We have merged our Atlassian licensing and consulting business with our partners over at Seibert Group. The Actonic apps will continue to be developed by the same caring team as before.

Be GDPR compliant, Part 1: everything you need to know about getting consent in Jira and Confluence


5
(1)

Today, we are launching a series of articles on the GDPR compliance in Jira and Confluence to help you navigate your GDPR journey. Over a year on after the GDPR inception, many businesses are still struggling to fully understand its requirements and implement data strategies to comply with it. We hope our articles will provide valuable insights to help make your business more compliant with this challenging regulation in a safe and cost-effective way.

Die Datenschutzgrundverordnung

Wie Sie wissen, müssen Unternehmen heutzutage über eine Rechtsgrundlage für die Datenverarbeitung verfügen. Die Einholung der Einwilligung des Datenbesitzers ist eine der einfachsten Methoden, um den Datenschutz sicherzustellen. Die korrekte Einholung der Einwilligung legitimiert jedoch nicht nur die Verwendung von Daten, sondern ist auch ein wesentlicher Bestandteil des Kundenservices: Sie trägt dazu bei, das Vertrauen der Kunden zu stärken, Ihren guten Ruf als Anbieter zu verbessern und sich von den Mitbewerbern abzuheben.

In diesem Artikel konzentrieren wir uns auf die „Bedingungen für die Einwilligung“ (wie in Artikel 7 der DSGVO dargelegt) und untersuchen Möglichkeiten, wie die Einwilligung der Nutzer zur Speicherung und Verarbeitung ihrer personenbezogenen Daten eingeholt werden kann.

 

Was sind personenbezogene Daten?

Alles, was sich auf „personenbezogene Daten“ bezieht, ist in Artikel 4 Absatz 1 definiert: Personenbezogene Daten sind Informationen zu einer Person, auch betroffene Person genannt. Eine Person kann durch Indikatoren wie einen Namen, eine Nummer, Standortdaten oder einen Online-Identifikator identifiziert werden kann. Dazu zählen auch Faktoren, die für die physische, physiologische, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person verantwortlich sind.

Cookies, Vor- und Nachnamen sowie E-Mail-Adressen, die üblicherweise für Marketingzwecke verwendet werden, fallen daher in den Geltungsbereich dieser Definition und sollten auf eine Weise gesammelt, verarbeitet und gespeichert werden, die den Anforderungen der DSGVO entspricht.

 

Einwilligung zur Verarbeitung personenbezogener Daten

Laut DSGVO kann ein Unternehmen die personenbezogenen Daten seiner Kunden nicht verwenden, wenn nicht für jede Art der Interaktion eine Einwilligung vorliegt. Wenn Sie während des Registrierungsvorganges personenbezogene Daten sammeln, können Sie keinen Newsletter mit Sonderangeboten senden, ohne eine Person zu bitten, die Zustimmung zur Verarbeitung von E-Mail-Adresse und Name zu erteilen, um solche E-Mails zu erhalten.

 

Daten mit Zweck

Eines der Hauptprinzipien der DSGVO ist die „Zweckbindung“, die, wie in Artikel 5 klar angegeben, impliziert, dass alle personenbezogenen Daten „für festgelegte, explizite und legitime Zwecke erhoben und nicht in einer Weise weiterverarbeitet werden dürfen, die mit diesem Zweck nicht vereinbart ist. Eine Weiterverarbeitung zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gilt gemäß Artikel 89 Absatz 1 nicht als mit den ursprünglichen Zwecken unvereinbar („Zweckbindung“)“.

Mit anderen Worten, es muss angegeben werden, welche Daten Sie zu welchem Zweck verarbeiten. Zum Beispiel: „Ich bestätige, dass ich zulasse, dass Firma A meinen Vornamen, Nachnamen und meine E-Mail-Adresse verwendet, um mich per E-Mail über personalisierte Sonderangebote zu kontaktieren.“ Wenn Sie Telefonnummern für die Kaltakquise oder andere Daten für einen anderen Zweck sammeln möchten, müssen Sie dies ebenfalls klar und deutlich angeben. 

 

Fallbeispiel 1

Stellen Sie sich vor, ein SaaS-Startup-Unternehmen verwendet Jira, um Kundenberichte zu Fehlern und Leistungsproblemen zu bearbeiten. Das Unternehmen möchte Ihre persönlichen Daten verwenden, um Ihnen Sonderangebote, Produktaktualisierungen und Bestellbenachrichtigungen zu senden, Nachrichten auszutauschen und Umfragen durchzuführen.

Nachdem ein Kunde seinen Registrierungsprozess in Jira abgeschlossen hat, sollte er seine Zustimmung zur Verarbeitung personenbezogener Daten geben. Eine Möglichkeit, diesen Prozess in Jira zu implementieren, besteht darin, ein Modul „Information Announcement“ des Add-Ons „GDPR (DSGVO) and Security for Jira“ zu verwenden und ein Popup-Fenster mit dem folgenden Text zu erstellen: „Ich bestätige, dass ich zulasse, dass Firma A meinen Vor- und Nachnamen sowie meine E-Mail-Adresse verwenden darf, um mich per E-Mail über personalisierte Sonderangebote, relevante Neuigkeiten und Ereignisse, Erinnerungen an die Auftragsabwicklung und Umfragen zu informieren.“ Implementieren Sie auf der Schaltfläche einen Akzeptieren- und Ablehnen-Button.

 

Bild 1: Beispiel einer Einverständniserklärung für die Verarbeitung personenbezogener Daten in der DSGVO und in Security for Jira

Hierbei ist es sehr wichtig, einen ausgewogenen Ansatz zu verfolgen und sich an das andere Prinzip der DSGVO, die „Datenminimierung“, zu halten und nur die Daten zu erfassen, die Sie wirklich benötigen. Zu viele Optionen für Marketingkommunikation können einen Kunden abschrecken und ihn dazu bringen, den Button „Ablehnen“ zu drücken.

 

Cookies in der DSGVO

Die bereits erwähnte Verfolgung der Online-Aktivitäten von Kunden und Mitarbeitern fällt ebenfalls in den Geltungsbereich der DSGVO. Bevor wir mit der Erfassung solcher Daten beginnen können, müssen wir daher die Zustimmung eines Benutzers einholen.

Der Verweis auf Cookies in der DSGVO ist in Erwägungsgrund 30 zu finden: „Natürliche Personen können Online-Identifikatoren zugeordnet sein, die von ihren Geräten, Anwendungen, Werkzeugen und Protokollen bereitgestellt werden, z.B. Internetprotokolladressen, Cookie-Identifikatoren oder andere Identifikatoren wie Funkfrequenzidentifikationsetiketten. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen von den Servern empfangenen Informationen dazu verwendet werden können, Profile der natürlichen Personen zu erstellen und diese zu identifizieren.“

Gemäß den wichtigsten Grundsätzen der DSGVO, „Datenminimierung“ und „Speicherbeschränkung“, muss die Menge der gesammelten Daten minimiert und nur so lange aufbewahrt werden, wie dies für den angegebenen Zweck erforderlich ist.  Es ist wichtig anzugeben, welche Cookies das Unternehmen für welche Zwecke verwendet und wie lange sie aufbewahrt werden. Daher ist es gängige Praxis, eine separate Seite mit der Liste der Kategorien, Namen, Beschreibungen und Ablaufdaten von Cookies zu erstellen.

 

Fallbeispiel 2

Unternehmen B nutzt Jira für den Kundensupport und möchte seine Online-Aktivitäten verfolgen, um Kunden mit personalisierten Anzeigen anzusprechen. Der Standardprozess der Kundenunterstützung umfasst die folgende Abfolge von Ereignissen: Der Kunde hat ein Problem, schließt den Registrierungsprozess in Jira ab und erstellt ein Ticket. Um Cookies in Übereinstimmung mit der DSGVO zu verwenden, muss Unternehmen B jeden Kunden auffordern, seine Zustimmung zur Verfolgung seiner Online-Aktivitäten zu erteilen.

Eine Möglichkeit, dies in Jira zu tun, besteht darin, das Modul „Information Announcement“ des Add-Ons „GDPR (DSGVO) and Security for Jira“ zu verwenden und ein Pop-up-Fenster mit dem folgenden Text zu erstellen: „Wir verwenden Cookies, um Ihre Online-Erfahrung zu verbessern. Wenn Sie diese Website weiterhin nutzen, gehen wir davon aus, dass Sie der Verwendung dieser Cookies zustimmen. Weitere Informationen zu unseren Cookie-Richtlinien.“

 

Bild 2: Beispiel einer Einverständniserklärung zur Verfolgung von Online-Aktivitäten in „GDPR (DSGVO) und Security for Jira

Das Modul „Informationsankündigung“ ist sehr flexibel und kann für andere Zwecke verwendet werden, z. B. um die Zustimmung zu „Allgemeinen Geschäftsbedingungen“ oder „Benutzervereinbarung“ usw. in Jira und Confluence zu erhalten.

 

Widerrufsrecht

Um auf die Frage der Einhaltung der DSGVO in Jira und Confluence zurückzukommen, muss auch sichergestellt werden, dass die betroffenen Personen jederzeit ihr Einverständnis zur Speicherung und Verarbeitung personenbezogener Daten widerrufen können.

In Artikel 7 der DSGVO heißt es eindeutig: „Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen.“ Wenn eine Person beschließt ihre Einwilligung zu widerrufen, oder in anderen Fällen im Zusammenhang mit sensiblen Informationen, besteht die erste Herausforderung für ein Unternehmen darin, diese Daten so schnell wie möglich zu finden. Daher sollte die Navigation durch alle Benutzer und Einwilligungen einfach und bequem sein und Filter- sowie Sortieroptionen bereitgestellt werden.

Eine Aufsichtsbehörde kann auch Informationen über die Einwilligung der betroffenen Personen gemäß Artikel 7 anfordern: „Wenn die Verarbeitung auf einer Einwilligung beruht, muss der für die Verarbeitung Verantwortliche nachweisen können, dass die betroffene Person der Verarbeitung ihrer personenbezogenen Daten zugestimmt hat.“ Auch hier müssen wir diese Informationen schnell, einfach und problemlos finden und extrahieren.

 

Jira-Module für DSGVO

Das Modul „Informationsankündigung“ des Add-Ons „GDPR (DSGVO) and Security for Jira“ verfügt über eine integrierte Funktion, mit der strukturierte und systematische Informationen zu jeder vom Unternehmen angeforderten Art von Einwilligung (Cookie-Richtlinie, Verarbeitung personenbezogener Daten und Geschäftsbedingungen usw.) abgerufen werden können und erleichtert den Navigationsprozess erheblich. Im nächsten Artikel werden wir diskutieren, was als nächstes mit den gefundenen Daten zu tun ist und wie alle personenbezogenen Daten in Jira und Confluence gelöscht werden.

 

Bild 3: Beispiel für eine schnelle Filteroption in „GDPR (DSGVO) and Security for Jira

 

 

 


 

Weitere Informationen zur Einhaltung der DSGVO finden Sie in den Artikeln dieser Reihe:

 

 

 

Lassen Sie uns in Kontakt bleiben!

Folgen Sie uns auf LinkedIn, Facebook, XING und Twitter und abonnieren Sie unseren Newsletter, um regelmäßig Updates, Tipps und Angebote direkt in Ihr Postfach zu erhalten.

CCPA, GDPR, HIPAA and more: easily manage all of them!

  • Handle all sensitive and personal data
  • Be safe with risk-free data protection
  • Also ready for: CCPA, HIPAA, LGPD, etc.
Go to Atlassian Marketplace

How useful was this post?

Click on a star to rate it!

Average rating 5 / 5. Vote count: 1

No votes so far! Be the first to rate this post.