Verletzung des Schutzes personenbezogener Daten in Jira und Confluence - So gehen Sie mit Datenlecks & Datenpannen DSGVO-konform um - Actonic GmbH

Verletzung des Schutzes personenbezogener Daten in Jira und Confluence – So gehen Sie mit Datenlecks & Datenpannen DSGVO-konform um


Die DSGVO stellt sowohl große als auch kleine Unternehmen vor Herausforderungen. Es gilt so gut es geht Datenlecks, bei denen Daten von beispielsweise Mitarbeiter*innen oder Kund*innen für Außenstehende zugreifbar sind, und Datenpannen, bei denen ein vorsätzlicher Angriff auf Daten eines Unternehmens vorliegt, zu vermeiden. Treten diese trotzdem auf, ist es von höchster Wichtigkeit, mit diesen Verstößen richtig umzugehen und geeignete Schritte zu vollziehen. Denn das Gesetz gibt klare Regeln zum Umgang in diesen Fällen vor, die bei falscher Handhabe zu hohen Sanktionen gegen das Unternehmen führen können.

Unternehmen, die die beliebten agilen Softwares von Atlassian Jira und Confluence verwenden, werden durch diese Umstände vor die gleichen Probleme gestellt. Denn auch im Umgang mit diesen Softwares wird für gewöhnlich eine hohe Zahl an persönlichen Daten gespeichert. Wenn es hier zu einer Datenpanne oder zu einem Datenleck kommt, ist es wichtig auf diese vorbereitet zu sein und direkt zu wissen, welche Maßnahmen vollzogen werden müssen. Denn das Gesetz gibt Ihnen eine 72-Stunden Frist vor, in der Sie gehandelt haben müssen.

Um Sie auf die genannten Verstöße in Jira oder Confluence vorzubereiten, werden wir Ihnen durch diesen Artikel eine einfache und entspannte Variante aufzeigen, wie Sie in solchen Fällen handeln können. Darüber hinaus zeigen wir Ihnen, wie Sie Datenlecks und Datenpannen in Jira und Confluence von vorn hinein verhindern können, damit Sie nie in eine derartige Situation kommen.

Datenlecks & Datenpannen: Diese Regeln gilt es laut DSGVO zu beachten

Eine Verletzung des Schutzes personenbezogener Daten wird in der DSGVO als „Verletzung der Sicherheit, die unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“ definiert. Das schließt deshalb sowohl ein Datenleck, bei dem die Möglichkeit besteht, dass Dritte auf von Ihnen gespeicherte persönliche Daten zugreifen könnten, als auch eine Datenpanne, bei der unbefugte Dritte auf vorsätzlich auf Daten zugegriffen haben, ein.

In Artikel 33 Abs. 1 der DSGVO wird vom Gesetzgeber vorgegeben, was in diesen Fällen zu tun ist. Dort steht, dass Datenpannen und -lecks unverzüglich an die örtliche Aufsichtsbehörde gemeldet werden müssen, was hierbei bedeutet, dass Sie eine Frist von 72 Stunden einhalten müssen. Darüber hinaus müssen alle Fälle intern protokolliert werden. Welche Behörde Sie dabei kontaktieren müssen, ist von Land zu Land unterschiedlich. In Deutschland gibt es je eine zuständige Aufsichtsbehörde pro Bundesland.

Wenn durch die Verletzung des Schutzes personenbezogener Daten zusätzlich ein „hohes Risiko für die persönlichen Rechte und Freiheiten“ besteht, müssen zusätzlich ausnahmslos alle betroffenen Personen benachrichtigt werden. Dieses hohe Risiko entsteht bei finanziellen oder medizinischen Daten, was beispielsweise Kreditkarten oder Bankkontodaten sein können.
Sollte es sich jedoch „nur” um Kontaktinformationen, wie Name, Mail-Adresse oder Adresse handeln, ist eine Benachrichtigung nicht unbedingt erforderlich. Jedoch gilt es zu beachten, dass wenn es sich um eine große Anzahl von Personen handelt, zusätzlich zur Aufsichtsbehörde auch die betroffenen Personen kontaktiert werden müssen.

Die erwähnte Frist von 72 Stunden bis zur Meldung des Verstoßes beginnt dabei ab dem Zeitpunkt, an dem ein Verantwortlicher Kenntnis von der Verletzung des Schutzes personenbezogener Daten erlangt. Wenn Sie also in Ihrem Unternehmen auf einen Umstand mit personenbezogenen Daten stoßen, bei dem Sie sich unsicher sind, ob es sich dabei um eine Verletzung des Schutzes personenbezogener Daten handelt, sollten Sie den Vorfall zunächst genau prüfen. Wenn Sie dann nach der Prüfung wissen, dass dies auch tatsächlich der Fall ist, beginnt die Frist.

Verletzung des Schutzes personenbezogener Daten laut DSGVO: Das muss gemeldet werden

Das Gesetz gibt dabei vor, welche Informationen Sie der Aufsichtsbehörde mitteilen müssen. Laut Artikel 33 DSGVO müssen Sie der Behörde folgendes mitteilen:

  • Eine Beschreibung, wie der Schutz von personenbezogenen Daten von Ihnen verletzt wurde, die Anzahl der betroffenen Personen, der Zahl der Datensätze, sowie die Kategorie der Verletzung
  • Die Kontaktdaten Ihres Datenschutzbeauftragten oder der dafür zuständige Person
  • Eine Beschreibung der möglichen und wahrscheinlichen Folgen, die die Verletzung mit sich bringt
  • Eine Beschreibung der von Ihnen unternommenen Maßnahmen gegen die Verletzung des Schutzes der personenbezogenen Daten

Dazu müssen, wie bereits erwähnt, ggf. die betroffenen Personen benachrichtigt werden. Dies kann per Brief, E-Mail oder per SMS geschehen.

Umgang mit einer Verletzung des Schutzes personenbezogener Daten in Jira und Confluence

Die beiden Softwares Jira und Confluence von Atlassian erfreuen sich europaweit an großer Beliebtheit. Mit den großen Vorteilen der Softwares, die einen agilen Workflow im Projektmanagement ermöglichen, gehen natürlich auch durch die Speicherung von persönlichen Daten Risiken einher. Jedoch können diese Risiken durch ein paar einfache Tricks und Kniffe im Handumdrehen beseitigt werden. Die einfachste Lösung für alle Anwendungsfälle zum Datenschutz in Jira und Confluence sind die Apps „GDPR (DSGVO) and Security für Jira und Confluence”. Durch diese Apps können Sie der Verletzung des Schutzes personenbezogener Daten im Vorhinein vorbeugen. Wenn es bereits so weit ist und eine Verletzung vorliegt, können Sie schnell darauf reagieren und diese beheben.

Für den Fall, dass bereits eine Gefährdung von personenbezogenen Daten vorliegt, kann dies durch die folgenden Schritte behoben werden:

1. Wenn Sie merken, dass eine Datenpanne oder ein Datenleck vorliegt ist das „Data Cleaner Modul” der App die erste Anlaufstelle für Sie. Hier können Sie alle gespeicherten und verarbeiteten persönlichen Daten wie E-Mail-Adressen, Telefonnummern, Sozialversicherungsnummern, Kreditkartennummern, usw. durch eine einfache JQL-Abfrage finden.

2. Sobald Sie die betroffenen Daten gefunden haben, können Sie verschiedene Aktionen auf diese Daten anwenden. Eine der Aktionen ist im Falle, dass bei betroffenen persönlichen Daten ein „hohes Risiko für die persönlichen Rechte und Freiheiten“ besteht, äußerst hilfreich, denn dann müssen Sie die betroffenen Personen per Brief, SMS oder E-Mail benachrichtigen. Dafür hat die App die Funktion: „Send notification E-Mail”. Durch diese können Sie in der App eine E-Mail Vorlage erstellen, die Sie dann an alle betroffenen Personen schicken können, wodurch Sie Ihrer Verpflichtung zur Benachrichtigung dieser Personen nachkommen.

3. Als Nächstes kommt die App-Funktion „Permission Monitoring” zum Einsatz. Nachdem Sie im ersten Schritt alle betroffenen Informationen in Jira Tickets und Confluence Seiten gefunden haben, können Sie alle Berechtigungen zum Zugriff auf die zugrundeliegenden Daten einsehen. Diese können Sie in der App bearbeiten und so den möglichen Zugriff durch Dritte wieder zu korrigieren. Außerdem können Sie die gesamte Historie der Zugriffe auf die Daten in der App einsehen und so erkennen, ob jemand auf die Daten zugegriffen hat und Daten nach außen gelangt sein könnten. Falls das benötigt sein sollte, können Sie die betroffenen Daten nun anonymisieren oder gegebenenfalls löschen.

4. Im Falle, dass eine Verletzung des Schutzes personenbezogener Daten vorliegt, müssen Sie den Verstoß unverzüglich an die örtliche Aufsichtsbehörde melden. Welche Informationen Sie dieser übermitteln müssen, haben wir im letzten Abschnitt aufgelistet. Bei der Beschreibung der von Ihnen unternommenen Maßnahmen können Sie die in Schritt 1 bis 3 getätigten Aktionen nennen.

Durch die Befolgung dieser Schritte haben Sie die Verletzung des Schutzes personenbezogener Daten gesetzeskonform behandelt.

Datenpannen & Datenlecks vorbeugen durch GDPR (DSGVO) and Security für Jira und Confluence

Damit Datenpannen und Datenlecks gar nicht erst passieren, hält die App weitere nützliche Funktionen für Sie bereit: die Datenregeln. Mit diesen können Sie Datenverarbeitungsregeln definieren, um so zu sichern, dass keine persönlichen Daten verpasst werden, die bereinigt (oder sogar gelöscht) werden sollen. Wie Sie diese Datenregeln in der Praxis anwenden, erfahren Sie in unserem kurzen Produktvideo:

Mithilfe dieses Tools kommen Sie also gar nicht erst in die Lage, Datenpannen und Datenlecks in Jira und Confluence behandeln zu müssen, da Sie sie gar nicht erst aufkommen lassen.

Die Verletzung des Schutzes personenbezogener Daten in Jira und Confluence: ein Fazit

Der Datenschutz in Jira und Confluence mag Ihnen im ersten Moment undurchschaubar vorkommen, jedoch ist dieser mit Hilfe des richtigen Tools im Nu erledigt. Durch unseren Artikel kennen Sie nun alle erforderlichen Schritte für den Fall der Fälle und wissen welches Tool Ihnen in Jira und Confluence dabei helfen wird: GDPR (DSGVO) and Security für Jira und Confluence. Denn unsere App hilft Ihnen nicht nur, wenn es schon zu spät ist, sondern beugt Datenlecks und Datenpannen schon im Vornherein vor. Dies erleichtert Ihre Arbeit im Unternehmen zum Datenschutz ungemein und lässt Ihre Datenschutzbeauftragten wieder in Ruhe schlafen.

Interessiert, wie GDPR (DSGVO) and Security für Jira und Confluence Ihren persönlichen Anwendungsfall lösen kann? Dann testen Sie die App doch einfach für 30 Tage kostenlos und finden Sie es in der Praxis selbst heraus! Durch den nachfolgenden Link können Sie GDPR (DSGVO) and Security für Jira und GDPR (DSGVO) and Security für Confluence auf dem Atlassian Marketplace einsehen und testen:

Download: DSGVO-Checkliste

Checkliste zu Ihrer DSGVO Konformität - jetzt lesen!

  • Machen Sie den DSGVO-Check!
  • Sechs essentielle DSGVO-Kriterien
  • Kostenloser Download
Jetzt DSGVO-Checkliste laden