Haben Sie schon einmal auf ein Auskunftsersuchen (DSAR) gemäß Art. 15 DSGVO in einer Jira-Instanz mit über 200 Projekten reagiert? Dann wissen Sie, wie sich diese Arbeit tatsächlich anfühlt. Zuerst melden Sie sich bei DPT an und wählen ein Projekt aus. Anschließend führen Sie den Scan aus, exportieren das Ergebnis und wechseln das Projekt. Erneut ausführen, wechseln, ausführen, wechseln, ausführen. Nach 40 Projekten beginnen Sie sich zu fragen, ob Sie eines übersehen haben. Drei Stunden später sind Sie immer noch dabei. Und wenn die Rechtsabteilung fragt: „Sind Sie sicher, dass Sie alles abgedeckt haben?“ – ist Ihre ehrliche Antwort: „Ich denke schon.“

Genau diese Lücke schließt Full Instance Search – eine neue Methode, in einem konfigurierten Durchlauf jedes Projekt, jeden Bereich, jedes Vorgangs-Ticket, jeden Kommentar und jeden Anhang Ihrer Jira– oder Confluence-Instanz zu durchsuchen. Konzipiert für Compliance-Aufgaben rund um DSGVO, DSAR, ISO 27001 und SOC 2.

Was Full Instance Search macht: alle Jira- und Confluence-Projekte in einem Durchlauf scannen

Full Instance Search ist ein neuer Trigger-Typ im Data Protection and Security Toolkit für Jira und Confluence. Anstatt eine Suche auf ein bestimmtes Projekt, einen Bereich oder ein Vorgangs-Set zu beschränken, scannt es jedes Projekt und jeden Bereich, auf den die App Zugriff hat. Konkret umfasst das Vorgänge, Kommentare, Anhänge, Beschreibungen, benutzerdefinierte Felder, Confluence-Seiten und Seitenkommentare – alles in einem einzigen konfigurierten Durchlauf.

Sie richten es genauso ein wie jede andere DPT-Suchvorlage. Zuerst geben Sie der Vorlage im Schritt „General Configuration“ einen Namen und wählen Full instance search aus dem Trigger-Dropdown. Dann können Sie optional eine Verzögerung von einer Sekunde zwischen Batch-Anfragen aktivieren, um die Belastung der Atlassian-API zu reduzieren. Schließlich schreiben Sie eine Beschreibung und legen den Eigentümer fest. Anschließend wechseln Sie zu „Fields Processing“ und definieren, wonach Sie tatsächlich suchen. Zur Auswahl stehen Regex-Muster, vordefinierte Typen personenbezogener Daten (E-Mail-Adressen, Telefonnummern, IBANs, Personalausweisnummern, Kreditkartennummern) oder Ihre eigenen benutzerdefinierten Regeln.

Das ist die gesamte Einrichtung!

Warum eine instanzweite Suche besser ist als projektweise Scans für DSGVO-Compliance

Die eigentliche Neuerung ist nicht die Suche selbst – DPT konnte personenbezogene Daten in Jira- und Confluence-Inhalten bereits finden. Die eigentliche Neuerung ist die Vereinheitlichung des Suchbereichs.

Wenn ein Compliance-Beauftragter Projekt für Projekt vorgeht, gehen drei Dinge schief – und Full Instance Search behebt alle drei.

Sie können Projekte übersehen. Beispielsweise wird am Dienstag ein neues Projekt erstellt. Dann trifft am Mittwoch das DSAR ein. Wenn Sie Ihre gespeicherten Suchen jedoch mit expliziten Projektlisten konfiguriert haben, taucht dieses neue Projekt in keiner davon auf. Sie wissen nicht, was Sie nicht wissen. Im Gegensatz dazu erfasst Full Instance Search alles, worauf die App Leseberechtigungen hat – einschließlich Projekten und Bereichen, die nach dem Speichern der Vorlage entstanden sind.

Sie können Vollständigkeit nicht beweisen. „Ich habe in diesen 47 Projekten gesucht“ ist nicht dasselbe wie „Ich habe die gesamte Instanz durchsucht.“ Auditoren und Datenschutzbeauftragte (DSB) wollen zunehmend die zweite Aussage. Als Antwort darauf erstellt Full Instance Search einen einzigen Audit-Eintrag, der genau die Frage beantwortet, die sie tatsächlich stellen.

Sie verbringen Stunden mit Koordination statt mit Untersuchung. Schließlich ist das Aufsetzen von 50 Suchen, das Überwachen von 50 Fortschrittsbalken, das Exportieren von 50 Ergebnissätzen und das Zusammenführen in einen Bericht reine Verwaltungsarbeit. Folglich macht Sie das nicht besser darin, personenbezogene Daten zu finden. Es macht Sie nur langsamer.

Konzipiert für große Instanzen: Fortschrittsanzeige, automatische Wiederherstellung und vollständiger Audit-Trail

Eine ganze Atlassian-Instanz zu scannen ist keine Kleinigkeit. Mittelgroße Kunden haben Hunderttausende von Vorgängen; große Unternehmen haben Millionen. Folglich würde ein naiver „Alles scannen“-Button entweder einen Timeout produzieren, die API in das Rate-Limit-Chaos hämmern oder stillschweigend versagen. Schlimmer noch: Sie hätten keine Möglichkeit zu wissen, was bei einem Verbindungsabbruch erfasst wurde. Daher geht Full Instance Search davon aus, dass langlaufende Scans abbrechen – und das ist in Ordnung, solange das System es richtig handhabt.

„Es geht nicht um ‚wir haben gesucht‘ – es geht um ‚hier ist der Beweis, dass wir gesucht haben.'“

DSAR, Recht auf Löschung, ISO 27001: echte Compliance-Anwendungsfälle

Auskunftsersuchen unter DSGVO

Ein Nutzer reicht ein DSAR ein. Je nach Rechtsraum haben Sie zwischen 30 Tagen und „unverzüglich“ Zeit, jede Erwähnung seiner personenbezogenen Daten zu finden. Ohne Full Instance Search ist das ein halber Arbeitstag voller Klicks. Mit der Funktion reduziert sich der Jira- und Confluence-Anteil auf eine einzige konfigurierte Vorlage. Konkret: Die Vorlage läuft im Hintergrund, während Sie den Rest der DSAR-Pipeline abwickeln. Wenn Sie die Antwort versenden, hängen Sie den Audit-Eintrag als Nachweis der Vollständigkeit an.

Recht auf Löschung (Art. 17 DSGVO, „Recht auf Vergessenwerden“)

Wenn Sie auf Anfrage personenbezogene Daten löschen müssen, ist die Voraussetzung dafür, sie alle zu finden. Das Recht auf Löschung ist unerbittlich. Beispielsweise ist ein Scan, der einen einzigen Kommentar in einem archivierten Projekt übersieht, ein Compliance-Verstoß. Daher ist eine instanzweite Reichweite die einzige Möglichkeit, Ihrem Datenschutzbeauftragten eine vertretbare Antwort zu geben. Anschließend übernehmen die Anonymisierungs- und Schwärzungswerkzeuge von DPT die eigentliche Bereinigung.

Interne Audits, ISO 27001, SOC 2

Stehen Sie vor einem ISO 27001-Audit, einer SOC 2-Prüfung oder einer internen Datenklassifizierungsübung? Dann brauchen Sie wiederholbare, klar abgegrenzte und nachweisbare Suchen. Konkret: Sie speichern eine Full-Instance-Search-Vorlage einmal, führen sie quartalsweise aus und der Audit-Trail baut sich von selbst auf.

Reaktion auf Sicherheitsvorfälle

Wenn etwas schiefgegangen ist, müssen Sie wissen, ob Angreifer sensible Daten preisgegeben haben. Aber Sie haben keine Zeit, 80 einzelne Suchen aufzusetzen. Sie müssen es jetzt wissen. Eine Vorlage, ein Durchlauf.

Datenhygiene vor Migrationen

Wechseln Sie von Server oder Data Center zur Cloud, konsolidieren Sie Instanzen oder mustern Sie alte Projekte aus? Dann führen Sie vor der Migration eine Full Instance Search aus, um personenbezogene Daten zu finden und zu bereinigen, die nicht mit umziehen sollten. Schließlich ist es viel günstiger, Probleme in der Quell-Instanz zu beheben, als nach der Replikation in die neue Instanz aufzuräumen.

Von projektweisen Scans zur instanzweiten Suche: was sich für Jira-Admins und DSBs ändert

Ehrliche Antwort: nicht viel, und das ist Absicht. Full Instance Search ist eine zusätzliche Trigger-Option, kein Ersatz für die projektbezogenen und JQL-basierten Suchen, die Ihr Team bereits ausführt. Tatsächlich sind gezielte Suchen weiterhin das richtige Werkzeug, wenn Sie ein bestimmtes Projekt untersuchen, einen Regex debuggen oder einen schnellen Stichprobentest durchführen.

Was sich ändert, ist der Standard für Compliance-Arbeit. Vorher: einen Suchbereich wählen und hoffen, dass Sie alles erwischt haben. Jetzt: Full instance search wählen und wissen, dass Sie alles erwischt haben. Folglich beginnt sich auch Ihre DPT-Vorlagenliste zu verändern. Anstelle von 30 Vorlagen mit Namen wie „Projekt X – E-Mails“, „Projekt Y – E-Mails“, „Projekt Z – E-Mails“ behalten Sie eine Master-Vorlage pro Datentyp und verwenden sie über mehrere Durchläufe hinweg.

Für Admins ist der operative Aufwand spürbar geringer. Machen Sie sich Sorgen über die API-Belastung in einer beschäftigten Instanz? Dann aktivieren Sie zuerst die optionale Batch-Verzögerung von einer Sekunde. Konkret: Sie verlängert die Gesamtlaufzeit nur geringfügig, nimmt aber den größten Druck vom Rate-Limiter. In der Cloud, wo Atlassians API-Limits strenger sind als im Data Center, ist das Aktivieren der Verzögerung die sichere Standardeinstellung.

So richten Sie Full Instance Search in DPT ein

Full Instance Search ist ab sofort in DPT für Jira und DPT für Confluence auf dem Atlassian Marketplace verfügbar. Wenn Sie DPT bereits installiert haben, erscheint der neue Trigger automatisch im Vorlagen-Konfigurationsbildschirm. Konkret: Gehen Sie zu Data Cleaner → Neue Vorlage erstellen, wählen Sie Full instance search aus dem Trigger-Dropdown – und schon sind Sie drin.

Sie haben DPT noch nicht? Dann sieht der saubere Evaluierungspfad so aus: Sie installieren die App auf einer Staging-Instanz, führen eine Full Instance Search mit dem vordefinierten Regelsatz für personenbezogene Daten aus und prüfen die Ergebnisse. Bei den meisten Kunden findet der erste Scan unerwartete Dinge – alte Testdaten mit echten E-Mail-Adressen, Telefonnummern in vor Jahren abgeschlossenen Tickets, Anhänge mit personenbezogenen Daten, an deren Hochladen sich niemand mehr erinnert. Üblicherweise ist das der Moment, in dem sich der Business Case von selbst schreibt.

Häufig gestellte Fragen