Datenschutzkonforme Gestaltung von Trouble Ticket Systemen
Anke Nöbel
34. Tagung der Arbeitsgemeinschaft
Datenschutzbeauftragte Niedersächsischer Hochschulen
Ahlhorn
18.02.2010
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
2
Trouble Ticket Systeme…
… sind auch nur IT-Verfahren zur automatisierten Verarbeitung personenbezogener Daten
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
3
Zweck von Trouble Ticket Systemen
Grundgedanken:
• Erfassung von Störungsmeldungen
� keine Meldung geht verloren
• Erfassung von Bearbeitungsschritten
� Vereinfacht Zusammenarbeit mit den Kollegen
� Mehr Transparenz für den Kunden
� Ein Hilfsinstrument zur Optimierung der Arbeitsprozesse
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
4
Zweck von Trouble Ticket Systemen
Zusatznutzen:
• Quantitative Auswertung der Störungen
nach Gerät, Kunde (Person/Gruppe), Bearbeiter, Zeitpunkt, …
• Qualitative Auswertung der Störungen
nach Lösungsdauer, Eskalationen, Lösungserfolg, Kosten, …
� Arbeits- / Leistungs- / Verhaltenskontrolle sowohl der Bearbeiter als auch der Kunden möglich !
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
5
Personenbezogene Daten im System
Speicherung und Verarbeitung von personenbezogenen Daten
• Bearbeiter
� Wer hat wann was getan oder unterlassen?
• Kunde
� Wer hat wann was gemeldet oder beauftragt?
� Verkettung der Personen mit Störungen / Tätigkeiten sowie Zeitstempeln
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
6
Grundsätze des Datenschutzes
• Rechtmäßigkeit
• Einwilligung
• Zweckbindung
• Erforderlichkeit und Datensparsamkeit
• Transparenz und Betroffenenrechte
• Datensicherheit
• Kontrolle
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
7
Einwilligung
Bearbeiter:
Dienstvereinbarungen, Anordnungen, Erlasse
Kunden:
Opt-In� bewusstes Einwilligen in die Speicherung und Verarbeitung der
personenbezogenen Daten zum konkret umschriebenen Zweck
(Auf personenbezogene Auswertungen explizit hinweisen!)
Opt-Out� Widerspruchsmöglichkeit, insbesondere bei automatisiertem Erstellen
von Tickets ohne Zutun des Kunden
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
8
Zweckbindung
Trouble Ticket Systeme sammeln viele Daten, mit denen vieles bewertet und optimiert werden kann…
… ABER
Nutzung der personenbezogenen Daten ausschließlich zum vorab bestimmten und eingewilligten Zweck!!
� Personenbezogene Auswertungen können mit Einwilligung und Zweckbindung akzeptabel sein
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
9
Datensparsamkeit
Es sollen nur die notwendigen Daten für die notwendige Dauer gespeichert werden.
Für die einzelnen Bestandteile eines Tickets kann insbesondere die notwendige Dauer verschieden sein, wenn …
… das Ticketsystem zur Dokumentation der Geräte-Lebenszyklen genutzt wird (Änderungen, Reparaturen, Ersatz)
… das Ticketsystem zur statistischen Auswertung objektiver Bestandteile genutzt wird (Anfälligkeit von Gerätetypen, Schwerpunktthemen, Ticketmengen und –häufungen)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
10
Transparenz & Betroffenenrechte
Ticketbearbeiter
Klare Regelungen bezüglich Arbeits- / Leistungs- und Verhaltenskontrolle seitens des Arbeitsgebers als auch der Kollegen
�Konkrete Dienstvereinbarung
�Wer darf was wann wie warum auswerten?
�Wer darf was wann wie warum sehen?
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
11
Transparenz & Betroffenenrechte
Kunden
Klare Aussagen bezüglich Umfang der gespeicherten Daten, Speicherzweck, Speicherdauer und Widerspruchsmöglichkeiten
� Bei Kunden mit eigenem Systemzugang Information bei Erteilung Erstzugang und / oder Information verfügbar auf Anmeldeseite
� Hinweis in automatischer Mailbestätigung des Ticketeingangs
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
12
Datensicherheit
• VerfügbarkeitWer braucht wann welche Informationen?Oder: Ab welchem Zeitpunkt kann auf welche Daten verzichtet werden? � Löschkonzept
• VertraulichkeitWer benötigt zu seiner Aufgabenerfüllung welche Leserechte?Oder: Muss jeder alles lesen können, genügen auch themenbezogene Sichten? � Granulare Berechtigungen
• IntegritätWer darf die Ticketdaten bearbeiten / manipulieren? � Granulare BerechtigungenWie stelle ich Manipulationen fest � Protokollierung
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
13
Kontrolle
Protokollierung
� Protokollierung der schreibenden Zugriffe
� Protokollierung der lesenden Zugriffe (� Volltextsuche!)
� Protokollierung der Löschungen
� Regelmäßige Auswertung und Löschung der Protokolle
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
14
Kontrolle
Sicherstellen des Funktionierens der Löschprozesse
� Tickets gemäß definierter Löschfrist
�ggf. einzelner Ticketbestandteile gemäß definierter Löschfrist
� Nutzerdaten gemäß definierter Löschfrist
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
15
Zwischenstand
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
16
Zwischenstand
Kein Betrieb eines Trouble Ticket Systems ohne:
• Verfahrensdokumentation� Zweckbeschreibung� Berechtigungskonzept� Protokollierungskonzept� Beschriebene Löschprozesse …
• Einwilligung � der Kunden � der Bearbeiter
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
17
… man kann doch gar nicht aus Trouble Ticket Systemen löschen ohne die
Revisionssicherheit
und die
Datenkonsistenz zu gefährden!
ABER …
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
18
Revisionssicherheit
„Der Begriff Revisionssicherheit bezieht sich auf die revisionssichere Archivierung für elektronische Archivsysteme, die in Deutschland den Anforderungen des Handelsgesetzbuches (§§ 239, 257 HGB), der Abgabenordnung (§§ 146, 147 AO), der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) und weiteren steuerrechtlichen und handelsrechtlichen Vorgaben entsprechen.“
(Quelle: wikipedia.de)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
19
Datenkonsistenz
• Die Wahrung der Datenkonsistenz liegt in der Verantwortung des jeweiligen Entwicklers.
• Das Herauslösen und Ersetzen von einzelnen Daten führt nicht zwangsläufig zu Inkonsistenzen, sie schränken aber ggf. die Vielfalt der Auswertungsmöglichkeiten ein
Datenkonsistenz ≠ Datenvollständigkeit
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
20
Beispiel OTRS
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
21
Beispiel OTRS
OpenSource-Lösung
- Grundsätzlich kostenlos
- Individuell anpassbar
- Objektorientierte Programmierung in Perl
- Zusätzlich ansprechbar via SOAP
- Gut dokumentiert
- Verbreiteter Einsatz / aktives Anwenderforum
- Professioneller Support (customizing) möglich
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
22
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
23
Beispiel OTRS
tn = TicketnummerGewollt Editierbar (z.B. zum Verknüpfen
von Tickets)
Customer_user_idFrei editierbar sogar aus der „normalen“
Nutzeroberfläche!
…
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
24
Löschen personenbezogener Daten
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
25
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
26
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
27
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
28
Beispiel OTRS
Mittels der Ticketnummer oder der TicketID sind alle Werte der Datenbank direkt bzw. indirekt erreichbar.
my %Ticket = $CommonObject{TicketObject}->TicketGet( TicketID => $TicketID );
…
my @ArticleBox = $CommonObject{TicketObject}->ArticleGet(TicketID => $Ticket{TicketID});
if ( @ArticleBox > 1 ) {
shift @ArticleBox;
foreach my $Article ( @ArticleBox ) {
# -- deletes articles and attachments - also the basic ticketinfo!!! => ignore the smallest article_id (shift)
my $Email = $CommonObject{TicketObject}->ArticleDelete(ArticleID => $Article->{ArticleID}, UserID => '$UserID');
}
}
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
29
OTRS im ULD Test-/Pilotbetrieb
• Bearbeiter werden mit Benutzernamen einmalig manuell angelegt, authentisieren sich gegen das LDAP
• Kein fester Kundenstamm• Kunden werden automatisch bei Maileingang angelegt, haben keinen
eigenen Zugang zu OTRS
a) Nach Abschluss des Tickets 3 Monate weiter im System für Nachfragen bzw. Wiederaufleben
b) Nach 3 Monaten Löschen der Kundendaten, Ticketanhänge und Artikelc) Nach 1 Jahr statistische Auswertung auf Ticketzahlen (veraktet
ja/nein) und Schlagwörter, dann endgültiges Löschen
Zwischen b) und c) ist eine Verkettung von Ticket und Kunde nur durch den Kunden möglich, indem er sich mit der Ticketnummer an das ULD wendet.
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
30
OTRS mit LDAP-Anbindung der Kunden
• Endgültiges Löschen aus der customer_user-Tabelle erst bei Ausscheiden aus dem Kundenstamm möglich
� Bedingung für Anmeldung am System
Mögliche Lösung:
• Verknüpfen des Tickets mit einem anonymen Standardkunden (lokal in OTRS DB zu hinterlegen, ohne Anmelderechte!)
• Löschen bzw. x-en des Kundennamens aus dem article_body
• Entfernen von Mailadresse / Telefon aus dem article_body mittels Suchmuster (� Mailsignaturen)
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
31
Grenzen der Anonymisierung
• Identifizierbarkeit der Kunden / Bearbeiter durch Umschreibungen im Text
• Verkettbarkeit von Kunden und IT-Geräten
• Personenbezogene Daten in weiterhin benötigten Dokumentenanhängen
Wägen Sie Aufwand, Nutzen und Risiken ab!
• Löschen eines Ticketvorganges kann effektiver sein
• Ausleiten der zur Statistik benötigten Daten in andere Systeme kann effektiver sein
34. Tagung der AG Datenschutzbeauftragte Niedersächsischer Hochschulen
32
Vielen Dank für Ihre Aufmerksamkeit!
Kontaktdaten
Unabhängiges Landeszentrum für Datenschutz
Anke Nöbel
Holstenstraße 98
24103 Kiel
0431-988-1395