DSGVO konform werden, Teil 1: Alles, was Sie wissen müssen, um Einwilligungen in Jira und Confluence zu erhalten | Actonic – Unfolding your potential

DSGVO konform werden, Teil 1: Alles, was Sie wissen müssen, um Einwilligungen in Jira und Confluence zu erhalten

Hallo, alle zusammen! Heute veröffentlichen wir eine Reihe von Artikeln zur DSGVO-Konformität in Jira und Confluence, um Sie bei der Navigation auf Ihrer DSGVO-Reise zu unterstützen. Über ein Jahr nach der Gründung der DSGVO haben viele Unternehmen immer noch Mühe, ihre Anforderungen vollständig zu verstehen und Datenstrategien zu implementieren, um sie zu erfüllen. Wir hoffen, dass unsere Artikel wertvolle Erkenntnisse liefern, die dazu beitragen, dass Ihr Unternehmen diese herausfordernde Vorschrift auf sichere und kostengünstige Weise einhält.

Wie Sie wissen, müssen Unternehmen über eine Rechtsgrundlage für die Datenverarbeitung verfügen, und die Einholung einer Einwilligung ist eine der einfachsten Methoden, um die Einhaltung sicherzustellen. Die korrekte Einholung der Einwilligung legitimiert jedoch nicht nur die Verwendung von Daten, sondern ist auch ein wesentlicher Bestandteil des Kundenservices: Sie trägt dazu bei, das Vertrauen der Kunden zu stärken, Ihren guten Ruf als Anbieter zu verbessern und sich von den Mitbewerbern abzuheben.

In diesem Artikel konzentrieren wir uns auf die „Bedingungen für die Einwilligung“ (wie in Artikel 7 der DSGVO dargelegt) und untersuchen Möglichkeiten, wie die Einwilligung der Nutzer zur Speicherung und Verarbeitung ihrer personenbezogenen Daten eingeholt werden kann.

Alles, was sich auf „personenbezogene Daten“ bezieht, ist in Artikel 4 Absatz 1 definiert: „Personenbezogene Daten“ Informationen zu einer bestimmten oder bestimmbaren natürlichen Person („betroffene Person“); Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf einen Identifikator wie einen Namen, eine Identifikationsnummer, Standortdaten, einen Online-Identifikator oder auf einen oder mehrere Faktoren, die für die physische, physiologische, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person “. Cookies, Vor- und Nachnamen sowie E-Mail-Adressen, die üblicherweise für Marketingzwecke verwendet werden, fallen daher in den Geltungsbereich dieser Definition und sollten auf eine Weise gesammelt, verarbeitet und gespeichert werden, die den Anforderungen der DSGVO entspricht.

Einwilligung zur Verarbeitung personenbezogener Daten

Laut DSGVO kann ein Unternehmen die personenbezogenen Daten seiner Kunden nicht verwenden, wenn es nicht für jede Art der Interaktion eine Einwilligung erhalten hat. Wenn Sie während des Registrierungsvorgangs personenbezogene Daten sammeln, können Sie keinen Newsletter mit Sonderangeboten senden, ohne eine Person zu bitten, die Zustimmung zur Verarbeitung ihrer E-Mail-Adresse, ihres Vornamens und ihres Nachnamens zu erteilen, um solche E-Mails zu erhalten.

Eines der Hauptprinzipien der DSGVO ist die „Zweckbindung“, die, wie in Artikel 5 klar angegeben, impliziert, dass alle personenbezogenen Daten „für festgelegte, explizite und legitime Zwecke erhoben und nicht in einer Weise weiterverarbeitet werden darf, die mit diesem Zweck nicht vereinbart ist. Eine Weiterverarbeitung zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gilt gemäß Artikel 89 Absatz 1 nicht als mit den ursprünglichen Zwecken unvereinbar („Zweckbindung“).

Mit anderen Worten, es muss angegeben werden, welche Daten Sie zu welchem Zweck verarbeiten. Zum Beispiel: „Ich bestätige, dass ich zulasse, dass Firma A meinen Vornamen, Nachnamen und meine E-Mail-Adresse verwendet, um mich per E-Mail über personalisierte Sonderangebote zu kontaktieren.“ Wenn Sie Telefonnummern für die Kaltakquise oder andere Daten für einen anderen Zweck sammeln möchten, müssen Sie dies ebenfalls klar und deutlich angeben. 

Fallbeispiel 1

Stellen Sie sich vor, ein SaaS-Startup-Unternehmen verwendet Jira, um Kundenberichte zu Fehlern und Leistungsproblemen zu bearbeiten, und möchte Ihre persönlichen Daten verwenden, um Ihnen Sonderangebote, Produktaktualisierungen und Bestellbenachrichtigungen zu senden, Nachrichten auszutauschen und Umfragen durchzuführen. Nachdem ein Kunde seinen Registrierungsprozess in Jira abgeschlossen hat, sollte er seine Zustimmung zur Verarbeitung personenbezogener Daten geben. Eine Möglichkeit, diesen Prozess in Jira zu implementieren, besteht darin, ein Modul „Information Announcement“ des Add-Ons „GDPR (DSGVO) and Security for Jira“ zu verwenden und ein Popup-Fenster mit dem folgenden Text zu erstellen: „Ich bestätige, dass ich zulasse, dass Firma A meinen Vor- und Nachnamen sowie meine E-Mail-Adresse verwenden darf, um mich per E-Mail über personalisierte Sonderangebote, relevante Neuigkeiten und Ereignisse, Erinnerungen an die Auftragsabwicklung und Umfragen zu informieren.“ Implementieren Sie auf der Schaltfläche einen „Akzeptieren“ und „Ablehnen“ Button.

Bild 1: Beispiel einer Einverständniserklärung für die Verarbeitung personenbezogener Daten in der DSGVO und in Security for Jira

Hierbei ist es sehr wichtig, einen ausgewogenen Ansatz zu verfolgen und sich an das andere Prinzip der DSGVO, die „Datenminimierung“, zu halten und nur die Daten zu erfassen, die Sie wirklich benötigen. Darüber hinaus können zu viele Optionen für Marketingkommunikation einen Kunden einfach abschrecken und ihn dazu bringen, den Button „Ablehnen“ zu drücken.

Cookies in der DSGVO

Die bereits erwähnte Verfolgung der Online-Aktivitäten von Kunden und Mitarbeitern fällt ebenfalls in den Geltungsbereich der DSGVO. Bevor wir mit der Erfassung solcher Daten beginnen können, müssen wir daher die Zustimmung eines Benutzers einholen.

Der Verweis auf Cookies in der DSGVO ist in Erwägungsgrund 30 zu finden: „Natürliche Personen können Online-Identifikatoren zugeordnet sein, die von ihren Geräten, Anwendungen, Werkzeugen und Protokollen bereitgestellt werden, z. B. Internetprotokolladressen, Cookie-Identifikatoren oder andere Identifikatoren wie Funkfrequenzidentifikationsetiketten. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen von den Servern empfangenen Informationen dazu verwendet werden können, Profile der natürlichen Personen zu erstellen und diese zu identifizieren. „

Gemäß den wichtigsten Grundsätzen der DSGVO, „Datenminimierung“ und „Speicherbeschränkung“, muss die Menge der gesammelten Daten zur Verfolgung von Online-Aktivitäten minimiert und nur so lange aufbewahrt werden, wie dies für den angegebenen Zweck erforderlich ist.  Es ist wichtig anzugeben, welche Cookies das Unternehmen für welche Zwecke verwendet und wie lange sie aufbewahrt werden. Daher ist es gängige Praxis, eine separate Seite mit der Liste der Kategorien, Namen, Beschreibungen und Ablaufdaten von Cookies zu erstellen.

Fallbeispiel 2

Unternehmen B nutzt Jira für den Kundensupport und möchte seine Online-Aktivitäten verfolgen, um Kunden mit personalisierten Anzeigen anzusprechen. Der Standardprozess der Kundenunterstützung umfasst die folgende Abfolge von Ereignissen: Der Kunde hat ein Problem, schließt den Registrierungsprozess in Jira ab und erstellt ein Ticket. Um Cookies in Übereinstimmung mit der DSGVO zu verwenden, muss Unternehmen B jeden Kunden auffordern, seine Zustimmung zur Verfolgung seiner Online-Aktivitäten zu erteilen. Eine Möglichkeit, dies in Jira zu tun, besteht darin, das Modul „Information Announcement“ des Add-Ons „GDPR (DSGVO) and Security for Jira“ zu verwenden und ein Pop Up-Fenster mit dem folgenden Text zu erstellen: „Wir verwenden Cookies, um Ihre Online-Erfahrung zu verbessern. Wenn Sie diese Website weiterhin nutzen, gehen wir davon aus, dass Sie der Verwendung dieser Cookies zustimmen. Weitere Informationen zu unseren Cookie-Richtlinien.“

Bild 2: Beispiel einer Einverständniserklärung zur Verfolgung von Online-Aktivitäten in „GDPR (DSGVO) und Security for Jira

Das Modul „Informationsankündigung“ ist sehr flexibel und kann für andere Zwecke verwendet werden, z. B. um die Zustimmung zu „Allgemeinen Geschäftsbedingungen“ oder „Benutzervereinbarung“ usw. in Jira und Confluence zu erhalten.

Widerrufsrecht

Um auf die Frage der Einhaltung der DSGVO in Jira und Confluence zurückzukommen, muss auch sichergestellt werden, dass die betroffenen Personen jederzeit ihr Einverständnis zur Speicherung und Verarbeitung personenbezogener Daten widerrufen können. In Artikel 7 der DSGVO heißt es eindeutig: „Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen.“ Wenn eine Person beschließt, ihre Einwilligung zu widerrufen, oder in anderen Fällen im Zusammenhang mit sensiblen Informationen, besteht die erste Herausforderung für ein Unternehmen darin, diese Daten so schnell wie möglich zu finden. Daher sollte die Navigation durch alle Benutzer und Einwilligungen einfach und bequem sein und Filter- und Sortieroptionen bereitgestellt werden. Eine Aufsichtsbehörde kann auch Informationen über die Einwilligung der betroffenen Personen gemäß Artikel 7 anfordern: „Wenn die Verarbeitung auf einer Einwilligung beruht, muss der für die Verarbeitung Verantwortliche nachweisen können, dass die betroffene Person der Verarbeitung ihrer personenbezogenen Daten zugestimmt hat.“ Auch hier müssen wir diese Informationen schnell, einfach und problemlos finden und extrahieren.

Das Modul „Informationsankündigung“ des Add-Ons „GDPR (DSGVO) and Security for Jira“ verfügt über eine integrierte Funktion, mit der strukturierte und systematische Informationen zu jeder vom Unternehmen angeforderten Art von Einwilligung (Cookie-Richtlinie, Verarbeitung personenbezogener Daten und Geschäftsbedingungen usw.) abgerufen werden können und erleichtert den Navigationsprozess erheblich. Im nächsten Artikel werden wir diskutieren, was als nächstes mit den gefundenen Daten zu tun ist und wie alle personenbezogenen Daten in Jira und Confluence gelöscht werden.

Bild 3: Beispiel für eine schnelle Filteroption in „GDPR (DSGVO) and Security for Jira

Folgen Sie uns auf LinkedInFacebook und Twitter.

WhatsApp-Chat
Please accept our privacy policy first to start a conversation.