rating service  security service privacy service
Was versteht man unter einer 'Protokollierung der Datenverwendung' gem. DSG 2000?
DSG 2000 § 14
Information über Datensicherheit und die Protokollierung bei nicht registrierten Datenübermittlungen.

Das DSG sieht vor, dass ein Auftraggeber bei der Verwendung von personenbezogenen Daten Datensicherheitsmaßnahmen zu treffen hat.

Diese umfassen im organisatorischen Bereich vor allem die klare Aufteilung von Aufgaben bei der Datenverwendung und die Information aller an der Datenverwendung beteiligten Mitarbeiter über die Bestimmungen des Datenschutzgesetzes und der organisationsspezifischen Vorschriften im Datenschutzbereich.

Im technischen Bereich ist eine Regelung der Zugangsberechtigungen sowohl in räumlicher Hinsicht als auch im Hinblick auf die Zugriffe auf Geräte, mit denen die Datenverwendung durchgeführt wird, wie auch auf die Daten selbst.

Alle getroffenen Datensicherheitsmaßnahmen müssen ausreichend dokumentiert werden, um eine Kontrolle zu ermöglichen.

Zusätzlich sieht §14 DSG eine Protokollierung aller vorgenommen Verarbeitungsschritte bei der Datenverwendung, um eine - auch nachträgliche - Kontrolle der Rechtmässigkeit der Datenverwendung zu ermöglichen.

Insbesondere sind auch die nicht registrierten Übermittlungen an andere Datenanwendungen so zu protokollieren, dass der Auftraggeber Betroffenen gegenüber Auskunft nach §26 erteilen kann. Lediglich Datenanwendungen, die unter die Standardanwendungen fallen, sind von der unbedingten Pflicht zur Protokollierung ausgenommen.

Wie umfangreich eine Protokollierung zu sein hat, darüber macht das DSG 2000 keine Aussagen. Es ist in jedem Einzelfall eine Abwägung zwischen Wirtscahftlichkeit, Gefährung und Risiko der Verletzung der Geheimhaltungsinteressen zu treffen. Im Zweifelsfall ist die Protokollierung vorzunehmen.

Wir diese Abwägung bei einer konkreten datenverarbeitung aussieht hängt vom verwendeten Gesamtsystem (Betriebssystem, Anwendungsprogramme), von der Organisation des Zugriffs und vom Umfang der Zugriffsberechtigten Personen ab.

So könnte etwa auf eine Protokollierung einzelner Datensatzabrufe verzichtet werden, wenn die Datenbank auf einem Stand-Alone-Gerät in einem versperrten Raum betrieben wird. In diesem Fall wäre eine Protokollierung, wer den Raum betreten bzw. den Computer benutzt hat ausreichend.

Ähnlich ist es bei Multiusersystemen zu sehen. Werden die Zugriffsberechtigungen so vergeben, dass jemand nur auf jene Datensätze zugreifen kann, zu denen er berechtigt ist, dann wird die Protokollierung der An- und Abmeldung im System ausreichend sein. Kann er - aus welchen Gründen auch immer - auf mehr Daten zugreifen, wird die Protokollierung detaillierter sein müssen. Ein typisches Beispiel wäre das EKIS (Elektronische Kriminalpolizeiliche Informationssystem), bei dem der angemeldete Benutzer (Polizist) theoretisch auf alle Datensätze zugreifen kann, tatsächlich abrufen darf er jedoch nur jene, zu denen ein Fall/Amtshandlung existiert. In diesem Fall muß zu jedem Abruf auch eine Aktenzahl und der abrufende Benutzer registriert werden.

Die Verwendung der Protokolldaten ist jedoch beschränkt. Besonders wichtig ist in diesem Zusammenhang allerdings, dass die anfallenden Protokolldaten nicht für andere Zwecke (z.B. Analyse der Tätigkeit von Mitarbeitern) verwendet werden dürfen. Eine andersweitige Verwendung dieser Daten wäre jedenfalls nicht rechtmäßig.

Wenn nicht andere gesetzliche Vorschriften eine längere Aufbewahrungsdauer vorsehen, sind die Protokolldaten drei Jahre lang aufzubewahren.


- Informationsrecht - Inhouse-Schulung - Österreich - Internet - Personendaten - Auftraggeber - Dienstleister - Datenverarbeitungsregister - DSK - privacyday.at - Vorratsdatenspeicherung - hacker - RFID - social media - Web2.0 - datenschutz tagung - DSG 2000 - phishing - data security - Inhouse - internet - telecommunication
Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2017webmaster