Beispiel für ein Protokollierungskonzept

1 Einleitung

Bei der Protokollierung werden Informationen über Prozesse, welche in Computern und Netzwerken anfallen, in speziellen Dateien, den sogenannten „Logfiles“ oder „Protokolldateien“, gesammelt und zur späteren Verwendung aufgezeichnet.
Aus sicherheitstechnischer Sicht soll ein Protokollierungskonzept die Beantwortung der folgenden sicherheitsrelevanten Fragestellungen gewährleisten:

  1. Event Identification: Was ist geschehen?
  2. Active Participant Identification: Wer war daran beteiligt?
  3. Network Access Point Identification: Von wo stammt das Ereignis?
  4. Audit Source Identification: Welche Server waren beteiligt
  5. Participant Object Identification: Was ist zu protokollieren?

In den fachlichen Protokollen muss daher mindestens protokolliert werden „wer“, „wann“, „was“ - idealerweise bei definierten Ereignissen auch „warum“ – ausgeführt, dokumentiert oder verändert hat. Medizinische Daten, die personenbezogen oder personenbeziehbar sind, dürfen in den Protokollen nicht - auch nicht verschlüsselt - gespeichert werden.
Protokolle dienen daher zwei Zielen:

  1. Der Gewährleistung eines ordnungsgemäßen Betriebes von Computern und Netzwerken: hierzu werden Protokolldateien zur Fehleranalyse genutzt.
  2. Der Sicherstellung datenschutzrechtlicher Anforderungen: hierbei werden Protokolldateien herangezogen um die oben genannten fünf Fragestellungen zu beantworten.

Die Dauer der Speicherung der Protokollierungen richtet sich einerseits nach den relevanten gesetzlichen Vorgaben andererseits nach der Notwendigkeit zur Gewährstellung der Zielsetzung der Protokollierung. Dabei müssen grundsätzlich alle gesetzlichen Anforderungen erfüllt werden, das inkludiert u.a. auch die Anforderungen aus den jeweils geltenden Datenschutzgesetzen (Bundesdatenschutzgesetz, Landesdatenschutzgesetz usw.), also auch die frühestmögliche Löschung der Protokolldaten. Grundsätzlich muss die Protokollierung dem Prinzip der Datenvermeidung und Datensparsamkeit genügen; es muss sichergestellt sein, dass nur die unbedingt notwendigen Daten protokolliert werden.

2 Rechtliche Grundlagen

2.1 Datenschutzrechtliche Bestimmungen

Sozialdaten betreffend verlangt §78a SGB X technische und organisatorischen Maßnahmen einschließlich der Dienstanweisungen zum Schutz personenbezogener oder personenbeziehbarer Daten. In der Anlage zu §78a fordert der Gesetzgeber:

  • „zu gewährleisten, dass Sozialdaten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung von Sozialdaten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle)“
  • „zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Sozialdaten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle)“.
    In gleicher Form fordert dies das BDSG in §11 für öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen:
  • „zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle)“
  • „zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle)“.

Das DSG NRW weist in §10 Abs. 2 ebenfalls entsprechende Forderungen auf:

  • „festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit)“
  • „die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz)“.

All diesen Anforderungen kann nur durch eine Protokollierung entsprechender Ereignisse entsprochen werden.

2.2 Telekommunikationsgesetz

Im Rahmen der Bereitstellung von Telekommunikationsdiensten (Internetzugang, Telefondienste, elektronische Post, Telefonauskunft usw.) erfassen und speichern Betreiber derartiger Dienste personenbezogene oder personenbeziehbare Daten, wobei die rechtliche Grundlage hier das Telekommunikationsgesetz (TKG) bildet. Entsprechend §3 Abs. 6 ist jeder ein Diensteanbieter, der ganz oder teilweise Telekommunikationsdienste erbringt oder an der Erbringung solcher Dienste mitwirkt. D.h., ein Krankenhaus, welches

  • die private Nutzung der Telekommunikationsdienste für deine Angestellten nicht verboten hat, oder
  • welches für Tochterunternehmen oder anderen Dritten Telekommunikationsdienste erbringt

und die Kosten hierfür ganz oder teilweise in Rechnung stellen, ist ein Diensteanbieter entsprechend den Bestimmungen des TKG.
Unterschieden werden vier Arten von Daten:

  1. Stammdaten oder Bestandsdaten
    • Die Anschrift des Teilnehmers oder Rechnungsempfängers,
    • die Art des Anschlusses.
  2. Verkehrsdaten
    • Nummer oder Kennung der beteiligten Anschlüsse (Z.B. IP-Adresse) oder der Endeinrichtung,
    • personenbezogene Berechtigungskennungen,
    • bei Verwendung von Kundenkarten auch die Kartennummer,
    • Beginn und das Ende der jeweiligen Verbindung nach Datum und Uhrzeit und, soweit die Entgelte davon abhängen, die übermittelten Datenmengen,
    • den vom Nutzer in Anspruch genommenen Telekommunikationsdienst,
    • die Endpunkte von festgeschalteten Verbindungen, ihren Beginn und ihr Ende nach Datum und Uhrzeit und, soweit die Entgelte davon abhängen, die übermittelten Datenmengen,
    • sonstige zum Aufbau und zur Aufrechterhaltung der Telekommunikation sowie zur Entgeltabrechnung notwendige Verkehrsdaten.
  3. Standortdaten
  4. Inhaltsdaten

Diese Daten dürfen nur für Zwecke der Besorgung eines Kommunikationsdienstes ermittelt oder verarbeitet werden (§ 96 Abs.1).
Stammdaten dürfen vom Diensteanbieter nur zu folgenden Zwecken gespeichert und genutzt werden:

  • Abschluss, Durchführung, Änderung oder Beendigung des Vertrages,
  • Verrechnung der Entgelte,
  • Erstellung von Teilnehmerverzeichnissen sowie
  • Erteilung von Auskünften an Notrufträger.

Verkehrsdaten dürfen nur zum Zwecke der Abrechnung oder - bei Zustimmung der betroffenen Person - zu Zwecken der Vermarktung von Telekommunikationsdiensten verwendet werden; letzteres ist für ein Krankenhaus in der Regel nicht von Interesse. Verkehrsdaten, die nicht zu diesen Zwecken benötigt werden, sind vom Diensteanbieter nach Beendigung der Verbindung unverzüglich zu löschen, die restlichen Daten sind spätestens sechs Monate nach Versendung der Rechnung zu löschen.
Standortdaten dürfen nur im zur Bereitstellung von Diensten mit Zusatznutzen erforderlichen Umfang und innerhalb des dafür erforderlichen Zeitraums verarbeitet werden, wenn sie anonymisiert wurden oder wenn der Teilnehmer dem Anbieter des Dienstes mit Zusatznutzen seine Einwilligung erteilt hat.
Inhaltsdaten dürfen ohne richterlichen Befehl überhaupt nicht gespeichert werden. Die Vorschriften von §113 TKG zur Auskunftserteilung bleiben hiervon natürlich unberührt, desgleichen die Speicherungspflichen aus §113a TKG. Weiterhin darf ein Diensteanbieter die Bestandsdaten und die protokollierten Verkehrsdaten zur Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen verwenden.

2.3 Telemediengesetz

Im Sinne von §2 Telemediengesetzes (TMG) ist jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt, ein Diensteanbieter; eine kommerzielle Absicht ist hier keine Voraussetzung. Telemedien sind beispielsweise

  1. Webportale
  2. andere Verteildienste, die im Wege einer Übertragung von Daten ohne individuelle Anforderung gleichzeitig für eine unbegrenzte Anzahl von Nutzern erbracht werden
  3. Telemedien mit Inhalten, die nach Form und Inhalt fernsehähnlich sind und die von einem Diensteanbieter zum individuellen Abruf zu einem vom Nutzer gewählten Zeitpunkt und aus einem vom Diensteanbieter festgelegten Inhaltekatalog bereitgestellt werden.
    Das TMG unterscheidet zwei Datenarten:
  4. Bestandsdaten: Daten, welche zur Vertragserfüllung notwendig sind (Namen, Anschrift,…)
  5. Nutzungsdaten: Daten, die zur Ermöglichung der Inanspruchnahme von Telemedien sowie - falls erforderlich - für deren Abrechnung benötigt werden. Nutzungsdaten sind beispielsweise
    • Merkmale zur Identifikation des Nutzers,
    • Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und
    • Angaben über die vom Nutzer in Anspruch genommenen Telemedien.

Bei Nutzung von Pseudonymen dürfen Nutzungsprofile erstellt werden, sofern der Nutzer dieser Nutzung nicht widerspricht (auf das Widerspruchsrecht ist hinzuweisen) und eine De-Pseudonymisierung nicht erfolgt.
Entsprechend §13TMG muss ein Diensteanbieter dem Nutzer auf Verlangen Auskunft über die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten erteilen. Die protokollierten Bestands- und Nutzungsdaten dürfen daher neben den Zwecken der Abrechnung nur zu datenschutzrechtlichen Zwecken gespeichert und genutzt werden. Für Fehleranalysen sind ausschließlich anonymisierte Protokolldaten zu nutzen.

2.4 Zusammenfassung

Des Weiteren hat der Europäische Gerichtshof für Menschenrechte in einem Urteil aus dem Jahr 2008 (ECHR Application No. 20511/03 ) im Zusammenhang mit Zugriffen auf medizinische Daten eines Krankenhausinformationssystems entschieden, dass in der fehlenden Protokollierung von (lesenden) Zugriffen auf medizinische Daten ein Verstoß gegen Artikel 8 der Europäischen Menschenrechtskonvention liegt.
Aufgrund bestehender Revisionsanforderungen bzw. des Unternehmensinteresses an einer integren und konsistenten Datenbasis ist in IT-Verfahren häufig bereits eine Protokollierung schreibender bzw. ändernder Zugriffe vorgesehen. Dies entspricht der Eingabekontrolle nach den in Abschnitt 6.4.2 genannten Gesetzen. Da die datenschutzrechtliche Bewertung insbesondere auch die Frage der zulässigen Kenntnisnahme personenbezogener Daten betrifft, bedarf es darüber hinaus einer Protokollierung auch lesender Zugriffe. Eine Protokollierung lesender Zugriffe ist aus Gründen der datenschutzrechtlichen Revisionssicherheit grundsätzlich erforderlich.
Die Protokollierung lesender, schreibender und ändernder Zugriffe ist daher aus rechtlicher Sicht unumgänglich.
Zur Fehleranalyse sollten nach Möglichkeit anonymisierte Protokolle (dies schließt eine Anonymisierung der IP-Adresse ein) verwendet werden. Gerade bei der Fehleranalyse in vernetzten Computersystemen ist dies nicht immer möglich. Erfolgt eine Nutzung protokollierter Daten ohne Anonymisierung ist dies unter Angabe von Sachverhalt inklusive Fragestellung und Begründung, warum eine Nutzung anonymisierter Protokolldaten nicht möglich ist, dem zuständigen Datenschutzbeauftragten anzuzeigen.

3 Begrifflichkeiten

Unter Protokollierung beim Betrieb von Informations- und Kommunikations-Systemen ist in datenschutzrechtlichem Sinne die Erstellung von manuellen oder automatisierten Aufzeichnungen

  • über die tatsächlichen Veränderungen an Hardware-Komponenten (z. B. vorübergehendes Entfernen von Sicherheitselementen) und an der Software (Betriebssystem, systemnahe Software, Anwendungssoftware) sowie
  • über Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten

zu verstehen. Elemente einer Protokollierung sind:

  • Art der Aktivität,
  • Zeitpunkt der Aktivität bzw. des Ereignisses,
  • ausführende Person,
  • eventuell Eingabedaten.

4 Organisatorische Anforderungen

Da Protokolldaten geeignet sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen, sollten Mitbestimmungsrechte der Personalvertretungen berücksichtigt werden (vgl. § 87 Abs. 1 Nr. 6 BetrVG). Das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG ist weit gefasst und setzt bereits dann ein, wenn eine technische Einrichtung zur Verhaltens- und Leistungskontrolle auch nur abstrakt geeignet ist. Auf ein konkretes Kontrollinteresse von Arbeitgebern kommt es hingegen nicht an. Deshalb ist die frühzeitige Beteiligung der Personalvertretung und des/der Datenschutzbeauftragten vor der Einführung eines solchen Systems unerlässlich.
Die Auswertung personenbezogener Protokolldaten muss also immer im Vier-Augen-Prinzip, unter Beachtung der personalrechtlichen Beteiligungspflichten und unter Einbeziehung der organisationseigenen Datenschutz- und IT-Sicherheitsbeauftragten, erfolgen.
Die Protokollierung muss revisionssicher erfolgen. Die Integrität des Protokolls durch den Einsatz elektronischer Signaturen gewährleistet werden.

4.1 Dienstanweisung

Im Rahmen der Dienstanweisung zur Nutzung des eArchivs sollten u. a. folgende Regelungen Berücksichtigung finden:

  • Bestimmungen zur Aufbau- und Ablauforganisation,
  • Festlegung der Zuständigkeiten (organisations-, funktionsbezogen; zentral oder dezentral in Abhängigkeit von den Ergebnissen der Organisationsanalyse),
  • Festlegung von Verfahrens- und Bearbeitungsregelungen
    • Festlegung der Zeichnungsbefugnisse,
    • Bestimmungen zur Vertretungsregelung und zur Verwaltung von internen Vertretungs- und Berechtigungsregelungen,
    • Festlegung eines Rollen- und Zugriffsrechtekonzeptes ( z. B.: Administration, Revision, Sachbearbeitung),
    • Bearbeitungsregelungen für Dokumente mit höherem Vertraulichkeitsbedarf,
  • Verfahrensregelungen zur Behandlung nicht geeigneter Eingänge (z. B. Speicherung von Dokumenten mit unvollständiger oder fehlerhafter Signatur oder von Dokumenten, die nicht entschlüsselt werden konnten, Behandlung von Dokumenten in einem nicht akzeptablen Datenformat),
  • Verpflichtung zur Datensicherung und Datenarchivierung und Festlegung von Formaten mit Eignung für eine Langzeitspeicherung.

Das Rollen- und Berechtigungskonzept im eArchiv erlaubt den Zugriff auf Protokolldaten zu beschränken, so dass die Daten nur gemeinsam von Datenschutzbeauftragten und Administrator eingesehen werden können (Vier-Augen-Prinzip).

5 Art und Umfang der Protokollierung sowie deren Nutzung

Der Zweck der Protokollierung besteht darin, ein Verfahren zur Verarbeitung personenbezogener Daten insoweit transparent zu machen, dass die Ordnungsmäßigkeit bzw. ein Verstoß gegen die Ordnungsmäßigkeit einer Verarbeitung personenbezogener Daten nachweisbar ist. Die Protokolldaten müssen darüber Auskunft geben können,

  • wer
  • wann
  • welche personenbezogene Daten
  • in welcher Weise

verarbeitet hat. Ihre Nutzung für Revisions- und Beweiszwecke erfordert, dass sie vollständig und nur den zur Nutzung Berechtigten zugänglich sind und nicht nachträglich verändert werden können. Zur Wahrung der Vertraulichkeit, Integrität und Authentizität sind geeignete kryptografische Verfahren nach dem Stand der Technik einzusetzen. Auch für die Gestaltung von Protokollierungsverfahren gilt der Grundsatz der Erforderlichkeit. Art, Umfang und Dauer der Protokollierung sind demnach auf das zur Erfüllung des Protokollierungszwecks erforderliche Maß zu beschränken. Der Umfang der Protokollierung korrespondiert dabei mit den bestehenden Zugriffsregelungen. Bei hinreichend fein differenziertem Zugriffsschutz kann eine Protokollierung reduziert werden; umgekehrt steigt ihre Bedeutung in den Bereichen mit weit gefassten (Abfrage-) Berechtigungen. Die Protokollierung sollte möglichst auf Transaktionsebene erfolgen, um eine an der fachlichen Verfahrenslogik bzw. den jeweiligen Geschäftsprozessen orientierte Nachvollziehbarkeit zu ermöglichen. Eine Protokollierung auf Datenbankebene oder eine technische Protokollierung ohne Bezug zum sachlichen Zusammenhang eines Zugriffs trägt dem nicht Rechnung. Ebenso genügt eine technisch mögliche Protokollierung lesender Zugriffe, die aufgrund daraus resultierender Datenvolumina und Leistungseinbußen letztlich nicht eingesetzt wird, den datenschutzrechtlichen Anforderungen nicht.
Hinsichtlich einer datenschutzrelevanten Protokollierung ist zwischen Zugriffen, die aus der fachlichen Nutzung des Verfahrens resultieren und administrativen Zugriffen im Rahmen des System- und Verfahrensbetriebs zu differenzieren.
Generell gilt: Es muss verhindert werden, dass

  • ein ändernder Zugriff auf die Protokolldaten durch diejenigen Personen stattfinden kann, deren Tätigkeiten durch die Protokolldaten dokumentiert werden.
  • ein lesender Zugriff auf die Protokolldaten aus anderen Gründen als der Aufrechterhaltung von Datenschutz und Datensicherheit erfolgen kann.

5.1 Protokollierung von Daten aus der Verfahrensnutzung

Bei der Nutzung von Verfahren zur automatisierten Verarbeitung personenbezogener Daten ist die Protokollierung zum Nachweis einer korrekten, rechtskonformen Verarbeitung geboten. Die Inhalte der Protokolldaten orientieren sich hierbei an der Art der Verarbeitung und am Schutzbedarf der jeweiligen Daten. Damit ist es nicht zwingend erforderlich, jeglichen Zugriff zu protokollieren. Im Interesse einer sinnvollen Begrenzung und Auswertbarkeit - und unter Berücksichtigung bestehender Zugriffsbeschränkungen - kann es angebracht sein, die Protokollierung vorrangig auf Zugriffe in bestimmten Bereichen auszurichten. Im Gesundheitswesen sind dies insbesondere Aufrufe von Transaktionen und Reports zu

  • Stammdaten von Patienten,
  • Fall- und Leistungsübersichten,
  • Verordnungen und Belege,
  • Allgemeine medizinischen Daten,
  • Ärztlichen Berichten,
  • Gutachten,
  • Datensätzen besonderer Personengruppen (z.B. Mitarbeiterdaten, VIPs),
  • Daten außerhalb des fachlichen oder regionalen Zuständigkeitsbereichs des Benutzers,
  • Zugriff auf gesperrten Fälle,
  • Rückweisungen aufgrund fehlender Berechtigungen.

Eine Protokollierung kann entbehrlich sein, wenn Zugriffe im Rahmen technisch festgelegter Geschäftsprozesse erfolgen, bei denen in wiederkehrender Weise bestimmte Verarbeitungsschritte aufeinanderfolgen (Workflow) und dies anhand einer Fachdokumentation nachvollziehbar ist (z.B. automatisch gesteuerter Verarbeitungsprozess von der Beantragung eines Hilfsmittels bis zur Genehmigung / Bereitstellung). Der konkrete Umfang der Protokollierung sollte im Rahmen der Grundkonfiguration des Verfahrens mit dem internen Datenschutzbeauftragten abgestimmt werden.
Eine angemessene Nachvollziehbarkeit ist im Allgemeinen bei der Erfassung folgender Angaben sichergestellt:

  • Authentifizierung und Autorisierung (Login/Logout),
  • Kennung des jeweiligen Benutzers,
  • Zeitpunkt eines Zugriffs,
  • Kennung der jeweiligen Arbeitsstation,
  • aufgerufene Transaktion (Anzeige-/Abfragefunktion, Reportname, Maskenbezeichnung),
  • verwendete Such- bzw. Abfragekriterien (z.B. Versichertennummer, Name, Geburtsdatum, Wohnort, Fallnummer etc.),
  • Ergebnis der Abfrage (z.B. Zahl der Trefferfälle, Fallnummern, Kennung der angezeigten Bildschirmmaske; i.d.R. jedoch keine Datensatzinhalte),
  • etwaige Folgeaktionen bzw. Navigationsschritte (z.B. Auswahl eines Datensatzes aus einer Trefferliste, Aufruf Bildschirmmasken, Druck, Datenexport).

Die Löschung von Daten ist Teil einer Protokollierung ändernder Zugriffe und sollte lediglich insoweit erfasst werden, als für einzelne Daten der Zeitpunkt der Löschung und der jeweilige Benutzer, für Datensätze zusätzlich die jeweilige Patienten- bzw. Fallnummer oder vergleichbare Identifikationsmerkmale festgehalten werden.

5.2 Protokollierung administrativer Zugriffe

Das Administrationspersonal verfügt regelmäßig über Zugriffsrechte, die über das zur üblichen Verfahrensnutzung notwendige Maß hinausgehen. Beschränkungen, denen die fachlichen Nutzer eines Verfahrens unterliegen, gelten für die Administration in der Regel nicht. Die Wahrnehmung administrativer Funktionen bedarf damit einer besonderen Kontrolle.
Dabei ist auch zu sehen, dass die Protokollierung außer für datenschutzrechtliche Zwecke auch zum Schutz der Administration vor unberechtigten Vorwürfen hinsichtlich missbräuchlicher Zugriffe dienen kann. Ohne eine entsprechende Protokollierung könnten solche Vorwürfe gegen Administratoren nicht nachhaltig entkräftet werden. In diesen Bereich der Protokollierung fallen alle Zugriffe im Rahmen der technischen und fachlichen Verfahrensbetreuung, die Auswirkungen auf Art oder Umfang der Verarbeitung personenbezogener Daten haben, insbesondere:

  • Maßnahmen der Installation / Deinstallation von Software,
  • Änderungen der Anwendungskonfiguration (z.B. Customizing, Festlegen von Migrationsregeln, Residenzzeiten / Löschfristen, Login-Parameter, Anzeigeparameter, usw.),
  • Zugriffe im Rahmen einer etwaigen Mandantenverwaltung,
  • die Anlage, Änderung und Löschung von Rollen,
  • die Vergabe, Änderung und Löschung von Berechtigungen,
  • die Administration von Benutzern (Anlage, Sperre, Löschung, Rollenzuweisung),
  • die Einrichtung / Änderung standardmäßig vorgegebener Auswertungsmöglichkeiten (Reports),
  • der Import / Export von Datenbeständen,
  • Datenübermittlungen,
  • Prozesse zur Aggregierung, Pseudonymisierung / Anonymisierung von Datenbeständen (Date Warehouse),
  • Archivierungen / Datensicherungen.

Vergleichbar der Aufteilung administrativer Funktionen auf eine Verfahrens- und eine Benutzer- bzw. Berechtigungsadministration dürfen Zugriffe auf die zur Datenschutzkontrolle erzeugten Protokolldaten nicht dem Personenkreis möglich sein, dessen Zugriffe gerade über die Protokollierung dokumentiert werden. Im Rahmen einer angemessenen Zugriffskontrolle für die Protokolldaten sollten daher kryptografische Verfahren zum Einsatz kommen oder ein Zugriff nur nach dem 4-Augen-Prinzip (Administration / Datenschutzbeauftragter) möglich sein.

5.3 Umfang der Protokollierung

Die Zwangsläufigkeit und damit die Vollständigkeit der Protokolle muss ebenso gewährleistet werden wie die Manipulationssicherheit der Einträge in Protokolldateien. Im Gegensatz zur Protokollierung schreibender Zugriffe, bei der in der Regel der Zustand vor und nach der jeweiligen Änderung erfasst wird, ist bei lesenden Zugriffen die Speicherung des Inhalts der betroffenen Datensätze weitgehend entbehrlich. Dies gilt insbesondere dann, wenn bei Bedarf der Inhalt eines Datensatzes zum Zeitpunkt des Zugriffs über eine vorhandene Protokollierung der Datenspeicherung und -änderung festgestellt werden kann. Im Übrigen handelt es sich um Daten, die nicht zwingend im unmittelbaren Zugriff stehen müssen, so dass über ein Archivierungskonzept eine frühzeitige Auslagerung der Protokolldaten vorgesehen werden kann.
Art und der Umfang der Protokollierung sind im Rahmen der Verfahrensentwicklung in einem Protokollierungskonzept für das jeweilige Verfahren unter Hinweis auf dieses übergeordnete Konzept zu dokumentieren.

6 Zweckbindung

Protokolldaten unterliegen einer strikten, in den Datenschutzgesetzen von Bund und Ländern geregelten Zweckbindung (z. B. § 31 BDSG).
Sie dürfen nur zu den Zwecken genutzt werden, die Anlass für ihre Speicherung waren. Dies sind in der Regel die in einem Sicherheitskonzept festgelegten allgemeinen Kontrollen, die nach datenschutzrechtlichen Vorschriften geforderte Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit denen personenbezogene Daten verarbeitet werden (z. B. § 81 Abs. 4 SGB X i.V.m. § 4g Abs. 1 und § 18 Abs. 2 BDSG) und die Kontrollen durch interne oder externe Datenschutzbeauftragte. Nur in Ausnahmefällen lassen die bereichsspezifischen Regelungen die Nutzung dieser Daten für andere Zwecke, z. B. zur Strafverfolgung, zu.
Protokolldaten dürfen nicht für eine automatisierte allgemeine Verhaltens- und Leistungskontrolle der Beschäftigten genutzt werden. Eine stichprobenweise oder anlassbezogene Auswertung von Protokolldaten im Rahmen der Datenschutzkontrolle ist keine derartige allgemeine Verhaltens- und Leistungskontrolle. Sie ist ebenfalls keine Vorratsdatenspeicherung; letztere erfolgt zu unbestimmten Zwecken, ein solcher (Datenschutzkontrolle) ergibt sich für die Protokolldaten jedoch aus § 31 BDSG.
Entsprechend der Zweckbindung der Datenbestände müssen wirksame Zugriffsbeschränkungen realisiert werden.

7 Nutzung von Protokolldaten, Auswertung

Bei Protokolldaten handelt es sich um personenbezogene Daten, die, je nach Umfang, einen umfassenden Einblick in die Tätigkeiten der Administratoren, und Nutzer bzw. Anwender ermöglichen. Sie unterliegen bei ihrer Speicherung und weiteren Verarbeitung bzw. Nutzung ihrerseits datenschutzrechtlichen Vorschriften. Im Rahmen der Zugriffskontrolle ist damit zu gewährleisten, dass eine Einsichtnahme nur den Personen möglich ist, in deren Aufgabenbereich etwaige Auswertungen fallen.

7.1 Nutzung zur Fehleranalyse

Die Nutzung von Protokollen, welche personenbezogene oder personenbeziehbare Daten enthalten, ist nur im begründeten Einzelfall statthaft. Hier ist nur die Nutzung von anonymisierten Protokolldaten für den Regelfall statthaft.

7.2 Datenschutzrechtliche Nutzung

Auswertungen dürfen entsprechend der unter Kapitel 6.4.6 genannten Zweckbindung grundsätzlich nur zur Datenschutzkontrolle erfolgen. Hierunter fällt in erster Linie die Klärung sich im Einzelfall ergebender Fragen, denen ein konkreter Anlass wie z.B. eine Eingabe oder ein Auskunftsersuchen eines Betroffenen, der Verdacht auf einen missbräuchlichen Datenzugriff oder eine Kontrollmaßnahme der Datenschutzaufsichtsbehörde zugrunde liegt. Insbesondere müssen folgende Ereignisse protokolliert werden und für datenschutzrechtliche Auswertungen per Filter darstellbar sein:

  • 2 x zeitgleiche Anmeldung des Benutzers
  • Änderung Systemrichtlinien
  • Anmeldung außerhalb der Dienstzeit des zugreifenden Benutzers
  • Anmeldung im Subsystem außerhalb des KIS-Kontextes
  • Mehr als drei Anmeldungen mit fehlerhaften Passwort
  • Ausdruck von Daten zu mehr als einem Patienten
  • Ausdruck von einem oder mehr Dokumenten ohne Begründung
  • Erweitern der Benutzerberechtigung zu administrativen Rechten
  • Export von Daten zu mehr als einem Patienten
  • Export von einem oder mehr Dokumenten ohne Begründung
  • Löschen von Dokumenten ohne Begründung
  • Notfallanmeldung
  • Notfallanmeldung ohne Begründung
  • Suche über mehrere Patienten
  • Suche über mehrere Patienten über Abteilungsgrenzen und/oder Mandanten hinweg
  • Veränderung am Regelwerk zur Protokollierung
  • Veränderung am Regelwerk zur Protokollierung ohne Begründung
  • Zugriff auf Auditprotokoll
  • Zugriff auf Auditprotokoll ohne Begründung
  • Zugriff auf Mitarbeiterdaten außerhalb Behandlungskontext
  • Zugriff auf VIP-Daten außerhalb Behandlungskontext
  • Zugriff mit „Super-User“-Rechten außerhalb der Arbeit an der Systemkonfiguration

7.3 Grundvoraussetzungen für die Nutzung von Protokolldaten

Der jeweilige Anlass ist nachvollziehbar zu dokumentieren. Daneben können, fallweise oder regelmäßig, zur Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme anlassunabhängige Auswertungen vorgenommen werden (vgl. § 81 Abs. 4 SGB X i.V.m. § 4g Abs. 1 Nr. 1 BDSG). Im Rahmen einer vorbeugenden Datenschutzkontrolle kommt es weiterhin in Betracht, die Protokolle turnusmäßig auf bestimmte Auffälligkeiten hin, wie auffällige Häufungen von Abfragen bestimmter Benutzerkennungen, eine Häufung von Abfragen außerhalb der Bürozeiten, unübliche Suchkriterien oder kritische Transaktionen hin auszuwerten. Der mit der Auswertung verfolgte Zweck und deren Ergebnis sind zu dokumentieren.
Es müssen geeignete Mechanismen zur Verfügung stehen, um die Protokolldaten entsprechend der in Kapitel 6.4.3 dargestellten Gesichtspunkte auswerten zu können. Dies erfordert eine Auswertbarkeit z.B. nach Benutzerkennungen, Arbeitsstationen, Funktionen / Transaktionen, Patientennummern/Fallnummern, Zeiträumen oder Suchkriterien. Hierzu sollten bereits im Verfahren selbst Auswertungsmöglichkeiten vorgesehen werden, die eine schnelle Selektion prüfungsrelevanter Datensätze erlauben.
Struktur und Format der Protokolldaten müssen es ermöglichen, dass bei Bedarf auch eine flexible Auswertung der Protokolle erfolgen kann. Die Protokolldaten müssen daher in einem durch gängige Analysewerkzeuge oder Datenbankfunktionen auswertbaren Format vorliegen bzw. in ein solches überführt werden können (z.B. CSV-Format mit geeigneten Trennzeichen, je Protokolleintrag eine Zeile). Im Interesse der zeitlichen Eingrenzbarkeit und der leichteren Steuerung von Aufbewahrungsfristen sollte möglichst eine tages- oder monatsbezogene Speicherung erfolgen.
Abhängig von den zugrundeliegenden rechtlichen Vorgaben setzt die Einführung eines Protokollierungsverfahrens u.U. die Mitbestimmung durch die Personalvertretung voraus. Aus datenschutzrechtlicher Sicht sollte auf jeden Fall für die Auswertung von Protokolldaten unter Berücksichtigung der vorstehend genannten Punkte und Festlegung der Beteiligten eine Verfahrensweise bestimmt werden.

8 Speicherungsdauer

Für jedes Protokolldatum ist bereits vor dem Erzeugen die Aufbewahrungsdauer festzulegen. Für die Aufbewahrung der Protokolle gelten die allgemeinen Löschungsregeln der Datenschutzgesetze. Der Umgang mit Protokolldaten, insbesondere aber das Verfahren zum Löschen der Protokolldaten muss im jeweiligen Protokollkonzept zum jeweiligen Verfahren beschrieben sein. Es müssen dabei auch die Protokolldaten in die Löschung einbezogen werden, die auf Datensicherungsmedien oder bei einem Auftragsdatenverarbeiter gespeichert sind.
Allgemein gilt: Soweit nicht bereichsspezifische Regelungen etwas anderes vorsehen, richtet sich die Aufbewahrungsdauer der Protokolle nach den allgemeinen Löschungsregeln der Datenschutzgesetze. Maßstab ist die Erforderlichkeit zur Aufgabenerfüllung einschließlich der Erfordernisse einer ordnungsgemäßen Dokumentation. Als Anhaltspunkte dienen die Wahrscheinlichkeit, dass Unregelmäßigkeiten (noch) offenbar werden können und die Notwendigkeit, die Gründe von Unregelmäßigkeiten anhand der Protokolle aufklären zu können. Im Allgemeinen ist danach eine Aufbewahrungsdauer von zwölf Monaten als ausreichend anzusehen.
Anderes gilt für die Daten aus der Protokollierung administrativer Zugriffe, insbesondere , soweit sie Konfigurationsänderungen und Datenübermittlungen betreffen. Diese sind als Teil der Verfahrensdokumentation anzusehen, da sie nicht in erster Linie die Nutzung eines Verfahrens dokumentieren, sondern dessen Betrieb. Hier sind längere Aufbewahrungsfristen, orientiert an der Dauer des Einsatzes eines Verfahrens vorzusehen.
Soweit Protokolle eigens zum Zweck gezielter Kontrollen angefertigt werden, ist eine kürzere Speicherungsfrist vorzusehen; in der Regel reicht hier eine Aufbewahrung bis zum Abschluss der Kontrolle aus. Gibt es keinen zwingenden Grund für das weitere Vorhalten von Protokolldateien, besteht eine Löschungspflicht (vgl. § 20 Abs. 2 BDSG).
Speicherdauer und Löschungspflicht sind im Rahmen der Verfahrensentwicklung in einem Protokollierungskonzept für das jeweilige Verfahren unter Hinweis auf dieses übergeordnete Konzept zu dokumentieren.
Bei der Protokollierung von Löschvorgängen für Protokolldaten dürfen keine personenbezogenen Daten in den Inhalten des Lösch-Protokolls enthalten sein. Stattdessen sind gegebenenfalls Hinweise auf Aktenzeichen oder Dateinamen aufzunehmen. Ferner müssen Angaben darüber, welche Person oder welche Systemkomponente die Löschung dieser Protokolldaten zu welchem Zeitpunkt vorgenommen hat, enthalten sein.

9 Glossar

Begriff Definition Quelle
AnonymisierenDas Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.DSG NRW, §3 Abs. 7
Automatisierte DatenverarbeitungAutomatisiert ist eine Datenverarbeitung, wenn sie durch Einsatz eines gesteuerten technischen Verfahrens selbsttätig abläuft.DSG NRW, §3 Abs. 5
BeschäftigteBeschäftigte sind:
- Arbeitnehmerinnen und Arbeitnehmer,
* zu ihrer Berufsbildung Beschäftigte,
- Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
- in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
- nach dem Jugendfreiwilligendienstegesetz Beschäftigte,
- Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
- Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist,
- Beamtinnen, Beamte, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende
BDSG, §3 Abs. 11
DatenverarbeitungDatenverarbeitung ist das Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen sowie Nutzen personenbezogener Daten. Im Einzelnen ist
* Erheben (Erhebung) das Beschaffen von Daten über die betroffene Person,
* Speichern (Speicherung) das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung,
* Verändern (Veränderung) das inhaltliche Umgestalten gespeicherter Daten,
* Übermitteln (Übermittlung) das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener Daten an einen Dritten in der Weise, dass die Daten durch die verantwortliche Stelle weitergegeben oder zur Einsichtnahme bereitgehalten werden oder dass der Dritte zum Abruf in einem automatisierten Verfahren bereitgehaltene Daten abruft,
* Sperren (Sperrung) das Verhindern weiterer Verarbeitung gespeicherter Daten,
* Löschen (Löschung) das Unkenntlichmachen gespeicherter Daten,
* Nutzen (Nutzung) jede sonstige Verwendung personenbezogener Daten, ungeachtet der dabei angewendeten Verfahren.
DSG NRW, §3 Abs. 2
EventEin auditierbares Ereignis. Ereignisse im Zusammenhang mit dieser Ausarbeitung müssen „attributierbar“ sein, sie sind also auf einen authentifizierten Nutzer zurückverfolgbar.
IdentitätsdatenIdentitätsdaten sind:
* Familiennamen, Vornamen, Geburtsnamen, frühere Namen und Titel
* Geburtstag (Tag im Geburtsmonat), Monat und Jahr der Geburt
* Straße und Hausnummer der Wohnanschrift zum Zeitpunkt der Meldung
* Geschlecht
* Postleitzahl und Wohnort zum Zeitpunkt der Erkrankung/Meldung
* Tag, Monat und Jahr Diagnose
* Tag, Monat und Jahr des Todes.
KRG NRW, §3 Abs 2,3
Personenbezogene DatenEinzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (betroffene Person).DSG NRW, §3 Abs. 1
PseudonymisierenDas Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse ohne Nutzung der Zuordnungsfunktion nicht oder nur mit einem unverhältnismäßigen Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Die Daten verarbeitende Stelle darf keinen Zugriff auf die Zuordnungsfunktion haben, diese ist an dritter Stelle zu verwahren.DSG NRW, §3 Abs. 8
RecordEin Audit-Protokolleintrag, d. h. ein Datensatz, welcher ein Event enthält
RevisionssicherheitDer Begriff „Revisionssicherheit“ bezieht sich die Anforderungen
- des Handelsgesetzbuches (§§ 239, 257 HGB)
- der Abgabenordnung (§§ 146, 147 AO),
- der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)
- …
d.h., auf praktisch ausnahmslos steuerrechtliche bzw. handelsrechtliche Vorgaben. Andere gesetzlichen Vorgaben werden hierbei nicht beachtet.
Die revisionssichere Archivierung ist nur ein Bestandteil der rechtsicheren Archivierung. So beinhaltet eine revisionssichere Archivierung beispielsweise keine datenschutzrechtlichen Vorgaben, z.B. bzgl. des Zugriffs auf die archivierten Daten. Hingegen beinhaltet eine revisions- und rechtssichere Archivierung auch alle rechtlichen Anforderungen.
Beispiel E-Mail-Archivierung in einem Krankenhaus:
Bei reinen Terminabstimmung nach dem Bundesdatenschutzgesetz um personenbezogene Daten, die entsprechend BDSG zu löschen sind, sobald die Terminabstimmung erfolgte. So können z.B. alle Mails nach 3 Monaten aus dem Archiv gelöscht werden. Steuerlich relevante Inhalte, wie zum Beispiel Bestellungen bei Lieferanten, müssen 6-10 Jahre aufbewahrt werden. Revisionssicher ist die Archivierung auch dann, wenn alle Mails nach 3 Monaten gelöscht werden. Rechtssicher ist die Archivierung, wenn die Mails revisionssicher entsprechend den verschiedenen gesetzlichen Bestimmungen behandelt werden.
SperrenSperren ist das Kennzeichnen von Daten, um ihre weitere Verarbeitung einzuschränken. Auf gesperrte Daten kann nur noch unter eng begrenzten Voraussetzungen zugegriffen werden; Beschränkung des Zugriffs nach Abschluss der Behandlung auf den alleinigen Zugriff der jeweiligen Fachabteilung.Orientierungshilfe KIS
TrailAudit-Pfad (=audit-trail) ist eine Protokoll-Aufzeichnung, bestehend aus einer Reihe von records
Triggerbedeutet übersetzt Auslöser/ Auslösereiz. Wird ein Datensatz aufgerufen (oder wird er eingefügt, gelöscht, geändert),wird ein Signal ausgelöst, der sogenannte Trigger

10 Abkürzungen

BDSGBundesdatenschutzgesetz
BetrVGBetriebsverfassungsgesetz
DICOMDigital Imaging and Communications in Medicine, ein Kommunikationsstandard des American College of Radiology/National Electrical Manufacturers Association für den medizinischen Bereich
DSG NRWDatenschutzgesetz Nordrhein-Westfalen
ECHREuropean Court of Human Rights
GDSG NRWGesetz zum Schutz personenbezogener Daten im Gesundheitswesen (Gesundheitsdatenschutzgesetz)
IHEIntegrating the Healthcare Enterprise
KRG NRWGesetz zur Einrichtung eines flächendeckenden bevölkerungsbezogenen Krebsregisters in Nordrhein-Westfalen (Krebsregistergesetz)
RFCRequests for Comments, eine Reihe von technischen und organisatorischen Dokumenten des RFC-Editor zum Internet
SGBSozialgesetzbuch

11 Mitgeltende Dokumente

11.1 Deutsche Gesetze

  1. Bundesdatenschutzgesetz (BDSG). [Online, zitiert 2013-02-01]; Verfügbar unter http://www.gesetze-im-internet.de/bdsg_1990/
  2. Zehntes Buch Sozialgesetzbuch - Sozialverwaltungsverfahren und Sozialdatenschutz (SGB X). [Online, zitiert 2013-02-01]; Verfügbar unter http://www.gesetze-im-internet.de/sgb_10/index.html
  3. Datenschutzgesetz Nordrhein-Westfalen (DSG NRW). [Online, zitiert 2013-02-01]; Verfügbar unter https://recht.nrw.de/lmi/owa/br_bes_text?anw_nr=2&gld_nr=2&ugl_nr=20061&bes_id=4908&aufgehoben=N&menu=1&sg=
  4. Gesetz zum Schutz personenbezogener Daten im Gesundheitswesen (Gesundheitsdatenschutzgesetz - GDSG NW). [Online, zitiert 2013-02-01]; Verfügbar unter https://recht.nrw.de/lmi/owa/br_bes_text?anw_nr=2&gld_nr=2&ugl_nr=21260&bes_id=4283&menu=1&sg=0&aufgehoben=N&keyword=gdsg#det0
  5. Gesetz zur Einrichtung eines flächendeckenden bevölkerungsbezogenen Krebsregisters in Nordrhein-Westfalen (EKR-NRW). [Online, zitiert 2013-02-01]; Verfügbar unter https://recht.nrw.de/lmi/owa/br_bes_text?anw_nr=2&gld_nr=2&ugl_nr=21260&bes_id=7505&menu=1&sg=0&aufgehoben=N&keyword=Krebsregister#det0
  6. Telemediengesetz (TMG). [Online, zitiert 2013-02-01]; Verfügbar unter http://www.gesetze-im-internet.de/tmg/BJNR017910007.html
  7. Telekommunikationsgesetz (TKG). [Online, zitiert 2013-02-01]; Verfügbar unter http://www.gesetze-im-internet.de/tkg_2004/index.html

11.2 Europäische Gesetze

  1. Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (1995). [Online, zitiert 2013-02-01]; Verfügbar unter http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:de:html
  2. Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation, 2002). [Online, zitiert 2013-02-01]; Verfügbar unter http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:DE:HTML
  3. Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (2001). [Online, zitiert 2013-02-01]; Verfügbar unter http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32001R0045:DE:HTML

11.3 Normen

  1. Medizinische Informatik - Audit-Trails für elektronische Gesundheitsakten (ISO/DIS 27789:2010

11.4 DICOM-Standard

  1. DICOM Supplement 95 (2010)Audit Trail Messages. [Online, zitiert 2013-02-01]; Verfügbar unter ftp://medical.nema.org/medical/dicom/Final/sup95_ft.pdf

11.5 IHE

  1. IT Infrastructure Technical Framework (2012) - Vol. 1 (ITI TF-1): Integration Profiles. [Online, zitiert 2013-02-01]; Verfügbar unter http://www.ihe.net/Technical_Framework/upload/IHE_ITI_TF_Vol1.pdf
  2. IT Infrastructure Technical Framework (2012) - Vol. 2a (ITI TF-2a): Transactions Part A. [Online, zitiert 2007-09-11]; Verfügbar unter http://www.ihe.net/Technical_Framework/upload/IHE_ITI_TF_Vol2a-2.pdf
  3. IT Infrastructure Technical Framework (2012) - Vol. 2b (ITI TF-2b): Transactions Part B. [Online, zitiert 2007-09-11]; Verfügbar unter http://www.ihe.net/Technical_Framework/upload/IHE_ITI_TF_Vol2b.pdf
  4. IT Infrastructure Technical Framework (2012) - Vol. 2x (ITI TF-2x): Appendices. [Online, zitiert 2007-09-11]; Verfügbar unter http://www.ihe.net/Technical_Framework/upload/IHE_ITI_TF_Vol2x.pdf

6.4.11.6 RFC

  1. RFC 3195
    New D, Rose M. (2001) Reliable Delivery for syslog. [Online, zitiert 2013-02-01]; Verfügbar unter http://www.rfc-editor.org/info/rfc3195
  2. RFC 3227
    Brezinski D, Killalea T. (2002) Guidelines for Evidence Collection and Archiving. [Online, zitiert 2013-02-01]; Verfügbar unter http://www.rfc-editor.org/info/rfc3227
  3. RFC 3881
    Marshall G. (2004) RFC 3881 Security Audit and Access Accountability Message XML Data Definitions for Healthcare Applications. [Online, zitiert 2013-02-01]; Verfügbar unter http://www.rfc-editor.org/info/rfc3881
  4. RFC 4660
    Khartabil H, Leppanen E, Lonnfors m, Costa-Requena J. (2006) Functional Description of Event Notification Filtering. [Online, zitiert 2013-02-01]; Verfügbar unter http://www.rfc-editor.org/info/rfc4660
  5. RFC 4661
    Khartabil H, Leppanen E, Lonnfors M, Costa-Requena J. (2006) An Extensible Markup Language (XML)-Based Format for Event Notification Filtering. [Online, zitiert 2013-02-01]; Verfügbar unter http://www.rfc-editor.org/info/rfc4661
  6. RFC 5424
    Gerhards R. (2009) The Syslog Protocol. [Online, zitiert 2013-02-01]; Verfügbar unter http://www.rfc-editor.org/info/rfc5424
  7. RFC 6665
    Roach aB. (2012) SIP-Specific Event Notification. [Online, zitiert 2013-02-01]; Verfügbar unter http://www.rfc-editor.org/info/rfc6665

Zurück zur Themenübersicht


Navigation
QR-Code
QR-Code Beispiel für ein Protokollierungskonzept (erstellt für aktuelle Seite)