it-swarm.com.de

Ist das Anzeigen von E-Mail-Adressen in einer Anwendungsprotokolldatei unter GDPR zulässig?

Ich arbeite an einer Anwendung, die vollständig auf Benutzerinteraktion basiert. In meinen Anwendungsprotokollen protokolliere ich jede Interaktion und drucke die E-Mail-Adresse aus, um eindeutig zu identifizieren, welcher Benutzer welche Interaktion ausgeführt hat.

Dieses Anwendungsprotokoll ist nur für Folgendes sichtbar:

  • Mir
  • Der nächste Besitzer der Anwendung, wenn ich das Projekt verkaufen würde
  • Ein Administrator, den ich möglicherweise anheuere, wenn die Arbeitslast zu groß wird

Ein Beispiel für einen Protokolldatensatz ist ungefähr so:

2019-01-24 14: 27: 20.954 INFO 32256 --- [Whatever-Info] s.p.s.t.d.m.s.SomeClassThatPrintsTheLog: Registrierender Benutzer mit E-Mail-Adresse [email protected]

Ist dies unter GDPR zulässig oder sollte ich die gedruckte E-Mail-Adresse in irgendeiner Weise maskieren? Oder eine andere Lösung verwenden?

29
Titulum

Ziel der DSGVO ist es, personenbezogene Daten (PII) so weit wie möglich zu schützen. Die Interaktion eines bestimmten Benutzers mit Ihrer Anwendung ist ziemlich sicher, solche PII.

Wenn Sie diese Informationen wirklich protokollieren müssen, sollten Sie Ihren Benutzer über diesen Prozess informieren, d. H. Über den Zweck der Datenerfassung, wie lange die Informationen gespeichert werden und wer Zugriff auf die Daten erhält. Und Sie und jeder, an den Sie die Anwendung verkaufen, sollten die Daten niemals für einen anderen vom Benutzer vereinbarten Zweck verwenden. Und natürlich müssen Sie die Informationen ordnungsgemäß vor Missbrauch schützen, d. H. Außerhalb des angegebenen Zwecks verwenden. Dies schließt insbesondere aber nicht nur ein, wenn sich jemand in Ihre Anwendung oder Ihren Server hackt und diese Daten stiehlt.

Da die Verwendung der Daten begrenzt ist und der Schutz (und die Geldbußen) kostspielig sein können, ist es möglicherweise einfacher, diese Informationen überhaupt nicht zu speichern. Eine Alternative besteht darin, die PII zumindest so weit wie möglich zu pseudonymisieren, d. H. Auf eine Weise, dass die protokollierten Daten für Sie weiterhin verwendbar sind, aber keine Zuordnung zu einem bestimmten Benutzer vorgenommen werden kann, selbst wenn alle protokollierten Daten vorhanden sind. Da jedoch nicht wirklich klar ist, wofür Sie diese Protokolle verwenden, können für einen bestimmten Prozess einer solchen Pseudonymisierung keine Empfehlungen abgegeben werden.

Beachten Sie jedoch, dass das einfache Ersetzen jeder eindeutigen E-Mail-Adresse durch eine andere eindeutige Kennung möglicherweise keine ausreichende Pseudonymisierung darstellt. Abhängig von den Daten, die Sie protokollieren, können möglicherweise Benutzerprofile erstellt werden, die auf bestimmten Merkmalen in den Profilen basieren und diese realen Benutzern zuordnen. Siehe AOL-Suchdatenleck für ein Beispiel, wie ein solcher einfacher Pseudonymisierungsversuch fehlgeschlagen ist.

39
Steffen Ullrich

Die Protokollierung von Daten ist unter GDPR nicht das Problem. Entscheidend ist, was mit dem Protokoll passiert, wer es sehen kann, wie lange es gespeichert ist, wofür das Protokoll verwendet wird und ob Sie die Rechte der betroffenen Person erfüllen können, sobald Sie die Daten verarbeitet und gespeichert haben.

Wenn Sie die E-Mail protokollieren müssen, um Ihren Dienst bereitzustellen, ist das Protokollieren problemlos möglich. Wenn Sie die Daten jedoch protokollieren, müssen Sie von Anfang an sowohl für sich selbst als auch für die betroffenen Personen klar sein, was damit geschehen wird.

27
schroeder

In Artikel 5 der DSGVO wurden die Grundprinzipien für die Datenverarbeitung festgelegt.

Artikel 5 "Grundsätze für die Verarbeitung personenbezogener Daten"

(1) Personenbezogene Daten sind:

... (b) für bestimmte, explizite und legitime Zwecke gesammelt und nicht weiterverarbeitet werden in einer Weise, die mit diesen Zwecken nicht vereinbar ist; Weiterverarbeitung zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder statistische Zwecke gelten gemäß Artikel 89 Absatz 1 nicht als mit den ursprünglichen Zwecken unvereinbar („Zweckbeschränkung“);

Das Speichern von Protokolldateien für persönliche Informationen zur Diagnose von Problemen mit Ihrer Anwendung ist nicht inkompatibel mit dem ursprünglichen Zweck, schützt die Daten jedoch mit "geeigneten technischen und organisatorische Maßnahmen ... nach Risiko ".

Aber speichern Sie Ihre Protokolle nicht für immer. Z.B. Betroffene Personen (der GDPR-Begriff für eine Person) haben das Recht, vergessen zu werden. Das bedeutet auch, dass sie irgendwann aus Protokollen, Sicherungen usw. entfernt werden sollten. Ich glaube, wenn Sie Daten für die letzten 90 Tage aufbewahren, sollte das in Ordnung sein.

Und schließlich, wenn Sie ein System aufbauen, das personenbezogene Daten über EU-Bürger verarbeitet, würde ich Ihnen dringend empfehlen, einen ein- bis zweitägigen Kurs zu diesem Thema zu belegen, um die Unterschiede zwischen Controller, Prozessor, betroffener Person und personenbezogenen Daten zu lernen. sensible persönliche Informationen usw.

7
Pete

Hier einige Zitate aus der DSGVO (Hervorhebung hinzugefügt).

Erwägungsgrund 78:

Der Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten erfordert, dass geeignete technische und organisatorische Maßnahmen getroffen werden, um sicherzustellen, dass die Anforderungen dieser Verordnung erfüllt werden. Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der für die Verarbeitung Verantwortliche interne Richtlinien verabschieden und Maßnahmen ergreifen, die insbesondere den Grundsätzen von Datenschutz durch Design und Datenschutz standardmäßig entsprechen. Solche Maßnahmen könnten unter anderem darin bestehen, die Verarbeitung zu minimieren personenbezogenen Daten, personenbezogene Daten pseudonymisieren so bald wie möglich Transparenz in Bezug auf Funktionen und Verarbeitung von personenbezogenen Daten, wodurch die betroffene Person die Datenverarbeitung überwachen kann und der Controller Sicherheitsfunktionen erstellen und verbessern kann.

Artikel 25 (Datenschutz durch Design und Standard), Absatz 1:

Unter Berücksichtigung des Standes der Technik, der Kosten der Umsetzung sowie der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie der Risiken unterschiedlicher Wahrscheinlichkeit und Schwere der Rechte und Freiheiten natürlicher Personen, die von der Verarbeitung ausgehen, muss der für die Verarbeitung Verantwortliche Implementieren Sie sowohl zum Zeitpunkt der Bestimmung der Verarbeitungsmittel als auch zum Zeitpunkt der Verarbeitung selbst geeignete technische und organisatorische Maßnahmen, wie Pseudonymisierung, die darauf ausgelegt sind, Datenschutzgrundsätze, wie z. B. Datenminimierung, effektiv umzusetzen und die notwendigen Sicherheitsvorkehrungen in die Verarbeitung zu integrieren, um diese zu erfüllen die Anforderungen dieser Verordnung und schützen die Rechte der betroffenen Personen.

Was bedeutet das? Wenn Sie keinen guten Grund haben, E-Mail-Adressen in Protokolle aufzunehmen, sollten Sie dies wahrscheinlich nicht tun. Sie können stattdessen die Benutzer-ID protokollieren, die einen höheren Pseudonymisierungsgrad aufweist, und es Ihnen dennoch ermöglichen, den Benutzer bei Bedarf zu identifizieren. IDs sind wahrscheinlich sowieso das Richtige, um einen Benutzer unabhängig von der DSGVO eindeutig zu identifizieren, da Sie vermutlich erwarten können, dass ein Benutzer immer dieselbe ID hat, während die E-Mail-Adresse normalerweise geändert werden kann.

Obwohl ich kein Anwalt bin, glaube ich nicht, dass Sie beim Protokollieren von E-Mail-Adressen in große Schwierigkeiten geraten können, solange Sie nachweisen können, dass alles sicher genug gespeichert und verarbeitet wird. Auf der anderen Seite helfen Ihnen gute Designentscheidungen auf jeden Fall zu zeigen, dass Sie die Best Practices für Sicherheit und Datenschutz befolgt haben und dass Sie die Daten Ihrer Benutzer nicht durch unnötige Verarbeitung ihrer persönlichen Daten gefährdet haben.

2
reed