top of page
  • AutorenbildMarc Borgers

Symbiose von Datenschutz und Cybersicherheit – Inspiration aus § 76 BDSG


Dieser Artikel reflektiert allgemeine Überlegungen zum Thema und ersetzt keine rechtliche Beratung. Bei konkreten Fragestellungen und Herausforderungen ist es ratsam, spezialisierte Rechtsexperten zu konsultieren.


Aufbewahrungsfrist, Frist, Logging, Logs, Bundesdatenschutzgesetz, BDSG, § 76, Protokollierung

Die Debatte um Datenschutz und Informationssicherheit intensiviert sich mit der anhaltenden Digitalisierung sowie der steigenden Relevanz von Daten und rückt damit in den Fokus von Unternehmensstrategien und gesetzlichen Bestimmungen. Auch wenn § 76 aus dem Teil 3 vom BDSG primär für bestimmte öffentliche Stellen gedacht ist, lohnt sich ein Blick auf diesen Paragraphen, denn seine Festlegungen zur Protokollierung und zur Speicherdauer von Protokolldaten bieten interessante Impulse auch für andere Kontexte.



Teil 3 Bundesdatenschutzgesetz (BDSG)
§ 45 Anwendungsbereich

Die Vorschriften dieses Teils gelten für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten. Die öffentlichen Stellen gelten dabei als Verantwortliche. Die Verhütung von Straftaten im Sinne des Satzes 1 umfasst den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit. Die Sätze 1 und 2 finden zudem Anwendung auf diejenigen öffentlichen Stellen, die für die Vollstreckung von Strafen, von Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetzbuchs, von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes und von Geldbußen zuständig sind. Soweit dieser Teil Vorschriften für Auftragsverarbeiter enthält, gilt er auch für diese.


365 Tage

Im § 76 BDSG ist vor allem die gesetzliche Vorgabe der Löschung von Protokolldaten am Ende des auf deren Generierung folgenden Jahres hervorzuheben. Diese Zeitspanne, die einerseits den Datenschutz durch Datenminimierung sicherstellt und andererseits den zuständigen öffentlichen Stellen ausreichend Zeit gibt, um auf Straftaten reagieren zu können, kann als pragmatischer Ansatz gesehen werden.



Bundesdatenschutzgesetz (BDSG) 
§ 76 Protokollierung

(1) In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorgänge zu protokollieren:
1. Erhebung,
2. Veränderung,
3. Abfrage,
4. Offenlegung einschließlich Übermittlung,
5. Kombination und
6. Löschung.

(2) Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen.

(3) Die Protokolle dürfen ausschließlich für die Überprüfung der Rechtmäßigkeit der Datenverarbeitung durch die Datenschutzbeauftragte oder den Datenschutzbeauftragten, die Bundesbeauftragte oder den Bundesbeauftragten und die betroffene Person sowie für die Eigenüberwachung, für die Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten und für Strafverfahren verwendet werden.

(4) Die Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen.

(5) Der Verantwortliche und der Auftragsverarbeiter haben die Protokolle der oder dem Bundesbeauftragten auf Anforderung zur Verfügung zu stellen.


Bedeutung jenseits öffentlicher Stellen

Obwohl § 76 BDSG spezifisch auf die Datenverarbeitung durch öffentliche Stellen im Rahmen der Verhütung und Verfolgung von Straftaten und Ordnungswidrigkeiten ausgerichtet ist, können seine Grundsätze dennoch im allgemeineren Kontext des Datenschutzes und insbesondere im Lichte des Art. 28 DSGVO, der die Verantwortlichkeiten zwischen Verantwortlichen und Auftragsverarbeitern regelt, von Bedeutung sein.


Verantwortliche und ihre Auftragsverarbeiter können hier möglicherweise auf die Struktur und Anforderungen des § 76 BDSG blicken, um bei der Gestaltung ihrer Verträge und bei der Auslegung der DSGVO-Regelungen praxisnahe und bereits erprobte Mechanismen zur Protokollierung und Datenhandhabung zu implementieren. Das Schaffen eines strukturierten Rahmens zur Protokollierung und eine klar definierte Aufbewahrungsfrist, wie sie § 76 BDSG vorschreibt, könnten dabei als nützliche Orientierung dienen. Zumal Erkenntnisse, wie aus dem "Cost of a Data Breach Report" von Ponemon Institut und IBM belegen, dass Sicherheitsverletzungen oft innerhalb eines Jahresfensters identifiziert werden.



Synergie von Datenschutz und Informationssicherheit

So ergibt sich eine Synergie: Datenschutz zielt darauf ab, personenbezogene Daten zu schützen und zu minimieren, während die Informationssicherheit sich darauf konzentriert, Datenschutzverletzungen und Sicherheitsvorfälle für sämtliche schützenswerten Daten des Unternehmens zu verhindern und darauf zu reagieren. Eine klare, rechtlich fundierte Regelung für Protokollierung und Aufbewahrungsfristen, wie sie in § 76 BDSG formuliert ist, kann somit als Inspiration dienen, um beide Ziele zu verbinden und effektiv in den Verträgen zu adressieren.

63 Ansichten

留言


ISO 27001, B3S, IT-SiKat, KRITIS, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019
bottom of page