Ausnahmslos jedes Unternehmen auf der Welt speichert in irgendeiner Form Daten. Vom Freelancer über das Start-up bis hin zum Weltkonzern: Es gibt kein Unternehmen ohne Daten von Kunden, Mitarbeitern, Projekten oder Zahlungsvorgängen. Der Knackpunkt ist, dass sich darunter häufig persönliche Daten befinden, die es zu schützen gilt.
Jetzt testen: Data Protection and Security Toolkit
Nutzen Unternehmen bestimmte Tools zur Verarbeitung von Kundenanfragen (z.B. Jira Service Management) oder zur Projektplanung (z.B. Jira oder Confluence), werden Daten unternehmensweit verstreut. Wie? Indem Kunden zum Beispiel Supportanfragen stellen, dort für Rechnungen ihre Bankdaten hinterlegen und die Supporttickets durch den Kundenservice über die Consultants bis zur Buchhaltung hinweg von unterschiedlichen Mitarbeitern bearbeitet werden. Um nun den gesetzlich obligatorischen Schutz dieser persönlichen Daten zu gewährleisten, ist die korrekte Prozessierung eben dieser Daten gefragt, kurzum: die Suche und Anonymisierung/Löschung.
Datenschutz wird definiert durch den Schutz vor missbräuchlicher Verwendung und unsicherer Speicherung von persönlichen Daten. Damit geht einher, dass dem Dateninhaber das Recht der Selbstbestimmung in Bezug auf seine Daten gewährleistet sein muss. Dieses ist in Deutschland sogar Teil des Grundgesetzes. Für eine klare Abgrenzung zu anderen Daten, wird festgelegt, welche Daten unter das Datenschutzgesetz fallen und wie dieses einzuhalten ist. Bei Verstoß gegen die Regeln sieht das Gesetz auch Sanktionen vor (Art. 77 ff DSGVO), die in der Vergangenheit für namhafte Firmen bereits in Millionenhöhe ausgefallen sind.
Persönliche Daten (PII: personally indentifiable information), die unter das Datenschutzgesetz fallen, können auch als sensible Daten definiert werden. Sie beziehen sich auf personenbezogene Daten, die einer natürlichen Person zugehörig sind. Persönliche Daten sind im Gesetz in Bezug auf ihren Gebrauch und die Speicherung sowie die Offenlegung gegenüber dem Dateninhaber explizit geschützt.
Beispiele für persönliche Daten (PII)
Name und Adresse
Geburtsdatum
IP-Adresse
Sozialversicherungsnummer
Personalausweisnummer
Bankdaten
Kfz-Kennzeichen
U.v.m.
Halten wir die Antwort kurz: Wer es nicht tut, sieht massiven Strafen ins Auge. Denn der Datenschutz sieht in ganz Europa (unter dem Gesetz GDPR, darunter Deutschland mit der DSGVO) aber auch in Ländern wie den USA und Brasilien klare Regeln vor.
Das Problem: Trotz hoher Sanktionen und medialer Aufmerksamkeit herrscht ein mangelndes Bewusstsein für den Datenschutz in Unternehmen. Datenschutzlücken und Gefahren werden häufig falsch eingeschätzt oder gar übersehen. Dazu gehört bereits der Umgang mit persönlichen Daten in Büroräumen, zum Beispiel am Arbeitsplatz, aber auch die Speicherung innerhalb von Systemen wie Jira und Confluence.
Datenschutzberatung gefällig?
Atlassian ist als Systemanbieter von Jira und Confluence mitverantwortlich für die Speicherung Ihrer Datensätze, insbesondere, wenn Sie sich auf Cloudinstanzen bewegen. Hierfür hat das australische Unternehmen ein sogenanntes „GDPR Commitment“ erstellt und veröffentlicht. Dieses kommuniziert, welche Regelungen und technischen Features für den Datenschutz in Jira und Confluence integriert sind, zum Beispiel das Datenschutzgesetz „Recht auf Löschung”. Es werden auch ISO/IEC Reglungen genannt, die berücksichtigt werden. In Bezug auf die Speicherung von Daten gibt Atlassian an, wie das Hosting im Detail aussieht.
Sie tragen als Unternehmen jedoch ebenfalls die Verantwortung, den Datenschutzgesetzen nachzukommen. Denn: Kunden, Mitarbeiter und Co. schließen mit Ihnen Verträge ab und reichen an erster Stelle Ihnen die Daten weiter. Verlangt einer Ihrer Kunden Einsicht in die Datenspeicherung, die Anonymisierung oder Löschung seiner Daten, sind Sie als Vertragspartner gefragt.
Werden PII für den Geschäftsbetrieb gespeichert und verarbeitet, muss für die entsprechende Sicherheit gesorgt werden. Hierfür sind Experten notwendig, wie ausgebildete Datenschutzbeauftragte oder Admins mit entsprechender Weiterbildung. Sie etablieren entsprechende Prozesse im Rahmen der Datenverarbeitung und -speicherung in Richtung Datenschutz.
Dazu gehört, dass bereits von vorneweg festlegt wird, welche Daten, für welchen Zweck und in welchem Ausmaß, wo in Ihren Jira- oder Confluence-Instanzen abgespeichert werden. Die User müssen diesen Konditionen zustimmen. Auf Anfrage müssen diese Daten schnell aufgefunden werden können. Sei es aufgrund des „Rechts auf Information“, was bedeutet, dass der Dateninhaber wissen möchte, was mit seinen Daten passiert; oder aufgrund des „Rechts auf Löschung“, was bedeutet, dass umgehend die persönlichen Daten aus den Systemen entfernt werden müssen.
Der herkömmliche Weg
Oftmals helfen sich Firmen an dieser Stelle mit selbsterstellten Skripts aus, die manuelle Arbeiten verringern sollen. Sie unterstützen dabei, die oftmals weit verstreuten Daten in Jira oder Confluence zu suchen und zu löschen. Stellen Sie sich diesen Vorgang einmal für hunderte Kunde pro Jahr in mehreren tausend Datensätzen von Projekten, Supporttickets und Co. vor. Klingt nicht nur nach einer Menge Arbeit, ist es auch! Und birgt oftmals Fehlerquellen, die massive Folgen haben können.
Der schnelle, komfortable und sichere Weg mit Actonic
Wir haben die Lösung! Für die Datenschutzkonformität der Atlassian Tools Jira und Confluence bieten wir die Apps Data Protection and Security Toolkit for Jira and Confluence an.
Das kann unsere App:
Data Protection and Security Toolkit for Jira and Confluence hilft dabei, Datenschutzverordnungen innerhalb Ihrer Firma im ersten Schritt an jeden User zu versenden und um dessen Zustimmung zu bitten.
Mittels Suchvorlagen und Suchregeln können Sie PII in Jira und Confluence ausfindig machen und anonymisieren. Eine integrierte Schritt-für-Schritt-Anleitung führt Sie durch den Prozess.
Sie werden als Datenschutzverantwortliche*r darüber informiert, wenn in Zukunft personenbezogene Daten in Jira oder Confluence eingepflegt werden und können entsprechende Schritte einleiten.
Und vieles mehr
Interessiert? Testen Sie unsere App 30 Tage kostenlos!