NIS 2, DSGVO und die Protokolle

Wenn es um Protokollierung geht, klingeln im Datenschutz schnell die Alarmglocken.

Datenschutz kontra ­Protokollierung?

Es ist nicht so, dass der Datenschutz keine Systemprotokolle fordert. Entsprechend findet man auch in der Checkliste „Good Practice bei technischen und organisatorischen Maßnahmen“ des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) den Abschnitt „Protokollierung“ mit dem Hinweis: „Mittels geeigneter Protokollierungen können Sicherheitsverletzungen nach Art. 33 DS-GVO auch im Nachhinein erkannt und aufgearbeitet werden. Ohne Auflistung von Benutzeraktivitäten kann dagegen meist keine valide Bewertung stattfinden, ob und in welchem Umfang ein unbefugter Datenzugriff erfolgte“ (siehe urlr.me/PZGyBJ).

Die Checkliste nennt dabei auch das notwendige „Konzept zur Protokollierung von Benutzeraktivitäten, technischen Systemereignissen, Fehlerzuständen und Internetaktivitäten unter Berücksichtigung datenschutzrechtlicher Anforderungen“. Genau dieses Konzept muss nun viele neue oder verstärkte Bereiche der Protokollierung aufnehmen, die durch die Umsetzung der EU-Richtlinie NIS 2 (Network and Information Security 2) entstehen.

Protokollierung bei NIS 2

Die NIS-2-Umsetzung ist ein komplexes Unterfangen in der IT. Deshalb tun Datenschutzbeauftragte (DSB) gut daran, sich zuerst auf die wesentlichen Bereiche zu konzentrieren, in denen die Protokollierung auszubauen ist. So ist das Logging aus NIS-2-Sicht insbesondere wichtig

• zur Umsetzung der Meldepflichten bei sicherheitsrelevanten Vorfällen,
• zur Beweis…