Warum Ihr Jira DSGVO-konform sein sollte | Actonic GmbH

Warum Ihr Jira DSGVO-konform sein sollte

Wussten Sie, dass Bußgelder bis zu 4 % des jährlichen Umsatzes eines Unternehmens bei Verstößen gegen die Datenschutz-Grundverordnung angesetzt werden können? DSGVO-Regelungen betreffen derzeit vor allem Firmen der EU, aber auch Länder wie Brasilien legen mittlerweile mit Datenschutzregeln nach. In die Liste der bereits sanktionierten Unternehmen reihen sich in Europa Big Player wie die AOK, H&M und VfB ein, die Strafen liegen hierbei zwischen mehreren Hunderttausend bis hin zu mehr als 35 Millionen Euro. Diese kamen unter anderem deshalb zustande, weil Kundendaten unsachgemäß gespeichert und verwendet wurden; oftmals werden Sanktionen auch ausgesprochen, weil kein Löschungskonzept persönlicher Daten vorliegt.

Was hat das mit Ihrem Firmen-Jira zu tun?

Für viele Firmen spielt Jira eine entscheidende Rolle in der Datenverarbeitung von persönlichen Daten (auch „PII“ genannt: personally identifiable information). Zu den persönlichen Daten zählen: vollständige Namen, Adressen, E-Mail-Adressen, Geburtsdaten, Telefonnummern, Login-Daten, Passwörter, Bankdaten etc.

  • Kunden stellen Tickets, die Login-Daten beinhalten (beispielsweise im Support)
  • Bewerber reichen ihre Unterlagen per Jira Issue Collector ein
  • Potenzielle Kunden stellen Anfragen zu Lizenzen und hinterlassen Firmen- oder Bankdaten
  • Relevante Daten werden firmenweit und eventuell sogar international zwischen Teams geteilt

Demnach sind in Ihrem Firmen-Jira Daten in Umlauf, die als sensibel und persönlich eingestuft werden und datenschutzrechtlich relevant sind. Dies zeigt auch, dass DSGVO-Regelungen von Bedeutung sind.

Warum Ihr Jira DSGVO-konform sein sollte

Persönliche Daten werden auf dem heutigen Markt wie Öl gehandelt. Mittels persönlicher Daten werden Geschäftsprozesse im B2B und B2C Bereich schnell und einfach ermöglicht.

Zum Beispiel: Kunde Mustermann schickt einer Firma einen Teil seiner PII (Name, Adresse und Kreditkartennummer), um deren Softwarelizenz zu kaufen.

An dieser Stelle setzt Jira ein: Es wird unter anderem für das Projekt- oder Prozessmanagement, HR, Marketing, die Entwicklung und den Vertrieb verwendet. Es beinhaltet also von Kunden- bis hin zu Mitarbeiterdaten alle wichtigen Informationen, wozu auch sensible Datensätze wie Lebensläufe oder Kreditkartennummern zählen können. In den meisten Fällen sind die persönlichen Daten lediglich für Geschäftsprozesse notwendig, wie im obigen Beispiel zu sehen. Jedoch können auch größere Schäden können durch den Daten-Missbrauch oder die Verbreitung dieser Daten entstehen. Aus diesem Grund hat jeder das Recht seine persönlichen Daten sicher zu wissen und auch die Löschung eben dieser Daten zu fordern (Art. 17 DSGVO: Recht auf Löschung). Firmen die demnach mit Jira als einem firmenweit vernetzten Tool arbeiten, sollten sich über die Regeln der DSGVO informieren und dafür sorgen, dass die eigene Jira-Instanz diesen nachkommt.

Wie sieht die Datenschutzkonformität in Jira aus und wie erreichen Sie diese?

Die Datenschutzkonformität wird durch entsprechende Datenschutzbeauftragte (auch „Data protection officer“ (DPO) genannt) und den Einsatz von entsprechenden Systemen mit DSGVO-rechtlichem Hintergrund ermöglicht. Jira beinhaltet bereits einige Funktionen, jedoch sind diese für die Anforderungen der Datenschutzkonformität nicht ausreichend. Vieles muss einzeln und manuell gestartet sowie konstant überwacht werden. Mithilfe bestimmter Tools werden bestehende Instanzen und Datensätze jedoch auf ihren Datenschutz hin geprüft und eine DSGVO-konforme Jira-Umgebung ist möglich – und das allumfassend, automatisiert und fehlerfrei. Im Idealfall nutzen Sie und Ihr Datenschutzteam hierfür das vollumfängliche Toolkit GDPR (DSGVO) and Security für Jira von Actonic.

Der Einsatz eines DSGVO-Tools: Szenario 1

Stellen Sie sich vor, Sie arbeiten in einem internationalen Großunternehmen, mit hunderten von Projekten, tausenden von Mitarbeitern und Millionen von Kunden und deren Daten. Wenn ein einzelner Kunde nun die Einsicht und Löschung seiner Daten fordert, sind die Mitarbeiter dafür zuständig, manuell alle mit diesem Kunden in Verbindung stehenden Geschäftsprozesse aufzulisten und entsprechend zu löschen oder zu anonymisieren. Für viele von Ihnen ist dieses Szenario vielleicht nicht nur eine Fiktion, sondern Realität. Dieses Szenario verlangt nun ein Tool, das allumfassend und automatisch alle Vorgänge in Jira prüft, betroffene Tickets oder andere Elemente aufzeigt und die vertraulichen Infos mittels explizit hierfür verfasster Regel löscht oder anonymisiert. Dasselbe Szenario kann auch für die Daten von Mitarbeitern oder Bewerbern zutreffen.

Der Einsatz eines DSGVO-Tools: Szenario 2

Die DSGVO hängt jedoch nicht nur mit der Löschung von Daten zusammen, sondern auch mit der Informationsvermittlung und Zustimmung. Ein weiteres Szenario ist demnach die firmenweite Streuung der Information bezüglich Cookies oder Nutzungshinweise innerhalb Ihrer Jira-Instanz. Womöglich möchten Sie Ihre Nutzer über die neue zugrunde liegende datenschutzrechtliche Regeln zur Verwendung Ihrer Jira-Instanz aufklären und tracken, wer diese in Ihrem Unternehmen akzeptiert. Auch wenn an diesen Regelungen Änderungen vorgenommen werden, möchten Sie zeitsparend handeln und alle User auf einen Schlag informieren können. Wie in Szenario 1 ist auch hier ein Tool vonnöten, das Ihnen die Verbreitung von wichtigen DSGVO-Hinweisen erlaubt und somit für datenschutzrechtliche Grundlagen innerhalb Ihres Jiras sorgt.

GDPR (DSGVO) and Security for Jira ermöglicht die DSGVO-Konformität durch:

  • Einblick in den Speicherort der Daten, Speicherdauer und welche Daten gespeichert werden
  • die Suche nach spezifischen Daten, zum Beispiel in einzelnen Jira-Projekten oder Tickets
  • die umfassende und kontrollierte Löschung von persönlichen oder sensiblen Daten (Recht auf Löschung)
  • die Jira-weite Löschung, ohne das manuelles Zutun eines Mitarbeiters
  • die Erstellung von Regeln oder Vorlagen für die Datensuche und die Löschung; die Vorlage kann hierbei individuell angepasst werden

Hier erhalten Sie einen kleinen Einblick in die App. Wie Sie sehen können individuelle Vorlagen für Datenbereinigungsprozesse erstellt und aktiviert werden. So werden zum Beispiel Jira-Tickets von persönlichen Daten gereinigt.

Tools wie unsere App GDPR (DSGVO) and Security for Jira können auch für andere Use Cases verwendet werden:

  • die firmenweite Kommunikation von Richtlinien und Änderungen
  • das Einholen des Einverständnisses für verschiedene Richtlinien wie Cookies oder DSGVO
  • die Prozessierung von wiederkehrenden Aufgaben, zum Beispiel für die automatische Anonymisierung bestimmter Daten nach Ablauf einer Frist
  • die schnelle und einfache Infovermittlung und Dokumentation
  • und vieles mehr

Sie haben bereits Datenschutz Use Cases entdeckt, die Sie in Ihrer Jira-Instanz auch gerne abdecken möchten? Dann testen Sie unsere App (GDPR) and Security for Jira kostenlos auf dem Atlassian Marketplace.

Download: Compliance Checkliste

Machen Sie den Check mit 6 essenzielle DSGVO-Kriterien

  • Ihr Status Quo der DSGVO
  • Datenschutzlücken schließen
  • Gratis Download
Jetzt Compliance Checkliste laden