Skip to the main content.

4 Min. Lesezeit

So anonymisierst Du personenbezogene Daten erfolgreich in Atlassian

DSGVO-konforme Bereinigung von Daten auf dem Server - Ein Leitfaden

In der heutigen digitalen Welt ist der Schutz persönlicher Daten einfach unverzichtbar. Insbesondere, wenn sensible personenbezogene Daten erhoben werden. Diese Daten ungeschützt zu lassen, ist ein klarer Verstoß gegen die DSGVO. Um Datenschutzlücken zu verhindern und das Vertrauen der Nutzer zu stärken, ist es daher absolut entscheidend, diese Informationen zu anonymisieren und so die Betroffenen zu schützen.

Das erwartet Dich in diesem Beitrag:

  1. 6 Schritte zur Anonymisierung personenbezogener Daten 
  2. Welche Möglichkeiten für Datenbereinigung habe ich als Atlassian-Server-Kunde?
  3. So kann Anonymisierung von Nutzern in Jira aussehen
  4. Wie sieht Datenschutz und Datenbereinigung in der Cloud aus?

 

6 Schritte zur Anonymisierung personenbezogener Daten

Persönliche Daten beinhalten sensible Informationen über erkennbare Einzelpersonen - sei es in Form von Namen, E-Mail-Adressen, Telefonnummern oder anderen vertraulichen Details. Wir zeigen Dir, wie Du personenbezogene Daten in Deinen Atlassian Tools ganz einfach anonymisieren kannst, um Sicherheit und Performance zu vereinen. 

1. Identifikation personenbezogener Daten

Der erste und entscheidende Schritt ist die sorgfältige Identifizierung aller personenbezogenen Daten, die in Jira erfasst und gespeichert werden. Von benutzerdefinierten Feldern über Kommentare bis hin zu Anhängen bleibt kein Detail unentdeckt.

2. Klare Richtlinien und Verfahren festlegen

Definiere klare Richtlinien und Verfahren zur sicheren Anonymisierung Deiner Nutzerdaten. Achte darauf, dass diese den geltenden Datenschutzgesetzen und Deinen Unternehmensrichtlinien entsprechen.

3. Pseudonymisierung bei der Erstellung von Tickets

Eine sehr effektive Methode der Anonymisierung in Jira ist die Verwendung von Pseudonymen anstelle von echten Namen. Beispielsweise können Benutzer beim Erstellen von Tickets ihren Benutzernamen oder eine zufällig generierte ID anstelle ihres echten Namens angeben.

4. Entfernung oder Anonymisierung bestehender personenbezogener Daten

Wenn personenbezogene Daten nicht mehr benötigt werden, müssen sie unbedingt gelöscht oder anonymisiert werden. Dabei ist es wichtig, auch alle Verweise auf diese Daten in Kommentaren oder Links zu berücksichtigen.

5. Zugriffssteuerung und Berechtigungen

Die Anonymität personenbezogener Daten steht und fällt mit der korrekten Festlegung von Zugriffskontrollen und Berechtigungen. Beschränke daher den Zugang zu sensiblen Informationen auf die Personen, die diese Daten wirklich benötigen.

6. Schulung der Benutzer

Nicht zuletzt ist es wichtig, alle Jira-Benutzer über die Bedeutung der Anonymisierung personenbezogener Daten zu schulen. Sensibilisiere Dein Team für Best Practices und Datenschutzanforderungen, um eine starke Datenschutzkultur zu fördern.

Mit diesem Leitfaden wirst Du in der Lage sein, die DSGVO-konforme Anonymisierung personenbezogener Daten in Jira erfolgreich umzusetzen.

 

Welche Möglichkeiten für Datenbereinigung habe ich als Atlassian-Server-Kunde?

Um Deine Daten zu bereinigen, stehen Dir verschiedene Möglichkeiten zur Verfügung. Wir zeigen Dir, welche das sind und welche Vor- und Nachteile sie haben.

Vorab: Wir empfehlen zu diesem Thema Rücksprache mit einem Datenschutzbeauftragten oder einem Rechtsanwalt zu halten, um sicherzustellen, dass die Anforderungen der DSGVO erfüllt werden.

Eine manuelle Bereinigung kann sinnvoll sein, wenn ein Nutzer oder Kunde auf seinem "Recht auf Vergessenwerden" besteht. In diesem Fall kann der Name in der entsprechenden Anwendung gesucht und die Daten manuell gelöscht werden.

 

Vorteile
  • volle Kontrolle über die zu bereinigenden Daten
  • Anpassung des Bereinigungsprozesses an die eigenen spezifischen Bedürfnisse
  • Auswirkungen der Maßnahmen direkt sichtbar

 

Nachteile
  • zeitaufwändig, insbesondere bei großen Datenmengen
  • Risiko, dass wichtige Daten versehentlich gelöscht werden oder dass während des Bereinigungsprozesses Fehler gemacht werden 
  • zur Aufrechterhaltung des Systems ist eine regelmäßige Überwachung der Bereinigungsmaßnahmen erforderlich

Mit Hilfe der ScriptRunner - App aus dem Atlassian Marketplace können Bereinigungsregeln und -kriterien für eine automatisierte Bereinigung definiert werden.

 

Vorteile
  • unternehmensspezifische Regeln und Kriterien können auf der Grundlage der individuellen Anforderungen des Unternehmens definiert werden
  • Zeitersparnis durch Automatisierungen

 

Nachteile
  • Wenn Du das Skript nicht entsprechend anpasst oder programmierst, kann es nur auf vordefinierte Namen zugreifen, die als separate Objekte gespeichert sind
  • Um die Freitexterkennung nutzen zu können, muss diese speziell in das Skript integriert und programmiert werden

Weitere Apps und Anwendungen aus dem Atlassian Marketplace können bei der sicheren Datenbereinigung helfen. Hier einige Empfehlungen dafür:

User Anonymizer for Jira (GDPR),

User Anonymizer for Confluence (GDPR),

Data Protection and Security Toolkit for Jira (DLP),

Data Protection & Security Toolkit Confluence (DLP).

 

Vorteile
  • Apps und Plugins von Drittanbietern bieten oft automatisierte Bereinigungsprozesse, die Zeit und Aufwand sparen
  • Da diese Apps große Datenmengen verarbeiten, eignen sie sich gut für Organisationen, die Atlassian-Produkte intensiv nutzen

 

Nachteile
  • Die Konfiguration solcher Anwendungen kann technische Kenntnisse und ein Verständnis der Datenstrukturen erfordern. 
  • Eine unsachgemäße Konfiguration oder Anwendung kann dazu führen, dass wichtige Daten versehentlich gelöscht werden.
  • Es muss sichergestellt werden, dass die ausgewählte Anwendung gut mit der spezifischen Version von Atlassian und anderen integrierten Systemen zusammenarbeitet

Atlassian stellt den Nutzern des Data Centers eine integrierte, systemseitig bereitgestellte Funktion zur Verfügung, mit der die Nutzerdaten in Jira anonymisiert werden können. Eine ausführliche Anleitung ist hier zu finden:  Anonymizing users.

 

Vorteile
  • schnelle und vollständige Anonymisierung auf Knopfdruck
  • für Data Center-Nutzer jederzeit verfügbar

 

Nachteile
  • Funktion erfasst nur erkennbare Benutzernamen, nicht aber Freitexte, die ebenfalls sensible Daten enthalten. erhalten 
  • kann zeitaufwändig sein, da die Anonymisierung für jeden Nutzer einzeln durchgeführt werden muss
  • Daten auf externen Laufwerken oder in Anwendungen von Drittanbietern werden nicht anonymisiert.

Es ist auch möglich, ein Benutzerkonto zu löschen. Ein Benutzerkonto kann in drei Schritten gelöscht werden: 

    1. Kontoeinstellungen unter https://id.atlassian.com/manage-profile/profile-and-visibility  auswählen
    2. Navigiere zum Abschnitt "Konto löschen" 
    3. Wähle "Konto löschen" aus und bestätige dies noch einmal

 

Nachdem Du die Löschung des Kontos bestätigt hast, wird es für 14 Tage vorübergehend deaktiviert. Während dieser Zeit kannst Du den Löschvorgang abbrechen. Nach Ablauf der 14 Tage wird das Konto endgültig gelöscht..

Wenn das Konto endgültig gelöscht wurde, wird anstelle des Namens "Ehemaliger Benutzer" mit dem Symbol "#" angezeigt.

 
Diese daten werden dabei gelöscht
  • vollständiger, öffentlicher Name, E-Mail-Adresse, Berufsbezeichnung, Abteilung und Organisation, Atlassian-Profilbild, Standort, Zeitzone

 

Diese Daten werden nicht gelöscht
  • Alle Inhalte, die Du mit Deinem Atlassian-Konto in Produkten von Atlassian erstellt hast, wie Seiten, Probleme und Kommentare in Produkten von Atlassian.
  • Personenbezogene Daten, die Du in den von Dir erstellten Inhalten auf Seiten angegeben hast, wie z. B. Namen oder E-Mail-Adressen.
  • Profilinformationen, die in Apps auf dem Marketplace oder in benutzerdefinierten Apps in Produkten gespeichert wurden.
 

 

So kann Anonymisierung von Nutzern in Jira aussehen

So kann Anonymisierung in Jira aussehen. Unabhängig von der gewählten Methode wird der Benutzername durch einen anonymen Benutzernamen ersetzt. Dies gilt sowohl für die Vorgangsersteller, in den Kommentaren als auch im Benutzerprofil.

AnonymizingUsersReporter1
1 Ansicht als Vorgangsersteller: Vorher
AnonymizingUsersReporter2
2 Ansicht als Vorgangsersteller: Nachher
AnonymizingUsersComments1-1
3 Ansicht Kommentarbereich: Vorher
AnonymizingUsersComments2-1
4 Ansicht Kommentarbereich: Nachher
AnonymizingUsersProfile1
5 Ansicht Nutzerprofil: Vorher
AnonymizingUsersProfile2
Ansicht Nutzerprofil: Nachher

 

Wie sieht Datenschutz und Datenbereinigung in der Cloud aus?

Wenn es um die Einhaltung der DSGVO in der Cloud geht, übernimmt Atlassian die Verantwortung für die Sicherheit, Verfügbarkeit und Leistung seiner Anwendungen, Systeme und Umgebungen. Gleichzeitig ist der Kunde dafür verantwortlich, wie er die Plattformen nutzt und verwaltet. Die Verantwortlichkeiten des Kunden lassen sich in vier Bereiche unterteilen: Benutzer, Richtlinien und Compliance, Anwendungen von Drittanbietern sowie Informations- und Datenmanagement.

Cloud-Daten und Compliance sind ein facettenreiches Thema und von großer Bedeutung. In diesem Blogbeitrag können wir nicht auf alle Aspekte eingehen, möchten aber einige Gedanken zum Thema vorstellen, die helfen können, einen wichtigen Schritt in Richtung Compliance zu gehen.

Überprüfe Deine Domain und fordere alle damit verbundenen Atlassian-Konten an. So hast Du eine bessere Kontrolle über Passwortregeln und Benutzersitzungen.

Sichere Dich zentral ab, indem Du Atlassian Access installierst. Dadurch hast Du die Möglichkeit, SSO über SAML zu nutzen. Du kannst das User Provisioning über SCIM aktivieren, um Benutzer automatisch und kontrolliert anzulegen und zu synchronisieren. 

Wenn Du eine manuelle Benutzerverwaltung hast, ist es sinnvoll, diese zu überdenken.

Überprüfe die globalen Rechte und stelle sicher, dass Unbefugte keinen Zugriff auf Deine Daten haben. Stelle auch sicher, dass nicht jeder ein Konto auf Deiner Website erstellen kann.

Überprüfe alle Anwendungen in Deiner Umgebung und stelle Anforderungen an die Hersteller der Anwendungen. Stelle sicher, dass sie Deinen Standards entsprechen, anstatt Deine Standards zu senken.


Beschränke die Tools auf eine vernünftige Klassifizierungsebene. Finde heraus, welche Informationen in den Tools angemessen sind und verbessere sie intern. Erstelle einen Plan für das Management und die Unterstützung neuer Mitarbeiter. Stelle sicher, dass sie verstehen, wie das Tool zu benutzen ist und was erlaubt ist.