Eine Konzerngesellschaft der
Datenschutzerklärung · im Rahmen der SIEM/SOC‑Leistung
Datenschutz
Rechtliche Informationen

DatenschutzerklärungSIEM/SOC

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten im Rahmen des Betriebs und der Nutzung der SIEM/SOC‑Leistung.

StandApril 2026
Version1.0
RechtsgrundlageDSGVO · BDSG
GeltungsbereichInterne Nutzer / Betreiber / Kunden
01

Verantwortliche Stelle & Datenschutzbeauftragter

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Betreiber / Verantwortlicher

operational services GmbH & Co. KG
Frankfurt Airport Center
Gebäude 234, HBK25
60549 Frankfurt am Main
Deutschland

Tel.: +49 (69) 689 702 – 710
Fax: +49 (69) 689 702 – 205
E-Mail: info@o-s.de

Datenschutzbeauftragter

Datenschutzbeauftragter
operational services GmbH & Co. KG
Frankfurt Airport Center
Gebäude 234, HBK25
60549 Frankfurt am Main

E-Mail: Datenschutz@o-s.de

Anfragen werden innerhalb von 30 Tagen beantwortet.

02

Verarbeitete Daten & Quellen

Im Rahmen der SIEM/SOC-Leistung werden folgende Kategorien personenbezogener und betrieblicher Daten verarbeitet:

Datenkategorie Beispiele Quelle
Authentifizierungsdaten Benutzername, Passwort-Hashwert, Mehrfaktor-Merkmale, Session-Kennung Nutzeranmeldung am Zugangsportal
Zugangsprotokolle Login-Zeitpunkt, IP-Adresse, Browser-Kennung, Erfolg/Fehlschlag Authentifizierungs-Protokolle
Anwendungs- & Systemlogs Betriebssystem- und Anwendungs-Ereignisse, Syslog-Einträge Log-Kollektoren der angebundenen Systeme
Sicherheitsrelevante Ereignisse Fehlanmeldungen, Rechteänderungen, Auffälligkeiten im Netzwerkverkehr Endgeräte-, Netzwerk- und Applikationslogs
Betriebsmetriken CPU-Auslastung, Arbeitsspeicher, Netzwerk-I/O, Prozesslisten Monitoring-Agenten
Audit-Protokolle der SIEM-Plattform Nutzeraktionen innerhalb der Plattform, Konfigurationsänderungen, Datenabrufe Audit-Logging der SIEM-Komponenten
Session- & Zugriffsdaten IP-Adresse, Browser-Typ, aufgerufene URLs, Zeitstempel Web-Zugriffsprotokolle
Pseudonymisierung: Soweit technisch und betrieblich möglich werden personenbezogene Felder (insbesondere Benutzernamen in Logs) vor der Speicherung pseudonymisiert oder durch Hash-Werte ersetzt. Die Rückführung erfolgt ausschließlich im Rahmen berechtigter Sicherheitsvorfälle.
03

Zweck der Verarbeitung & Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der Europäischen Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) ausschließlich zu den folgenden Zwecken:

Zweck Rechtsgrundlage Erläuterung
IT-Betrieb & Verfügbarkeit Art. 6 Abs. 1 lit. f DSGVO Berechtigtes Interesse an stabilem und sicherem Systembetrieb
Zugangskontrolle & Authentifizierung Art. 6 Abs. 1 lit. b, f DSGVO Vertragserfüllung sowie IT-Sicherheit
IT-Sicherheit & Angriffserkennung Art. 6 Abs. 1 lit. f DSGVO; § 26 BDSG Erkennung unbefugter Zugriffe, Brute-Force, Anomalien
Fehleranalyse & Debugging Art. 6 Abs. 1 lit. f DSGVO Beseitigung technischer Störungen und Sicherheitslücken
Kapazitätsplanung & Performance Art. 6 Abs. 1 lit. f DSGVO Statistiken auf Basis aggregierter Metriken
Compliance & Auditierung Art. 6 Abs. 1 lit. c DSGVO Erfüllung gesetzlicher Aufbewahrungspflichten
Beschäftigtendaten (§ 26 BDSG): Soweit Logs und Sicherheitsereignisse Rückschlüsse auf das Verhalten von Mitarbeitenden ermöglichen, erfolgt die Verarbeitung auf Basis von § 26 BDSG. Eine verhaltens- oder leistungsbezogene Überwachung von Beschäftigten ist ausdrücklich nicht Zweck dieser Verarbeitung. Automatisierte Auswertungen, die eine solche Kontrolle ermöglichen könnten, werden nur im Einklang mit den geltenden Mitbestimmungsregelungen (§ 87 Abs. 1 Nr. 6 BetrVG) und den mit dem Betriebsrat getroffenen Vereinbarungen eingesetzt.
04

Nutzung der SIEM-Oberfläche

Die SIEM-Oberfläche dient den berechtigten Analystinnen und Analysten zur Visualisierung und Auswertung sicherheitsrelevanter Ereignisse.

Beim Zugriff verarbeitete Daten

  • IP-Adresse und Browser-Kennung des anfragenden Clients
  • Zeitstempel aller Seitenaufrufe und Datenabfragen
  • Benutzername der angemeldeten Analystin bzw. des angemeldeten Analysten
  • Aufgerufene Dashboards, Sichten und gespeicherte Abfragen
  • Such- und Filterparameter der durchgeführten Abfragen

Audit-Logging innerhalb der Plattform

Sicherheitsrelevante Aktionen innerhalb der SIEM-Oberfläche werden lückenlos protokolliert, um Nachvollziehbarkeit und Revisionssicherheit zu gewährleisten:

  • Anmelde- und Abmeldevorgänge
  • Änderungen an Dashboards, Abfragen und Alarmregeln
  • Änderungen an Nutzerkonten und Berechtigungen
  • Datenabrufe (welche Person hat welche Daten eingesehen)
Die Audit-Protokolle unterliegen den unter § 8 beschriebenen Aufbewahrungsfristen. Der Zugriff auf diese Protokolle ist auf einen eng begrenzten Kreis von Administratoren mit erhöhter Berechtigung beschränkt.
05

Log- & Ereignisdaten

Zur Erkennung sicherheitsrelevanter Vorfälle werden Log- und Ereignisdaten aus den angebundenen Systemen erfasst, übertragen und zentral analysiert. Die Datenerhebung erfolgt durch Log-Kollektoren und Monitoring-Agenten, die auf den Zielsystemen betrieben werden.

Kategorien erfasster Daten

KategorieMögliche personenbezogene Daten
System- und Authentifizierungslogs Benutzernamen, Quell-IP-Adressen, Rechte-Eskalationen (z. B. sudo-Aufrufe)
Audit- und Prozessereignisse Prozesse mit Benutzer-Kennung, Datei-Zugriffe, ausgehende Netzwerkverbindungen
System- und Prozessmetriken Prozesslisten mit Benutzernamen, aktive Verbindungen
Netzwerk- und Protokolldaten Quell- und Ziel-IP, HTTP-Metadaten (URL, Browser-Kennung)
Anwendungsereignisse Fehlermeldungen, Transaktions-Metadaten, ggf. Nutzernamen im Kontext
Datenminimierung: Es werden ausschließlich solche Logdaten erfasst, die für die Zwecke der IT-Sicherheit und Angriffserkennung erforderlich sind. Inhaltsdaten aus Anwendungen (z. B. Nachrichteninhalte, Formulareingaben) werden grundsätzlich nicht in die Analyse einbezogen. Sollte eine Erweiterung erforderlich werden, erfolgt diese nur nach vorheriger Datenschutzfolgenabschätzung (DSFA gemäß Art. 35 DSGVO) und ggf. Abstimmung mit dem Betriebsrat.
06

Authentifizierung & Zugriffskontrolle

Der Zugriff auf die SIEM-Oberfläche und alle zugehörigen internen Dienste erfolgt ausschließlich über ein zentrales Zugangsportal mit Mehrfaktor-Authentifizierung.

Verarbeitete personenbezogene Daten

  • Benutzername (aus dem unternehmensweiten Verzeichnisdienst)
  • Passwort-Hashwert (nach aktuellem Stand der Technik; Passwörter werden niemals im Klartext gespeichert)
  • Mehrfaktor-Merkmale (z. B. Einmalpasswort-Geheimnis oder Hardware-Sicherheitsschlüssel)
  • E-Mail-Adresse (dienstliche Adresse für sicherheitsrelevante Benachrichtigungen)
  • Session-Kennungen (zur Aufrechterhaltung einer angemeldeten Sitzung)
  • IP-Adressen aller Authentifizierungsversuche
  • Browser- und Geräte-Kennung des verwendeten Clients

Protokollierte Authentifizierungsereignisse

EreignisProtokollierter InhaltAufbewahrung
Erfolgreiche Anmeldung Zeitstempel, Benutzername, IP-Adresse, Browser-Kennung, Ziel-Anwendung 90 Tage
Fehlgeschlagene Anmeldung Zeitstempel, angegebener Benutzername, IP-Adresse, Fehlerzähler 90 Tage
Mehrfaktor-Verifizierung Zeitstempel, Benutzername, verwendete Methode, Ergebnis 90 Tage
Passwort-Zurücksetzung Zeitstempel, Benutzername, IP-Adresse 90 Tage
Abmeldung Zeitstempel, Benutzername, Hashwert der Session-Kennung 90 Tage
Session-Verwaltung: Aktive Sitzungen werden in einem flüchtigen, ausschließlich intern erreichbaren Datenspeicher verwaltet und verfallen automatisch nach Ablauf der konfigurierten Inaktivitätsdauer (Standard: 1 Stunde).
07

Empfänger der Daten

Innerhalb der operational services GmbH & Co. KG erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung ihrer Aufgaben benötigen. Eine Weitergabe an Dritte (insbesondere ein Verkauf) findet nicht statt.

  • Systemadministratoren – zur Sicherstellung des Betriebs in dem für die Aufgabenerfüllung erforderlichen Umfang
  • SOC-Analystinnen und -Analysten – für die Erkennung und Bearbeitung sicherheitsrelevanter Ereignisse
  • Zuständige Fach- und Entwicklungsteams – ausschließlich im Rahmen konkreter Vorfalls- oder Fehleranalysen, mit rollenbasierter Zugriffsbeschränkung
  • Datenschutzbeauftragter – Einsichtnahme bei berechtigtem Anlass
  • Betriebsrat – im Rahmen seiner gesetzlichen Mitbestimmungsrechte

Von uns eingesetzte Auftragsverarbeiter (Art. 28 DSGVO) erhalten nur im Rahmen schriftlicher Auftragsverarbeitungsverträge (AVV) Zugriff. Wir arbeiten ausschließlich mit Auftragsverarbeitern zusammen, die hinreichend Garantien für geeignete technische und organisatorische Maßnahmen bieten.

08

Speicherdauer & Datenlöschung

Personenbezogene Daten werden grundsätzlich für maximal 90 Tage gespeichert. Die Löschung erfolgt automatisiert über technische Lebenszyklus-Richtlinien der eingesetzten Speicherplattform.

DatenkategorieAufbewahrung
Authentifizierungs- und Zugangsprotokolle 90 Tage
Audit-Protokolle der SIEM-Plattform 90 Tage
System- und Authentifizierungslogs der angebundenen Systeme 90 Tage
Betriebsmetriken 90 Tage
Anwendungsereignisse 90 Tage
Benutzerstammdaten (Verzeichnisdienst) Bis zum Austritt bzw. bis zur Konto-Deaktivierung
Daten im Kontext eines dokumentierten Sicherheitsvorfalls Bis zum Abschluss der Vorfallsbearbeitung, längstens gemäß gesetzlicher Vorgaben
Gesetzliche Aufbewahrungspflichten (z. B. nach HGB, AO) können im Einzelfall eine längere Speicherung erfordern. In diesem Fall wird der Zugriff auf die betroffenen Daten auf das notwendige Minimum beschränkt.
09

Verarbeitung der Daten in anderen Staaten

Eine Datenübermittlung in Drittstaaten (Staaten außerhalb des Europäischen Wirtschaftsraums – EWR) findet nicht statt. Sämtliche Komponenten der SIEM/SOC-Leistung – Log-Erfassung, zentrale Speicherung, Analyse und Zugangsverwaltung – werden ausschließlich auf Infrastruktur innerhalb des EWR betrieben.

Ein Einsatz externer oder cloud-basierter Dienste erfolgt nur, sofern deren Datenverarbeitung vertraglich auf EU-Rechenzentren beschränkt ist, ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO vorliegt und eine vorherige Datenschutzprüfung erfolgt ist.

10

Welche Datenschutzrechte habe ich?

Jede betroffene Person hat das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO sowie das Recht auf Datenübertragbarkeit aus Art. 20 DSGVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG. Darüber hinaus besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO i.V.m. § 19 BDSG).

Art. 15 DSGVO

Auskunftsrecht

Auskunft darüber, welche Daten zu Ihrer Person gespeichert sind.

Art. 16 DSGVO

Berichtigung

Korrektur unrichtiger personenbezogener Daten.

Art. 17 DSGVO

Löschung

Löschung Ihrer Daten, soweit keine Aufbewahrungspflicht besteht (§ 35 BDSG).

Art. 18 DSGVO

Einschränkung

Einschränkung der Verarbeitung in bestimmten Situationen.

Art. 20 DSGVO

Datenübertragbarkeit

Erhalt Ihrer Daten in einem strukturierten, maschinenlesbaren Format.

Art. 21 DSGVO

Widerspruchsrecht

Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen (lit. f).

Art. 77 DSGVO · § 19 BDSG

Beschwerderecht

Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde.

§ 26 BDSG

Beschäftigtenschutz

Besondere Schutzrechte bei Verarbeitung von Beschäftigtendaten.

Zuständige Aufsichtsbehörde (Datenschutz):
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1, 65189 Wiesbaden
www.datenschutz.hessen.de

Der Widerspruch gegen die Datenverarbeitung ist formfrei und kann gerichtet werden an: operational services GmbH & Co. KG, Frankfurt Airport Center, Gebäude 234, HBK25, 60549 Frankfurt am Main, Telefon: +49 (69) 689 702 – 710, E-Mail: info@o-s.de

11

Technische & organisatorische Maßnahmen

Zum Schutz der verarbeiteten personenbezogenen Daten werden folgende technische und organisatorische Maßnahmen (TOM) umgesetzt:

BereichMaßnahme
Verschlüsselung (Transport) Verschlüsselte Übertragung nach aktuellem Stand der Technik (mindestens TLS 1.2) für alle Verbindungen zwischen Nutzer, Zugangsportal und Analyse-Plattform
Verschlüsselung (Intern) Verschlüsselte Kommunikation zwischen den Servern der Analyse-Plattform
Mehrfaktor-Authentifizierung Kein direkter Zugang zu Oberfläche oder Daten ohne vorherige Mehrfaktor-Anmeldung am zentralen Zugangsportal
Rollenbasierte Zugriffskontrolle Rechtevergabe nach dem Prinzip der minimalen Berechtigung (Least Privilege); Trennung zwischen Analyse, Administration und Audit
Passwort-Sicherheit Speicherung von Passwörtern ausschließlich als Hashwert mit einem anerkannten Verfahren nach Stand der Technik
Datenminimierung & Pseudonymisierung Automatische Löschung nach Ablauf der Speicherfrist; Pseudonymisierung personenbezogener Felder, soweit technisch möglich
Netzwerksegmentierung Analyse-Plattform nicht direkt aus dem Internet erreichbar; Zugriff ausschließlich über das zentrale Zugangsportal
Verschlüsselte Backups Verschlüsselte Datensicherungen; Zugriff auf einen eng begrenzten Kreis von Administratoren beschränkt
Protokollierung & Audit Lückenlose Protokollierung administrativer Zugriffe; regelmäßige Revision durch unabhängige Stellen
12

Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung wird bei wesentlichen Änderungen am Leistungsumfang (z. B. neue Datenquellen, geänderte Aufbewahrungsfristen, neue Funktionen des Zugangsportals) aktualisiert. Die jeweils aktuelle Version ist unter https://privacy.o-s.cloud/ abrufbar.

Bei Änderungen, die Ihre Rechte wesentlich berühren, werden betroffene Personen gesondert informiert (z. B. per E-Mail oder Systemnachricht).

Letzte Aktualisierung: April 2026  ·  Version 1.0