem verfolgten Zweck des Verantwortlichen durchzuführen. Um die Rechte und Freiheiten zu gewahren, sollte nicht pauschalisiert, sondern immer unter Berücksichtigung des verfolgten Zwecks und dem dagegen stehenden Interesse des Verantwortlichen agiert werden.

Eine Speicherdauer von Logfiles länger als 180 Tage sollte unter Berücksichtigung der Stellungnahme des Bundesbeauftragten nur sehr zurückhaltend genutzt werden. Ohne eine nachvollziehbare Begründung könne es einen schwerwiegenden Eingriff in die Grundrechte der Betroffenen darstellen. Aus datenschutzrechtlicher Sicht ist es dem Unternehmen im Privatsektor erlaubt, die Logfiles, die binnen ihres Unternehmensnetzwerks entstehen, für eine Dauer von 90 Tagen problemlos zu speichern. Diese Speicherdauer wird grundsätzlich zum Zweck der Aufrechterhaltung der IT-Infrastruktur sowie zur IT-Sicherheit aus datenschutzrechtlicher Sicht toleriert. Es muss dabei individuell darauf geachtet werden, ob die verwendete Speicherdauer zweckerfolgend ist und somit auch vertretbar erscheint, um die intensiven Eingriffe in die Rechte und Freiheiten der betroffenen Personen, meist Mitarbeiter/innen, zu schützen.

Fazit

Die Stellungnahme des Bundesbeauftragten liegt schon eine Zeit zurück. In dieser Zeit kam es zu vermehrten Angriffen auf Unternehmen. Auch das Bundesamt für Sicherheit in der Informationstechnik (kurz „BSI“) warnt vor mehr Cyberkriminalität. Logfiles dienen dazu, Spuren von Hackerangriffen im System zu erkennen. Da Angreifer mittlerweile lang andauernde Angriffsmethoden nutzen, ist es für Unternehmen kaum möglich, unter Verwendung einer Speicherdauer von drei bzw. sechs Monaten der gespeicherten Logfiles einen solchen Angriff zu erkennen. Die Speicherdauer sollte für den Schutz der IT-Sicherheit angesichts der aktuellen Zeit und der zunehmenden Cyberkriminalität individuell und gut begründet gewählt werden. Es bleibt abzuwarten, ob die Aufsichtsbehörde eine auf das jetzige Zeitgeschehen angepasste Stellung nehmen wird.