Landesbeauftragter für den Datenschutz Niedersachsen

Transkript

1 Protokollierung Orientierungshilfe und Checkliste Landesbeauftragter für den Datenschutz Niedersachsen

2 Vorbemerkungen Auch für die Informations- und Kommunikationstechnik gilt die alte Lebensweisheit Vertrauen ist gut, Kontrolle ist besser. Durch Protokollierung aller Verarbeitungsaktivitäten wird die Iuk- Technik nachprüfbar und transparent. Zugleich wird damit einer missbräuchlichen Verwendung vorgebeugt, weil keiner darauf vertrauen kann, dass Verstöße unentdeckt bleiben. Das Bundesdatenschutzgesetz (BDSG) und das Niedersächsische Datenschutzgesetz (NDSG) verpflichten die Daten verarbeitenden Stellen aus Wirtschaft und Verwaltung, technische und organisatorische Maßnahmen zu treffen, damit nachträglich überprüft und festgestellt werden kann, wer welche personenbezogenen Daten zu welcher Zeit in ein Automationssystem eingegeben bzw. übermittelt hat. Auch Versuche missbräuchlicher Verarbeitung müssen aufgezeichnet und nachträglich untersucht werden. Für eine Reihe von automatisierten Verfahren der öffentlichen Verwaltung gelten spezifische Protokollierungsvorschriften, z.b. im Meldewesen, bei der Polizei und beim Verfassungsschutz. Mit der Protokollierung der Verarbeitung entstehen Sammlungen personenbezogener Daten über Nutzer bzw. über betroffene Bürgerinnen und Bürger. Damit wird es z.b. möglich, Nutzerprofile abzuleiten oder Listen über Auffälligkeiten zu erstellen. Das allgemeine Datenschutzrecht läßt das nicht zu. Protokolle dürfen nur zu Zwecken genutzt werden, die Anlass für ihre Speicherung waren. Daten von Beschäftigten, die zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs gespeichert werden, dürfen nicht für andere Zwecke verarbeitet werden ( 31 BDSG, 10 Abs. 4 NDSG). Das Niedersächsische Beamtengesetz verbietet die Verwendung von Protokolldaten zu Zwecken der Verhaltens- und Leistungskontrolle ( 101 Abs. 6 NBG). Die Zweckbindung muss technisch und organisatorisch sichergestellt werden. Für Art, Umfang und Aufbewahrung der Protokollierung gilt der Grundsatz der Erforderlichkeit. Soweit technisch möglich und ausreichend sollte auf personenbezogene Daten verzichtet werden (Grundsatz der Datenvermeidung). Die Beteiligungsrechte von Personalrat bzw. Betriebsrat sind zu beachten. Begriff Bei der Kontrolle von IuK-Systemen ist zwischen den Funktionen der Administration und der Benutzung zu unterscheiden: Die Administration umfasst Arbeiten zur Installation, Modifikation und Konfiguration von Hard- und Software einschließlich der Abarbeitung von Systemnachrichten. Dies sind Basisfunktionen, die vor allem die Verfügbarkeit der Systeme sicherstellt. Administration erfolgt nicht nur auf Betriebssystemebene, sondern auch in Anwendungen (z.b. die Rechteverwaltung in Datenbanksystemen). Die Benutzung ist die Inanspruchnahme der vom IuK-System bereitgestellten Ressourcen durch die Nutzer, also insbesondere die Verarbeitung der Datenbestände. In beiden Bereichen ist es erforderlich, manuelle oder automatisierte Aufzeichnungen (Protokollierungen) der Aktivitäten vorzunehmen. Die Protokollierung der Administrationsaktivitäten hat den Charakter einer Systemüberwachung, während die Protokollierung der Benutzeraktivitäten im Wesentlichen der Verfahrensüberwachung dient. Die Anforderungen an die Art und den Umfang der systemorientierten Protokollierung finden sich überwiegend in dem allgemeinen Datenschutzrecht wieder, während die verfahrensorientierte Protokollierung häufig durch bereichsspezifische Regelungen definiert wird. Protokollierung Stand:

3 Aus den Protokollen sollte sich die Frage beantworten lassen: Wer hat wann mit welchen Mitteln was veranlasst bzw. worauf zugegriffen? Außerdem sollten sich Systemzustände ableiten lassen: Wer hatte von wann bis wann welche Zugriffsrechte? Umfang Protokollumfang, Kontrolldichte und Löschungsfristen sind von der Sensitivität der jeweiligen Anwendung abhängig. Bei deren Festlegung sind systemseitige Möglichkeiten z.b. durch Einstellen von Parametern oder Setzen von Schaltern zu nutzen. Folgende Grundsätze sind zu beachten: Die Protokollierung muss so erfolgen, dass Sicherheitslücken und Angriffe frühzeitig erkannt oder zumindest nachträglich verifiziert werden. Hierfür sollten neben reinen Systemnachrichten (z.b. Starten und Herunterfahren von Systemen) auch Änderungen der Zugriffsrechte, der Zugang zum Betriebssystem (Login) oder Administratoraktivitäten protokolliert werden. Zur Kontrolle der Verarbeitung von Datenbeständen sollten Protokollierungen im jeweiligen Anwendungsverfahren selbst erfolgen; nur so sind ausreichende Differenzierungen nach Daten, Feldern, Masken, Auswertungen, Ausdrucken u. ä. vorzunehmen. Grundsätzlich ist jeder schreibende Zugriff auf personenbezogene Daten aufzuzeichnen, evtl. mit Inhalt des neu eingegebenen oder geänderten Datensatzes; bei sensitiven Daten sollten jedoch nur Feldbezeichnungen protokolliert werden. Darüber hinaus sollten lesende Zugriffe sensiblerer Anwendungen, alle lesenden Zugriffe durch Dritte sowie per Dialog veranlasste Übermittlungen aufgezeichnet werden. Für jede aufzuzeichnende Aktivität sollte die Art des Vorgangs, Datum und Uhrzeit, Merkmale der Aktivität, ausführende Person, Ordnungsnummer des Datensatzes und Programm festgehalten werden. Nicht ausreichend sind Protokolle, die lediglich das Starten und Beenden der Anwendung aufzeichnen. Bei Massenprotokollierungen kann eine Stichproben-Aufzeichnung bzw. eine Auswertung nach einem Zufallsverfahren in Frage kommen. Die großen Datenmengen der Protokollierung erfordern eine automatisierte Auswertung zur zeitnahen und effizienten Kontrolle. Entbehrlich sind Protokollierungen im allgemeinen bei Datensammlungen, auf die nur eine Person Zugriff hat (Einzelplatz-PC) oder wenn die Datensammlungen nur Hilfsfunktionen im Rahmen der Bürokommunikation erfüllen (z.b. Verteilerlisten, Datenbank zum Auffinden von Akten). Auch bei frei zugänglichen personenbezogenen Daten kann auf eine Protokollierung verzichtet werden. Kontrolle Protokollierung ist kein Selbstzweck, sondern nur sinnvoll und datenschutzrechtlich vertretbar, wenn die Protokolldaten auch tatsächlich ausgewertet werden. Protokolldateien dürfen nur wenigen Autorisierten zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherung des ordnungsgemäßen Betriebs einer DV-Anlage zugänglich sein. Der Datenschutzbeauftragte des Unternehmens bzw. der Behörde und der Revisor sollten zu regelmäßigen Kontrollen der Protokolle verpflichtet werden. Sinnvoll ist es, die Kontrollen nach dem 4-Augen-Prinzp durchzuführen. Aufbewahrungsdauer für Protokolle Für die Aufbewahrung der Protokolle gelten die allgemeinen Löschungsregeln der Datenschutzgesetze. Maßstab ist mithin die Erforderlichkeit der Aufgabenerfüllung. Gibt es keinen zwingenden Grund für das weitere Vorhalten von Protokolldateien, besteht eine Pflicht zur Löschung (z.b. 20 Abs. 2 BDSG, 17 Abs. 2 NDSG). Eine exakte Festlegung der Aufbewahrungsdauer von Protokollen, deren Auswertung zeitlich nicht bestimmt ist (z.b. die Protokolle im Zusammenhang mit der Administration), ist vielfach nicht mög- Protokollierung Stand:

4 lich. Erfahrungsgemäß genügt eine Aufbewahrungsfrist von einem halben Jahr. Anhaltspunkte für Entscheidungen können sein: die Wahrscheinlichkeit, dass Unregelmäßigkeiten (noch) offenbar werden können und die Möglichkeit, die Gründe von Unregelmäßigkeiten anhand der Protokolle und anderer Unterlagen aufdecken zu können. Beteiligung von Personalrat bzw. Betriebsrat Soweit Protokolldateien Beschäftigtendaten enthalten, ist der Personalrat bzw. der Betriebsrat über die Protokolldaten und deren Zweckbestimmung zu informieren, um ihm die seiner Beteiligungsrechten zu ermöglichen. Technische und organisatorische Rahmenbedingungen Die Effektivität der Protokollierung und ihre Auswertung im Rahmen von Kontrollen hängt im entscheidenden Maße von den technischen und organisatorischen Rahmenbedingungen ab. In diesem Zusammenhang sollten u.a. folgende Aspekte Berücksichtigung finden: Vollständigkeit der Protokolle, Manipulationssicherheit der Protokolle, wirksame Zugriffsbeschränkungen, Festlegung der Auswertungsmöglichkeiten, Kontrolle durch 4-Augen-Prinzip, Festlegung der Konsequenzen sowie Routinekontrollen durch automatisierte Verfahren. Checkliste Die folgende Checkliste konzentriert sich auf die Gesichtspunkte des technisch-organisatorischen Datenschutzes. Die Checkliste unterteilt folgende Bereiche: Allgemeine Rahmenbedingungen Administration von IuK-Technik Benutzung von IuK-Technik Auswertung der Protokolle Zur Beantwortung der Checkliste wird es in der Regel ausreichen, jeweils Erfüllt, Nicht erfüllt oder Trifft nicht zu anzukreuzen. Diese Antworten können im Bedarfsfall durch kurze Erläuterungen in dem Feld Bemerkung ergänzt werden. Auf diese Weise liegt nach Durcharbeiten der Checkliste eine übersichtliche Aufstellung der noch zu treffenden Maßnahmen vor. Eine beantwortete Checkliste deckt möglicherweise vorhandene Sicherheitslücken des Systems auf. Daher ist die ausgefüllte Checkliste bis zur vollständigen Beseitigung dieser Mängel entsprechend sicher aufzubewahren. Protokollierung Stand:

5 Checkliste Protokollierung Klassifizierung der Schutzstufe Begründung der Einstufung ( Extrablatt) Stufe A Stufe B Stufe C Stufe D Stufe E Erläuterung: Die einzelnen Anforderungen sind nach dem Schutzstufenkonzept (siehe Anhang) gestaffelt aufgeführt. Bei Daten der Schutzstufe A ist eine Protokollierung im allgemeinen entbehrlich. Die Grundschutzforderungen unter der Schutzstufe B C sind ansonsten immer anzuwenden. Die unter den Schutzstufen D oder E aufgeführten Anforderungen kommen aufgrund der höheren Datenschutzsicherungsanforderung jeweils ergänzend hinzu. Technische und organisatorische Rahmenbedingungen 1.1 Art, Umfang, Inhalt und Auswertbarkeit der Protokolle sowie deren Auswertungen und Kontrollen sind in einer schriftlichen Arbeitsanweisung festgelegt. 1.2 Regelmäßig wird stichprobenartig untersucht, ob die Festlegungen in der Arbeitsanweisung eingehalten werden. 1.3 Die Konsequenzen aus Verstößen ist geregelt. 1.4 Die Personalvertretung ist über Art, Umfang und Inhalt der Protokolle sowie deren Auswertung unterrichtet. 1.5 Die Manipulationssicherheit des Inhalts der Protokolldateien ist durch wirksame Zugriffsbeschränkungen gewährleistet (z.b. getrennte Aufbewahrung von den übrigen Datensammlungen). 1.6 Die Protokollierung ist so gestaltet, dass hiermit eine Überprüfung jederzeit möglich ist. Erfüllt Nicht erfüllt Trifft nicht zu Bemerkungstext Protokollierung Stand:

6 Administration von IuK-Systemen Folgende Aktivitäten werden vollständig protokolliert (mit Art des Vorgangs, Datum und Uhrzeit, Merkmale der Aktivität, ausführende Person und Programm, soweit sinnvoll): Erfüllt Nicht erfüllt Trifft nicht zu Bemerkungstext Daten bis Schutzstufe C: 2.1 Betriebssystemgenerierung und Modifikation von wichtigen Systemparametern 2.2 Einspielen und Änderung von Anwendungssoftware 2.3 Grundlegende Änderungen an der Dateiorganisation 2.4 Durchführung von Back-up-Restore und sonstigen Datensicherungsmaßnahmen 2.5 Das Hoch- und Herunterfahren von zentralen Rechnern 2.6 Aufruf von Administrations-Tools 2.7 Einrichten und Löschen von Benutzern 2.8 Verwaltung von Befugnistabellen Daten der Schutzstufen D: 2.9 Sämtliche weitere Administratoraktivitäten Protokollierung Stand:

7 Benutzung von IuK-Systemen Folgende Aktivitäten werden vollständig protokolliert (mit Art des Vorgangs, Datum und Uhrzeit, Merkmale der Aktivität, ausführende Person und Programm, soweit sinnvoll): Erfüllt Nicht erfüllt Trifft nicht zu Bemerkungstext Daten bis Schutzstufe C: 3.1 Schreibende Zugriffe auf Datenbanken (Eingabe, Änderung, Löschung) 3.2 Eingänge und Ausgänge von mobilen Datenträgern 3.3 Datenübermittlungen (dazu gehört auch die Anfertigung von Dateikopien, Hardcopies usw.) 3.4 Externe Benutzung von automatisierten Abrufverfahren. 3.5 Erfolgreiche und nicht erfolgreiche Login- Versuche 3.6 Passwortänderungen Daten der Schutzstufe D: 3.7 Lesende Zugriffe auf Datenbanken Protokollierung Stand:

8 Auswertung und Löschung der Protokolle Erfüllt Nicht erfüllt Trifft nicht zu Bemerkungstext Daten bis Schutzstufe C: 4.1 Protokolldateien werden ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs der Datenverarbeitungsanlage gespeichert. Sie werden nicht zur Verhaltens- und Leistungskontrolle oder zum Controlling verarbeitet oder genutzt. 4.2 Die Protokolldateien werden sporadisch, mindestens jedoch alle 3 Monate ausgewertet. Dabei sollten Routinekontrollen mit Hilfe automatisierter Verfahren durchgeführt werden (z.b. Checksummenprüfung, watch dogs ). 4.3 Auffälligkeiten werden dem internen Datenschutzbeauftragten und dem Revisor angezeigt. 4.4 Die Protokolleintragungen werden frühestens nach der Routinekontrolle, spätestens nach ungefähr einem halben Jahr gelöscht (Ausnahme: gesetzlich vorgeschriebene Aufbewahrungsfristen). 4.5 Die Löschung von Protokolldateien wird schriftlich dokumentiert. Daten der Schutzstufe D: Die Protokolldateien werden regelmäßig ausgewertet. Sie werden von einem unabhängigen Revisor (z.b. Datenschutzbeauftragten) oder nach dem 4-Augen-Prinzip und nur in Ausnahmefällen allein von dem Administrator kontrolliert. Dem Administrator sind die Zugriffsrechte auf die Protokolle so weit wie möglich entzogen. Protokollierung Stand:

9 Anhang: Schutzstufenkonzept Personenbezogene Daten werden nach dem Grad möglicher Beeinträchtigung schutzwürdiger Belange bei Missbrauch dieser Daten in 5 Schutzstufen untergliedert. Bei der Klassifizierung sind Datenfelder niemals einzeln zu bewerten. Die Betrachtung ist vielmehr auf die gesamte Datei, ggf. auf die gesamt DV-Anlage auszudehnen. Werden personenbezogene Daten unter einem Auswahlkriterium in eine Datei aufgenommen, das in der Datei nicht enthalten ist, so ist dieses Auswahlkriterium bei der Klassifizierung mit zu bewerten. Enthalten Dateien umfassende Angaben zu einer Person (Dossiers), so sind sie in eine höhere Schutzstufe einzuordnen, als dies nach den Einzeldaten erforderlich wäre. Es werden folgende Schutzstufen unterschieden: Stufe A: Stufe B: Stufe C: Stufe D: Stufe E: Frei zugängliche Daten, in die Einsicht gewährt wird, ohne dass der Einsichtnehmende ein berechtigtes Interesse geltend machen muss, z.b. Adressbücher, Mitgliederverzeichnisse, Benutzerkataloge in Bibliotheken. Personenbezogene Daten, deren Missbrauch zwar keine besondere Beeinträchtigung erwarten lässt, deren Kenntnisnahme jedoch an ein berechtigtes Interesse des Einsichtnehmenden gebunden ist, z.b. beschränkt zugängliche öffentliche Dateien, Verteiler für Unterlagen. Personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann ("Ansehen"), z.b. Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten. Personenbezogene Daten, deren Mißbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann ("Existenz"), z.b. Unterbringung in Anstalten, Straffälligkeit, Ordnungswidrigkeiten schwerwiegender Art, dienstliche Beurteilungen, psychologisch-medizinische Untersuchungsergebnisse, Schulden, Pfändungen, Konkurse. Daten, deren Missbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann, z.b. Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können. Falls die Sensitivität nicht bekannt ist, ist von der höchsten Sensitivitätsstufe auszugehen. Denkbar ist auch, dass der Schutz empfindlicher Firmendaten ohne Personenbezug die Einstufung bestimmt. Protokollierung Stand: