Logs aufbewahren: DSGVO, NIS-2 und ISO 27001 im Vergleich
Wie lange müssen Sicherheitslogs aufbewahrt werden? DSGVO, NIS-2 und ISO 27001 verglichen – mit konkreten Werten für Microsoft 365, Azure und Wazuh.
Logs aufbewahren: DSGVO, NIS-2 und ISO 27001 im Vergleich
Key Takeaways
- Die DSGVO kennt keine Mindest-Aufbewahrungsfrist für Sicherheitslogs, verlangt aber Zweckbindung und Datensparsamkeit
- NIS-2 fordert ausreichende Protokollierungskapazitäten; ENISA empfiehlt mindestens 12 Monate Aufbewahrung
- ISO 27001:2022 (Annex A 8.15) schreibt einen risikobasierten Ansatz vor – in der Zertifizierungspraxis gelten 12 Monate als Minimum
- Microsoft 365 protokolliert standardmäßig nur 90 Tage, Azure Log Analytics nur 30 Tage – beides reicht für Compliance nicht aus
- Der scheinbare Widerspruch zwischen DSGVO-Datensparsamkeit und Sicherheitslogging lässt sich durch klare Zweckdefinition und technische Schutzmaßnahmen lösen
Warum Logaufbewahrung zum Compliance-Problem wird
Sicherheitslogs sind das Gedächtnis jeder IT-Infrastruktur. Ob Windows-Ereignisprotokoll, Firewall-Traffic oder Microsoft 365 Audit-Log – ohne vollständige Protokolldaten lassen sich Sicherheitsvorfälle weder zuverlässig erkennen noch nachträglich rekonstruieren. Gleichzeitig stellen drei unterschiedliche Regelwerke Anforderungen an eben diese Logs: DSGVO, NIS-2 und ISO 27001. Und sie sprechen nicht immer dieselbe Sprache.
Für IT-Verantwortliche in KMU stellt sich die Frage praktisch: Wie lange müssen Logs aufbewahrt werden? Was ist erlaubt, was ist Pflicht, und was passiert, wenn die Plattform-Defaults einfach übernommen werden? Dieser Artikel vergleicht die drei Regelwerke, benennt Widersprüche und zeigt, wie die technische Umsetzung in Microsoft-365- und Azure-Umgebungen konkret aussieht.
Was die DSGVO zu Logs sagt – und was sie verschweigt
Die DSGVO enthält keine explizite Vorschrift zur Mindest-Aufbewahrungsdauer von Sicherheitslogs. Das macht die Sache nicht einfacher, sondern komplizierter – weil der Spielraum Interpretationsarbeit erfordert.
Datensparsamkeit als Grundprinzip
Art. 5 Abs. 1 lit. e DSGVO schreibt vor, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für den Verarbeitungszweck erforderlich ist. Das Prinzip der Speicherbegrenzung gilt auch für Logs – sobald diese IP-Adressen, Benutzernamen oder andere personenbezogene Daten enthalten. Und das tun nahezu alle Sicherheitslogs.
Gleichzeitig verlangt Art. 32 DSGVO „geeignete technische und organisatorische Maßnahmen
Frequently asked
Wie lange müssen Sicherheitslogs nach NIS-2 aufbewahrt werden?
Die NIS-2-Richtlinie nennt keine konkrete Zahl, aber die ENISA empfiehlt in ihren Umsetzungsleitlinien zu Art. 21 mindestens 12 Monate Gesamtaufbewahrung – davon die letzten 3 Monate unmittelbar abrufbar für die Analyse. Das BSI-Grundschutz-Kompendium (OPS.1.1.5) orientiert sich an denselben Werten. In der Praxis gilt 12 Monate als Mindeststandard für NIS-2-betroffene Einrichtungen.
Verstößt die Aufbewahrung von Sicherheitslogs gegen die DSGVO?
Nicht automatisch. Sicherheitslogs enthalten zwar oft personenbezogene Daten (Benutzernamen, IP-Adressen), die Aufbewahrung ist aber auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen: IT-Sicherheit) oder Art. 6 Abs. 1 lit. c (gesetzliche Verpflichtung bei NIS-2-Betroffenheit) rechtfertigbar. Entscheidend: Der Zweck muss klar dokumentiert sein, der Zugang muss auf Sicherheitsteams beschränkt sein, und die Logs müssen nach Ablauf der festgelegten Frist automatisch gelöscht werden.
Reicht die Standard-Aufbewahrung in Microsoft 365 für Compliance aus?
Nein. Microsoft 365 speichert das Unified Audit Log standardmäßig nur 90 Tage (E3/Business Premium). Das reicht weder für NIS-2 (12 Monate) noch für ISO 27001 in der Praxis aus. Für 12 Monate ist mindestens eine E5-Lizenz oder das Microsoft Purview Compliance-Add-on erforderlich. Alternativ müssen Logs regelmäßig exportiert und in einem externen SIEM oder Azure Log Analytics mit angepasster Retention Policy archiviert werden.