Informationspflicht – Server Log-Dateien

Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO)

Wir verarbeiten personenbezogene Daten in Server‑Logdateien zur Sicherstellung eines sicheren, stabilen und nachvollziehbaren IT‑Betriebs unserer Website und der zugrunde liegenden Systeme. Die Verarbeitung erfolgt insbesondere zu folgenden Zwecken:

• Bereitstellung und Auslieferung der Websiteinhalte und technischen Funktionen (Betriebsführung der Webserver-/Applikationsumgebung).

• Gewährleistung der IT‑Sicherheit (Erkennung, Analyse und Abwehr von Angriffen wie Brute‑Force, Scan‑Traffic, Exploit‑Versuche, DDoS‑Muster).

• Störungsanalyse, Fehlerbehebung und Performance‑Optimierung (Troubleshooting, Kapazitäts-/Lastanalyse, Verfügbarkeitsmanagement).

• Missbrauchs- und Betrugsprävention (z.B. Erkennung unzulässiger Zugriffe, Auffälligkeiten, unautorisierte Nutzung).

• Incident Response und Forensik (Ereignisrekonstruktion, Eingrenzung, Nachverfolgung sicherheitsrelevanter Vorfälle).

• Nachweis- und Dokumentationszwecke (Compliance, Audit‑Trail, Geltendmachung/Ausübung/Verteidigung von Rechtsansprüchen).

Kategorien personenbezogener Daten (Art. 13 Abs. 1 lit. c DSGVO)

In Server‑Logdateien werden – abhängig von Webserver‑Software, Hosting‑Setup und Logging‑Konfiguration – typischerweise folgende Datenkategorien verarbeitet:

• Netzwerk- und Verbindungsdaten

  • IP‑Adresse (Client‑IP; ggf. Proxy-/Load‑Balancer‑IP und „Forwarded“-Informationen)

  • Port, Protokoll (HTTP/HTTPS), ggf. TLS‑Parameter (z.B. Cipher/Version in technischen Diagnosen)

• Zugriffs- und Requestdaten

  • Datum und Uhrzeit des Zugriffs (Zeitstempel)

  • angefragte Ressource/URL, Pfad und Query‑String

  • HTTP‑Methode (GET/POST etc.)

  • HTTP‑Statuscode, Response‑Größe/Bytes, Antwortzeit

• Geräte-/Browsermetadaten

  • User‑Agent (Browser/OS/Device‑Informationen)

  • Referrer‑URL (sofern vom Client übermittelt)

• Sicherheits- und Systemereignisdaten

  • Fehlermeldungen (Error‑Logs), Warnungen, Exceptions/Stacktraces (ggf. mit requestnahen Kontextdaten)

  • Sicherheitsereignisse (z.B. „blocked/denied“, Auth‑Fehlschläge), sofern entsprechende Module/WAF/IDS aktiv sind

• Optional: Identifikations- oder Accountbezug (nur falls technisch gegeben)

  • Benutzerkennung/Username bei HTTP‑Auth oder Admin‑Bereichen (z.B. Basic Auth, Applikations‑Login‑Fehler), soweit im Logformat enthalten

  • Session‑IDs/Token werden grundsätzlich nicht in Logs beabsichtigt; soweit technisch dennoch vorhanden, werden sie im Rahmen der Konfiguration nach Möglichkeit maskiert oder unterbunden (Datenminimierung).

Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO)

Die Verarbeitung von Server‑Logdaten erfolgt regelmäßig auf Grundlage folgender Rechtsgrundlagen und Compliance‑Rahmen:

• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
  für den sicheren und störungsfreien Betrieb, die Angriffsabwehr, Fehleranalyse und Nachweisfähigkeit im Incident‑/Streitfall.

• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
  soweit im Einzelfall gesetzliche Verpflichtungen einschlägig sind (z.B. Aufbewahrung/Nachweisführung im Rahmen spezifischer Compliance‑Pflichten oder behördlicher Anforderungen). Im Regelfall ist Server‑Logging jedoch primär sicherheits‑ und betriebsbedingt und wird über Art. 6 Abs. 1 lit. f DSGVO getragen.

• Art. 6 Abs. 1 lit. e DSGVO (öffentliche Aufgabe), nur soweit einschlägig
  bei öffentlichen Stellen, sofern die Logverarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse/ausgeübter öffentlicher Gewalt erforderlich ist; flankierend sind landesrechtliche Vorschriften (z.B. NDSG) zu berücksichtigen.

• § 26 BDSG (Beschäftigtendaten), ergänzend
  soweit Logdaten personenbezogenen Bezug zu Beschäftigten haben (z.B. Admin‑Zugriffe, authentifizierte Zugriffe im Rahmen dienstlicher Nutzung) und die Verarbeitung im Kontext des Beschäftigungsverhältnisses erforderlich ist.

Unabhängig von der jeweiligen Rechtsgrundlage sind die Grundsätze nach Art. 5 DSGVO (insb. Datenminimierung, Zweckbindung, Speicherbegrenzung) sowie Sicherheitsanforderungen nach Art. 32 DSGVO operativ umzusetzen.

Website-Besucher (typischer Regelfall)

Für Website‑Besucher ist die Verarbeitung von Zugriffsdaten in Server‑Logdateien typischerweise technisch bedingt und zur Bereitstellung der Website, zur Abwehr von Angriffen und zur Fehleranalyse erforderlich. Rechtsgrundlage ist regelmäßig Art. 6 Abs. 1 lit. f DSGVO.

Soweit einzelne Logbestandteile (z.B. vollständige Query‑Strings) in atypischen Konstellationen Inhalte enthalten könnten, die einen erhöhten Personenbezug herstellen (z.B. Übermittlung von Namen oder sonstigen Angaben über URL‑Parameter), wird dies im Rahmen unseres Datenschutz‑ und Sicherheitskonzepts durch Konfigurationsmaßnahmen adressiert (z.B. Maskierung, Reduktion der Logtiefe, Ausschluss bestimmter Parameter).

Berechtigte Interessen (Art. 13 Abs. 1 lit. d DSGVO)

Unsere berechtigten Interessen im Sinne von Art. 6 Abs. 1 lit. f DSGVO umfassen insbesondere:

• Sicherstellung der Verfügbarkeit unserer Website und Systeme (Betriebsstabilität, SLA‑Fähigkeit).

• Schutz vor unberechtigten Zugriffen und Abwehr von Cyberangriffen (Security Operations).

• Technische Fehlerdiagnose und Wiederherstellung eines ordnungsgemäßen Betriebs (Incident/Problem Management).

• Forensische Nachvollziehbarkeit und Beweissicherung im notwendigen und verhältnismäßigen Umfang.

• Missbrauchsprävention und Minimierung wirtschaftlicher/organisatorischer Schäden (z.B. durch automatisierte Angriffe).

Diese Interessen werden durch geeignete TOMs (Zugriffskontrollen, Logging‑Konfigurationen, Retention, Pseudonymisierung/Maskierung, Rollen- und Berechtigungskonzepte) so ausbalanciert, dass die Rechte und Freiheiten betroffener Personen angemessen gewahrt bleiben.

Empfänger bzw. Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO)

Server‑Logdaten können – jeweils zweckgebunden und nach dem Need‑to‑know‑Prinzip – an folgende Empfänger/Kategorien übermittelt werden:

• Interne Empfänger: IT‑Betrieb, IT‑Security/SOC, Administratoren, ggf. Compliance/Revision, soweit erforderlich.

• Auftragsverarbeiter: Hosting‑Provider, Managed‑Service‑Provider, IT‑Dienstleister (z.B. Wartung, Monitoring, Security‑Services), sofern diese im Rahmen der Leistungserbringung Zugriff erhalten; in diesen Fällen erfolgt die Verarbeitung auf Grundlage eines Vertrags nach Art. 28 DSGVO.

• Externe Empfänger im Anlassfall: Rechtsberater, Wirtschaftsprüfer, CERT/CSIRT, Strafverfolgungs- oder Aufsichtsbehörden, Gerichte – jeweils nur bei Vorliegen einer Rechtsgrundlage und im erforderlichen Umfang.

Drittlandübermittlungen (Art. 13 Abs. 1 lit. f DSGVO)

Eine Drittlandübermittlung kann insbesondere dann relevant werden, wenn:

• das Hosting/Monitoring/Security‑Logging (z.B. zentrale Log‑Plattform, SIEM) über Anbieter mit Verarbeitung außerhalb des EWR erfolgt,

• Supportleistungen mit Remote‑Zugriff aus Drittländern erbracht werden,

• konzernweite IT‑Betriebsmodelle oder Cloud‑Dienste eingesetzt werden.

Soweit Drittlandübermittlungen stattfinden, erfolgen diese nach Maßgabe der Art. 44 ff. DSGVO, insbesondere auf Grundlage eines Angemessenheitsbeschlusses oder geeigneter Garantien (z.B. Standardvertragsklauseln) sowie ggf. ergänzender technischer und organisatorischer Maßnahmen (z.B. Verschlüsselung, Zugriffsbeschränkungen, Protokollierung, Mandantentrennung). Im Lieferantenmanagement ist hierfür regelmäßig eine risikobasierte Transfer‑Bewertung (TIA) vorzusehen.

Speicherdauer / Löschfristen (Art. 13 Abs. 2 lit. a DSGVO)

Server‑Logdaten werden grundsätzlich nur so lange gespeichert, wie dies zur Erreichung der genannten Zwecke erforderlich ist:

• Regelbetrieb (Access-/Error‑Logs): Speicherung für [X Tage], anschließend automatisierte Löschung/Rotation.

• Sicherheitsereignisse/Incident‑Kontext: anlassbezogene längere Speicherung, soweit erforderlich zur Analyse, Abwehr, Nachweissicherung oder Rechtsverteidigung; die Zugriffsmöglichkeiten werden dabei restriktiv begrenzt (Need‑to‑know, Rollen-/Rechtekonzept).

• Backup‑/Archivsysteme: Sofern Logdaten in Backups enthalten sind, werden diese nach den geltenden Backup‑ und Löschkonzepten behandelt; eine sofortige selektive Löschung aus Backups ist technisch nicht immer möglich, wird aber durch Retention‑Management und Zugriffsbeschränkung kompensiert.

Die konkrete Retention ist Bestandteil unseres Lösch- und Berechtigungskonzepts und wird risikobasiert (Schutzbedarf/Bedrohungslage) ausgestaltet.

Pflicht zur Bereitstellung der Daten (Art. 13 Abs. 2 lit. e DSGVO)

Die Bereitstellung der Daten ist nicht gesetzlich vorgeschrieben. Die Verarbeitung von Zugriffsdaten in Server‑Logdateien ist jedoch technisch erforderlich, um die Website bereitstellen und den Betrieb sicher gestalten zu können.

Ohne die Verarbeitung zentraler Logdaten wären insbesondere Angriffsabwehr, Fehlerdiagnose und Betriebsstabilisierung nur eingeschränkt möglich. Einzelne Requests können zudem aus Sicherheitsgründen blockiert werden, wenn sie als missbräuchlich erkannt werden.

Automatisierte Entscheidungsfindung / Profiling (Art. 13 Abs. 2 lit. f DSGVO; Art. 22 DSGVO)

Server‑Logdateien werden primär zu Diagnose- und Sicherheitszwecken verarbeitet. Im Rahmen von IT‑Security‑Maßnahmen können jedoch automatisierte technische Bewertungen stattfinden, z.B.:

• automatisiertes Erkennen auffälliger Muster (Scan‑Traffic, brute‑force‑ähnliche Zugriffe),

• automatisiertes Blockieren oder Rate‑Limiting von IP‑Adressen/Requests durch Sicherheitskomponenten (z.B. WAF, IDS/IPS), die sich auf Log‑/Telemetry‑Signale stützen können.

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO (mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung) liegt hierbei regelmäßig nicht vor, da die Maßnahmen dem Schutz der Systeme und der Betriebssicherheit dienen und typischerweise keine Entscheidungen mit vergleichbar erheblicher Auswirkung auf die betroffene Person entfalten. Sollte im Einzelfall ein atypischer Impact entstehen (z.B. längerfristiges Blocklisting), erfolgt eine Governance‑konforme Prüfung und – soweit angemessen – ein Verfahren zur Entsperrung/Überprüfung.