Der Schutz der unternehmenseigenen IT-Landschaft kommt Hand in Hand mit der Sammlung von Logdaten. Informationen darüber welcher Client wann mit welchem Server kommuniziert hat oder was für Zugriffsversuche sich auf der Firewall ereignet haben werden in der Regel quantitativ nur damit begrenzt wie viel Speicher man zur Verfügung hat.
Solche "Logdaten" sind allerdings als personenbezogene Daten zu werten, da - zumindest indirekt - meist eine konkrete Person zugeordnet werden kann. Insofern gilt es auch in diesem Bereich die DSGVO zu beachten. Konkret bedeutet dies, dass man neben einer Rechtsgrundlage und einem legitimen Zweck für die Verarbeitung an sich, diese Daten eben nicht unbegrenzt aufbewahren darf, sondern auch wieder löschen muss.

Zweck, Rechtsgrundlage & Und Aufbewahrungsdauer

Der verfolgte Zweck und die legitimierende Rechtsgrundlage sind ziemlich unproblematisch zu beantworten, da die Sicherheit der eigenen IT-Landschaft jedenfalls im berechtigten Interesse des Unternehmens liegt. Diffiziler ist die Frage der Speicherdauer: die DSGVO verlangt, dass nach Erreichung des Zwecks personenbezogene Daten gelöscht werden. Konkret bedeutet das entweder klare Löschfristen oder aber zumindest klar definierte Kriterien. Der bisherige übliche Gold-Standard der Praxis "solange bis der Speicher voll ist" ist hier jedenfalls nicht mehr tragbar, da dies jedenfalls zu vage ist. Hinzukommt, dass die Argumentation "man könnte sie ja mal brauchen" mit zunehmender Speicherdauer zusehends ins Leere läuft: einerseits aufgrund der Tatsache, dass im Fall der Interessensabwägung die Speicherdauer möglichst klein zu bleiben hat, andererseits deswegen, weil rein faktisch die Wahrscheinlichkeit, dass diese Logdaten wirklich später einem Zweck dienen praktisch bei Null liegt.

Wie Lange darf ich die Daten nun aufbewahren?
Leider gibt es hierfür weder eine gesetzliche Regelung noch eine Rechtsprechung seitens der Aufsichtsbehörden. Eine Orientierungshilfe findet sich allerdings in Deutschland und zwar im Tätigkeitsbericht des Rundfunkdatenschutzbeauftragten für das Jahr 2019: Im Zuge einer Vorabkonsultation nach Art 36 DSGVO wurde dieser mit genau eben dieser Fragestellung konfrontiert und kam dabei zu dem Ergebnis, dass eine Speicherdauer von 90 Tagen gerechtfertigt ist. Inhaltlich orientierte sich der Rundfunkdatenschutzbeauftragte dabei an dem (deutschen) BSI-Gesetz, welches für Betreiber Kritischer Infrastrukturen eine Speicherdauer von (mindestens) 90 Tage verpflichtend vorschreibt.

Fazit

Im Wege eines Umkehrschlusses, wird man unserer Meinung nach durchaus argumentieren können, dass eine Speicherdauer von bis zu 90 Tagen für "normale" Unternehmen zulässig ist und man sich auch hierzulande an dem (deutschen) BSI-Standard orientieren darf.