Datenschutz und Protokolldaten
Zuletzt aktualisiert am 7. April 2026
An vielen Stellen schreibt die DSGVO eine Protokollierung vor. Protokolldaten sind ein wichtiger Bestandteil technisch-organisatorischer Maßnahmen (Art. 32 DSGVO). Zu beachten ist dabei aber, dass Protokolldaten selbst personenbezogenen Daten und damit datenschutzrechtlich zu schützen sind.
Zweck von Protokolldaten
Die Aufzeichnung von Protokolldaten findet statt, um nachvollziehen zu können, wer wann zu etwas Zugriff hatte, zu dem der Zugriff reglementiert werden muss. Das kann der Zugriff zu Gefahrenstoffen genauso wie zu einem elektronischen System mit sensiblen Daten oder Schlicht der Zugang zu einem Gebäude mit einem Transponder für Mitarbeiter sein.
Kommt es dann zu Ungereimtheiten, kann schnell geklärt werden, wer zuletzt Zugriff hatte. Im Datenschutz geht es dann besonders darum, unberechtigte Zugriffe oder Schwachstellen auszumachen.
DATUREX GmbH stellt Ihnen einen externen Datenschutzbeauftragten nach Art. 37 DSGVO — inklusive Audit, Schulungen, VVT-Pflege und Datenpannen-Meldung. Kostenlose Ersteinschätzung in 30 Minuten.
→ Leistungen ansehenErsteinschätzung anfragenIm Rahmen von Art. 32 I DSGVO stellen die Protokolldaten technisch-organisatorische Maßnahmen zur Sicherheit der Verarbeitung dar. Kommt es zu einer Datenpanne physischer oder technischer Art, kann ermittelt werden, wer zuletzt Zugriff hatte. Dieser ist oft der Schlüssel zur Wiederherstellung des Zugangs zu den personenbezogenen Daten, zB wenn es sich um ein Versehen eines Mitarbeiters handelt.
Protokolldaten als personenbezogenen Daten
Daraus, dass Protokolldaten abbilden, wer wann auf was Zugriff hatte, ergibt sich aber auch, dass Protokolldaten selbst personenbezogene Daten sind. Damit unterliegen auch sie dem Schutz der DSGVO.
Erhebung
Wenn es darum geht, wie Protokolldaten erhoben werden, trifft § 76 I BDSG Regelungen. Demnach müssen in automatisierten Verarbeitungssystemen die Verarbeitungsvorgänge Erhebung, Veränderung, Abfrage, Offenlegung einschließlich Übermittlung, Kombination und Löschung protokolliert werden. Für die Erhebung der Protokolldaten, die die in § 76 I BDSG aufgeführten Daten enthalten, braucht es aber wiederum eine Rechtsgrundlage zB aus der DSGVO.
Löschung
Diese sind Daten am Ende des auf deren Generierung folgenden Jahres zu löschen (§ 76 IV BDSG). Nach dem Grundsatz der Zweckbindung erfolgt eine Löschung auch schon früher, wenn der Verarbeitungszweck entfällt.
Grundsätze für die Verarbeitung personenbezogener Daten
Alle weiteren Grundsätze der DSGVO zur Verarbeitung personenbezogener Daten (Art. 5 DSGVO) gelten natürlich auch für Protokolldaten. So dürfen nur diese Daten erhoben werden, die auch erforderlich sind (Datensparsamkeit). Außerdem sind Protokolldaten laufend vor Verlust, Zerstörung, Manipulation und unberechtigtem Zugriff zu schützen (Integrität und Vertraulichkeit).
Arten von Protokolldaten im Unternehmen
In der Praxis fallen in Unternehmen verschiedene Arten von Protokolldaten an. Zu den häufigsten gehören Server-Logdateien, die Zugriffe auf Webserver dokumentieren, Firewall-Logs, die den Netzwerkverkehr protokollieren, Zutrittsprotokolle für Gebäude und Räume, Anmeldeprotokolle für IT-Systeme und Anwendungen sowie E-Mail-Server-Logs, die den Versand und Empfang von Nachrichten aufzeichnen.
Jede dieser Protokollarten enthält unterschiedliche personenbezogene Daten. Server-Logdateien speichern typischerweise IP-Adressen, Zeitstempel und aufgerufene URLs. Zutrittsprotokolle enthalten den Namen des Mitarbeiters, den Zeitpunkt des Zutritts und die betretenen Bereiche. Anmeldeprotokolle dokumentieren Benutzernamen, Anmeldezeitpunkte und die verwendeten Endgeräte.
Rechtsgrundlagen für die Protokollierung
Die Erhebung von Protokolldaten bedarf einer Rechtsgrundlage nach Art. 6 DSGVO. In der Praxis kommen verschiedene Rechtsgrundlagen in Betracht. Für die Sicherheit der IT-Infrastruktur kann Art. 6 I lit. f DSGVO (berechtigtes Interesse) herangezogen werden. Das berechtigte Interesse liegt in der Gewährleistung der Netzwerksicherheit und der Erkennung von Sicherheitsvorfällen.
Für bestimmte Branchen bestehen zudem gesetzliche Protokollierungspflichten. So verlangt das Kreditwesengesetz (KWG) von Banken eine umfassende Protokollierung von Transaktionen. In diesen Fällen dient Art. 6 I lit. c DSGVO (rechtliche Verpflichtung) als Rechtsgrundlage.
Aufbewahrungsfristen und Löschkonzepte
Ein besonders sensibler Aspekt der Protokolldaten betrifft die Aufbewahrungsfristen. Nach dem Grundsatz der Speicherbegrenzung (Art. 5 I lit. e DSGVO) dürfen personenbezogene Daten nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist. Für Protokolldaten bedeutet dies, dass Unternehmen ein klares Löschkonzept implementieren müssen.
In der Praxis haben sich je nach Art der Protokolldaten unterschiedliche Aufbewahrungsfristen etabliert. Server-Logdateien werden typischerweise zwischen sieben und dreißig Tagen aufbewahrt. Zutrittsprotokolle können je nach Sicherheitsanforderung bis zu zwölf Monate gespeichert werden. Für die Festlegung angemessener Fristen ist eine Abwägung zwischen den Sicherheitsbedürfnissen und den Datenschutzinteressen der Betroffenen erforderlich.
Besondere Anforderungen an die Zugangskontrolle
Da Protokolldaten selbst personenbezogene Daten darstellen, müssen sie durch angemessene technisch-organisatorische Maßnahmen geschützt werden. Dazu gehört insbesondere eine strenge Zugangskontrolle: Nur berechtigte Personen, typischerweise Systemadministratoren und der Datenschutzbeauftragte, sollten Zugriff auf Protokolldaten haben.
Die Zugriffe auf Protokolldaten sollten ihrerseits protokolliert werden, um Missbrauch zu verhindern. Zudem empfiehlt sich eine Pseudonymisierung oder Anonymisierung der Protokolldaten, soweit dies mit dem Verarbeitungszweck vereinbar ist.
Protokolldaten und Mitarbeiterüberwachung
Ein häufiges Spannungsfeld ergibt sich bei der Auswertung von Protokolldaten im Kontext der Mitarbeiterüberwachung. Während Unternehmen ein berechtigtes Interesse daran haben, die Nutzung ihrer IT-Systeme zu kontrollieren, haben Mitarbeiter ein Recht auf Privatsphäre am Arbeitsplatz.
Nach der Rechtsprechung des Bundesarbeitsgerichts ist eine anlasslose, systematische Überwachung der Mitarbeiter durch Auswertung von Protokolldaten grundsätzlich unzulässig. Unternehmen sollten klare Richtlinien erstellen und den Betriebsrat gemäß § 87 I Nr. 6 BetrVG beteiligen.
Protokolldaten in der Cloud
Mit der zunehmenden Nutzung von Cloud-Diensten stellen sich neue Fragen zur Protokollierung. Werden Protokolldaten in Cloud-Umgebungen gespeichert, müssen zusätzliche datenschutzrechtliche Anforderungen beachtet werden. Insbesondere die Frage des Serverstandorts ist relevant: Werden Protokolldaten auf Servern außerhalb der EU gespeichert, liegt eine Datenübermittlung in ein Drittland vor, die den strengen Anforderungen der Art. 44 ff. DSGVO unterliegt.
Unternehmen sollten daher bei der Auswahl von Cloud-Diensten für die Protokollierung darauf achten, dass die Daten innerhalb der EU gespeichert werden oder ein angemessenes Schutzniveau im Drittland gewährleistet ist. Zudem müssen die Auftragsverarbeitungsverträge klare Regelungen zur Protokolldatenverarbeitung enthalten.
SIEM-Systeme und Datenschutz
Security Information and Event Management (SIEM) Systeme sammeln und korrelieren Protokolldaten aus verschiedenen Quellen, um Sicherheitsvorfälle zu erkennen. Aus datenschutzrechtlicher Sicht sind SIEM-Systeme besonders sensibel, da sie eine umfassende Übersicht über die Aktivitäten aller Nutzer erstellen können.
Der Einsatz eines SIEM-Systems sollte im Verzeichnis von Verarbeitungstätigkeiten dokumentiert und gegebenenfalls einer Datenschutz-Folgenabschätzung unterzogen werden. Die Zugriffsrechte auf das SIEM-System müssen streng reglementiert sein, und die gesammelten Daten dürfen nur für die definierten Sicherheitszwecke verwendet werden. Eine Verwendung zur Leistungskontrolle von Mitarbeitern ist grundsätzlich unzulässig.
Aktuelle Rechtsprechung zur Protokollierung
Die Rechtsprechung zur datenschutzkonformen Protokollierung entwickelt sich stetig weiter. Das Bundesarbeitsgericht hat in mehreren Entscheidungen klargestellt, dass die Auswertung von Protokolldaten zur Kontrolle von Mitarbeitern nur unter engen Voraussetzungen zulässig ist. Insbesondere bei der verdeckten Überwachung durch Auswertung von Logdateien müssen strenge Verhältnismäßigkeitsanforderungen eingehalten werden.
Auch der Europäische Gerichtshof hat sich mit der Frage beschäftigt, unter welchen Umständen IP-Adressen in Server-Logdateien als personenbezogene Daten anzusehen sind. In der Rechtssache C-582/14 (Breyer) stellte der EuGH fest, dass auch dynamische IP-Adressen personenbezogene Daten sein können, wenn der Betreiber die Möglichkeit hat, die Identität des Nutzers mit Hilfe Dritter zu ermitteln. Dies hat unmittelbare Auswirkungen auf die Protokollierungspraxis aller Webseitenbetreiber.
Empfehlungen für ein datenschutzkonformes Protokollierungskonzept
Für ein datenschutzkonformes Protokollierungskonzept sollten Unternehmen eine Bestandsaufnahme aller anfallenden Protokolldaten durchführen, klare Zwecke für jede Protokollierung festlegen, angemessene Aufbewahrungsfristen definieren, automatisierte Löschprozesse implementieren und alles im Verzeichnis von Verarbeitungstätigkeiten dokumentieren.
Ein externer Datenschutzbeauftragter kann bei der Erstellung und Überprüfung eines solchen Konzepts wertvolle Unterstützung leisten und sicherstellen, dass
Die DATUREX GmbH berät Unternehmen in Dresden und Sachsen umfassend zu allen Fragen rund um die datenschutzkonforme Protokollierung und unterstützt bei der Erstellung individueller Löschkonzepte und Protokollierungsrichtlinien.
alle datenschutzrechtlichen Anforderungen erfüllt werden.Automatisierte Löschkonzepte und Aufbewahrungsfristen
Ein zentrales Element eines datenschutzkonformen Protokollierungskonzepts ist die Implementierung automatisierter Löschprozesse. Die DSGVO verlangt, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den jeweiligen Verarbeitungszweck erforderlich ist. Für Protokolldaten bedeutet dies in der Regel eine Aufbewahrungsfrist von wenigen Tagen bis maximal einigen Monaten — abhängig vom konkreten Zweck. Sicherheitsrelevante Logdaten dürfen tendenziell länger gespeichert werden als reine Zugriffsprotokolle. Unternehmen sollten ihre Löschfristen dokumentieren und regelmäßig überprüfen, ob die tatsächliche Praxis den festgelegten Fristen entspricht.
Protokollierung und Beschäftigtendatenschutz
Ein besonders sensibler Bereich der Protokollierung betrifft den Beschäftigtendatenschutz. Die Protokollierung von Mitarbeiteraktivitäten — etwa Login-Zeiten, besuchte Webseiten oder E-Mail-Metadaten — unterliegt strengen datenschutzrechtlichen Grenzen. Gemäß § 26 BDSG dürfen personenbezogene Daten von Beschäftigten nur verarbeitet werden, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist.
Die heimliche Überwachung von Mitarbeitern durch Protokolldaten ist nur in eng begrenzten Ausnahmefällen zulässig — etwa bei einem konkreten Verdacht auf eine Straftat. Arbeitgeber müssen ihre Mitarbeiter transparent über Art und Umfang der Protokollierung informieren und sicherstellen, dass die Daten nicht zweckentfremdet werden.
Besondere Herausforderungen bei Cloud-Diensten und externen Anbietern
Die Protokollierung in Cloud-Umgebungen stellt Unternehmen vor besondere Herausforderungen. Bei der Nutzung von Cloud-Diensten wie Microsoft 365, Google Workspace oder Amazon Web Services fallen umfangreiche Protokolldaten an, die häufig außerhalb des direkten Einflussbereichs des Unternehmens gespeichert werden. Gemäß der DSGVO bleibt das Unternehmen als Verantwortlicher jedoch in der Pflicht, auch für diese Daten angemessene Schutzmaßnahmen sicherzustellen.
Besonders kritisch ist die Frage der Drittlandübermittlung. Wenn Protokolldaten auf Servern außerhalb der EU gespeichert werden, müssen zusätzliche Garantien wie Standardvertragsklauseln oder ein Angemessenheitsbeschluss der EU-Kommission vorliegen. Das Transfer Impact Assessment (TIA) sollte in diesen Fällen die spezifischen Risiken der Protokolldaten-Übermittlung bewerten und dokumentieren.
Unternehmen sollten in ihren Auftragsverarbeitungsverträgen nach Art. 28 DSGVO klare Regelungen zur Protokollierung treffen. Dies umfasst Festlegungen zu Speicherorten, Aufbewahrungsfristen, Zugriffsrechten und Löschverfahren. Ein regelmäßiges Audit der Cloud-Anbieter hinsichtlich ihrer Protokollierungspraxis ist empfehlenswert, um die Einhaltung der vereinbarten Standards zu überprüfen und die eigene Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu erfüllen.
Professionelle Datenschutz-Unterstützung für Ihr Unternehmen
Als erfahrene Datenschutzexperten unterstützen wir Sie bei allen Anforderungen der DSGVO. Unsere Leistungen im Überblick:
- DSGVO-Beratung – Individuelle Beratung für Ihr Unternehmen
- Verarbeitungsverzeichnis – Professionelle Erstellung und Pflege
- Technisch-organisatorische Maßnahmen – TOM nach DSGVO
- Datenschutz-Schulungen – Mitarbeiterschulungen und Awareness
Verwandte Beiträge
Professioneller Datenschutz für Ihr Unternehmen
Die DATUREX GmbH ist Ihr zertifizierter externer Datenschutzbeauftragter — bundesweit, persönlich und DSGVO-konform. Ab 250 €/Monat.