Log-Management DSGVO-konform: Was darf wie lange gespeichert werden?
Log-Daten sind IT-Sicherheitspflicht und DSGVO-Risiko zugleich. Aufbewahrungsfristen, Pseudonymisierung und Zweckbindung kompakt erklärt für KMU.
Log-Management DSGVO-konform: Was darf wie lange gespeichert werden?
Key Takeaways
- Log-Daten sind fast immer personenbezogene Daten — die DSGVO gilt vollumfänglich
- Keine einheitliche gesetzliche Aufbewahrungsfrist: Zweckbindung und Verhältnismäßigkeit entscheiden
- 90 bis 180 Tage sind für Security-Logs gut begründbar; 12 Monate mit dokumentierter Rechtfertigung möglich
- Pseudonymisierung reduziert das DSGVO-Risiko, löst es aber nicht vollständig auf
- NIS-2 und DSGVO stehen nicht im Widerspruch — sie erfordern aber klare Prozesse
Das Spannungsfeld: Sicherheit braucht Logs, DSGVO begrenzt sie
Für IT-Sicherheit sind Logs unverzichtbar. Ohne vollständige Protokollierung können Sie Sicherheitsvorfälle nicht erkennen, keine forensische Analyse durchführen und keine NIS-2-Nachweispflichten erfüllen. Gleichzeitig enthalten Logs typischerweise personenbezogene Daten: IP-Adressen, Benutzernamen, Zeitstempel der Anmeldung, besuchte URLs.
Dieses Spannungsfeld ist kein unlösbarer Widerspruch — aber es erfordert eine klare rechtliche Grundlage, dokumentierte Prozesse und technische Schutzmaßnahmen. Unternehmen, die Logs einfach „für alle Fälle" unbegrenzt speichern, verstoßen gegen die DSGVO. Unternehmen, die Logs aus Datenschutzgründen gar nicht erst erheben, sind sicherheitstechnisch blind.
Was sind personenbezogene Daten in Logs?
Die Einordnung hängt von der Rückverfolgbarkeit ab. Folgende Datenelemente in Logs gelten in der Regel als personenbezogen:
| Log-Element | Personenbezogen? | Begründung |
|---|---|---|
| Externe IP-Adresse | Ja (in der Regel) | Über ISP zu natürlicher Person rückverfolgbar |
| Interne IP-Adresse | Ja, wenn Geräte Mitarbeitern zugeordnet | Gerät → Mitarbeiter |
| Benutzername | Ja | Direkt personenbezogen |
| E-Mail-Adresse | Ja | Direkt personenbezogen |
| Hostname/Gerätename | Oft Ja | Wenn mit Mitarbeiter verknüpft |
| Prozess-ID / Thread-ID | Nein | Technisch, nicht person-gebunden |
| Anonymisierte Aggregation | Nein (wenn wirklich anonym) | Keine Rückführbarkeit |
Wichtig: Pseudonymisierte Daten (z. B. Benutzername durch Hash ersetzt) gelten nach DSGVO weiterhin als personenbezogen, weil die Rückführbarkeit mit dem richtigen Schlüssel möglich ist. Sie profitieren jedoch von reduzierten Risikoeinschätzungen und können die Verhältnismäßigkeit stärken.
Rechtsgrundlage für Security-Logging
Die DSGVO erfordert eine Rechtsgrundlage für jede Verarbeitung personenbezogener Daten. Für Security-Logging kommen in Frage:
Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: NIS-2 verpflichtet betroffene Unternehmen zum Sicherheitsmonitoring und zur Nachweisfähigkeit bei Sicherheitsvorfällen. Diese gesetzliche Pflicht begründet eine legitime Rechtsgrundlage für das Logging.
Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen: Das berechtigte Interesse des Unternehmens an IT-Sicherheit und Schutz von Unternehmensdaten überwiegt in der Regel das Interesse der betroffenen Mitarbeiter an Log-Freiheit — solange die Logs nicht zur Verhaltenskontrolle verwendet werden.
Wichtig: Die gewählte Rechtsgrundlage muss im Verarbeitungsverzeichnis (Art. 30 DSGVO) dokumentiert sein. Das ist keine Formalität, sondern Pflicht. Der Datenschutzbeauftragte (sofern vorhanden oder bestellungspflichtig) sollte eingebunden werden.
Aufbewahrungsfristen: Was ist begründbar?
Eine einheitliche gesetzliche Vorgabe für Security-Log-Aufbewahrungsfristen existiert in Deutschland nicht. Die Frist leitet sich aus dem Zweck ab — und muss verhältnismäßig sein.
Sicherheitstechnisch empfohlene Fristen
| Log-Typ | Empfohlene Aufbewahrung | Begründung |
|---|---|---|
| Firewall- / IDS-Logs | 90–180 Tage | Angriffsmuster oft erst nach Wochen sichtbar |
| Authentifizierungslogs | 90–365 Tage | Forensische Rückverfolgung bei Compromise |
| VPN / Remote-Access-Logs | 90–365 Tage | Nachweis bei Vorfallsuntersuchungen |
| DNS-Queries (intern) | 30–90 Tage | Malware-Kommunikation erkennen |
| E-Mail-Server-Logs | 30–90 Tage | BEC-Erkennung, Phishing-Rückverfolgung |
| Web-Proxy-Logs | 30–90 Tage | Data-Exfiltration-Erkennung |
| Betriebssystem-Eventlogs | 90–180 Tage | Incident-Forensik |
| SIEM-Korrelationsereignisse | 12 Monate | NIS-2-Nachweis, regulatorische Compliance |
Gesetzliche Sonderregelungen
Einige Gesetze schreiben spezifische Aufbewahrungsfristen vor, die Security-Logs berühren können:
- Steuerrechtliche Logs (GoBS): Protokolle zu buchungsrelevanten IT-Systemen müssen 10 Jahre aufbewahrt werden
- Telekommunikationsgesetz (TKG): Für TK-Dienstleister gelten spezifische Löschpflichten
- KWG / MaRisk (für Banken und Finanzinstitute): Mindestens 5 Jahre für risikorelevante Systemlogs
Für die meisten KMU außerhalb regulierter Sektoren gilt: 90 bis 180 Tage Security-Log-Retention ist DSGVO-konform und sicherheitstechnisch ausreichend begründbar. Längere Fristen (bis 12 Monate) sind mit entsprechender Dokumentation im Verarbeitungsverzeichnis rechtfertigbar, sollten aber nicht pauschal gesetzt werden.
Technische Schutzmaßnahmen
Die DSGVO fordert „geeignete technische und organisatorische Maßnahmen" (Art. 32). Für Log-Management bedeutet das konkret:
Pseudonymisierung
Benutzernamen und IP-Adressen werden durch deterministisch berechnete Hashes ersetzt. Vorteil: SIEM-Korrelation über denselben Nutzer ist weiter möglich (gleicher Hash), aber der Klarname ist ohne Schlüssel nicht lesbar. Der Pseudonymisierungs-Schlüssel wird separat und zugangsbeschränkt gespeichert.
Einschränkung: Pseudonymisierung ist nach DSGVO keine Anonymisierung. Die Daten bleiben personenbezogen, aber mit reduzierten Risikoprofil.
Verschlüsselung at rest und in transit
Log-Daten sollten verschlüsselt gespeichert werden (AES-256) und nur über verschlüsselte Kanäle übertragen werden (TLS 1.2+). Schlüsselverwaltung muss dokumentiert sein.
Zugriffskontrolle
Wer darf Logs lesen? Rollenbasierter Zugriff (RBAC) mit Least-Privilege-Prinzip. Log-Zugriffe selbst sollten geloggt werden (Meta-Logging). Besonders sensibel: Zugriff auf Authentifizierungslogs sollte auf Security-Personal beschränkt sein.
Write-Once / Log-Integrität
Logs, die manipuliert werden können, sind forensisch wertlos und können als Nachweis nicht gelten. Unveränderliche Speicherschichten (Write-Once S3 Object Lock, WORM-Storage) oder kryptografische Integritätsprüfungen schützen die Beweiskette.
Das Verarbeitungsverzeichnis richtig befüllen
Art. 30 DSGVO fordert ein Verarbeitungsverzeichnis für alle Verarbeitungstätigkeiten. Security-Logs sind eine eigene Verarbeitungstätigkeit und müssen dokumentiert werden:
- Zweck der Verarbeitung: IT-Sicherheitsmonitoring, Vorfallserkennung, NIS-2-Compliance, forensische Analyse
- Kategorien betroffener Personen: Mitarbeiter, externe Nutzer, Systemkonten
- Kategorien personenbezogener Daten: IP-Adressen, Benutzernamen, Zeitstempel
- Empfänger: Intern (Security-Team), ggf. externer MSSP
- Drittlandübermittlung: Falls SIEM-Daten außerhalb der EU verarbeitet werden — Standardvertragsklauseln erforderlich
- Löschfristen: Konkrete Fristen pro Log-Typ
- Technische Schutzmaßnahmen: Verschlüsselung, Zugriffskontrolle, Pseudonymisierung
Vyrex betreibt alle Log-Verarbeitung ausschließlich in deutschen Rechenzentren (Hetzner Falkenstein/Nürnberg) — keine Drittlandübermittlung, volle DSGVO-Konformität dokumentierbar. Das vereinfacht den Verarbeitungsverzeichnis-Eintrag erheblich. Details zu /leistungen/managed-siem und /products/node.
Betriebsrat und Mitbestimmung
In Unternehmen mit Betriebsrat unterliegt die Einführung technischer Systeme zur Verhaltens- oder Leistungskontrolle der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Security-Monitoring-Systeme fallen darunter, wenn sie auch zur Kontrolle des Mitarbeiterverhaltens genutzt werden könnten.
Empfehlung: Betriebsvereinbarung zu IT-Sicherheitsmonitoring abschließen, die explizit regelt:
- Welche Daten erfasst werden
- Wie lange sie gespeichert werden
- Wer Zugriff hat
- Dass Log-Daten nicht zur Verhaltenskontrolle einzelner Mitarbeiter genutzt werden
Diese Betriebsvereinbarung stärkt gleichzeitig die Rechtsgrundlage für die Verarbeitung.
Weiterführend zur Compliance-Seite: NIS-2 Checkliste 2026 und SIEM selbst betreiben oder auslagern?.
FAQ
Wie lange dürfen Security-Logs nach DSGVO gespeichert werden? Es gibt keine einheitliche gesetzliche Frist für Security-Logs. Die DSGVO fordert das Prinzip der Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie der Zweck es erfordert. Für IT-Sicherheitszwecke sind 90 bis 180 Tage gut begründbar; für forensische Zwecke und NIS-2-Nachweispflichten können bis zu 12 Monate rechtfertigbar sein — mit entsprechender Dokumentation im Verarbeitungsverzeichnis.
Sind System-Logs überhaupt personenbezogene Daten im Sinne der DSGVO? Ja, in der Regel. IP-Adressen, Benutzernamen, Gerätekennungen und Zeitstempel sind personenbezogene Daten, soweit sie einer natürlichen Person zugeordnet werden können. Das gilt auch für Logs, die primär für technische Zwecke erhoben werden. Rein anonymisierte Logs (ohne jede Rückverfolgbarkeit) sind kein personenbezogenes Datum.
Brauche ich für das Log-Management eine Datenschutz-Folgenabschätzung (DSFA)? Eine DSFA ist in der Regel erforderlich, wenn Logs in großem Umfang erhoben werden, eine systematische Auswertung des Nutzerverhaltens stattfindet oder besonders sensible Daten in Logs enthalten sind. Für normales IT-Security-Logging ohne Verhaltensanalyse ist eine DSFA oft nicht zwingend, aber ein Verarbeitungsverzeichnis-Eintrag immer.
Darf ich Logs für die Mitarbeiterüberwachung nutzen? Nein, oder nur sehr eingeschränkt. Logs, die primär für IT-Sicherheitszwecke erhoben wurden, dürfen nicht zweckfremd zur Leistungs- oder Verhaltenskontrolle von Mitarbeitern genutzt werden. Das Zweckbindungsprinzip der DSGVO gilt. In Deutschland kommt das Mitbestimmungsrecht des Betriebsrats (§ 87 BetrVG) hinzu.
Wie schütze ich Log-Daten gegen unbefugten Zugriff? Log-Daten sollten verschlüsselt gespeichert werden (at rest und in transit), Zugriff nur für autorisierte Rollen (Principle of Least Privilege), Änderungen an Log-Dateien durch Integritäts-Monitoring überwacht und der Zugriff selbst geloggt werden. Unveränderlichkeit (Write-Once) der Logs ist Best Practice und erhöht auch die forensische Verwertbarkeit.
Haben Sie Fragen zu DSGVO-konformem Log-Management in Ihrem Unternehmen? Sprechen Sie mit unserem Team oder erfahren Sie mehr über die Datenhaltung bei Vyrex Managed SIEM.
Frequently asked
Wie lange dürfen Security-Logs nach DSGVO gespeichert werden?
Es gibt keine einheitliche gesetzliche Frist für Security-Logs. Die DSGVO fordert das Prinzip der Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie der Zweck es erfordert. Für IT-Sicherheitszwecke sind 90 bis 180 Tage gut begründbar; für forensische Zwecke und NIS-2-Nachweispflichten können bis zu 12 Monate rechtfertigbar sein — mit entsprechender Dokumentation im Verarbeitungsverzeichnis.
Sind System-Logs überhaupt personenbezogene Daten im Sinne der DSGVO?
Ja, in der Regel. IP-Adressen, Benutzernamen, Gerätekennungen und Zeitstempel sind personenbezogene Daten, soweit sie einer natürlichen Person zugeordnet werden können. Das gilt auch für Logs, die primär für technische Zwecke erhoben werden. Rein anonymisierte Logs (ohne jede Rückverfolgbarkeit) sind kein personenbezogenes Datum.
Brauche ich für das Log-Management eine Datenschutz-Folgenabschätzung (DSFA)?
Eine DSFA ist in der Regel erforderlich, wenn Logs in großem Umfang erhoben werden, eine systematische Auswertung des Nutzerverhaltens stattfindet oder besonders sensible Daten (Gesundheitsdaten, biometrische Daten) in Logs enthalten sind. Für normales IT-Security-Logging ohne Verhaltensanalyse ist eine DSFA oft nicht zwingend, aber ein Verarbeitungsverzeichnis-Eintrag immer.
Darf ich Logs für die Mitarbeiterüberwachung nutzen?
Nein, oder nur sehr eingeschränkt. Logs, die primär für IT-Sicherheitszwecke erhoben wurden, dürfen nicht zweckfremd zur Leistungs- oder Verhaltenskontrolle von Mitarbeitern genutzt werden. Das Zweckbindungsprinzip der DSGVO gilt. In Deutschland kommt das Mitbestimmungsrecht des Betriebsrats (§ 87 BetrVG) hinzu.
Wie schütze ich Log-Daten gegen unbefugten Zugriff?
Log-Daten sollten verschlüsselt gespeichert werden (at rest und in transit), Zugriff nur für autorisierte Rollen (Principle of Least Privilege), Änderungen an Log-Dateien durch Integrität-Monitoring überwacht und der Zugriff selbst geloggt werden. Unveränderlichkeit (Write-Once) der Logs ist Best Practice und erhöht auch die forensische Verwertbarkeit.