Wir haben unser Atlassian Lizenzierungs- und Beratungsgeschäft mit dem unseres Partners Seibert Group zusammengeführt. Die Actonic Apps werden weiterhin von demselben engagierten Team wie bisher entwickelt.
Weiterlesen...

DSGVO-Konformität bei Atlassian Produkten: Das Recht auf Vergessenwerden in Jira & Confluence

Von Patricia Modispacher10. November 2021Lesedauer: 4 Minuten

Datenschutz ist mittlerweile zur Pflichtaufgabe für Unternehmen geworden, die von vielen Unternehmen als lästig angesehen wird, da oftmals der Durchblick zu diesem komplizierten Thema fehlt. Zugegeben: jegliche persönliche Daten auf deren Konformität zu kontrollieren und diese danach zu behandeln, ist natürlich eine äußerst nervenaufreibende Tätigkeit, jedoch können bei falscher Handhabe hohe Geldstrafen drohen. Deshalb gilt es für Unternehmen, diese umfangreiche Aufgabe nicht auf die lange Bank zu schieben und so ernst wie möglich zu nehmen. Ein DSGVO-Kriterium, das Sie ebenfalls nicht vernachlässigen sollten, ist das „Recht auf Vergessenwerden”. Denn es ermöglicht es Personen, deren Daten von Unternehmen verarbeitet wurden, einen Antrag auf Löschung dieser Daten durch das Unternehmen zu veranlassen.

Auch im Atlassian Ökosystem und in dessen beiden großen Produkten Jira und Confluence ist Datenschutz ein wichtiges Thema. Hier werden persönliche Daten häufig auf Confluence Seiten oder innerhalb der Jira Tickets gespeichert. Wird einem Antrag auf Löschung von persönlichen Daten nicht oder nur unvollständig nachgegangen, kann das die zuvor erwähnten hohen Strafen verursachen. Um Daten DSGVO-konform zu behandeln, bieten Jira und Confluence einige integrierte Lösungen, um mit dem „Recht auf Vergessenwerden” umzugehen. Allerdings enthält der Atlassian Marketplace auch eine weitere Möglichkeit für Unternehmen, den Datenschutz innerhalb von Jira und Confluence zu regeln: die Apps „Data Protection and Security Toolkit for Jira und Confluence”.

In diesem Artikel werden wir Ihnen detailliert die in Jira und Confluence eingebauten Möglichkeiten vorstellen, mit dem „Recht auf Vergessenwerden” umzugehen und diese mit den Lösungen, die „Data Protection and Security Toolkit for Jira und Confluence” bietet, vergleichen.

„Recht auf Vergessenwerden“ Art. 17 DSGVO in Jira und Confluence

Das „Recht auf Vergessenwerden“ gibt jeder Person die Möglichkeit, von Unternehmen die Löschung aller personenbezogenen Daten, die es über diese gespeichert hat, zu verlangen. Dazu gehören bspw. Namen, Benutzernamen, Avatare und persönliche Einstellungen. Diesem Antrag muss innerhalb eines Monats nachgekommen werden.

Für Sie bedeutet das, dass wenn Sie in Ihrem Jira oder Confluence Daten zu natürlichen Personen gespeichert haben und diese Person von Ihnen verlangt diese Daten zu löschen, Sie das am besten so schnell wie möglich erledigen sollten.

Dafür gilt es diese Daten zunächst einmal zu finden. Sie können sich sicher vorstellen, dass die Suche nach diesen Daten äußerst kompliziert sein kann, gerade wenn diese Daten auf verschiedenen Confluence Seiten und/oder Jira Tickets gespeichert sind. Um der aufwendigen Suche nach Daten innerhalb jeglicher denkbaren Confluence Seite und Jira Ticket zu umgehen, beinhalten Jira und Confluence eingebaute Funktionen. Diese werden wir Ihnen im Folgenden vorstellen und mit den Möglichkeiten der App „Data Protection and Security Toolkit for Jira und Confluence” vergleichen.

In Jira und Confluence integrierte Möglichkeiten zum „Recht auf Vergessenwerden“

Für Atlassian Cloud Produkte ist das „Recht auf Vergessenwerden“ vollständig durch die Möglichkeit von Anfragen an den Atlassian Support abgedeckt. Das gilt mit Ausnahme von Inhalten, die von Drittanbieter-Anwendungen gespeichert werden. Wenn Sie Cloud Nutzer*in sind und eine Anfrage auf Löschung von persönlichen Daten erhalten, können Sie bei Atlassian ein Support-Ticket stellen, durch welches der Support die Inhalte des gewünschten Benutzers anonymisiert. Diese Möglichkeit besteht jedoch nicht für Server und Data Center Nutzer*innen.

Für Jira Server und DC gibt es für das „Recht auf Vergessenwerden“ bestimmte Workarounds, bei denen Sie SQL-Skripte in Ihrer Datenbank verwenden. Erfahren Sie mehr dazu in der Atlassian Dokumentation. Diese Möglichkeit kann allerdings oftmals sehr anspruchsvoll sein und ist mit einem hohen Zeitaufwand verbunden.

Für Confluence Server/DC gibt es eine Reihe von benutzerdefinierten Skripten, die von Admins manuell ausgeführt werden müssen. Erfahren Sie mehr dazu in diesem Abschnitt der Atlassian Dokumentation. Auch bei dieser Methode können viele Nutzer*innen an ihre Grenzen stoßen und viele Ressourcen aufwenden müssen.

„Recht auf Vergessenwerden“ – Lösungen durch „Data Protection and Security Toolkit for Jira und Confluence”

Die Apps „Data Protection and Security Toolkit for Jira und Confluence” sind ein komplettes Toolkit für die beiden Atlassian Softwares, um auf einfache und schnelle Art DSGVO-konform zu werden. Für das „Recht auf Vergessenwerden“ beinhaltet die Jira Version der App das „Data Cleaner” Modul. In der Confluence Version wird dazu das „User Anonymizer” Modul verwendet. Durch diese Module können alle Arten von persönlichen Daten innerhalb weniger Minuten gefunden und gelöscht werden. Dadurch ist die einmonatige Frist zur Löschung von Daten kein Problem und das Anonymisieren wird lediglich zu einer Routine Aufgabe. Durch die App werden sowohl Jira/Confluence-Server, -Data Center als auch -Cloud abgedeckt. Dabei ist diese Methode äußerst zuverlässig und sicher. Im Folgenden geben wir Ihnen einen schnellen Einblick in die beiden Module:

Das „Data Cleaner” Modul – So finden Sie mit „Data Protection and Security Toolkit for Jira” persönliche Daten

Durch das Data Cleaner Modul können in „Data Protection and Security Toolkit for Jira” in wenigen Minuten persönliche Daten gefunden werden. Dazu wird hier eine JQL Suche, mit der Sie im Handumdrehen Ihre gewünschten Daten heraussuchen können, verwendet. Diese können dann nach Feldern und Typen weiter gefiltert werden. Die Ausgabe kann dabei nach verschiedenen Kriterien aufgelistet werden. Hierbei werden alle gewünschten Daten innerhalb Jiras gefunden, welche Sie danach schnell und einfach anonymisieren oder löschen können.

Das „User Anonymizer” Modul – So finden Sie mit „Data Protection and Security Toolkit for Confluence” persönliche Daten

Manchmal müssen Sie den Inhalt von bestimmten Usern in Confluence anonymisieren, beispielsweise wenn ein Mitarbeiter das Unternehmen verlässt. Dazu kann in Confluence das „User Anonymizer” Modul verwendet werden. Um den oder die gewünschten Benutzer*in unsichtbar zu machen, wird diesem durch das Modul einfach ein Ersatz User Name verliehen. Der Umfang der Suche kann durch CQL (Confluence Query Language) eingeschränkt und die Rollen der Person können zurückgesetzt oder verändert werden. Äußerst nützlich ist hierbei die „Dry Run” Funktion, durch die Sie sich den betroffenen Inhalt zunächst anzeigen lassen können. Dadurch können Sie kontrollieren, ob im Schritt zuvor alles richtig ausgewählt wurde.

Fazit: Jira- und Confluence-interne Lösungen vs. „Data Protection and Security Toolkit for Jira und Confluence”

Egal, ob Sie sich für Jira interne Lösungen oder für die Apps entscheiden, in jedem Fall gilt es den Datenschutz und im Speziellen das „Recht auf Vergessenwerden“ in Jira und Confluence äußerst ernst zu nehmen. Falls eine Person von Ihnen verlangt persönliche Daten zu löschen, sollten Sie das schnellstmöglich erledigen. Sonst drohen hohe Geldstrafen. Dabei ist es wichtig die Daten vollständig zu löschen und keine zu übersehen.

In unserem Vergleich der Jira und Confluence internen Lösungen mit „Data Protection and Security Toolkit for Jira and Confluence” liegt die App klar vorne. Hier können Sie auf schnelle und einfache Weise persönliche Daten finden und danach anonymisieren oder löschen. Dabei können Sie sicher sein, dass Sie keine kritischen Daten übersehen und das „Recht auf Vergessenwerden“ eingehalten haben.

Darüber hinaus enthält Data Protection and Security Toolkit noch weitaus mehr Datenschutz-Funktionen. Denn durch die App können Sie beispielsweise einfache anpassbare Mitteilungen erstellen, um Zustimmung von Personen zur Verarbeitung von persönlichen Daten zu erhalten. Eine weitere mächtige Funktion des Tools ist die Möglichkeit zur Erstellung von Datenverarbeitungsregeln, mit denen Sie sicherstellen können, dass Sie keine persönlichen Daten verpassen, die gelöscht werden sollten.Data Protection and Security Toolkit for Jira and Confluence” ist Ihr komplettes Toolkit, um innerhalb Jira und Confluence vollständig DSGVO-konform zu werden!

Neugierig? Testen Sie „Data Protection and Security Toolkit for Jira and Confluence” jetzt kostenlos für 30 Tage auf dem Atlassian Marketplace!

CCPA, DSGVO, HIPAA und mehr: Verwalten Sie sie alle mit Leichtigkeit!

  • Automatisierte Benutzersuche
  • Sicher sein mit risikofreiem Datenschutz
  • Auch für: CCPA, HIPAA, LGPD, etc.
Zum Atlassian Marketplace

Wie hilfreich war dieser Beitrag?

Klicke auf die Sterne um zu bewerten!

Durchschnittliche Bewertung 5 / 5. Anzahl Bewertungen: 1

Bisher keine Bewertungen! Sei der Erste, der diesen Beitrag bewertet.

Diese Beiträge könnten Sie auch interessieren

  1. Wie Sie das CCPA Recht auf Offenlegung einhalten
  2. Artikel 15 DSGVO bei Atlassian Produkten: Das Auskunftsrecht in Jira & Confluence
  3. Verletzung des Schutzes personenbezogener Daten in Jira und Confluence – So gehen Sie mit Datenlecks & Datenpannen DSGVO-konform um
  4. Aufgaben und Zuständigkeiten eines Datenschutzbeauftragten
  5. Fünf wichtige Schritte, um in Jira und Confluence DSGVO-konform zu arbeiten