Datenschutz trifft IT-Sicherheit: Speicherdauer von Webseiten-Logfiles

[IITR – 30.05.22] „Kein Datenschutz ohne IT-Sicherheit!“ – Dieser Leitlinie folgend, wurden auf den Verbandstagen 2022 des BvD nicht nur Datenschutzthemen, sondern auch übergreifende oder rein technische Themen behandelt.

Die beiden Welten sind allzu sehr voneinander abhängig, so dass sie vermehrt als Einheit betrachtet und vor allem auch behandelt werden sollten. Insbesondere in Zeiten, in denen die Bedrohungen von Cyberangriffen derart zunehmen.

Datenschutz und IT-Sicherheit als Einheit

Heutzutage sind die Anforderungen an die Sicherheit hinsichtlich derartiger Angriffe deutlich gestiegen. Denn diese haben nicht nur quantitativ zugelegt, sondern vor allem auch qualitativ. So dreht es sich in den Phishing-E-Mails nicht mehr nur um das angebliche Millionenerbe aus Afrika, das ein fern verwandter Prinz hinterlassen, sondern diese sind weitaus unauffälliger und vertrauenswürdiger geworden. – Das hat oftmals zur Folge, dass die Betroffenen von dem Angriff überhaupt nichts mitbekommen und sich der Eindringling ganz in Ruhe umsehen kann, ob und was er so Interessantes findet. Wenn dieser dann überhaupt entdeckt wird, ist es meist schon zu spät…

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (…)“ (Art. 32 Abs. 1 DSGVO)

Der „Datenschutz“ alleine kann nicht vor derartigen Gefahren schützen. Mit Einführung der Datenschutzgrundverordnung aber agiert man nur datenschutzkonform, sollte man gewisse Vorkehrungen organisatorischer oder technischer Natur getroffen haben. – Je nach Anforderungen und Unternehmenstypus sind risikosenkende Maßnahmen zu treffen.

Oftmals beinhalten jedoch zusätzliche Vorkehrungen personenbezogene Datenverarbeitung, die der Rechtsgrundlage aus der Datenschutzgrundverordnung bedarf. Auf der Suche nach einer solchen stellt sich irgendwann die Frage, ob es noch etwas neben Art. 6 Abs. 1 a DSGVO, nämlich der Einwilligung geben kann.

Insbesondere in Zeiten des TTDSG, verschiedenster Cookies und Drittanbieter-Tools ist die Reaktion auf eine personenbezogene Datenverarbeitung auf der Webseite nahezu automatisiert die Einwilligung. – Es gibt jedoch eine prominente Ausnahme: Das Speichern von Logfiles.

Speicherung von Webseiten-Logfiles zur Gefahrenabwehr

Aus Gründen technischer Sicherheit – und insbesondere zur Abwehr von Angriffsversuchen auf Webserver – können Daten wie unter anderem die IP-Adresse, Datum und Uhrzeit der Anforderung, verwendeter Webbrowser sowie Betriebssystem gespeichert werden, ohne sich dafür auf die Einwilligung stützen zu müssen.

„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: (…) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“ (Art. 6 Abs. 1 f DSGVO)

Mit Blick auf das Interesse eines jeden Unternehmens, nicht Opfer eines derartigen Angriffes zu werden – wodurch nebenbei auch die Rechte und Interessen Dritter geschützt werden – kommt man im Zuge einer Interessensabwägung nach Art. 6 Abs. 1 f DSGVO folgerichtig zu dem Ergebnis, dass eine derartige Speicherung datenschutzkonform möglich sein muss.

„Personenbezogene Daten müssen […] für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden […] („Zweckbindung“).“ (Art. 5 Abs. 1 b DSGVO)

Der Vollständigkeit sei hier jedoch noch einmal erwähnt, dass die erhobenen Daten ausschließlich zum Zwecke der präventiven Gefahrenabwehr gespeichert und verwendet werden dürfen. Jegliche Verarbeitung, die darüber hinausginge, ist nicht datenschutzkonform und deshalb zu unterlassen.

„Personenbezogene Daten müssen […] dem Zweck angemessen und erheblich sowie auf das für die Zwecke notwendige Maß beschränkt sein („Datenminimierung“).“ (Art. 5 Abs. 1 c DSGVO)

Speicherdauer von Webseiten-Logfiles: 30 Tage vertretbar

Lange war man sich darüber einig, dass eine Speicherung von Logfiles maximal 7 Tage zu speichern sei. Ausnahmen bildeten lediglich Unternehmen, die als kritische Strukturen einzuordnen sind.

Jedoch erscheinen angesichts der angesprochenen Qualitäts- und Quantitätszunahme der Cyberangriffe sieben Tage mittlerweile relativ kurz und somit wohl nicht mehr zeitgemäß. So hat ein Vertreter der bayerischen Datenschutzaufsichtsbehörde in Berlin dargelegt, dass aus seiner Sicht eine deutlich längere Speicherung – bis zu 30 Tagen – mit der richtigen Argumentation durchaus vertretbar sei. Hauptargument sei die Effizient der Gefahrenabwehr, die durch eine längere Speicherdauer durchaus erhöht würde.

Eine derartige Schlussfolgerung ist durchaus sinnvoll, denn letztlich darf effiziente Gefahrenabwehr vor Cyberangriffen nicht zu streng interpretierten Datenschutzregelungen zum Opfer fallen. – Ansonsten bisse sich die Katze in den Schwanz…

Autor: Michael Wehowsky