Schließen

Log-Dateien, Datenschutz und Verhaltenskontrolle


Flickr, reedwade

Die Busfahrt

Der Busfahrer hat gute Laune und begrüßt mich herzlich. Ich kaufe eine Karte für den Stadtbereich und fahre los. Bei der Rückfahrt wiederholt sich das Spiel. Ein Freund holt mich am Nachmittag zu einer Feier ab und wir fahren mit seinem Auto. Dort breche ich eher auf und kaufe eine weitere Fahrkarte. Am Abend werfe ich die Papierschnipsel in den Mülleimer. Fertig.

Ein Kriminalist, der mein Bewegungsprofil braucht, hätte nur Chancen, wenn er mich beobachtet und die Fahrkarten aus dem Mülleimer am Bahnhof fischte. Auf den Schnipseln müssten meine Fingerabdrücke nachgewiesen werden. Erst dann könnte ein Raum-Zeit-Profil von mir erstellt werden und auch das nur, wenn meine Fingerabdrücke bekannt waren, sonst wäre das eine anonyme Spur. Die Auflösung der Anonymität, die Beobachtung, wohin ich die Papiere werfe und die Auswertung der Spuren auf den Fahrkarten sind nur dann lohnenswert, wenn das Ergebnis der Untersuchung

Zu den einzelnen Käufen gibt es in der Kasse von Bus, Straßenbahn oder Fahrkartenautomat Abrechnungsvorgänge, diese werden für 10 Jahre archiviert, weil sie buchungsbegründende Unterlagen sind. Der Ubersicht wegen fasse ich hier die drei zusammen.

  • Kauf Hinfahrt
  • Kauf Rückfahrt
  • Kauf Ausflug

Log-Dateien dokumentieren Abläufe

Zusätzlich zu den Datensätzen der Abrechnung gibt es Einträge in Log-Dateien. Diese werden nicht für die Abrechnung benötigt, sondern sollen die Funktionstüchtigkeit der einzelnen Komponenten nachweisen. Sie werden im allgemeinen für die Fehlersuche benötigt und deshalb – wenn alles einwandfrei funktioniert – bald gelöscht.
In den Log-Dateien sind meist diese Informationen gespeichert

  • Zeitpunkt
  • Bezeichnung der Komponente
  • Art des Eintrags
  • Ausgeführte Funktion
  • Beschreibende Text

Hinweis

Der Umfang der Einträge in Log-Dateien ist konfigurierbar. Er reicht vom Entwicklermodus (DEBUG) bis zu Alarmierung (CRITICAL). Im Entwicklermodus wird am meisten mitgeschrieben. Diese Einstellung nutzen Entwickler zur besonderen Beobachtung der Applikationen oder Module während der Entwicklung. Sie wird ebenso eingeschaltet, wenn Fehlerzustände in Applikationen zu analysieren sind. Bei CRITICAL werden nur Zustände protokolliert, die eine Gefahrensituation annehmen lassen. Im Wirkbetrieb sollte der Umfang auf wichtig oder kritisch eingestellt sein.

Fallbeispiel Prgrammfehler

Ein deutsches DAX-Unternehmen, für das ich tätig war, hat entschieden, Fehlfunktionen in einem Programm, die zwar lästig, aber nicht kritisch sind, weiter in Kauf zu nehmen. Für die Behebung des Programmfehlers müssten Log-Dateien ins Ausland gegeben werden. Da in den Dateien aber personenbezogene Daten enthalten sind, bleiben die Dateien im Lande und die Fehlfunktion eben erhalten.

Was können Sie tun?

Damit

  • Log-Dateien sollen nur für einen bestimmten Zeitraum aufgehoben werden. Je nachdem, wie kritisch die Anwendung für die Sicherheit oder den Betrieb des Unternehmens ist, sind unterschiedliche Zeiträume erforderlich
  • Personenbezogene Daten in Log-Dateien sollen sparsam verwendet werden. Ggf. können Einträge auch anonymisiert werden, so dass das Lesen einer Log-Datei alein keine Rückschlüsse auf die betroffene Person zulässt.
  • Der Personenkreis, der Zugriff auf Log-Dateien hat, ist zu beschränken. Wenn sich ein Vier-Augen-Prinzip einführen lässt, ist das zu bevorzugen.
  • Der Log-Level ist so sparsam wie möglich einzusetzen.

Verdeckte Verhaltenskontrolle durch Log-Dateien

Der Busfahrer nmeldet sich zu Schichtbeginn an. Dies wird vom Abrechnungsprogramm protokolliert, damit die Einnahmen und Ausgaben einer Schicht – vielleicht sogar einer Fahrt – abgerechnet werden können. Oft werden diese Angaben uach in Log-Dateien aufgeschrieben.

Eine korrekte Abrechnung liegt im Interesse sowohl des Busfahrers als auch des Reiseunternehmens. Der Busfahrer möchte seine Korrektheit und Zuverlässigkeit nachweisen, das Unternehmen möchte keine Einnahmen verlieren. Strenge Rechnung – gute Freunde, wie schon die Römer gewusst haben, ist die Maxime. Eine Protokollierung der Einnahmen und Ausgaben für bestimmte Einheiten ist also zweckgebunden. Und es ist klar, dass auch ein Bezug auf die Person des Fahrers vorhanden sein muss. Dies betirfft also die Abrechnungssoftware allein. Dazu ist es erforderlich, folgende Daten mitzuschreiben

  • Kassenbestand am Schichtbeginn
  • Summe der Fahrkarten als Einnahmen

Alles darüber hinaus ist schon Luxus und hält den Bezahlvorgang nur unnötig auf, es könnten also hinzukommen.

  • Summe des Wechselgeldes
  • Einzelbeträge für Einnahmen
  • Einzelbeträge für Ausgaben

Eine andere Frage ist, ob die Abrechnungssoftware auch in Log-Dateien weitere Merkmale speichert oder ob Merkmale aus den Log-Dateien zur Bewertung des Fahrers herangezogen werden. Da Log-Dateien Zeitstempel enthalten, wäre eine Geschwindigkeitsmessung möglich. Betriebswirtschaftlich wäre das durchaus sinnvoll, wenn es zum Beispiel Routen gibt, auf denen besonders oft unerklärliche Verspätungen auftreten, könnte ein Grund eine verzögerte Abfertigung sein. Mit Hilfe der Log-Dateien könnte könnte eine solche Messung recht einfach und vor allem fast unbemerkt erfolgen.

Bei einer derartigen Messung ist aus Sicht des Datenschutzes zu berücksichtigen, dass sie zur Verhaltenskontrolle einzelner Mitarbeiter verwendet werden könnte. Deshalb wären vor der Auswertung, am besten noch vor Schreiben in die Log-Datei der Bezug zu konkreten Fahrern zu anonymisieren. Darüber hinaus muss in Unternhemne mit einer Mitarbeitervertretung diese Vertretung einbezogen werden. Im Zweifel muss eine Betriebsvereinbarung geschlossen werden. Der Abschluss einer einzigen Betriebsvereinbarung ist vielen individuellen Vereinbarungen vorzuziehen. Die Notwendigkeit dieser Vereinbarung ergibt sich daraus, dass laut Bundesdatenschutzgesetz personenbezogene Daten nicht ohne Einwilligung der betroffenen Personen erhoben, verarbeitet oder genutzt werden dürfen. Die allgemeine Ausnahme besteht darin, dass eine gesetzliche Regelung dazu besteht.

Das ergibt folgende Punkte, die für im Kopf zu behalten sind.

  • Anwendungen erzeugen Daten gemäß ihrem Einsatzzweck.
  • Anwendungen führen oft Log-Dateien zum Fuinktionsnachweis
  • In beiden Arten von Dokumenten sind häufig personenbezogene Daten enthalten

Verweise

Über den Autor diet46