DSGVO/ISO 27001: Anforderungen an Protokolle und Datenspeicherung

1) Warum es wichtig ist

Protokolle und Datenbanken sind personenbezogene Daten (IP, Cookie-ID, Device-ID, User-ID, Verhaltensereignisse). Sie unterliegen also: Rechtmäßigkeit und Transparenz der Verarbeitung, Zweck- und Fristbeschränkung, Minimierung, Genauigkeit, Integrität/Vertraulichkeit sowie Betroffenenrechte (DSGVO). ISO 27001 fügt Management- und technische Kontrollen hinzu: Protokollierungsrichtlinien, Überwachung, Anlagenschutz, Zugriffsmanagement, Redundanz, Kryptographie und Änderungsmanagement.

2) Rechtsgrundlage und Zweck (DSGVO)

Ziele der Protokollierung: Sicherheit, Untersuchung von Vorfällen, Umsetzung von Gesetzen, Finanzprüfung, Bekämpfung von Frost.

Rechtsgrundlage:

Legitime Interessen - Cybersicherheit, Betrugsbekämpfung; Machen Sie einen Interessenabwägungstest.
Rechtliche Verpflichtung/Vertrag - Buchhaltung, Steuerberichterstattung, AML/KYC-Fußabdruck.
Consent - nur für Analytics/Marketing, nicht für „unbedingt notwendige“ Security-Logs.
Transparenz: Benachrichtigen Sie in der Datenschutzerklärung, markieren Sie einen separaten Abschnitt über Protokolle/Fristen/Kategorien von Empfängern.

3) DPIA und Risikoansatz

Führen Sie eine DPIA durch, um das Verhalten in großem Umfang zu überwachen (Spielereignisse, Verhaltensbiometrie, Betrugsbekämpfungsprofile). Beschreiben Sie: Ziele, Volumen, Risiken, mildernde Maßnahmen (Pseudonymisierung, rollenbasierter Zugriff, kurze Aufbewahrungsfristen, getrennte Schlüsselspeicherung).

4) Rechte der Subjekte und Ausnahmen

Zugang/Kopie: Geben Sie Informationen über Logkategorien und Zeiträume an; Geben Sie keine Sicherheitssignaturen frei.

Berichtigung/Einschränkung/Widerspruch: Bewertung des Antrags vs. Notwendigkeit für Sicherheit und rechtliche Pflichten.

Löschung: Ausnahmen sind zulässig, wenn die Speicherung zur Abwehr von Ansprüchen, zur Erfüllung eines Gesetzes oder zur Untersuchung eines Vorfalls erforderlich ist; Festlegung der Entscheidung und der Frist für die Überprüfung.

5) Aufbewahrungsfristen (retention) und Minimierung

Fixieren Sie die Retenschen-Matrix: was, wo, warum, Begriff, Basis, wer der Eigentümer ist, wo er sich entfremdet.

Grundsätze:

Kurze Zeiträume für hochsensible Logs (rohe Anfragen mit IP/UA, nicht aggregierte Telemetrie).
Aggregation und Pseudonymisierung für langfristige Analysen (z.B. Hash/Token statt IP).
Automatische Löschung/Anonymisierung nach Timer; Verbot von „unbefristeten“ Protokollen.

Beispiel (Richtlinien, Anpassung an die Zuständigkeit/Regulierungsbehörde):

Webserverprotokolle (IP, UA, Pfad) - 30-90 Tage (Sicherheit/Tracing).
Audit-Trail-Admin-Aktionen - 1-3 Jahre (Sicherheit/Compliance).
Zahlungstransaktionen (Metadaten) - 5-10 Jahre (Buchhaltung/Steuern, lokale Anforderungen).
KYC/AML-Artefakte - nach dem Recht der Gerichtsbarkeit (oft 5-7 Jahre).
Betrugsbekämpfung - 6-24 Monate. mit regelmäßiger Neubewertung der Notwendigkeit.

6) ISO 27001: Was für Protokolle und Überwachung erforderlich ist (Praxis)

Protokollierungs- und Überwachungsrichtlinien: Ereignisse, Umfänge, Ebenen, Verantwortlichkeiten, Lagerung, Analyse, Eskalationen definieren.

Technische Kontrollen (Logging):

Erfassung signifikanter Ereignisse (Authentifizierung/Autorisierung, Rechte-/Config-Änderungen, Datenzugriff, kritische Transaktionen, Admin-Aktionen, Sicherheitsfehler).
Zeitsynchronisation (NTP, sichere Quelle), Zeitzonen und genaue Markierungen (Millisekunden) speichern.
Integritätsschutz: WORM-Speicher, unveränderliche Indizes, Hash-Ketten/Signaturen, Zugriffskontrolle „nur hinzufügen“.
Trennung von Umgebungen und Protokollen (prod/stage/dev), Isolierung von Geheimnissen und PII in Protokollen.

Überwachung der Aktivitäten:

SIEM/UEBA, Ereigniskorrelation, Schwellenwerte und Alerts, Reaktion über Playbooks.
Regelmäßige Überprüfung der Protokolle „manuell“ durch kritische Bereiche (Admin, Zahlungen, DWH-Zugriff).
Rollen und Verantwortlichkeiten: Asset Owner, Log Owner, IB/Compliance Officer, Incident Process.
Protokolllebenszyklus: Sammlung → Transport (TLS/mTLS) → Speicherung (Verschlüsselung, Speicherklassen) → Analyse → Retention/Löschung (Protokollierung der Löschung).

7) Datenklassifizierung und Zugriffskontrolle

Die Klassen der Daten: Public / Internal / Confidential / Restricted (die PII/Finanzen/KYC).

Maskierungs-/Revisionsrichtlinie: Sensible Felder (PAN, CVV, Passwörter, Token) ausschließen.

RBAC/ABAC: minimal erforderlicher Zugriff, getrennte Rollen „Log Reading“ und „Management“.

Journalzugriffsprotokolle (Metazeitschriften): wer, wann, worauf zugegriffen wurde.

8) Kryptographie, Schlüssel und Transport

Verschlüsselung bei Übertragung: TLS 1. 2+/1. 3, mTLS zwischen Agenten und Sammler, Überprüfung von Zertifikaten.

Ruheverschlüsselung: Laufwerke/Objektspeicher, Schlüssel im KMS/HSM, Schlüsselrotation, separate Schlüssel für verschiedene Datenklassen.

Segmentierung: separate Baquets/Indizes für PII und für technische Protokolle.

9) Backups, Offsite-Archiv und Wiederherstellung

Backups: Zeitplan, Verschlüsselung, Wiederherstellungskontrolle (regelmäßige DR-Übungen), Schutz vor Überschreiben/Ransomware.

Offsite/Multi-Region: unter Berücksichtigung der Anforderungen der Lokalisierung/grenzüberschreitenden Übertragung (DPA, SCC, Angemessenheit).

Einheitliche Fristen: Retenschen in Backups sollte die Fristen für Löschungen in der Produktion nicht „zurücksetzen“; Automatisieren Sie das Löschen von Archiven.

10) Weitergabe an Dritte (Auftragsverarbeiter)

DPA c Anbieter von Log Analytics/Clouds/Collectors: Rollen, Subprozessoren, Speicherorte, Schutzmaßnahmen, Löschfristen.

Grenzüberschreitender Transfer: rechtliche Mechanismen (SCC etc.), technische Maßnahmen (Ende-zu-Ende Verschlüsselung, Pseudonymisierung).

Audit und Reporting: Recht auf Audit, SOC-Berichte/Zertifizierungen, Zugriffsprotokolle.

11) Über Vorfälle und Meldungen (DSGVO)

Erkennung und Fixierung: SIEM-Alerts, Incident Ticket, Einfrieren relevanter Logs (Legal Hold).

72 Stunden für die Benachrichtigung der Regulierungsbehörde im Falle einer erheblichen Verletzung personenbezogener Daten; Folgenabschätzung, Zusammensetzung der Anmeldung, Nachweis der Maßnahmen.

Post-mortem: Schlussfolgerungen in Politik/Kontrollen, Aktualisierung retenschen/Maskierung.

12) Typische Fehler und wie man sie vermeidet

Protokollierung sensibler Felder (Passwörter, Token, PAN/CVV) → Maskierung auf SDK/Wrapper-Ebene.

Unbefristete technische Protokolle „nur für den Fall“ → setzen Sie TTL und Anonymisierung.

Ein einziger „Super-Zugriff“ auf SIEM → Rollen trennen und MFAs aktivieren.

Ungeteilte prod/dev-Protokolle → den Zugriff verbreiten und einschränken.

Das Fehlen einer Retenschen-Matrix und automatischer Divisionen → die Risiken von DSGVO-Strafen und übermäßigen Lecks.

Backups ohne Verschlüsselung/Löschung → „ewige“ Kopien von PII.

13) Retenschen-Matrix (Probe)

Kategorie	Beispiel für Felder	Das Ziel	Die Gründung	Die Frist	Lagerung/Klasse	Der Eigentümer	Die Anmerkung
Web-access	IP, UA, Path	Die Sicherheit	Legitimate interest	60 Tage	WORM-bucket (Encrypted)	SecOps	Wir aggregieren ≥30 Tage
Auth-audit	userId, action	Die Untersuchung	Legitimate interest	1 Jahr	SIEM/Index (Encrypted)	SecOps	MFA ist Pflicht
Admin-audit	adminId, changes	Zugangskontrolle	Legal/Contract	3 Jahre	WORM-vault	CISO	Unanwendbarkeit der Löschung
Payments meta	txnId, amounts	Buchhaltung/Steuern	Legal	5-10 Jahre	Encrypted DB/Archive	Finance	Nach Gerichtsbarkeit
KYC/AML	docHash, checks	Das Gesetz	Legal	5-7 Jahre	Encrypted Vault	Compliance	DPIA/Legal hold
Anti-fraud features	device, cluster	Die Sicherheit	Legitimate interest	12-24 Monate	Pseudonymized Store	Risk	Regelmäßige Überprüfung

14) Protokollierungs- und Aufbewahrungsrichtlinien (Skelett)

1. Bereich und Begriffe.

2. Logkategorien und Ziele.

3. Rechtsgrundlage und Mitteilung.

4. Klassifizierung und Minimierung.

5. Sammlung, Transport, Speicherung (Verschlüsselung, Integrität, WORM).

6. Zugriff und Rollen, Zugriffsprüfung.

7. Retenschen und automatisches Löschen/Anonymisieren.

8. Weitergabe an Dritte (DPA, SCC).

9. Monitoring, SIEM, Alerting, Reporting.

10. Vorfälle und Benachrichtigungen (einschließlich 72 Stunden).

11. DR/BCP, Backups und Recovery.

12. Regelmäßige Überprüfung (jährlich/bei Prozessänderungen).

15) Checkliste Umsetzung (Schnellstart)

Inventarisierung aller Log-Quellen und PII-Felder; Aktivieren Sie die Maskierung auf SDK-Ebene.
Genehmigen Sie die Retenschen-Matrix und automatisieren Sie die TTL/Anonymisierung.
Konfigurieren Sie WORM/immutability für kritische Protokolle und Integritätshashcontrolling.
mTLS/TLS für Agenten/Sammler; at-rest-Verschlüsselung; Schlüssel in KMS, Rotation.
SIEM/UEBA, Alerts und Playbooks; Zeitschriften Zugriff auf Zeitschriften.
DPIA für Verhaltensüberwachung/Betrugsbekämpfung; LIA для legitimate interests.
DPA mit allen Prozessoren/Clouds; Überprüfung des Datenstandorts und des SCC bei der grenzüberschreitenden Übermittlung.
DR-Übungen zum Wiederherstellen von Protokollen und Löschen in Backups; Berichterstattung.
Aktualisieren Sie die Datenschutzerklärung (Abschnitt über Protokolle/Fristen) und die internen Verfahren zur Bearbeitung von Anfragen von Probanden.

Zusammenfassung

Die DSGVO erfordert Legalität, Transparenz, Minimierung und begrenzte Fristen, und ISO 27001 verlangt Konsistenz und Nachweisbarkeit: Richtlinien, Rollen, technische Kontrollen, Unveränderlichkeit und Überwachung. Bilden Sie eine Retenschen-Matrix, geben Sie Maskierung und Pseudonymisierung ein, verschlüsseln Sie Transport/Speicher, wenden Sie WORM und SIEM an, schließen Sie DPA ab und bereiten Sie DPIA vor - so bleibt der Journal Footprint für Sicherheit und Audit nützlich, ohne zu einer Quelle von Regulierungs- und Reputationsrisiken zu werden.