Quelltext von Seite Datenzugriffsprotokoll ansehen

Paragraph 76 des neuen BDSG fordert die '''Protokollierung von Datenverarbeitungsvorgängen'''. Dazu gehört nicht nur das Neuanlegen, Ändern und Löschen bzw. [[Datensätze sperren|Sperren]] von Datensätzen, sondern auch das Aufrufen (die „Abfrage“) und das Offenlegen bzw. Übermitteln (was in POLARIS insbesondere den [[Selektion und Datenexport|Datenexport]] bzw. die Web-Schnittstellen betrifft). 

Streng genommen müsste das Aufrufen wie auch die anderen Vorgänge sogar begründet werden, allerdings halten wir dies für die praktische Arbeit in einem System wie POLARIS für praxisfern und unzumutbar: Es würde nämlich bedeuten, dass vor jedem Aufruf oder Ändern eines Kunden- oder Vertragsdatensatzes ein Textfeld oder zumindest ein Auswahl-Klappfeld erscheinen würde, in der Sie darlegen müssen, warum sie genau diesen Datensatz aufrufen oder ändern wollen! Wir haben die Begründungspflicht deshalb auf den Aufruf bzw. die Entsperrung gesperrter Datensätze beschränkt, was in der Praxis nur sehr selten notwendig sein sollte. Ob Sie als Begründung „qwertz“ oder etwas Sinnvolles eingeben, bleibt Ihnen überlassen; beachten Sie jedoch, dass das Log u.U. Datenschutzbehörden zur Verfügung gestellt werden muss, und so etwas wie „quertz“ sieht dann u.U. nicht sehr gut aus.

Um den Umfang des Logs in vernünftigen Grenzen zu halten, wird nur das Aufrufen der „Hauptdatensätze“ geloggt, also Kunden, Verträge, Vorgänge und Dokumente. Das „Sehen“ z.B. einer Telefonnummer, einer Bankverbindung oder eines Kfz-Kennzeichens  könnte ohnehin nicht separat erkannt werden, weil diese Daten u.U. schon sofort nach dem Aufrufen eines Kunden als Liste sichtbar sind.  Eine Ausnahme haben wir bei den Personen-Details gemacht: Wegen der besonderen Sensibilität der dort gespeicherten Daten wird das Öffnen dieser (und nur dieser) Detail-Maske separat geloggt.

Natürlich kann POLARIS nicht alles mitloggen. So kann z.B. nicht erkannt werden, ob ein Dokument „an POLARIS vorbei“ geöffnet oder per E-Mail verschickt wurde oder ob eine über die Selektion erstellte Excel-Tabelle nur intern verwendet oder an Dritte weitergegeben bzw. exportiert wurde. Die Selektion als solche wird allerdings mitgeloggt, wobei nicht für jeden betroffenen Datensatz ein Protokolleintrag erstellt wird, sondern nur ein Gesamteintrag, aus dem die Selektionskriterien hervorgehen. 

Wir sind keine Anwälte und dürfen unsere Kunden in dieser Hinsicht auch nicht beraten. Mangels klarer Leitlinien und Rechtsprechung müssen Sie letztlich selbst entscheiden, wie Sie das Gesetz interpretieren und anwenden wollen, ob ein Paragraph überhaupt auf Ihr Unternehmen zutrifft und wo Sie die Grenze zwischen wortgetreuer Befolgung und sinnvollem Arbeiten ziehen wollen. Wir haben dieses Protokoll eingebaut, weil wir der Meinung sind, dass §76 BDSG zumindest einen Teil unserer Kunden betrifft, aber wir können auch nicht ausschließen, dass das vom BDSG geforderte Loggen von Aktivitäten gegen Arbeitnehmerrechte verstößt, denn diese müssen sich nicht jede Form von Überwachung gefallen lassen. Deswegen denken wir darüber nach, das Loggen von Datensatzaufrufen, also der „Datenabfragen“, abschaltbar zu machen, was aber evtl. nur über den Support möglich sein wird und bei uns aus rechtlichen Gründen auch dokumentiert werden müsste. 

Welcher Mitarbeiter Datensätze angelegt und geändert hat, ist von POLARIS schon bisher gespeichert worden, ohne dass es jemanden gestört hat, so dass wir hier keine Probleme sehen. Wir haben das Protokoll auch bewusst so programmiert, dass keine Selektionen der Art „Was hat Mitarbeiter X in den letzten Wochen gemacht?“ möglich sind. Die Protokolleinträge können auch nicht nach Datum oder Zugriffsart gefiltert werden, sondern nur nach Kundenname oder -nummer. Wir empfehlen aber auf jeden Fall, Ihre Mitarbeiter über die erweiterte Logfunktion zu informieren!

Eingesehen werden kann das Datenzugriffsprotokoll nur vom [[Datenschutzrecht|Datenschutzverantwortlichen]]; das ist genau ein Mitarbeiter in Ihrem Betrieb. Der Aufruf erfolgt über das Menü Extras-Datenschutz. Ein Aufruf des Protokolls muss wie das Einsehen eines gesperrten Kunden kurz begründet werden. Laut BSDG muss das Log nach einem Jahr gelöscht werden, genau genommen am Ende des Jahres, das auf das Datum des Protokolleintrags folgt, so dass ein Anfang Januar entstandener Eintrag zwei Jahre alt werden kann. Dies ist im Gesetz (ausnahmsweise) eindeutig und unmissverständlich geregelt und deshalb nicht konfigurierbar. Auch aus technischen Gründen ist eine gelegentliche Löschung kaum zu vermeiden, denn der schnell wachsende Umfang des Protokolls würde die Datenbank sonst zu sehr aufblähen.

Das Löschen des Protokolls wird POLARIS automatisch erledigen. Das erste Löschen erfolgt Anfang 2021, wenn die letzten 2019 angelegten Einträge über ein Jahr alt werden. Um zu verhindern, dass eine Löschung durch ein versehentlich vorgestelltes Systemdatum ausgelöst wird, werden wir eine Sicherung einbauen, deren genaue Natur im Moment noch nicht feststeht. In jedem Fall wird es vorher eine Sicherheitsabfrage geben.