Wir haben unser Atlassian Lizenzierungs- und Beratungsgeschäft mit dem unseres Partners Seibert Group
zusammengeführt. Die Actonic Apps werden weiterhin von demselben engagierten Team wie bisher entwickelt.
Home » Blog » DSGVO-konform werden, Teil 1: Alles, was Sie wissen müssen, um Einwilligungen in Jira und Confluence zu erhalten
DSGVO-konform werden, Teil 1: Alles, was Sie wissen müssen, um Einwilligungen in Jira und Confluence zu erhalten
Von Veronika Averina•14. Februar 2020•Lesedauer: 5Minuten
Heute veröffentlichen wir eine Reihe von Artikeln zur DSGVO-Konformität in Jira und Confluence, um Sie bei der Navigation auf Ihrer DSGVO-Reise zu unterstützen. Über ein Jahr nach der Gründung der DSGVO haben viele Unternehmen immer noch Mühe, ihre Anforderungen vollständig zu verstehen und Datenstrategien zu implementieren. Wir hoffen, dass unsere Artikel wertvolle Erkenntnisse liefern, die dazu beitragen, dass Ihr Unternehmen die Vorschriften auf sichere und kostengünstige Weise einhält.
Alle Datenschutzgesetze einhalten
Jetzt testen: Data Protection and Security Toolkit
Wie Sie wissen, müssen Unternehmen heutzutage über eine Rechtsgrundlage für die Datenverarbeitung verfügen. Die Einholung der Einwilligung des Datenbesitzers ist eine der einfachsten Methoden, um den Datenschutz sicherzustellen. Die korrekte Einholung der Einwilligung legitimiert jedoch nicht nur die Verwendung von Daten, sondern ist auch ein wesentlicher Bestandteil des Kundenservices: Sie trägt dazu bei, das Vertrauen der Kunden zu stärken, Ihren guten Ruf als Anbieter zu verbessern und sich von den Mitbewerbern abzuheben.
In diesem Artikel konzentrieren wir uns auf die „Bedingungen für die Einwilligung“ (wie in Artikel 7 der DSGVO dargelegt) und untersuchen Möglichkeiten, wie die Einwilligung der Nutzer zur Speicherung und Verarbeitung ihrer personenbezogenen Daten eingeholt werden kann.
Was sind personenbezogene Daten?
Alles, was sich auf „personenbezogene Daten“ bezieht, ist in Artikel 4 Absatz 1 definiert: Personenbezogene Daten sind Informationen zu einer Person, auch betroffene Person genannt. Eine Person kann durch Indikatoren wie einen Namen, eine Nummer, Standortdaten oder einen Online-Identifikator identifiziert werden kann. Dazu zählen auch Faktoren, die für die physische, physiologische, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person verantwortlich sind.
Cookies, Vor- und Nachnamen sowie E-Mail-Adressen, die üblicherweise für Marketingzwecke verwendet werden, fallen daher in den Geltungsbereich dieser Definition und sollten auf eine Weise gesammelt, verarbeitet und gespeichert werden, die den Anforderungen der DSGVO entspricht.
Einwilligung zur Verarbeitung personenbezogener Daten
Laut DSGVO kann ein Unternehmen die personenbezogenen Daten seiner Kunden nicht verwenden, wenn nicht für jede Art der Interaktion eine Einwilligung vorliegt. Wenn Sie während des Registrierungsvorganges personenbezogene Daten sammeln, können Sie keinen Newsletter mit Sonderangeboten senden, ohne eine Person zu bitten, die Zustimmung zur Verarbeitung von E-Mail-Adresse und Name zu erteilen, um solche E-Mails zu erhalten.
Daten mit Zweck
Eines der Hauptprinzipien der DSGVO ist die „Zweckbindung“, die, wie in Artikel 5 klar angegeben, impliziert, dass alle personenbezogenen Daten „für festgelegte, explizite und legitime Zwecke erhoben und nicht in einer Weise weiterverarbeitet werden dürfen, die mit diesem Zweck nicht vereinbart ist. Eine Weiterverarbeitung zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gilt gemäß Artikel 89 Absatz 1 nicht als mit den ursprünglichen Zwecken unvereinbar („Zweckbindung“)“.
Mit anderen Worten, es muss angegeben werden, welche Daten Sie zu welchem Zweck verarbeiten. Zum Beispiel: „Ich bestätige, dass ich zulasse, dass Firma A meinen Vornamen, Nachnamen und meine E-Mail-Adresse verwendet, um mich per E-Mail über personalisierte Sonderangebote zu kontaktieren.“ Wenn Sie Telefonnummern für die Kaltakquise oder andere Daten für einen anderen Zweck sammeln möchten, müssen Sie dies ebenfalls klar und deutlich angeben.
Fallbeispiel 1
Stellen Sie sich vor, ein SaaS-Startup-Unternehmen verwendet Jira, um Kundenberichte zu Fehlern und Leistungsproblemen zu bearbeiten. Das Unternehmen möchte Ihre persönlichen Daten verwenden, um Ihnen Sonderangebote, Produktaktualisierungen und Bestellbenachrichtigungen zu senden, Nachrichten auszutauschen und Umfragen durchzuführen.
Nachdem ein Kunde seinen Registrierungsprozess in Jira abgeschlossen hat, sollte er seine Zustimmung zur Verarbeitung personenbezogener Daten geben. Eine Möglichkeit, diesen Prozess in Jira zu implementieren, besteht darin, ein Modul „Information Announcement“ des Add-Ons „GDPR (DSGVO) and Security for Jira“ zu verwenden und ein Popup-Fenster mit dem folgenden Text zu erstellen: „Ich bestätige, dass ich zulasse, dass Firma A meinen Vor- und Nachnamen sowie meine E-Mail-Adresse verwenden darf, um mich per E-Mail über personalisierte Sonderangebote, relevante Neuigkeiten und Ereignisse, Erinnerungen an die Auftragsabwicklung und Umfragen zu informieren.“ Implementieren Sie auf der Schaltfläche einen Akzeptieren- und Ablehnen-Button.
Hierbei ist es sehr wichtig, einen ausgewogenen Ansatz zu verfolgen und sich an das andere Prinzip der DSGVO, die „Datenminimierung“, zu halten und nur die Daten zu erfassen, die Sie wirklich benötigen. Zu viele Optionen für Marketingkommunikation können einen Kunden abschrecken und ihn dazu bringen, den Button „Ablehnen“ zu drücken.
Cookies in der DSGVO
Die bereits erwähnte Verfolgung der Online-Aktivitäten von Kunden und Mitarbeitern fällt ebenfalls in den Geltungsbereich der DSGVO. Bevor wir mit der Erfassung solcher Daten beginnen können, müssen wir daher die Zustimmung eines Benutzers einholen.
Der Verweis auf Cookies in der DSGVO ist in Erwägungsgrund 30 zu finden: „Natürliche Personen können Online-Identifikatoren zugeordnet sein, die von ihren Geräten, Anwendungen, Werkzeugen und Protokollen bereitgestellt werden, z.B. Internetprotokolladressen, Cookie-Identifikatoren oder andere Identifikatoren wie Funkfrequenzidentifikationsetiketten. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen von den Servern empfangenen Informationen dazu verwendet werden können, Profile der natürlichen Personen zu erstellen und diese zu identifizieren.“
Gemäß den wichtigsten Grundsätzen der DSGVO, „Datenminimierung“ und „Speicherbeschränkung“, muss die Menge der gesammelten Daten minimiert und nur so lange aufbewahrt werden, wie dies für den angegebenen Zweck erforderlich ist. Es ist wichtig anzugeben, welche Cookies das Unternehmen für welche Zwecke verwendet und wie lange sie aufbewahrt werden. Daher ist es gängige Praxis, eine separate Seite mit der Liste der Kategorien, Namen, Beschreibungen und Ablaufdaten von Cookies zu erstellen.
Fallbeispiel 2
Unternehmen B nutzt Jira für den Kundensupport und möchte seine Online-Aktivitäten verfolgen, um Kunden mit personalisierten Anzeigen anzusprechen. Der Standardprozess der Kundenunterstützung umfasst die folgende Abfolge von Ereignissen: Der Kunde hat ein Problem, schließt den Registrierungsprozess in Jira ab und erstellt ein Ticket. Um Cookies in Übereinstimmung mit der DSGVO zu verwenden, muss Unternehmen B jeden Kunden auffordern, seine Zustimmung zur Verfolgung seiner Online-Aktivitäten zu erteilen.
Eine Möglichkeit, dies in Jira zu tun, besteht darin, das Modul „Information Announcement“ des Add-Ons „GDPR (DSGVO) and Security for Jira“ zu verwenden und ein Pop-up-Fenster mit dem folgenden Text zu erstellen: „Wir verwenden Cookies, um Ihre Online-Erfahrung zu verbessern. Wenn Sie diese Website weiterhin nutzen, gehen wir davon aus, dass Sie der Verwendung dieser Cookies zustimmen. Weitere Informationen zu unseren Cookie-Richtlinien.“
Das Modul „Informationsankündigung“ ist sehr flexibel und kann für andere Zwecke verwendet werden, z. B. um die Zustimmung zu „Allgemeinen Geschäftsbedingungen“ oder „Benutzervereinbarung“ usw. in Jira und Confluence zu erhalten.
Widerrufsrecht
Um auf die Frage der Einhaltung der DSGVO in Jira und Confluence zurückzukommen, muss auch sichergestellt werden, dass die betroffenen Personen jederzeit ihr Einverständnis zur Speicherung und Verarbeitung personenbezogener Daten widerrufen können.
In Artikel 7 der DSGVO heißt es eindeutig: „Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen.“ Wenn eine Person beschließt ihre Einwilligung zu widerrufen, oder in anderen Fällen im Zusammenhang mit sensiblen Informationen, besteht die erste Herausforderung für ein Unternehmen darin, diese Daten so schnell wie möglich zu finden. Daher sollte die Navigation durch alle Benutzer und Einwilligungen einfach und bequem sein und Filter- sowie Sortieroptionen bereitgestellt werden.
Eine Aufsichtsbehörde kann auch Informationen über die Einwilligung der betroffenen Personen gemäß Artikel 7 anfordern: „Wenn die Verarbeitung auf einer Einwilligung beruht, muss der für die Verarbeitung Verantwortliche nachweisen können, dass die betroffene Person der Verarbeitung ihrer personenbezogenen Daten zugestimmt hat.“ Auch hier müssen wir diese Informationen schnell, einfach und problemlos finden und extrahieren.
Jira-Module für DSGVO
Das Modul „Informationsankündigung“ des Add-Ons „GDPR (DSGVO) and Security for Jira“ verfügt über eine integrierte Funktion, mit der strukturierte und systematische Informationen zu jeder vom Unternehmen angeforderten Art von Einwilligung (Cookie-Richtlinie, Verarbeitung personenbezogener Daten und Geschäftsbedingungen usw.) abgerufen werden können und erleichtert den Navigationsprozess erheblich. Im nächsten Artikel werden wir diskutieren, was als nächstes mit den gefundenen Daten zu tun ist und wie alle personenbezogenen Daten in Jira und Confluence gelöscht werden.
Weitere Informationen zur Einhaltung der DSGVO finden Sie in den Artikeln dieser Reihe: