datenschutzkonforme gestaltung von trouble ticket … · • verfahrensdokumentation...
TRANSCRIPT
![Page 1: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/1.jpg)
Datenschutzkonforme Gestaltung von Trouble Ticket Systemen
Anke Nöbel
34. Tagung der Arbeitsgemeinschaft
Datenschutzbeauftragte Niedersächsischer Hochschulen
Ahlhorn
18.02.2010
![Page 2: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/2.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
2
Trouble Ticket Systeme…
… sind auch nur IT-Verfahren zur automatisierten Verarbeitung personenbezogener Daten
![Page 3: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/3.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
3
Zweck von Trouble Ticket Systemen
Grundgedanken:
• Erfassung von Störungsmeldungen
� keine Meldung geht verloren
• Erfassung von Bearbeitungsschritten
� Vereinfacht Zusammenarbeit mit den Kollegen
� Mehr Transparenz für den Kunden
� Ein Hilfsinstrument zur Optimierung der Arbeitsprozesse
![Page 4: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/4.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
4
Zweck von Trouble Ticket Systemen
Zusatznutzen:
• Quantitative Auswertung der Störungen
nach Gerät, Kunde (Person/Gruppe), Bearbeiter, Zeitpunkt, …
• Qualitative Auswertung der Störungen
nach Lösungsdauer, Eskalationen, Lösungserfolg, Kosten, …
� Arbeits- / Leistungs- / Verhaltenskontrolle sowohl der Bearbeiter als auch der Kunden möglich !
![Page 5: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/5.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
5
Personenbezogene Daten im System
Speicherung und Verarbeitung von personenbezogenen Daten
• Bearbeiter
� Wer hat wann was getan oder unterlassen?
• Kunde
� Wer hat wann was gemeldet oder beauftragt?
� Verkettung der Personen mit Störungen / Tätigkeiten sowie Zeitstempeln
![Page 6: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/6.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
6
Grundsätze des Datenschutzes
• Rechtmäßigkeit
• Einwilligung
• Zweckbindung
• Erforderlichkeit und Datensparsamkeit
• Transparenz und Betroffenenrechte
• Datensicherheit
• Kontrolle
![Page 7: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/7.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
7
Einwilligung
Bearbeiter:
Dienstvereinbarungen, Anordnungen, Erlasse
Kunden:
Opt-In� bewusstes Einwilligen in die Speicherung und Verarbeitung der
personenbezogenen Daten zum konkret umschriebenen Zweck
(Auf personenbezogene Auswertungen explizit hinweisen!)
Opt-Out� Widerspruchsmöglichkeit, insbesondere bei automatisiertem Erstellen
von Tickets ohne Zutun des Kunden
![Page 8: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/8.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
8
Zweckbindung
Trouble Ticket Systeme sammeln viele Daten, mit denen vieles bewertet und optimiert werden kann…
… ABER
Nutzung der personenbezogenen Daten ausschließlich zum vorab bestimmten und eingewilligten Zweck!!
� Personenbezogene Auswertungen können mit Einwilligung und Zweckbindung akzeptabel sein
![Page 9: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/9.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
9
Datensparsamkeit
Es sollen nur die notwendigen Daten für die notwendige Dauer gespeichert werden.
Für die einzelnen Bestandteile eines Tickets kann insbesondere die notwendige Dauer verschieden sein, wenn …
… das Ticketsystem zur Dokumentation der Geräte-Lebenszyklen genutzt wird (Änderungen, Reparaturen, Ersatz)
… das Ticketsystem zur statistischen Auswertung objektiver Bestandteile genutzt wird (Anfälligkeit von Gerätetypen, Schwerpunktthemen, Ticketmengen und –häufungen)
![Page 10: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/10.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
10
Transparenz & Betroffenenrechte
Ticketbearbeiter
Klare Regelungen bezüglich Arbeits- / Leistungs- und Verhaltenskontrolle seitens des Arbeitsgebers als auch der Kollegen
�Konkrete Dienstvereinbarung
�Wer darf was wann wie warum auswerten?
�Wer darf was wann wie warum sehen?
![Page 11: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/11.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
11
Transparenz & Betroffenenrechte
Kunden
Klare Aussagen bezüglich Umfang der gespeicherten Daten, Speicherzweck, Speicherdauer und Widerspruchsmöglichkeiten
� Bei Kunden mit eigenem Systemzugang Information bei Erteilung Erstzugang und / oder Information verfügbar auf Anmeldeseite
� Hinweis in automatischer Mailbestätigung des Ticketeingangs
![Page 12: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/12.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
12
Datensicherheit
• VerfügbarkeitWer braucht wann welche Informationen?Oder: Ab welchem Zeitpunkt kann auf welche Daten verzichtet werden? � Löschkonzept
• VertraulichkeitWer benötigt zu seiner Aufgabenerfüllung welche Leserechte?Oder: Muss jeder alles lesen können, genügen auch themenbezogene Sichten? � Granulare Berechtigungen
• IntegritätWer darf die Ticketdaten bearbeiten / manipulieren? � Granulare BerechtigungenWie stelle ich Manipulationen fest � Protokollierung
![Page 13: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/13.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
13
Kontrolle
Protokollierung
� Protokollierung der schreibenden Zugriffe
� Protokollierung der lesenden Zugriffe (� Volltextsuche!)
� Protokollierung der Löschungen
� Regelmäßige Auswertung und Löschung der Protokolle
![Page 14: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/14.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
14
Kontrolle
Sicherstellen des Funktionierens der Löschprozesse
� Tickets gemäß definierter Löschfrist
�ggf. einzelner Ticketbestandteile gemäß definierter Löschfrist
� Nutzerdaten gemäß definierter Löschfrist
![Page 15: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/15.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
15
Zwischenstand
![Page 16: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/16.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
16
Zwischenstand
Kein Betrieb eines Trouble Ticket Systems ohne:
• Verfahrensdokumentation� Zweckbeschreibung� Berechtigungskonzept� Protokollierungskonzept� Beschriebene Löschprozesse …
• Einwilligung � der Kunden � der Bearbeiter
![Page 17: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/17.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
17
… man kann doch gar nicht aus Trouble Ticket Systemen löschen ohne die
Revisionssicherheit
und die
Datenkonsistenz zu gefährden!
ABER …
![Page 18: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/18.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
18
Revisionssicherheit
„Der Begriff Revisionssicherheit bezieht sich auf die revisionssichere Archivierung für elektronische Archivsysteme, die in Deutschland den Anforderungen des Handelsgesetzbuches (§§ 239, 257 HGB), der Abgabenordnung (§§ 146, 147 AO), der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) und weiteren steuerrechtlichen und handelsrechtlichen Vorgaben entsprechen.“
(Quelle: wikipedia.de)
![Page 19: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/19.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
19
Datenkonsistenz
• Die Wahrung der Datenkonsistenz liegt in der Verantwortung des jeweiligen Entwicklers.
• Das Herauslösen und Ersetzen von einzelnen Daten führt nicht zwangsläufig zu Inkonsistenzen, sie schränken aber ggf. die Vielfalt der Auswertungsmöglichkeiten ein
Datenkonsistenz ≠ Datenvollständigkeit
![Page 20: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/20.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
20
Beispiel OTRS
![Page 21: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/21.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
21
Beispiel OTRS
OpenSource-Lösung
- Grundsätzlich kostenlos
- Individuell anpassbar
- Objektorientierte Programmierung in Perl
- Zusätzlich ansprechbar via SOAP
- Gut dokumentiert
- Verbreiteter Einsatz / aktives Anwenderforum
- Professioneller Support (customizing) möglich
![Page 22: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/22.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
22
![Page 23: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/23.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
23
Beispiel OTRS
tn = TicketnummerGewollt Editierbar (z.B. zum Verknüpfen
von Tickets)
Customer_user_idFrei editierbar sogar aus der „normalen“
Nutzeroberfläche!
…
![Page 24: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/24.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
24
Löschen personenbezogener Daten
![Page 25: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/25.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
25
![Page 26: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/26.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
26
![Page 27: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/27.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
27
![Page 28: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/28.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
28
Beispiel OTRS
Mittels der Ticketnummer oder der TicketID sind alle Werte der Datenbank direkt bzw. indirekt erreichbar.
my %Ticket = $CommonObject{TicketObject}->TicketGet( TicketID => $TicketID );
…
my @ArticleBox = $CommonObject{TicketObject}->ArticleGet(TicketID => $Ticket{TicketID});
if ( @ArticleBox > 1 ) {
shift @ArticleBox;
foreach my $Article ( @ArticleBox ) {
# -- deletes articles and attachments - also the basic ticketinfo!!! => ignore the smallest article_id (shift)
my $Email = $CommonObject{TicketObject}->ArticleDelete(ArticleID => $Article->{ArticleID}, UserID => '$UserID');
}
}
![Page 29: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/29.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
29
OTRS im ULD Test-/Pilotbetrieb
• Bearbeiter werden mit Benutzernamen einmalig manuell angelegt, authentisieren sich gegen das LDAP
• Kein fester Kundenstamm• Kunden werden automatisch bei Maileingang angelegt, haben keinen
eigenen Zugang zu OTRS
a) Nach Abschluss des Tickets 3 Monate weiter im System für Nachfragen bzw. Wiederaufleben
b) Nach 3 Monaten Löschen der Kundendaten, Ticketanhänge und Artikelc) Nach 1 Jahr statistische Auswertung auf Ticketzahlen (veraktet
ja/nein) und Schlagwörter, dann endgültiges Löschen
Zwischen b) und c) ist eine Verkettung von Ticket und Kunde nur durch den Kunden möglich, indem er sich mit der Ticketnummer an das ULD wendet.
![Page 30: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/30.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
30
OTRS mit LDAP-Anbindung der Kunden
• Endgültiges Löschen aus der customer_user-Tabelle erst bei Ausscheiden aus dem Kundenstamm möglich
� Bedingung für Anmeldung am System
Mögliche Lösung:
• Verknüpfen des Tickets mit einem anonymen Standardkunden (lokal in OTRS DB zu hinterlegen, ohne Anmelderechte!)
• Löschen bzw. x-en des Kundennamens aus dem article_body
• Entfernen von Mailadresse / Telefon aus dem article_body mittels Suchmuster (� Mailsignaturen)
![Page 31: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/31.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
31
Grenzen der Anonymisierung
• Identifizierbarkeit der Kunden / Bearbeiter durch Umschreibungen im Text
• Verkettbarkeit von Kunden und IT-Geräten
• Personenbezogene Daten in weiterhin benötigten Dokumentenanhängen
Wägen Sie Aufwand, Nutzen und Risiken ab!
• Löschen eines Ticketvorganges kann effektiver sein
• Ausleiten der zur Statistik benötigten Daten in andere Systeme kann effektiver sein
![Page 32: Datenschutzkonforme Gestaltung von Trouble Ticket … · • Verfahrensdokumentation Zweckbeschreibung Berechtigungskonzept Protokollierungskonzept ... revisionssichere Archivierung](https://reader031.vdocuments.net/reader031/viewer/2022020317/5ba0209e09d3f2385c8cf7a5/html5/thumbnails/32.jpg)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
32
Vielen Dank für Ihre Aufmerksamkeit!
Kontaktdaten
Unabhängiges Landeszentrum für Datenschutz
Anke Nöbel
Holstenstraße 98
24103 Kiel
0431-988-1395