Recht auf Vergessenwerden in Confluence DSGVO-konform umsetzen

Seit Inkrafttreten der DSGVO müssen Kunden- aber auch Mitarbeiterdaten so gelöscht oder verändert werden können, dass nicht mehr auf ihren Ursprung zurückgeschlossen werden kann

Seit dem 25. Mai 2018 findet die Datenschutz-Grundverordnung (DSGVO) rechtlich in der gesamten Europäischen Union Anwendung und und stellt damit eine einheitliche Regelung von nutzerbezogenen Daten dar. In Deutschland galt bisher das am 1. Januar 1978 in Kraft getretene Bundesdateschutzgesetz (BDSG) sowie die seit 1995 geltende Europäische Datenschutzrichtlinie. Die DSGVO regelt nun den Umgang und Schutz von personenbezogenen Daten bei ganz oder teilweise automatisierter Verarbeitung sowie bei der nichtautomatisierten Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

DSGVO mit Confluence umsetzten

Art. 17 besagt unter anderem, dass eine betroffene Person das Recht besitzt, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind oder die betroffene Person ihre Einwilligung zur Verarbeitung der Daten widerruft. Ebenso muss der Verantwortliche, der die personenbezogenen Daten öffentlich gemacht hat, diese Daten unter Berücksichtigung der verfügbaren Technologien und der Implementierungskosten löschen.

Daher sind Softwaretechnologien spätestens seit Inkrafttreten der DSGVO dazu verpflichtet , Kunden- aber auch Mitarbeiterdaten zu löschen oder so zu verändern, dass nicht mehr auf ihren Ursprung zurückgeschlossen werden kann.

Pseudonymisieren oder Anonymisieren als Möglichkeiten, die DSGVO umzusetzen

Personenspezifische Daten
Max Mustermann wählt als unternehmensinterne Datenschutzbeauftragte Sabine Schmidt.
Pseudonymisierte Daten
Personalnummer 1026 wählt als unternehmensinterne Datenschutzbeauftragte Sabine Schmidt.
Anonymisierte Daten
Eine Person wählt als unternehmensinterne Datenschutzbeauftragte Sabine Schmidt.

Pseudonymisieren

ist nach Art. 4 Abs. 5 DSGVO "die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden."

Folgende Beispiele gibt es für das Pseudonymisieren:

E-Mail-Adressen
Kunst- oder Benutzernamen in Foren, sozialen Plattformen
Personal-, Matrikel- oder Kundennummern
Bewegungsprofiling via IP oder MAC Adressen

Anonymisieren

ist in der DSGVO nicht explizit erklärt - In der alten BSGD findet man allerdings die Definition: „Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.“ In Erwägungsgrund 26 ist allerdings zu finden, dass anonymisierte Daten nicht mehr der DSGVO unterliegen.

Folgende Beispiele gibt es für das Anonymisieren:

Wahlen, da diese sowohl geheim als auch anonym sind. Zwar lässt sich unter Umständen (wie z. B. Bundestagswahl) herausfinden, wer gewählt hat und wer nicht - eine Zuordnung von Stimmzettel und Wähler ist allerdings nicht möglich.
Marktanalysen und -umfragen, sofern keine benutzerspezifischen Daten abgefragt werden und anhand der Fragebögen keine Zuordnung zu den Befragten mehr möglich ist.

Umgang von DSGVO in Confluence

Atlassian bietet seit Confluence 6.13 standardmäßig die Möglichkeit der Pseudonymisierung an. So besitzen Administratoren die Möglichkeit, Benutzerdaten zu löschen. Dadurch werden Konto, Profilbild und persönliche Daten entfernt sowie der Name durch einen Code ersetzt. Hier im Beispiel ist das Pseudonym User-efb38. Dieser Name tritt dann auf jeder Seite, Kommentar, Erwähnung und so weiter auf.

Es wäre aber mit dem entsprechenden Aufwand möglich, den Nutzer zu identifizieren. Somit kann das Recht auf Vergessenwerden verletzt werden.

Mit dem User Anonymizer for Confluence besteht hingegen die Möglichkeit, entsprechende Nutzerdaten des Systems so zu löschen, dass eine Zurückverfolgung nicht mehr möglich ist. Die Löschung betrifft dabei alle persönlichen Daten, Bereiche, Seiten, Vorlieben, Kommentare, Erwähnungen und Makros des Zielbenutzers. Um auch in Jira DSGVO-konform das Recht auf Vergessenwerden umzusetzen, können Sie den User Anonymizer for Jira nutzen.

Da weder Zwischenspeicherung der anonymisierten Namen in separaten Dateien noch Codes kreiert werden, werden die Nutzerdaten dauerhaft gelöscht und können nicht mehr zurückverfolgt werden. Das Recht auf Vergessenwerden ist damit erfüllt.

User-Einstellungen Conlfuence Administration

Fazit

Seit in Kraft treten der DSGVO sind Softwareunternehmen und deren Technologien dazu verpflichtet, Kunden- und Mitarbeiterdaten zu löschen oder so zu verändern, dass nicht mehr auf ihren Ursprung zurückgeschlossen werden kann. Dies kann in Confluence mit dem User Anonymizer for Confluence umgesetzt werden. Diese App gibt es auch für Jira, um auch dort die DGGVO Richtlinien umzusetzen.

Mehr Informationen zu den Produkten finden hier:

Gerne beraten wir Sie zum Einsatz der Atlassian Produkte und unterstützen Sie bei allen Projekten rund um den digitalen Arbeitsplatz.

Anfrage stellen

Ihre Ansprechpartnerin

Paula Eisold
Sales Managerin

Kleiststraße 10a, 01129 Dresden
Tel.: +49 800 8 776 776
anfrage@communardo.de