.st0{fill:#FFFFFF;}

Zulässigkeit der Speicherung von Website-Logfiles nach der DSGVO

Wichtige Datenschutz-Themen von Profis aufbereitet

Zulässigkeit der Speicherung von Website-Logfiles nach der DSGVO

Obwohl sie unterschiedliche Schwerpunkte haben, sind IT-Sicherheit und Datenschutz untrennbar miteinander verbunden. Denn Art. 32 der Datenschutzgrundverordnung (DSGVO) verlangt von datenverarbeitenden Stellen geeignete technische und organisatorische Maßnahmen zu treffen, um die Sicherheit der verarbeiteten Daten zu gewährleisten und das Risiko eines Datenmissbrauchs zu reduzieren. Insbesondere, da aktuell immer mehr Unternehmen und Organisationen zum Ziel von Cyber-Angreifern werden, sollten die beiden Komplexe beim Betrieb einer Website dringend vereint umgesetzt werden. Insofern ergibt sich bereits beim unternehmerischen Internetauftritt durch die Bereitstellung einer Website nicht nur eine datenschutzrechtliche Anforderung im Hinblick auf die Speicherung von sog. Logfiles, sondern auch eine Pflicht aus Gründen der IT-Sicherheit.


Das Wichtigste in Kürze

  • Zur Gewährleistung der IT-Sicherheit ist Speicherung von sog. Webseiten-Logfiles notwendig.
  • Mithilfe von sog. Logfiles können Website-Betreiber wichtige Anhaltspunkte für die Optimierung ihrer Website sowie Informationen zur Prävention oder Abwehr von Cyber-Angriffen gewinnen.
  • Die Speicherung von Logfiles stellt in der Regel eine Verarbeitung personenbezogener Daten dar und bedarf somit einer Rechtsgrundlage im Sinne der DSGVO.
  • Die Speicherung von Website-Logfiles kann auf das berechtigte Interesse eines Unternehmens gestützt werden.

    1. Website-Logfiles

    Unter einem Logfile versteht man eine Datei, die ablaufende Prozesse eines Computers- oder Netzwerksystems protokolliert. Mit der Auflistung sämtlicher durchgeführten Aktivitäten soll Website-Betreibern ermöglicht werden, auch noch zu einem späteren Zeitpunkt Rückschlüsse auf das Nutzerverhalten oder technische Vorgänge ziehen zu können.

    Gleichzeitig stellt die Speicherung der Website-Logfiles eine technisch-organisatorische Maßnahme i.S.d. Art. 32 DSGVO dar, durch die ein angemessenes Schutzniveau gewährleistet werden soll.

    Zur Analyse des Nutzerverhaltens werden unter anderem das vom Nutzer verwendete Betriebssystem, die IP-Adresse, der Browser, Plugins, Datum und Besuchsdauer sowie das Herkunftsland des Nutzers gespeichert. Daraus können Website-Betreiber wichtige Anhaltspunkte für die Optimierung ihrer Website, aber auch Informationen zur Abwehr oder sogar Prävention von Angriffsversuchen auf ihre Webserver gewinnen.


    2. Speicherung von Website-Logfiles auf Grundlage des berechtigten Interesses

    Da das Speichern von Logfiles (insbesondere die Erhebung der IP-Adresse) eine Verarbeitung personenbezogener Daten darstellt, bedarf diese grundsätzlich einer Rechtsgrundlage im Sinne der DSGVO.

    In der Regel ist für eine Datenverarbeitung eine Einwilligung der von der Verarbeitung betroffenen Person erforderlich (Art. 6 Abs. 1 S. 1 lit. a) DSGVO). Sofern die Datenverarbeitung, wie im vorliegenden Fall die Speicherungen von Logfiles, der Abwehr von Angriffsversuchen dient, kann die Speicherung von Daten wie beispielsweise IP-Adressen, dem verwendeten Webbrowser sowie des Betriebssystems und des Zeitpunkts des Website-Besuchs auch ohne Einwilligung des Website-Besuchers erfolgen.

    Denn insofern ist ein berechtigtes Interesse des Website-Betreibers nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO hinsichtlich der Verarbeitung der besagten Daten anzunehmen. Danach ist eine Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und Interessen sowie Grundfreiheiten der betroffenen Personen nicht überwiegen.


    3. Abwehr von Cyber-Angriffen als berechtigtes Interesse

    Insoweit wird stets ein berechtigtes Interesse eines jeden Unternehmens an der Speicherung der Protokolldaten zu bejahen sein, wenn es darum geht, Cyber-Angriffe möglichst frühzeitig zu erkennen, zu vermeiden oder schlimmstenfalls abzuwehren. Im Übrigen wird jeder Website-Betreiber, abgesehen von der Vermeidung einer kompromittierenden Situation, ein großes Interesse daran haben, die personenbezogenen Daten der Website-Besucher sowie anderer Dritter bestmöglich vor unberechtigten Zugriffen zu schützen. Somit wird man im Zuge einer Interessenabwägung regelmäßig zu dem Ergebnis gelangen, dass eine Speicherung von Webseiten-Logfiles datenschutzrechtlich möglich sein muss.


    4. Zweckbindung und Datenminimierung

    Dabei ist jedoch zu beachten, dass die Speicherung der Logfiles unter Berücksichtigung des Grundsatzes der Zweckbindung nach Art. 5 Abs. 1 lit. b) DSGVO datenschutzrechtlich nur soweit zulässig ist, wie sie zur (potenziellen) Gefahrenabwehr erforderlich ist. Von Bedeutung ist in diesem Zusammenhang auch der Grundsatz der Datenminimierung, wonach die Speicherung personenbezogener Daten auf das für den Zweck notwendige Maß beschränkt sein muss (Art. 5 Abs. 1 lit. c) DSGVO.


    5. Zulässige Speicherdauer

    Da der Gesetzgeber für die Speicherdauer keine Fristen vorgibt, wurde in der Praxis eine Speicherung von Logfiles für die Dauer von sieben Tagen als ausreichend angesehen. Lediglich bei Unternehmen, die als kritische Strukturen einzuordnen sind, sei eine längere Speicherung zulässig. Angesichts der steigenden Zahl von Cyber-Angriffen erscheint eine siebentägige Speicherdauer allerdings relativ kurz. Nach Auffassung des Bayerischen Landesamt für Datenschutzaufsicht sei eine deutlich längere Speicherung, und zwar bis zu 30 Tagen, für personenbezogene Logfile-Daten denkbar. Ein berechtigtes Interesse liegt hierfür immer dann vor, wenn eine längere Speicherdauer eine effektivere Gefahrenabwehr fördert.


    6. Fazit

    Eine deutlich längere Speicherdauer von 30 Tagen wird heutzutage als angemessen anzusehen sein. Dies gilt insbesondere dann, wenn nur dadurch eine effiziente Gefahrenabwehr ermöglicht wird. Ist schon gar kein Anlass vorhanden, sollte eine Speicherung von Logfiles ganz unterbleiben.
    Werden Website-Logfiles erhoben und gespeichert, ist es wichtig, dass die Datenschutzerklärung alle nach der DSGVO erforderlichen Informationen enthält.

    Datenschutzschulungen für Ihre Mitarbeiter?


    Praxisnahe Online Schulungen für Datenschutz und Cybersecurity. DSGVO konform und zertifiziert.