Die Eingabekontrolle gehört zum Schutzziel der Integrität und ist auch Bestandteil der technischen und organisatorischen Maßnahmen. Im Art. 32 Abs. 1 lit. b DSGVO.
Beim Schutzziel Integrität geht es um die Richtigkeit und Echtheit von personenbezogenen Daten. Beides stellen Sie über die kontrollierte Eingabe sicher.
Änderungen an personenbezogenen Daten werden so nachvollziehbar.
Damit Sie die Eingabekontrolle „umsetzen“ können, benötigen Sie genauso wie bei den anderen technischen und organisatorischen Maßnahmen Einzelmaßnahmen. Diese weiderum führen in ihrer Gesamtheit dazu, dass Sie die Eingabe von personenbezogenen Daten nachvollziehen können.
Aus Datenschutzsicht geht es hier natürlich um personenbezogene Daten – generell lassen sich auch diese Maßnahmen auf andere Daten(arten) übertragen.
Eingabekontrolle einfach erklärt
In Prozessen in denen Sie personenbezogene Daten verarbeiten, also erheben, speichern, nutzen, verändern oder löschen, ist eine kontrollierte Eingabe notwendig. Das bedeutet, die verantwortliche Stelle soll zur Erreichung dieses Ziels geeignete Maßnahmen ergreifen und umsetzen. Immer dann, wenn Sie personenbezogene Daten verarbeiten, also (u.a.) eine der oben genannten Verarbeitungen durchführen, sollen Sie die Veränderungen nachvollziehbar machen – ungefähr so, dass Sie den Ursprung wieder herstellen könnten.
Sie tun das, indem Sie die Verarbeitung der personenbezogenen Daten protokollieren. Das bedeutet so etwas wie Buchführung über die einzelnen „Lebenszyklen“ der personenbezogenen Daten: diese starten mit der Erhebung, und Speicherung, gehen über die Eingabe und Nutzung bis hin zur Aufbewahrung und Löschung.
Sie führen tatsächlich Buch über das Leben der Daten – schreiben also genau auf, wer wann Eingaben, Änderungen oder Löschungen von welchen Daten durchgeführt hat.
Am einfachsten setzen Sie diese Anforderungen mit einer Protokollierung um. Meistens findet das in Ihren IT-Systemen statt, kann aber auch auf Papier durchgeführt werden.
Analoge Eingabekontrolle
Bleiben wir aber fürs erste bei der analogen Eingabekontrolle – hier ein Beispiel:
Sie erhalten Daten eines neuen Kunden und nehmen diese in Ihre (Papier)Kartei auf: darunter Name, Adresse, Telefonnummer, Kontoverbindung, Kreditkartennummer, Bonitätsdaten, usw.
Sobald die Mitarbeiterin Frau Meier aus der Buchhaltung diese Daten ablegt, muss nachvollziehbar sein, wer all das wann gemacht hat.
Im Idealfall können Sie auch die Herkunft oder den Ursprung der Daten zurückverfolgen. Zum Beispiel „Messekontakt 05/2020.
Behalten Sie auch Änderungen unbedingt im Blick. Im genannten Beispiel gibt es eine Menge schützenswerte personenbezogene Daten: zum Beispiel die Bonitätsdaten.
Für die Protokollierung macht Frau Meier immer einen Vermerk mit Namen, Datum, Uhrzeit und der erfolgten Änderung in der Akte. Zusätzlich unterschreibt Sie mit ihrem Kürzel – das kann nur Frau Meier (niemand anderes bekommt das genauso hin). Damit ist nachvollziehbar, dass Frau Meier aus der Buchhaltung am 23. März 2020 eine Meldung über Zahlungsausfälle des Kunden bei der Firma S. abgegeben hat. Das hat zur Folge, dass die Kreditwürdigkeit des Kunden sinkt.
Für die betroffene Person könnte das negative Auswirkungen nach sich ziehen: wegen negativer Bonität entscheidet sich ein Vermieter gegen Ihren Kunden, der Abschluss eines Handyvertrags wird abgelehnt, usw.
Wenn nötig ist durch die Protokollierung nachvollziehbar, wie es dazu kam. So einfach ist Eingabekontrolle im Datenschutz.
Eingabekontrolle in IT-Systemen
Heute führen die meisten Unternehmen ihre Eingabekontrolle in IT-Systemen durch. Auch Sie haben es wahrscheinlich nicht mehr nur mit Papier, Trennblättern und Ordner zu tun, sondern setzen komplexe IT-Systeme ein. Dazu zählen Betriebssysteme auf Servern, und Clients oder mobilen Geräten, gängige, oder nicht so gängige Anwendungen, Cloud-Dienste, usw.
Für diese Systeme benötigen Sie geeignete Maßnahmen um die Eingabekontrolle, und letztendlich die Sicherheit der Verarbeitung, umzusetzen.
Wie bereits erwähnt: Sie benötigen eine Protokollierung durch das jeweilige System um die Schutzmaßnahme richtig umzusetzen. Es geht um die Nachvollziehbarkeit.
Wir übertragen das eben erwähnte analoge Beispiel mal eben ins digitale:
Frau Meier aus der Buchhaltung schreibt nicht mehr auf Papier, sondern in Dateien, die auf einem Server abgelegt sind. Dafür nutzt Sie einen Computer. Sie macht keinen Vermerk mehr in Akten, sondern meldet sich mit Ihrem persönlichen Nutzernamen und einem geheimen Passwort an den IT-Systemen an. Im Hintergrund wird ein Protokoll über den Vorgang erstellt, sogenannte Log-Dateien. Darin stehen genauso wie im beschriebenen Aktenvermerk, wer sich wann angemeldet, und welche Dateien er / sie bearbeitet hat.
Anforderung an die Protokollierung
Je nach Art, Umfang und Sensibilität der personenbezogenen Daten steigt die Anforderung an die Protokollierung. Sie definieren also zunächst einen Grad der Schutzwürdigkeit der personenbezogenen Daten. Erst danach können Sie die jeweiligen Anforderungen an die Protokollierung bestimmen.
Am besten erfolgt dies erst einmal nach den jeweiligen Standards der genutzten Betriebssysteme. Nachdem Sie genauer geprüft haben, können Sie die für Sie notwendigen Verfahren differenziert festlegen.
Wichtig sind in diesem Zusammenhang der Grundsätze der Datenvermeidung – die Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO): vermeiden Sie Protokolle die nicht notwendig sind!
Sie müssen sich nicht um etwas sorgen, was Sie nicht haben!
Anforderungen an die Protokollierung in IT-Systemen
Anforderungen an IT-Systeme sind genauso individuell wie die Anforderungen an die Protokollierung in IT-Systemen.
Grundsätzlich hängen ihre Anforderungen im Datenschutz immer von den Anforderungen der personenbezogenen Daten ab. Prüfen Sie deshalb ihre IT-Systeme vor dem Einsatz auf die Möglichkeiten und den Umfang der Protokollierung.
Führen Sie vorab Tests durch wenn es möglich ist.
Überprüfen Sie, ob das System alle Datenaufrufe und Änderungen wie benötigt protokolliert.
Sie sparen sich so nicht nur Zeit und Geld, sondern auch Ärger und Aufwand im Nachhinein, Nebenbei erfüllen Sie damit auch noch eine gesetzliche Pflicht: Die Prüfpflicht vor der Anschaffung von Systemen im Hinblick auf Art. 25 DSGVO.
Löschfristen für Protokolldaten
Natürlich gibt es auch Löschfristen für Protokolldaten – genauso wie bei allen anderen personenbezogenen Daten auch.
Vermutlich haben Sie es schon bemerkt: die Log-Dateien sind voll von personenbezogenen Daten. Genauso wie für andere personenbezogene Daten besteht auch hier eine Löschpflicht. Sobald Sie die Protokolldaten nicht mehr benötigen, Sie also ihren Zweck erfüllt haben, können Sie sie löschen.
Genauso individuell wie der Zweck, sind auch die unterschiedlichen Löschfristen in den Unternehmen. Deshalb gibt es an dieser Stelle keine pauschale Aussage. Grundsätzlich hilft Ihnen auf dem Weg zur Löschfrist das Wissen über Inhalt und Zweck der Protokolldaten. Darüber gelangen Sie zu den richtigen Löschfristen. Beachten Sie dabei mögliche gesetzliche Aufbewahrungsfristen.
Orientierung zur Aufbewahrung kann Ihnen hier das Telemediengesetz bieten.
Sinn und Zweck der Protokollierung
Der Sinn und Zweck der Protokollierung ist je nach Unternehmen vielfältig und individuell. Es geht dabei nicht ausschließlich um die Sicherheit der Verarbeitung von personenbezogenen Daten. Das ist ein Teil. Natürlich ist das aus Datenschutzsicht hauptsächlich relevant, aber es gibt auch Zwecke aus der Informationssicherheit oder der IT-Sicherheit.
Mögliche Zwecke aus dem Datenschutz sind unter anderem der Schutz personenbezogener Daten, die Sicherheit der Verarbeitung, die Erfüllung gesetzlicher Pflichten wie der Rechenschaftspflicht, eine Abwehr von Ansprüchen.
Missbrauch von Protokolldaten
Um einen möglichen Missbrauch von Protokolldaten zu verdeutlichen, bleiben wir bei dem Beispiel von Frau Meier.
Sie können aus Protokolldaten nicht nur lesen wann Frau Meier welche Datensätze bearbeitet, und was Sie genau gemacht hat, sondern auch, wie viel Frau Meier am Tag arbeitet.
Wenn Sie ganz genau hinsehen, können Sie vielleicht sogar erkennen, dass Frau Meier Montags und Freitag Nachmittag meistens weniger arbeitet als sonst.
Negative Auswirkungen hätte das für Frau Meier, wenn sie deswegen nach der Probezeit keinen unbefristeten Arbeitsvertrag erhält.
Die Protokolldaten müssen zweckgebunden verwendet, und vor Missbrauch geschützt werden.
Schutz von Protokolldaten
Der Schutz von Protokolldaten ist natürlich essentiell.
Protokolle dürfen inhaltlich nicht verändert werden.
Wie das eben erwähnte Beispiel zeigt, kann ein mangelnder Schutz für Betroffene zu weitreichenden Nachteilen führen. Entsprechende Regelungen für Zugriffs- und Zugangsschutz sind also essentiell. Diesen Schutz erreichen Sie mit der Zugriffskontrolle und Zugangskontrolle. Diese beinhalten technische und organisatorische Maßnahmen. Einerseits Vorgaben wie Zugriffsbeschränkungen, andererseits Verpflichtungen wie ein Verzicht auf die Bewertung von Arbeitsleistung.
Speichern Sie Ihre Protokolldaten revisionssicher, so dass Manipulationen nicht möglich sind.
Das bedeutet auch, dass die gemeinsame Kennwortnutzung unter den Beschäftigten verboten ist. Stichwort „individuelle und geheime Kennwörter„. Das gilt sowohl auf Nutzer- wie auch auf Administratorenebene.
Wenn mehrere Personen die selben Zugangsdaten nutzen, ist eine nachträgliche Zuordnung von Manipulation personenbezogener Daten unmöglich.
Mangelnder Schutz von Protokolldaten führt zu einem Integritätsverlust.
Erfüllen Sie dieses Grundprinzip der Datenschutz-Grundverordnung nicht (mehr), führt das zu einer Datenpanne. Unter Umständen ist das gegenüber Ihrer zuständigen Datenschutz Aufsichtsbehörde meldepflichtig.
Eingabekontrolle zusammengefasst
Alle erfolgten Änderungen von personenbezogenen Daten in ihrem Unternehmen unterliegen der Eingabekontrolle. Protokollieren Sie sämtliche Änderungen, Löschungen oder Neuanlagen und machen Sie diese damit nachvollziehbar.
Bewahren Sie diese Protokolle zweckgebunden und revisionssicher auf.
