Artikel 15 DSGVO bei Atlassian Produkten: Das Auskunftsrecht in Jira & Confluence - Actonic GmbH
Unser Atlassian-Lizenzierungs- und Dienstleistungsgeschäft wurde in die neu gegründete Seibert Solutions GmbH ausgelagert. Die Produkte von Actonic werden unter dem gewohnten Namen weiterentwickelt.
Weiterlesen...

Artikel 15 DSGVO bei Atlassian Produkten: Das Auskunftsrecht in Jira & Confluence

Von Ruben Jäckle17. März 2022Lesedauer: 4 Minuten

5
(1)

Das DSGVO-Gesetz gibt Personen, deren personenbezogene Daten von Unternehmen gespeichert wurden, verschiedene Rechte, um dadurch einen datenschutzkonformen Umgang mit diesen wichtigen Daten zu garantieren. Eines dieser Rechte ist das Recht auf Vergessenwerden, das wir im ersten Teil dieser Reihe behandelt haben (ersten Teil der Serie lesen). Ein weiteres wichtiges Recht in Bezug auf die DSGVO ist das Auskunftsrecht. Dieses verpflichtet Unternehmen, Antragsteller*innen Auskunft über deren verarbeiteten persönlichen Daten zu geben. Fast jedes Unternehmen speichert in irgendeiner Weise persönliche Daten von Kund*innen, Mitarbeiter*innen oder Partner*innen. Unternehmen, die die agilen Softwares Jira und Confluence von Atlassian verwenden, sind da keine Ausnahme.

Um mit dem Recht auf Auskunft bei den beiden Softwares richtig umzugehen, bietet das Atlassian Ökosystem in Jira und Confluence verschiedene Lösungen. In den Softwares eingebaute Möglichkeiten und die Apps Data Protection and Security Toolkit for Jira/Confluence stehen dafür Datenschutzbeauftragten zur Verfügung. In diesem Artikel werden wir Ihnen die beiden Arten zum richtigen Handling von Anfragen in Bezug auf das Recht auf Auskunft vorstellen, damit Sie eine fundierte Entscheidung treffen können, welche Möglichkeit Sie wählen werden.

Artikel 15 DSGVO: das Auskunftsrecht einfach erklärt

Das Recht auf Auskunft wird in Artikel 15 der DSGVO wie folgt definiert:

Das bedeutet für Sie, dass Personen, von denen Sie personenbezogene Daten wie Namen, Anschrift, Mail-Adresse, Gesundheitsdaten usw. gespeichert haben, jederzeit formlos und ohne Begründung Auskunft über diese Daten von Ihnen verlangen können. Die Auskunft zu diesen Daten kann sich dabei beispielsweise auf die Verarbeitungszwecke, die Kategorien der personenbezogenen Daten und die Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt werden, beziehen. Im Falle, dass eine Person von diesem Auskunftsrecht Gebrauch macht, muss die Person in Ihrem Unternehmen, die mit dem Datenschutz beauftragt ist, der Person auch unverzüglich Auskunft darüber geben. Hierbei sollte eine Frist von einem Monat nicht überschritten werden, da es hier, wie auch sonst in DSGVO-bezogenen Fällen, zu hohen Bußgeldern kommen kann. Dabei müssen Sie dem/der Antragssteller*in eine Kopie der personenbezogenen Daten zur Verfügung stellen, die Gegenstand der Verarbeitung sind.

Bei diesem Prozess ist es von äußerster Wichtigkeit, dass Sie, wenn ein Antrag auf Auskunft gestellt wird, zunächst die Identität der Person, die den Antrag stellt, kontrollieren. Falls es sich um eine Fake-Anfrage handeln sollte, kann dies zu einer Datenpanne führen, woraus sehr hohe Strafen folgen würden.

Artikel 15 DSGVO im Atlassian Bereich:
das Auskunftsrecht in Jira und Confluence

Wenn Sie in Ihrem Unternehmen die agilen Softwares Jira oder Confluence verwenden, haben Sie normalerweise eine große Menge an personenbezogenen Daten gespeichert. Diese könnten Daten von Kund*innen oder von jetzigen/früheren Mitarbeiter*innen sein, die Sie beispielsweise in einem Jira Ticket oder einer Confluence Seite gespeichert haben.
Wenn nun eine Person von ihrem Recht auf Auskunft Gebrauch macht und Sie nach gespeicherten personenbezogenen Daten abfragt, ist es wichtig, darauf vorbereitet zu sein. Denn Sie sollten die Anfrage spätestens innerhalb eines Monats bearbeitet haben. Dafür sollten Sie die gewünschten Daten schnellstmöglich zusammensuchen können und dazu einen Prozess zur Suche der Daten etabliert haben.

Für diesen Prozess gibt es in Jira und Confluence eingebaute Möglichkeiten, die Sie zur Suche der Daten nutzen können. Diese werden wir Ihnen im Folgenden vorstellen.

Out of the box Lösungen zum Auskunftsrecht in Jira

Dem Recht auf Auskunft, mit den Jira eingebauten Möglichkeiten nachzukommen, kann sehr kompliziert sein. Zunächst gilt es hier zu beachten, dass Sie für die Abfrage der Daten Jira-Admin Rechte benötigen.
Die Suche wird hier durch eine Reihe von benutzerdefinierten Skripten, die von Administrator*innen manuell ausgeführt werden müssen, durchgeführt. Bei der Suche müssen Sie für strukturierte Daten eines Benutzerprofils (User Namen, Namen und E-Mail-Adressen) und frei textlichen Daten jeweils verschiedene Verfahren anwenden. Die Verfahren der frei textlichen Daten unterscheiden sich dabei nochmals bei Jira Issues, Logs, Backups und weiteren Einträgen. Für die jeweiligen Verfahren werden teils Rest APIs, teils JQL-Suchen, teils SQL-Suchen verwendet (eine Beschreibung der einzelnen Verfahren finden Sie hier).

Diese Verfahren beinhalten jedoch einige Einschränkungen. Auf persönliche Daten in Anhängen kann durch die Verfahren nicht zugegriffen werden, was die Suche sehr einschränkt. Dazu ist für die Ausführung von SQL-Skripten ein Zugriff auf die Datenbank erforderlich.

Out of the box Lösungen zum Auskunftsrecht in Confluence

Personenbezogene Daten, die häufig in Confluence gespeichert werden, sind unter anderem Informationen zum Benutzerprofil, wie zum Beispiel: Website, Telefon, Position, Abteilung und Standort. Dabei zählen Avatare, Benutzernamen, Anzeigenamen und E-Mail-Adressen zu den oft in Confluence verarbeiteten Informationen.

Falls Sie Confluence Cloud Nutzer*in sind und eine Anfrage auf Auskunft erhalten, können Sie bei Atlassian ein Support-Ticket stellen, durch welches der Support die Inhalte des gewünschten Benutzers zusammensucht und Ihnen zukommen lässt. Diese Möglichkeit gibt es leider nicht für Server oder Data Center. Für Confluence Server/DC werden einige benutzerdefinierte Skripte von Atlassian bereitgestellt (eine Beschreibung der einzelnen Verfahren finden Sie hier). Auch bei dieser Methode können viele Nutzer*innen an ihre Grenzen stoßen, weil zahlreiche Ressourcen aufgewandt werden müssen.

So bearbeiten Sie das Auskunftsrecht mit „Data Protection and Security Toolkit for Jira”

Während die in Jira und Confluence integrierten Methoden sehr Nerven- und Zeit-aufwendig sind, bietet das Atlassian Ökosystem für das Problem einfache Lösungen, um mit dem Recht auf Auskunft umzugehen: die Apps „Data Protection and Security Toolkit for Jira” und „Data Protection and Security Toolkit for Confluence”. Sie sind ein komplettes Toolkit, um in Jira und Confluence garantiert DSGVO-konform zu arbeiten. Für den richtigen Umgang mit Anfragen in Bezug auf das Recht auf Auskunft, bietet „Data Protection and Security Toolkit for Jira” das Data Cleaner Modul und „Data Protection and Security Toolkit for Confluence” das User Anonymizer Modul.

Data Protection and Security Toolkit for Jira beinhaltet das Data Cleaner Modul, das es Ihnen über die Anonymize Users Funktion ermöglicht, innerhalb weniger Minuten die gewünschten persönlichen Daten mittels einer einfachen JQL Suche zu finden. Die Daten der so erstellten Liste können Sie dann per Copy/Paste in ein Dokument kopieren, das Sie dann dem/der Antragsteller*in zukommen lassen können.

Die Entwickler der Apps sind gerade dabei eine Funktion zu Entwickeln, durch die Sie die erstellte Liste einfach durch einen Klick exportieren können. Diese Funktion wird in Kürze veröffentlicht.

So bearbeiten Sie das Auskunftsrecht mit „Data Protection and Security Toolkit for Confluence”

Die Verwendung des User Anonymizers in „Data Protection and Security Toolkit for Confluence” ist der des Data Cleaners relativ ähnlich, jedoch wird hier eine CQL (Confluence Query Language) Suche verwendet. Das Modul beinhaltet einige Suchvorlagen. Eine davon ist das „Personal Identifier Information template”, welches für die Suche nach sensiblen Textinformationen verwendet wird. Die eingebaute „Dry Run” Funktion wird der Inhalt angezeigt und kann danach zusammengefasst und der Person, die die Anfrage gestellt hat, übermittelt werden. Mit wenigen Klicks sieht Ihr Ergebnis wie folgt aus:

Das Auskunftsrecht in Jira & Confluence – ein Fazit

Den Vergleich der beiden Varianten, mit dem „Recht auf Auskunft” umzugehen, haben die Apps „Data Protection and Security Toolkit for Jira/Confluence” klar gewonnen. Diese bieten schnelle und unkomplizierte Lösungen, ohne aufwendige Workarounds und unvollständige Ergebnisse. Darüber hinaus bieten die beiden Apps nicht nur für diesen Anwendungsfall schnelle Antworten, sondern liefern auch über den Datenschutz hinaus einen attraktiven Mehrwert, wie beispielsweise bei der Berechtigungsüberwachung (mehr über die Berechtigungsüberwachung erfahren). Sie sind ein komplettes Toolkit, um in Jira und Confluence auf einfache und schnelle Weise vollständig DSGVO-konform zu werden.

Neugierig? Testen Sie „Data Protection and Security Toolkit for Jira und Confluence” jetzt kostenlos für 30 Tage auf dem Atlassian Marketplace:

Data Protection and Security Toolkit for Jira jetzt testen
Data Protection and Security Toolkit for Confluence jetzt testen

Download: DSGVO-Checkliste

Checkliste zu Ihrer DSGVO Konformität - jetzt lesen!

  • Machen Sie den DSGVO-Check!
  • Sechs essentielle DSGVO-Kriterien
  • Kostenloser Download
Jetzt DSGVO-Checkliste laden

Wie hilfreich war dieser Beitrag?

Klicke auf die Sterne um zu bewerten!

Durchschnittliche Bewertung 5 / 5. Anzahl Bewertungen: 1

Bisher keine Bewertungen! Sei der Erste, der diesen Beitrag bewertet.

Diese Beiträge könnten Sie auch interessieren

  1. DSGVO-Konformität bei Atlassian Produkten: Das Recht auf Vergessenwerden in Jira & Confluence
  2. Wie Sie das CCPA Recht auf Offenlegung einhalten
  3. Verletzung des Schutzes personenbezogener Daten in Jira und Confluence – So gehen Sie mit Datenlecks & Datenpannen DSGVO-konform um
  4. Fünf wichtige Schritte, um in Jira und Confluence DSGVO-konform zu arbeiten
  5. Warum Ihr Jira DSGVO-konform sein sollte