Datenschutzrechtliche Aspekte bei der Verarbeitung von LogFile-Daten

Beim Austausch von Inhalten über das Internet werden, aufgrund der eingesetzten technischen Protokolle wie TLS, TCP/IP und http, zwangsläufig eindeutige Merkmale der Endeinrichtung kommuniziert. Diese Übermittlung von auf der Endeinrichtung des Nutzenden befindlichen Daten ist nur dann nicht als einwilligungsbedürftiger Zugriff i.S.d. § 25 Abs. 1 TDDDG zu werten, wenn der aufgerufene digitale Dienst nur die vom Nutzenden ausdrücklich gewünschte Webseite i.S.d. § 25 Abs. 2 Nr. 2 TDDDG darstellt. Ruft die nutzende Person eine Webseite auf und der Anbieter des digitalen Dienstes liefert den angeforderten Basisdienst aus, sind diese Datenübermittlungen ohne die vorherige Erhebung einer Einwilligung möglich. Die überarbeiteten Leitlinien des EDSA zu Art. 5 Abs. 3 ePrivacyRL sehen hierzu ebenfalls keine Erhebung der Einwilligung vor.

Die bei dieser Kommunikation anfallenden Daten werden vom Webserver und den vorgeschalteten Systemen, wie Firewalls, typischerweise in sogenannte LogFiles gespeichert. In LogFiles werden eindeutige Identifikatoren zur Endeinrichtung gespeichert, die unter Zuhilfenahme von Informationen eines Dritten, einer Person zugeordnet werden können. In LogFiles werden daher personenbezogene Daten verarbeitet (siehe hierzu auch EuGH, Urteil vom 19. Oktober 2016, Rechtssache C-582/14 - Breyer ./. Bundesrepublik Deutschland, Rn. 49).

Die Verarbeitung der Daten in den LogFiles dient zunächst nur der „Bereitstellung des digitalen Dienstes“. Für Bundesbehörden liefert Art. 6 Abs. 1 lit. e) DSGVO i.V.m. § 3 BDSG i.V.m. § 3 eGovG in der Regel eine Rechtsgrundlage für die Verarbeitung dieser Daten zu diesem Zwecke. Zur Absicherung des Diensts werden ebenfalls diese Daten von den Verantwortlichen verarbeitet. Die Absicherung des Dienstes ist als flankierende Maßnahme legitim und kann in der Regel von Bundesbehörden ebenfalls auf Art. 6 Abs. 1 lit. e DSGVO i.V.m. § 3 BDSG i.V.m. § 3 eGovG gestützt werden.

Mit § 8 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) berechtigt, Mindeststandards für die Sicherheit der Informationstechnik des Bundes festzulegen. Im Mindeststandard des BSI zur Protokollierung und Detektion von Cyber-Angriffen wird die Speicherung von Protokollierungsdaten aus IT-System-Sicht und aus Netz-Sicht gefordert. Dies betrifft auch LogFiles von Webservern. Die Verarbeitung dieser Daten erfolgt dann zusätzlich zum Zweck „Detektion von Cyber-Angriffen“. Die Speicherung der LogFiles zur „Detektion von Cyber-Angriffen“ kann auf Art. 6 Abs. 1 lit. e) DSGVO i.V.m. § 3 BDSG i.V.m. dem Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG zur Protokollierung und Detektion von Cyber-Angriffen gestützt werden.

Für die weiteren Verarbeitungen der Daten aus den LogFiles, wie beispielsweise die Verarbeitung zum Zwecke „Optimierung der Webseite“ liegt generell eine Veränderung des Zwecks vor. Für eine Zweckänderung ist Art. 6 Abs. 4 DSGVO sowie für öffentliche Stellen des Bundes auch § 23 BDSG zu beachten. Die Ergebnisse zu diesen Überprüfungen sind zu dokumentieren.

Eine öffentliche Stelle des Bundes hat den Grundsatz der Sparsamkeit und Wirtschaftlichkeit zu beachten (vgl. § 6 Abs. 1 HGrG). Hierbei ist von der Anwendung des Maximalprinzips auszugehen, welches besagt, dass mit einer bestimmten, verfügbaren Menge an Mitteln der generierte Nutzen (für die Bevölkerung/zur Aufgabebewältigung) zu maximieren ist. Die Daten in den LogFiles können einen Einblick in die Nutzung des digitalen Dienstes gewähren um den Dienst in der Zukunft angepasst und optimiert bereitzustellen. Die Verarbeitung von personenbezogenen Daten aus den LogFiles zum Zweck „Optimierung der Webseite“ dient der zukünftigen und optimierten Bereitstellung des digitalen Dienstes und kann daher auf Art. 6 Abs. 1 lit. e DSGVO i.V.m. §§ 3 BDSG, 6 Abs. 1 HGrG und 7 Abs. 1 Satz 1 BHO gestützt werden.

Die Verarbeitung von personenbezogenen Daten muss gemäß Art. 5 Abs. 1 lit. c) DSGVO dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Für den Zweck „Optimierung der Webseite“ ist es in der Regel nicht notwendig die vollständige IP-Adresse bzw. die IP-Adresse im Klartext zu speichern. Dies erfordert auch, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Für eine Monatsauswertung der Webseitenbesuche reicht es demnach aus, diese Daten lediglich fünf Wochen zu speichern und in eine aggregierte Form einer Monatsauswertung zu überführen.

Gemäß Art. 5 Abs. 1 lit. f) DSGVO sind weiterhin geeignete technische und organisatorische Maßnahmen zu ergreifen, um eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten. Der Personenkreis, der die Daten zur „Optimierung der Webseite“ verarbeitet, wird mit dem Personenkreis, der mit der Administration der Server betraut ist, in der Regel nicht deckungsgleich sein. Eine solche Aufgabentrennung und Rollenbesetzung kann eine mitigierende, also das Risiko minimierende Maßnahme sein. Die Speicherung der unveränderten IP-Adresse abseits der Webserver/Firewall-Systeme erhöht das Risiko der Verarbeitung von personenbezogenen Daten. Eine Änderung der IP-Adresse, ggfls. per Hash-Verfahren, kann hier das Risiko angemessen mindern ohne den verfolgten Zweck zu beeinträchtigen.