DSGVO in Jira und Confluence, Teil 2 | Actonic GmbH

DSGVO konform werden, Teil 2: Finden, anonymisieren und löschen Sie personenbezogene Daten in Jira zuverlässig

Haftungsausschluss: Dieser Artikel stellt keine Rechtsberatung dar. Ihr einziger Zweck besteht darin, Wege aufzuzeigen, wie die Einhaltung der DSGVO in Jira und Confluence aus technischer Sicht sichergestellt werden kann. Für rechtliche Informationen oder bessere Formulierungen wenden Sie sich bitte an Ihre Rechtsabteilung.

In unserem vorherigen Artikel haben wir uns mit einer einfachen Möglichkeit befasst, die Zustimmung der Benutzer zur Verarbeitung personenbezogener Daten und zur Verfolgung von Online-Aktivitäten mit Cookies zu erhalten. Die DSGVO ist jedoch weitaus komplexer, als es den Anschein hat. In diesem Artikel konzentrieren wir uns auf Möglichkeiten, andere wichtige DSGVO-Anforderungen zu erfüllen: Gewährleistung des Rechts auf „Vergessen werden“ und Verfolgung von personenbezogenen Daten (PII) in Jira und Confluence mit anschließender Löschung oder Austausch dieser Informationen.

Gewährleistung des Rechts auf Löschung oder des Rechts, „vergessen zu werden“

Der Verweis auf das „Recht auf Vergessen“ findet sich in Artikel 17 der DSGVO: „Die betroffene Person hat das Recht, vom für die Verarbeitung Verantwortlichen die Löschung personenbezogener Daten, die sie betreffen, unverzüglich zu erhalten, und der für die Verarbeitung Verantwortliche ist verpflichtet, die personenbezogenen Daten unverzüglich zu löschen, wenn einer der folgenden Gründe zutrifft: “

  1. die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr erforderlich;
  2. die betroffene Person widerruft die Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 a oder Artikel 9 Absatz 2 a stützt, und wenn kein anderer Rechtsgrund für die Verarbeitung besteht;
  3. die betroffene Person widerspricht der Verarbeitung gemäß Artikel 21 Absatz 1, und es gibt keine zwingenden berechtigten Gründe für die Verarbeitung, oder die betroffene Person widerspricht der Verarbeitung gemäß Artikel 21 Absatz 2;
  4. die personenbezogenen Daten wurden rechtswidrig verarbeitet;
  5. die personenbezogenen Daten müssen gelöscht werden, um einer gesetzlichen Verpflichtung im Recht der Union oder der Mitgliedstaaten nachzukommen, der der für die Verarbeitung Verantwortliche unterliegt;
  6. die personenbezogenen Daten wurden im Zusammenhang mit dem Angebot von Diensten der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

Datensicherung in Clouds

Wenn ein EU-Bürger die Löschung seiner personenbezogenen Daten beantragt, sollte ein Unternehmen in der Lage sein, diese innerhalb des festgelegten Zeitrahmens zu verfolgen und zu löschen, es sei denn, es gibt rechtliche Gründe, diese Informationen aufzubewahren.

Atlassian hat kürzlich einige Lösungen vorgestellt, um die Einhaltung der DSGVO in Jira Cloud sicherzustellen. Beispielsweise wird einem Benutzer, dessen persönliche Daten entfernt werden müssen, ein neuer Benutzername zugewiesen, der eine eindeutige Kombination aus Buchstaben und Zahlen darstellt.

Einige Experten nennen dies Pseudonymisierung, da andere Daten wie Kommentare oder Beschreibungen es ermöglichen, fast jeden aktiven Benutzer von Jira zu deanonymisieren. Sobald eine eindeutige ID auf den tatsächlichen Benutzer zurückgeführt wurde, ist es einfach, diese ID mit Daten in anderen Tickets abzugleichen und sogar alle Aktivitäten des Benutzers durch eine Suche zu finden. Das Löschen des Benutzers und das Löschen aller Aktivitäten ist keine Option, da dies in den meisten Fällen für das Unternehmen schädlich sein und zum Verlust wertvoller Informationen führen kann.

Actonic-Lösungen für Jira und Confluence

Angesichts der Komplexität der DSGVO-Anforderungen kann es schwierig sein, die DSGVO-Konformität in Jira und Confluence sicherzustellen. Obwohl es viele Lösungen gibt, die das Recht auf Löschung gewährleisten sollen, hat sich keine als perfekt erwiesen.

Wir sind der Meinung, dass der derzeit beste Weg, um das „Recht auf Vergessen werden“ zu gewährleisten, darin besteht, alle Benutzer, deren personenbezogene Daten entfernt werden müssen, durch einen einzigen Dienstnutzer zu ersetzen, der speziell für diesen Zweck erstellt wurde. In diesem Fall können Sie nicht mehr als zwei anonymisierte Benutzer zurückverfolgen, da beide als „Dienstbenutzer“ angezeigt werden und mit jedem anonymisierten Benutzer die Schutzqualität steigt. GDPR (DSGVO) und Security for Jira sowie GDPR (DSGVO) and Security for Confluence sind einige der Tools, die diese Funktionalität für Server und Rechenzentren bereitstellen.

Bild: Benutzeranonymisierung in GDPR (DSGVO) and Security for Jira

Scannen von Sicherheitslücken: Auffinden und Anonymisieren personenbezogener Daten

Zu den wichtigsten DSGVO-Prinzipien gehören Datenminimierung und Speicherbeschränkung. Gemäß Artikel 5 müssen personenbezogene Daten „in einer Form aufbewahrt werden, die es ermöglicht, betroffene Personen nicht länger als für die Zwecke der Verarbeitung der personenbezogenen Daten erforderlich zu identifizieren; personenbezogene Daten können für längere Zeiträume gespeichert werden, sofern es sich um personenbezogene Daten handelt, welche ausschließlich zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Artikel 89 Absatz 1 verarbeitet werden, sofern die in dieser Verordnung zur Wahrung der Rechte und Freiheiten erforderlichen geeigneten technischen und organisatorischen Maßnahmen der betroffenen Person (‚Speicherbeschränkung‘) umgesetzt werden“.

Dies zeigt, wie wichtig es ist, die Nutzung personenbezogener Daten unter Kontrolle zu haben. Mit anderen Worten, Datenschutzbeauftragte oder andere für den Datenschutz verantwortliche Mitarbeiter müssen wissen, wann solche Daten angezeigt werden, und weitere notwendige Aktivitäten ausführen und überwachen, z.B. das Löschen von Daten (wenn die Daten veraltet sind oder nicht mehr benötigt werden, wenn die Speicherdauer abgelaufen ist oder der Zweck der Datenverarbeitung nicht mehr relevant ist) oder benachrichtigen Sie Ihre Mitarbeiter, wenn sie nicht der DSGVO entsprechen und das Problem beheben müssen.

PII-musterbasierte Suche

Leider gibt es derzeit in Jira keine standardmäßigen musterbasierten Suchoptionen für Ticketfelder, und die Standardfunktionalität ermöglicht nicht die Suche nach Sozialversicherungs-, Telefon- und Kreditkartennummern oder anderen Daten, die als PII identifiziert werden können. Für diese Zwecke empfehlen wir die Verwendung von GDPR (DSGVO) and Security for Jira oder GDPR (DSGVO) and Security for Confluence – Tools, die eine umfassende musterbasierte Suche in allen Feldern oder Seiten umfassen. Die App umfasst insgesamt mehr als 100 verschiedene Muster, darunter nicht nur nationale IDs, Sozialversicherungsnummern und andere personenbezogene Daten für die meisten EU-Länder, sondern auch vertrauliche Informationen wie interne IDs.

Bild: Integrierte PII-Muster in GDPR (DSGVO) and Security for Jira

Automatisierte Kommentare und Benachrichtigungen

Sobald PII gefunden wurde, müssen sie verarbeitet werden. Die App ermöglicht es, Standardkommentare zu allen anfälligen Tickets zu hinterlassen und automatisierte Benachrichtigungen zu erstellen und an Mitarbeiter zu senden, die für diese Tickets verantwortlich sind. Wenn die persönlichen Daten für das Unternehmen nicht wichtig sind oder versehentlich hinzugefügt wurden, können sie automatisch gelöscht oder durch XXX-Kombinationen ersetzt werden.

Bild: Automatisierte Benachrichtigungen in GDPR (DSGVO) and Security for Jira

 

Schnelle Verarbeitung und anpassbare Einstellungen

Was bei GDPR (DSGVO) und Security for Jira oder GDPR (DSGVO) and Security for Confluence besonders praktisch ist ist, dass die Apps es ermöglichen, benutzerdefinierte „Datenregeln“ zu erstellen und eine musterbasierte Suche nur nach neuen Tickets und Seiten mithilfe einer flexiblen Funktion in einem Zeitrahmen durchzuführen, zum Beispiel „erstellt nach Wochenbeginn“ oder „aktualisiert nach Wochenbeginn“ bis zum aktuellen Datum. Mit anderen Worten, Sie können das Auftreten anfälliger Daten einmal am Tag oder einmal in der Woche verfolgen und müssen nicht alle Ihre Tickets oder Seiten scannen, wenn Sie dies zuvor getan haben. Die Verarbeitung nur neuer und aktualisierter Tickets und Seiten ist im Vergleich zur Verarbeitung aller vorhandenen Tickets und Seiten sehr schnell, was zu einer höheren Effizienz führt.

Bild: Flexible Zeitrahmen in GDPR (DSGVO) and Security for Jira

Bei Actonic haben wir unser Bestes gegeben, um eine bequeme, flexible und anpassbare Lösung zu schaffen, die die Einhaltung der DSGVO in Jira und Confluence für Server und Rechenzentren gewährleistet und arbeiten ständig daran, diese gemäß den Anforderungen unserer Klienten und Kunden zu verbessern. Starten Sie jetzt Ihre kostenlose Testversion, um zu sehen, wie es funktioniert, und teilen Sie uns Ihre Meinung mit. Wir wären für jedes Feedback dankbar und hoffen, dass wir gemeinsam eine umfassende App erstellen, die ein Höchstmaß an Datenschutz gewährleistet.


Weitere Informationen zur Einhaltung der DSGVO finden Sie in den Artikeln dieser Reihe:

Lassen Sie uns in Kontakt bleiben!

Folgen Sie uns auf LinkedIn, Facebook, XING und Twitter und abonnieren Sie unseren Newsletter, um regelmäßig Updates, Tipps und Angebote direkt in Ihr Postfach zu erhalten.