Wir haben unser Atlassian Lizenzierungs- und Beratungsgeschäft mit dem unseres Partners Seibert Group zusammengeführt. Die Actonic Apps werden weiterhin von demselben engagierten Team wie bisher entwickelt.
Weiterlesen...

Warum Ihr Jira DSGVO-konform sein sollte

Von Viktoria Kvindt5. Mai 2021Lesedauer: 3 Minuten

Wussten Sie, dass Bußgelder bis zu 4 % des jährlichen Umsatzes eines Unternehmens bei Verstößen gegen die Datenschutz-Grundverordnung angesetzt werden können? DSGVO-Regelungen betreffen derzeit vor allem Firmen der EU, aber auch Länder wie Brasilien legen mittlerweile mit Datenschutzregeln nach. In die Liste der bereits sanktionierten Unternehmen reihen sich in Europa Big Player wie die AOK, H&M und VfB ein, die Strafen liegen hierbei zwischen mehreren Hunderttausend bis hin zu mehr als 35 Millionen Euro. Diese kamen unter anderem deshalb zustande, weil Kundendaten unsachgemäß gespeichert und verwendet wurden; oftmals werden Sanktionen auch ausgesprochen, weil kein Löschungskonzept persönlicher Daten vorliegt.

Was hat das mit Ihrem Firmen-Jira zu tun?

Für viele Firmen spielt Jira eine entscheidende Rolle in der Datenverarbeitung von persönlichen Daten (auch „PII“ genannt: personally identifiable information). Zu den persönlichen Daten zählen: vollständige Namen, Adressen, E-Mail-Adressen, Geburtsdaten, Telefonnummern, Login-Daten, Passwörter, Bankdaten etc.

  • Kunden stellen Tickets, die Login-Daten beinhalten (beispielsweise im Support)
  • Bewerber reichen ihre Unterlagen per Jira Issue Collector ein
  • Potenzielle Kunden stellen Anfragen zu Lizenzen und hinterlassen Firmen- oder Bankdaten
  • Relevante Daten werden firmenweit und eventuell sogar international zwischen Teams geteilt

Demnach sind in Ihrem Firmen-Jira Daten in Umlauf, die als sensibel und persönlich eingestuft werden und datenschutzrechtlich relevant sind. Dies zeigt auch, dass DSGVO-Regelungen von Bedeutung sind.

Warum Ihr Jira DSGVO-konform sein sollte

Persönliche Daten werden auf dem heutigen Markt wie Öl gehandelt. Mittels persönlicher Daten werden Geschäftsprozesse im B2B und B2C Bereich schnell und einfach ermöglicht.

Zum Beispiel: Kunde Mustermann schickt einer Firma einen Teil seiner PII (Name, Adresse und Kreditkartennummer), um deren Softwarelizenz zu kaufen.

An dieser Stelle setzt Jira ein: Es wird unter anderem für das Projekt- oder Prozessmanagement, HR, Marketing, die Entwicklung und den Vertrieb verwendet. Es beinhaltet also von Kunden- bis hin zu Mitarbeiterdaten alle wichtigen Informationen, wozu auch sensible Datensätze wie Lebensläufe oder Kreditkartennummern zählen können. In den meisten Fällen sind die persönlichen Daten lediglich für Geschäftsprozesse notwendig, wie im obigen Beispiel zu sehen. Jedoch können auch größere Schäden können durch den Daten-Missbrauch oder die Verbreitung dieser Daten entstehen. Aus diesem Grund hat jeder das Recht seine persönlichen Daten sicher zu wissen und auch die Löschung eben dieser Daten zu fordern (Art. 17 DSGVO: Recht auf Löschung). Firmen die demnach mit Jira als einem firmenweit vernetzten Tool arbeiten, sollten sich über die Regeln der DSGVO informieren und dafür sorgen, dass die eigene Jira-Instanz diesen nachkommt.

Wie sieht die Datenschutzkonformität in Jira aus und wie erreichen Sie diese?

Die Datenschutzkonformität wird durch entsprechende Datenschutzbeauftragte (auch „Data protection officer“ (DPO) genannt) und den Einsatz von entsprechenden Systemen mit DSGVO-rechtlichem Hintergrund ermöglicht. Jira beinhaltet bereits einige Funktionen, jedoch sind diese für die Anforderungen der Datenschutzkonformität nicht ausreichend. Vieles muss einzeln und manuell gestartet sowie konstant überwacht werden. Mithilfe bestimmter Tools werden bestehende Instanzen und Datensätze jedoch auf ihren Datenschutz hin geprüft und eine DSGVO-konforme Jira-Umgebung ist möglich – und das allumfassend, automatisiert und fehlerfrei. Im Idealfall nutzen Sie und Ihr Datenschutzteam hierfür das vollumfängliche Toolkit Data Protection and Security Toolkit for Jira von Actonic.

Der Einsatz eines DSGVO-Tools: Szenario 1

Stellen Sie sich vor, Sie arbeiten in einem internationalen Großunternehmen, mit hunderten von Projekten, tausenden von Mitarbeitern und Millionen von Kunden und deren Daten. Wenn ein einzelner Kunde nun die Einsicht und Löschung seiner Daten fordert, sind die Mitarbeiter dafür zuständig, manuell alle mit diesem Kunden in Verbindung stehenden Geschäftsprozesse aufzulisten und entsprechend zu löschen oder zu anonymisieren. Für viele von Ihnen ist dieses Szenario vielleicht nicht nur eine Fiktion, sondern Realität. Dieses Szenario verlangt nun ein Tool, das allumfassend und automatisch alle Vorgänge in Jira prüft, betroffene Tickets oder andere Elemente aufzeigt und die vertraulichen Infos mittels explizit hierfür verfasster Regel löscht oder anonymisiert. Dasselbe Szenario kann auch für die Daten von Mitarbeitern oder Bewerbern zutreffen.

Der Einsatz eines DSGVO-Tools: Szenario 2

Die DSGVO hängt jedoch nicht nur mit der Löschung von Daten zusammen, sondern auch mit der Informationsvermittlung und Zustimmung. Ein weiteres Szenario ist demnach die firmenweite Streuung der Information bezüglich Cookies oder Nutzungshinweise innerhalb Ihrer Jira-Instanz. Womöglich möchten Sie Ihre Nutzer über die neue zugrunde liegende datenschutzrechtliche Regeln zur Verwendung Ihrer Jira-Instanz aufklären und tracken, wer diese in Ihrem Unternehmen akzeptiert. Auch wenn an diesen Regelungen Änderungen vorgenommen werden, möchten Sie zeitsparend handeln und alle User auf einen Schlag informieren können. Wie in Szenario 1 ist auch hier ein Tool vonnöten, das Ihnen die Verbreitung von wichtigen DSGVO-Hinweisen erlaubt und somit für datenschutzrechtliche Grundlagen innerhalb Ihres Jiras sorgt.

Data Protection and Security Toolkit for Jira ermöglicht die DSGVO-Konformität durch:

  • Einblick in den Speicherort der Daten, Speicherdauer und welche Daten gespeichert werden
  • die Suche nach spezifischen Daten, zum Beispiel in einzelnen Jira-Projekten oder Tickets
  • die umfassende und kontrollierte Löschung von persönlichen oder sensiblen Daten (Recht auf Löschung)
  • die Jira-weite Löschung, ohne das manuelles Zutun eines Mitarbeiters
  • die Erstellung von Regeln oder Vorlagen für die Datensuche und die Löschung; die Vorlage kann hierbei individuell angepasst werden

Hier erhalten Sie einen kleinen Einblick in die App. Wie Sie sehen können individuelle Vorlagen für Datenbereinigungsprozesse erstellt und aktiviert werden. So werden zum Beispiel Jira-Tickets von persönlichen Daten gereinigt.

Tools wie unsere App Data Protection and Security Toolkit for Jira können auch für andere Use Cases verwendet werden:

  • die firmenweite Kommunikation von Richtlinien und Änderungen
  • das Einholen des Einverständnisses für verschiedene Richtlinien wie Cookies oder DSGVO
  • die Prozessierung von wiederkehrenden Aufgaben, zum Beispiel für die automatische Anonymisierung bestimmter Daten nach Ablauf einer Frist
  • die schnelle und einfache Infovermittlung und Dokumentation
  • und vieles mehr

Sie haben bereits Datenschutz Use Cases entdeckt, die Sie in Ihrer Jira-Instanz auch gerne abdecken möchten? Dann testen Sie unsere App Data Protection and Security Toolkit for Jira kostenlos auf dem Atlassian Marketplace.

Ist Ihr Jira DSGVO-konform? Laden Sie sich jetzt kostenfrei unsere Checkliste herunter und ermitteln Sie Ihren Status quo!

Jetzt den Check machen!

CCPA, DSGVO, HIPAA und mehr: Verwalten Sie sie alle mit Leichtigkeit!

  • Persönliche Daten einfach verwalten
  • Sicher sein mit risikofreiem Datenschutz
  • Für: CCPA, HIPAA, LGPD, etc.
Zum Atlassian Marketplace

Wie hilfreich war dieser Beitrag?

Klicke auf die Sterne um zu bewerten!

Durchschnittliche Bewertung 5 / 5. Anzahl Bewertungen: 1

Bisher keine Bewertungen! Sei der Erste, der diesen Beitrag bewertet.

Diese Beiträge könnten Sie auch interessieren

  1. DSGVO konform werden, Teil 2: Finden, anonymisieren und löschen Sie personenbezogene Daten in Jira zuverlässig
  2. Aufgaben und Zuständigkeiten eines Datenschutzbeauftragten
  3. Wie Sie das CCPA Recht auf Offenlegung einhalten
  4. DSGVO-konform werden, Teil 1: Alles, was Sie wissen müssen, um Einwilligungen in Jira und Confluence zu erhalten
  5. LGPD: Alles, was Sie über Brasiliens Datenschutzgesetz wissen müssen