Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
+49 (0) 351/850 33-0

So setzen Sie das Recht auf Vergessenwerden aus der DSGVO in Confluence um

Setzen Sie DGSVO-konform das Recht auf Vergessenwerden in Confluence um. Dieser Blogbeitrag erklärt Ihnen die Hintergründe.

Seit dem 25. Mai 2018 findet die Datenschutz-Grundverordnung (DSGVO) rechtlich in der gesamten Europäischen Union Anwendung und und stellt damit eine einheitliche Regelung von nutzerbezogenen Daten dar. In Deutschland galt bisher das am 1. Januar 1978 in Kraft getretene Bundesdateschutzgesetz (BDSG) sowie die seit 1995 geltende Europäische Datenschutzrichtlinie. Die DSGVO regelt nun den Umgang und Schutz von personenbezogenen Daten bei ganz oder teilweise automatisierter Verarbeitung sowie bei der nichtautomatisierten Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. 

Im Vergleich zur vorher geltenden Rechtssprechung wurden folgende in der DSGVO neue Aspekte  hinzugefügt:

  • Marktortprinzip
  • One-Stop-Shop-Prinzip
  • Rechenschaftspflicht
  • Datenschutz-Folgenabschätzung
  • rechtswirksame Einwilligungen der betroffenen Personen
  • Meldepflichten bei Datenschutzverletzungen
  • Recht auf Vergessenwerden hinzugefügt.

 

Dieser Blogbeitrag beleutet im Folgenden, wie Sie die DSGVO mit Confluence umsetzten können.


Art. 17 besagt unter anderem, dass eine betroffene Person das Recht besitzt, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind oder die betroffene Person ihre Einwilligung zur Verarbeitung der Daten widerruft. Ebenso muss der Verantwortliche, der die personenbezogenen Daten öffentlich gemacht hat, diese Daten unter Berücksichtigung der verfügbaren Technologien und der Implementierungskosten löschen.

Daher sind Softwaretechnologien spätestens seit Inkrafttreten der DSGVO dazu verpflichtet , Kunden- aber auch Mitarbeiterdaten zu löschen oder so zu verändern, dass nicht mehr auf ihren Ursprung zurückgeschlossen werden kann.

Pseudonymisieren oder Anonymisieren als Möglichkeiten, die DSGVO umzusetzen

Pseudonymisieren ist nach Art. 4 Abs. 5 DSGVO „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.“

Folgende Beispiele gibt es für das Pseudonymisieren:

  • E-Mail Adressen
  • Kunst- oder Benutzernamen in Foren, sozialen Plattformen
  • Personal-, Matrikel- oder Kundennummern
  • Bewegungsprofiling via IP oder MAC Adressen

Das Anonymisieren ist in der DSGVO nicht explizit erklärt – In der alten BSGD findet man allerdings die Definition: „Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.“ In Erwägungsgrund 26 ist allerdings zu finden, dass anonymisierte Daten nicht mehr der DSGVO unterliegen.

Folgende Beispiele gibt es für das Anonymisieren:

  • Wahlen, da diese sowohl geheim als auch anonym sind. Zwar lässt sich unter Umständen (wie z.B. Bundestagswahl) herausfinden, wer gewählt hat und wer nicht – eine Zuordnung von Stimmzettel und Wähler ist allerdings nicht möglich.
  • Marktanalysen und -umfragen, sofern keine benutzerspezifischen Daten abgefragt werden und anhand der Fragebögen keine Zuordnung zu den Befragten mehr möglich ist.

 

Personenspezifische Daten

Max Mustermann wählt als unternehmensinterne Datenschutzbeauftragte Sabine Schmidt.

Pseudonymisierte Daten
Personalnummer 1026 wählt als unternehmensinterne Datenschutzbeauftragte Sabine Schmidt.

Anonymisierte Daten
Eine Person wählt als unternehmensinterne Datenschutzbeauftragte Sabine Schmidt.


Was bedeutet das für den Umgang mit Confluence?

Atlassian bietet seit Confluence 6.13 standardmäßig die Möglichkeit der Pseudonymisierung an. So besitzen Administratoren die Möglichkeit Benutzerdaten zu löschen. Dadurch werden Konto, Profilbild und persönliche Daten entfernt sowie der Name durch einen Code ersetzt. Hier im Beispiel ist das Pseudonym User-efb38. Dieser Name tritt dann auf jeder Seite, Kommentar, Erwähnung und so weiter auf.

 

 

Es wäre aber mit dem entsprechenden Aufwand möglich den Nutzer zu identifizieren. Somit kann das Recht auf Vergessenwerden verletzt werden.

Mit dem User Anonymizer for Confluence besteht hingegen die Möglichkeit, entsprechende Nutzerdaten des Systems so zu löschen, dass eine Zurückverfolgung nicht mehr möglich ist . Die Löschung betrifft dabei alle persönlichen Daten, Bereiche, Seiten, Vorlieben, Kommentare, Erwähnungen und Makros des Zielbenutzers. Um auch in Jira DSGVO-konform das Recht auf Vergessenwerden umzusetzen, können Sie den User Anonymizer for Jira nutzen.

Da weder Zwischenspeicherung der anonymisierten Namen in separaten Dateien noch Codes kreiert werden, werden die Nutzerdaten dauerhaft gelöscht und können nicht mehr zurückverfolgt werden. Das Recht auf Vergessenwerden ist damit erfüllt.

 

Fazit

Seit in Kraft treten der  DSGVO sind Softwareunternehmen und deren Technologien dazu verpflichtet, Kunden- und Mitarbeiterdaten zu löschen oder so zu verändern, dass nicht mehr auf ihren Ursprung zurückgeschlossen werden kann. Dies kann in Confluence mit dem User Anonymizer for Confluence umgesetzt werden. Diese App gibt es auch für Jira, um auch dort die DGGVO Richtlinien umzusetzen.

Gerne beraten wir Sie zum Einsatz der Atlassian Produkte und unterstützen Sie bei allen Projekten rund um den digitalen Arbeitsplatz.

19. Juni 2019

Kommentar hinterlassen


Pin It on Pinterest