Risiko Logfiles - Protokollierung von Nutzerdaten im

RA RA JoergJoerg HeidrichHeidrich

Dr. Christoph WegenerDr. Christoph Wegener

1

Risiko LogfilesRisiko LogfilesProtokollierung von Nutzerdaten im Unternehmen

14. Deutscher IT14. Deutscher IT--Sicherheitskongress 2015Sicherheitskongress 2015

Bonn, 19. Mai 2015Bonn, 19. Mai 2015



2

ÜÜber die Referentenber die ReferentenJoergJoerg HeidrichHeidrich

• Studium der Rechtswissenschaften in Kölnund Concord, NH, USA

• Justiziar und Datenschutzbeauftragter derHeise Medien GmbH & Co. KG in Hannover

• Daneben seit 2001 als Rechtsanwalt fürInternet- und Medienrecht in Hannover tätig

• Seit 2007 Fachanwalt fürInformationstechnologierecht

• Anerkannter Sachverständiger für IT-Produkte(ULD SH/rechtlich)

• Zertifizierter Datenschutzbeauftragter (TÜV)• Lehrbeauftragter an der Hochschule für

Musik, Theater und Medien Hannover



3

ÜÜber die Referentenber die ReferentenDr. Christoph WegenerDr. Christoph Wegener

• IT-Leiter der Fakultät für Elektrotechnik und Informationstechnik, Ruhr-Universität Bochum

• Gründer der wecon.it-consulting– Informationssicherheit– Datenschutz– Open Source-Technologien

• Gründungsmitglied der Arbeitsgruppe Identitätsschutz im Internet (a-i3)

• Gründungsmitglied desGerman Chapter der Cloud Security Alliance (CSA)

• Gründungsmitglied der sys4 AG

• Auditor und Sachverständiger• CCSK, CISA, CISM, CRISC• Zertifizierter Datenschutzbeauftragter

(GDDcert und TÜV Nord)• Fachautor/-lektor/-gutachter, verschiedene Lehrtätigkeiten

*



4

Was werden wir heute vorstellen?Was werden wir heute vorstellen?

• Einführung in den Datenschutz–Was sind personenbezogene Daten?

–Konkrete Beispiele aus dem IT-Bereich

• Logging in der Übersicht–Wo und warum wird geloggt?

–Welche Daten fallen dabei an?

• Empfehlungen für die Praxis–Erhebung, Speicherung und Löschung

–Maximal mögliche Speicherdauer

–Fazit und Ausblick

*



5

Logging im UnternehmenLogging im UnternehmenGrundproblematikGrundproblematik

*



6

Unterschiedliche InteressenUnterschiedliche InteressenInformationssicherheitsbeauftragteInformationssicherheitsbeauftragte

• Langfristige Speicherung möglichst vieler Logdaten zu– E-Mail-Verkehr

– Login-Versuchen

– Zugriffen auf Daten

– Zugriffen auf Webseiten

– …

• Regelmäßige Auswertung der Logs– um möglichen Missbrauch frühzeitig zu erkennen

– um die Verfügbarkeit sicher zu stellen

– …

• Technisch ist vieles (alles?) möglich......aber ist es auch erlaubt?!?

*



7

Unterschiedliche InteressenUnterschiedliche InteressenDatenschutzbeauftragteDatenschutzbeauftragte

• Möglichst keine Daten sammeln– Keine Logfiles jeglicher Art

– Keine Verhaltensüberwachung(bspw. per Ton und/oder Video)

• Wenn überhaupt, dann nur unter Einhaltung der datenschutzrechtlichen Vorgaben

– Einwilligung des Betroffenen

– Gesetzliche Grundlage

*



8

Unterschiedliche AnforderungenUnterschiedliche Anforderungen

• Protokollierungspflichten undPflichten zur Abwehr von Störungen(AktG, GmbHG, KontraG, …)

• Vorgaben der Datenschutzgesetze, die die Möglichkeiten einschränken(BDSG, TMG, TKG, ...)

• Konfliktpotential muss berücksichtigt werden

• Datenschutzschonende Lösung bei größtmöglicher Flexibilität für die IT-Struktur

*



9

Grundlagen des DatenschutzesGrundlagen des Datenschutzes



10

Datenschutz als GrundrechtDatenschutz als Grundrecht

• Recht des Einzelnen, grundsätzlich über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen

– Grundrecht auf "Informationelle Selbstbestimmung"

• Der "gläserne Bürger" bzw. "gläserne Verbraucher"sollten vermieden werden (Volkszählungsurteil 1983)

– Der Bürger hat das Recht, über die Verbreitung seinerDaten selbst zu entscheiden,

– sowie auf Kontrollmöglichkeiten.

• Seit dem Jahre 2008 ergänzt durch das Grundrecht auf "Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme"

– Entwickelte sich aus der Diskussion zum "Bundestrojaner"



11

Was sind personenbezogene Daten?Was sind personenbezogene Daten?

• Definition in § 3 Bundesdatenschutzgesetz (BDSG):"Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person"

• Daten sind personenbezogen, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann (personenbeziehbare Daten).

• Beispiele für personenbezogene Daten– Name, Alter, Familienstand, Geburtsdatum, Anschrift,

Telefonnummer, E-Mail Adresse, Gen-/Krankendaten,– Werturteile (zum Beispiel Zeugnisse), ...

• Beispiele für personenbeziehbare Daten– Kfz-Kennzeichen, Kontonummer, Matrikelnummer, …



12

Nicht relevante DatenNicht relevante Daten

• Sämtliche Daten, die nicht personenbezogen oder beziehbar sind, fallen nicht unter den Datenschutz

– Anonyme/anonymisierte Daten bzw. Statistiken

– Lagerbestände

– Verkaufsdaten (als reine Materialwerte)

– Produktionsdaten (als reine Materialwerte)

– …

• Möglichkeit der nachträglichen Herstellung einesPersonenbezugs z.B. durch Big Data!



13

GrundprinzipienGrundprinzipien

• Erforderlichkeit– Es dürfen nur die Daten erfasst und genutzt werden, die für

die jeweilige Aufgabe tatsächlich auch erforderlich sind

• Datenvermeidung/Datensparsamkeit– So wenig und so kurz wie möglich speichern

• Zweckbindung– Daten dürfen nur zweckgebunden verwendet werden

(d.h. gemäß dem Zweck, der bei der Erhebung festgelegt bzw. angegeben wurde)



14

ProtokollierungProtokollierungWelche Daten werden erfasst?Welche Daten werden erfasst?



15

Potentielle personenbezogene DatenPotentielle personenbezogene Daten

• Nutzerdaten– Rechnungsdaten, Kreditkarten- und Kontodaten

– Login-Daten

– Social-Media-Daten, E-Mail-Adressen, …

• Mitarbeiterdaten– Mitarbeiterkürzel

– Login-Daten

– E-Mail-Adressen, …

• Insbesondere stellt sich die Frage:Was gilt bei IP-Adressen?



16

Sind IPSind IP--Adressen personenbezogene Daten?Adressen personenbezogene Daten?RelativitRelativitäät/Objektivitt/Objektivitäät des Personenbezugst des Personenbezugs

• Gegen Personenbezug: Ansicht von der Relativität des Personenbezugs

• Für die Zuordnung kommt es danach entscheidend auf die Kenntnis, die Mittel und die Möglichkeiten der verarbeitenden Stelle an.

– Keine Mitwirkung des Access-Providers oder der Strafverfolgungsbehörden.

• Pro Personenbezug: Ansicht vom objektivem Personenbezug

• Es genügt bereits die theoretische Möglichkeit der Bestimmbarkeit einer Person, auch wenn die Person nur durch zusätzliche Informationen eines Dritten bestimmt werden kann.

• Auf die konkreten Möglichkeiten der verarbeitenden Stelle kommt es nicht an.



17

Sind IPSind IP--Adressen personenbezogene Daten?Adressen personenbezogene Daten?InfektionstheorieInfektionstheorie

• Infektionstheorie (u.a. Heidrich/Wegener)– Einigkeit besteht nach allen Ansichten darüber, dass es

sich bei statischen IP-Adressen um pb Daten handelt.

– Praktisch ist es aber bei der Speicherung undVerarbeitung nicht mögliche, statische vondynamischen IP-Adressen zu trennen.

– Da statische und dynamische Adressen z.B. in Logfiles vermischt werden, erfordert ein wirksamer Datenschutzeine einheitliche Behandlung dieser Daten.

• Konsequenz: Alle IP-Adressen müssen als pb Daten angesehen werden.

– Vertreten u.a. von Heidrich/Wegener, Datenschutzbeauftragter Niedersachsen, AK Vorratsdatenspeicherung



18

Sind IPSind IP--Adressen personenbezogene Daten?Adressen personenbezogene Daten?Weitere Weitere ÜÜberlegungenberlegungen

• EuGH-Entscheidung vom 24.11.2011, Az. C-70/10Sabam vs Scarlet:

"Es steht fest, dass die Anordnung, das streitige Filtersystem

einzurichten, eine systematische Prüfung aller Inhalte sowie die

Sammlung und Identifizierung der IP-Adressen der Nutzer

bedeuten würde, die die Sendung unzulässiger Inhalte in

diesem Netz veranlasst haben, wobei es sich bei diesen

Adressen um personenbezogene Daten handelt, da sie die

genaue Identifizierung der Nutzer ermöglichen."

• Fazit: IP-Adressen sind pbD!Dies gilt auch für IPv6-Adressen!



19

Speicherdauer fSpeicherdauer füür IPr IP--Adressen Adressen –– 11

• Grundsätzlich gilt, dass IP-Adressen nur so lange aufbewahrt werden dürfen, wie dies für den erhobenen Zweck notwendig und erforderlich ist.

– Es gibt keine allgemeine Speicherpflicht!

– Was nicht gespeichert ist,kann nicht beauskunftet werden!

• Zur Erbringung eines Online-Angebots– So lange der Dienst erbracht wird (vgl. § 15 Abs. 1 TMG)

• Zu Abrechnungszwecken– Abhängig vom Abrechnungszeitraum/Einwendungsfrist

– Nach § 97 Abs.3 TKG gilt, dass Daten bis zu sechs Monate nach Versand der Rechnung gespeichert werden dürfen.



20

Speicherdauer fSpeicherdauer füür IPr IP--Adressen Adressen –– 22

• Zur Vermarktung/Dienstverbesserung/Statistiken– Nicht ohne Einwilligung des Betroffenen oder

Anonymisierung

• Zur Erfüllung von Online-Bestellungen– Soweit zur Abrechnung erforderlich

– Keine Verknüpfung mit Kundendaten zulässig

• Zu eigenen Sicherheitszwecken (als "Logfiles") – Speicherfrist von maximal sieben Tagen, um "im Einklang

mit dem Telekommunikationsgesetz (TKG) Netzstörungen

und Fehler an TK-Anlagen abzuwehren."

(BGH-Urteil vom 3. Juli 2014, Az. III ZR 391/13)

– Dabei strenge Zweckbindung

– Keine Herausgabe an Strafverfolgungsbehörden!



21

ZwischenfazitZwischenfazit

• Viele Informationen sind pbD(es geht nicht nur um IP-Adressen!)

– E-Mail-Adressen, Domainnamen, …

• Weitere IT-bezogene Themenfelder– DNSbased BL: Auch bei der SPAM-Filterung sind IP-

Adressen relevant, bspw. beim DNSBL, da hier ggf. eine Weitergabe der IP-Adresse an Dritte(möglicherweise sogar in den USA) erfolgt

– GEOlokation– Google Analytics



22

Protokollierung von Protokollierung von NutzerdatenNutzerdaten

*



23

Praxis: Logdaten EPraxis: Logdaten E--MailMail--ServerServerAnwendung des TKGAnwendung des TKG

• Welche Daten sind pbD?– E-Mail-Adressen– IP-Adressen der beteiligten Server/Clients– Ggf. Domainnamen– Usernamen– ...

• Rechtliche Grundlage aus § 100 Abs. 1 TKG"Soweit erforderlich, darf der Diensteanbieter zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen die Bestandsdaten und Verkehrsdaten [...] erheben und verwenden."

• Erweitert durch Änderung im TKG durch ITSG• Speicherdauer sieben Tage

– Vgl. BGH-Urteil vom 3. Juli 2014, Az. III ZR 391/13

*



24

Praxis: Logdaten WebPraxis: Logdaten Web--ServerServerAnwendung des TMGAnwendung des TMG

• Welche Daten sind pbD?– IP-Adressen der beteiligten Clients– Ggf. Teile der URL (Login-ID, UID, …)

• Achtung: Auch Browser-Informationen können als pbDangesehen werden (Browser-Fingerprinting)

– Ggf. auch Probleme bei Nutzung von Web-Analyse-Tools

• Aktuell keine rechtliche Grundlage aus § 15 TMG"Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten)."

• Speicherdauer sieben Tage– Aus Analogie zum TKG

*



25

Praxis: Logdaten DatenschutzkontrollePraxis: Logdaten DatenschutzkontrolleAnwendung des DatenschutzrechtsAnwendung des Datenschutzrechts

• Welche Daten sind pbD?– IP-Adressen der beteiligten Clients

– Login-ID, UID, …

– Namen der "Daten"

• Strikte Zweckbindung (bspw. nach § 31 BDSG)

• Speicherdauer ergibt sich aus Speicherzweck

• Orientierungshilfe "Protokollierung" des Arbeitskreis "Technische und organisatorische Datenschutzfragen"

• Speicherdauer max. 1 Jahr– Ergibt sich aus Analogie zu § 22 Abs. 4 DSG M-V:

"[…]Die Protokollbestände sind ein Jahr zu speichern.[…]"

*



26

Protokollierung von Protokollierung von MitarbeiterdatenMitarbeiterdaten



27

AusgangsproblematikAusgangsproblematik

• Zulässigkeit der Protokollierung von Mitarbeiter-daten hängt in erster Linie davon ab, ob die Privatnutzung erlaubt oder verboten ist.

• Ist die private Nutzung erlaubt oder duldet der Arbeitgeber diese über einen längeren Zeitraum, so erbringt er nach § 3 TKG einen "geschäftsmäßigen Telekommunikationsdienst". (str.)

• Daraus folgt die Verpflichtung zur Einhaltung des Fernmeldegeheimnisses

– Dem Dienstanbieter ist nach § 88 Abs. 3 TKG untersagt, "sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maßhinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen."



28

Erlaubnis der PrivatnutzungErlaubnis der Privatnutzung

• Bei Erlaubnis der Privatnutzung gilt der Arbeitgeber als Provider und hat die entsprechenden strengen gesetzlichen Vorschriften des Datenschutzes und des Fernmeldegeheimnisses einzuhalten.

• Abgrenzung privat/geschäftlich nicht möglich, daher: Kein Zugriff des Arbeitgebers auf E-Mails oder Nutzungsdaten.

• Eine Protokollierung darf ohne Einwilligung erfolgen, wenn sie zu Zwecken der Datenschutzkontrolle, der Datensicherung, zur Sicherung des ordnungsgemäßen Betriebs der Verfahren oder zu Abrechnungszwecken erforderlich ist.



29

Verbot der PrivatnutzungVerbot der Privatnutzung

• Es gelten "nur" die allgemeinen Anforderungen der DSG, die eine Abwägung zwischen den Interessen des Unternehmens und denen des Mitarbeiters vorsehen.

• Der Arbeitgeber hat grundsätzlich das Recht, stichprobenartig zu prüfen, ob die Internet- und E-Mail-Nutzung der Beschäftigten dienstlicher Natur ist.

– Allerdings hat er auch eine Pflicht zu dieser Kontrolle, um die Einhaltung des Gebots zu überwachen.

• Eine automatisierte Vollkontrolle durch den Arbeitgeber ist ein schwerwiegender Eingriff in das Persönlichkeitsrecht der Beschäftigten

– Nur bei konkretem Missbrauchsverdachtim Einzelfall zulässig.



30

MitbestimmungMitbestimmung

• In § 87 Abs. 1 Nr. 6 BetrVG bzw. den LPVG werden dem Betriebs- bzw. Personalrat weitgehende Mitbestimmungsmöglichkeiten im Hinblick auf technische Einrichtungen eingeräumt, die der Überwachung des Verhaltens oder der Leistung der Arbeitnehmer dienen können.

• Z.B. Ein- und Ausloggen, Nutzung der Geräte, Lokalisierung, usw.

• Eine solche Überwachung ist bei der Nutzung von mobilen Geräten in der Regel gegeben!

• Bei der Einführung solcher Techniken sollte daher stets auch die betriebliche Mitbestimmung berücksichtigt werden!



31

Protokollierung zur Protokollierung zur GefahrenabwehrGefahrenabwehr

*



32

SonderfSonderfäällelleNotbetriebNotbetrieb

• Einschränkung der Rechte der Beschäftigten imFalle eines akuten Angriffs auf die IT-Infrastruktur

– Abwägung der Interessen zugunsten der Erhaltung der Arbeitsfähigkeit des Unternehmens

• Ausnahmsweise z. B. Filtern von E-Mail oder Protokollieren von Datenfür die Dauer des Angriffs zulässig

• Erstellen und Durchsetzen von Sicherheitsrichtlinien und Notfallplänen, ggf. unter Hinzuziehen von Betriebsrat und Datenschutzbeauftragtem

*



33

SonderfSonderfäällelleKonkreter TatverdachtKonkreter Tatverdacht

• Die (auch verdeckte) Überwachung am Arbeitsplatz ist zulässig, wenn ein hinreichend konkreter Verdacht auf eine begangene Strafhandlung gegeben ist.

– Nur im Einzelfall zulässig, nicht gegenüber Gesamtbelegschaft.

– Nur möglich, wenn der Vorwurf nicht oder nur schwer mit anderen, das Persönlichkeitsrecht des Arbeitnehmers wahrenden Mitteln, geklärt werden kann.

• Urteil des Bundesarbeitsgericht erlaubt versteckte Videoüberwachung(Urteil vom 27. März 2003, Az. 2 AZR 51/02)

– Daher auch Überwachung von E-Mail undWeb-Zugriff in Einzelfällen möglich.

*



34

Empfehlungen fEmpfehlungen füür die Praxisr die Praxis

*



35

Erhebung und Verarbeitung von DatenErhebung und Verarbeitung von Daten

• Logging i.d.R. nur, wo es eine Grundlage gibt– Einwilligung (bspw. bei Webservern)

– Gesetzliche Grundlage (bspw. bei E-Mail-Servern)

• Zudem strenge Zweckbindung der Daten beachten– Nur zu entsprechendem Zweck verwenden!

– Sonstige Verwendung (bspw. "Auswertungen" jeglicher Art) nur nach vorhergehender Anonymisierung!

• Keine Herausgabe der Protokolldaten(auch nicht an Strafverfolgungsbehörden!), die auf Basis von §§ 88, 100 TKG erhoben wurden

– Ansonsten Herausgabe nur auf schriftliche Anforderung der Strafverfolgungsbehörden, niemals an Dritte

*



36

Speichern und LSpeichern und Lööschen von Datenschen von Daten

• Speicherdauer hängt von Erhebungsgrundlage ab– Analog zur Einwilligung– Sieben Tage bei "rechtlicher" Grundlage nach TKG/TMG– Ein Jahr bei "rechtlicher" Grundlage nach DSG

• Anonymisierung der Daten vor weiterer Verwendung– Bspw. bei IP-Adressen durch "Nullen"

• IPv4: Nullen der letzten 16 Bit• IPv6: Nullen der letzten 88 Bit

• Löschen heißt (in datenschutzrechtlichem Kontext) dauerhaftes Unkenntlichmachen

– Verschlüsseln und vernichten des Schlüssels reicht nicht aus (verschlüsselte Daten sind immer noch pbD)

– Bereits bei der Speicherung an die Löschpflicht denken(Backups berücksichtigen)

*



37

VerfVerfüügbare Toolsgbare Toolsipv6loganonipv6loganon

• Tool ipv6loganon von Peter Bieringer• Bietet unterschiedlichste Möglichkeiten der

automatisierten Anonymisierung vonIP(v6)-Adressen in Apache-Logs

– Oben: nicht-anonymisierte IPv6-Adresse– Mitte: Anonymisierung durch "Zufall"– Unten: Anonymisierung durch "Nullen"

*



38

VerfVerfüügbare Tools gbare Tools loganonloganon

Jan 1 00:00:01 mx postfix/smtpd[2138]: connect

from hiddenhostname[54.240.0.0]:58891

Jan 1 00:00:02 mx postfix/qmgr[4064]:

3fj34d673ZzyPt: from=<sender>, size=179020,

nrcpt=1 (queue active)

Jan 1 00:00:03 mx postfix/lmtp[2171]:

3fj34d673ZzyPt: to=<recipient>,

relay=hiddenhostname delay=4.4

• Tool loganon

• Bietet konfigurierbare Möglichkeit der Anonymisierung in postfix-Logdaten

– Sender und Recipient

– Hostnames und IP-Adressen

– …

*



39

Zugriff einschrZugriff einschräänkennken

• Technische Möglichkeiten der Zugriffsbeschränkung– Mehr-Augen-Prinzip

– Protokollierung des Zugriffs (sic!)

– Strikte Trennung von Nutz- und Logdaten

– ...

• Organisatorische Möglichkeiten der Zugriffsbeschränkung

– Interne Richtlinien

– Sicherheitsrichtlinien

– ...

*



40

Einige Infos zum ThemaEinige Infos zum Thema

• Arbeitshilfe Protokollierung (2009, pdf-Datei):https://www.datenschutz-hamburg.de/uploads/media/Orientierungshilfe_Protokollierung.pdf

• Entschließungen Düsseldorfer Kreis: http://www.bfdi.bund.de/DE/Entschliessungen/DuesseldorferKreis/DKreis_node.html

• Entschließungen DSB-Konferenz: https://www.datenschutz.de/dsb-konferenz/

• "Arbeitshilfe Verkehrsdaten" des BfDI (pdf-Datei)http://www.bfdi.bund.de/DE/Infothek/Informationsmaterial/informationsmaterial-node.html(unter Arbeitshilfen -> 3. Unterseite)

• ULDi zum Thema "IP-Adressen/Nutzungsdaten"https://www.datenschutzzentrum.de/ip-adressen/index.html

• "Neuer Standard-Neue Herausforderungen: IPv6 und Datenschutz" (CR 2011, 479-484)http://www.cr-online.de/22332.htm

• Aktueller Entwurf des ITSG (pdf-Datei): http://www.bmi.bund.de/SharedDocs/Downloads/DE/Nachrichten/Kurzmeldungen/entwurf-it-sicherheitsgesetz.pdf?__blob=publicationFile

• Tool ipv6loganon von Peter Bieringer: http://www.deepspace6.net/projects/ipv6calc.html• Tool loganon auf GitHub: https://github.com/sys4/loganon

*



41

Danke fDanke füür Ihre Aufmerksamkeit r Ihre Aufmerksamkeit ☺☺☺☺☺☺☺☺

• Kontakt per E-Mail: [email protected]@rub.de

• Mehr Infos im Web: www.heise.dewww.wecon.net

Christoph WegenerJoerg Heidrich

Documents

Risiko Logfiles - Protokollierung von Nutzerdaten im