Easy Software nimmt den Schutz der persönlichen Daten ernst. Die europäische Verordnung, bekannt als Datenschutz-Grundverordnung (DSGVO), bringt allen Organisationen eine Vielzahl an Herausforderungen und wurde zu einem der Geschäftsthemen mit der meisten Resonanz.
Unsere Mission ist, den Easy Redmine Kunden und im Allgemeinen allen Projektgemeinschaften eine zuverlässige Software zu bieten, die es ermöglicht, alle Pflichten der Datenverarbeitung effizient zu erfüllen.
Dieses Dokument gibt Antworten auf:
- Ich bin ein Auftragsverarbeiter, wie kann ich die DSGVO mit Easy Redmine einhalten?
- Ich verwende die Easy Redmine Cloud, hält der Service die DSGVO ein?
- Ich muss wissen, ob Easy Software über alle Sicherheitsprozesse verfügt.
1. Terminologie
Easy Software ist der Hersteller von Easy Redmine.
Verantwortlicher – die Einheit, die die Zwecke, Bedingungen und Mittel der Verarbeitung persönlicher Daten bestimmt. Im Sinne dieses Dokuments ist das Ihre Organisation.
Auftragsverarbeiter – die Einheit, die Daten im Namen des Verantwortlichen verarbeitet; in diesem Dokument:
- Cloud-Kunden von Easy Redmine: Easy Software ist der Auftragsverarbeiter und Daten werden in unserem Cloud-Service auf Grundlage der von Ihnen, dem Auftragsverarbeiter, in Ihrer Easy Redmine Cloud-Anwendung erstellten Regeln verarbeitet.
- Eigene Serverbenutzer von Easy Redmine: Easy Software ist kein Auftragsverarbeiter. Aber Easy Redmine wird Ihnen dabei helfen, Ihre Daten ordentlich zu organisieren.
Easy Redmine ist eine Anwendung, die von einem Auftragsverarbeiter möglicherweise zur Verarbeitung von Daten verwendet wird.
2. Einleitung
Easy Software führt als Hersteller von Easy Redmine Updates für Easy Redmine ein, um Auftragsverarbeitern dabei zu helfen, ihre Pflichten aus der DSGVO zu erfüllen.
Gleichzeitig enthält dieses Dokument für unsere Cloud-Kunden Informationen über Easy Software als Auftragsverarbeiter.
Außerdem erklärt Easy Software, dass bis zum Inkrafttreten der DSGVO alle Prozesse, Verträge, Lieferanten, Datenzugriffe und andere Dinge vollständig den Anforderungen der DSGVO entsprechen.
3. Easy Redmine für alle Auftragsverarbeiter
Die folgenden Beschreibungen und Funktionen werden bis Ende April 2018 eingesetzt/aktualisiert.
Easy Redmine bietet folgende Funktionen zur Erhöhung der Datensicherheit und der spezifischen Anforderungen der DSGVO an Auftragsverarbeiter.
- Erweiterte Durchsetzung von Passwortrichtlinien
- Definition zur Verwendung der Mindestlänge, Verwendung von Großbuchstaben, Zahlen und Sonderzeichen im Passwort
- Zeitliche Begrenzung für die Passwortgültigkeit und die Kontrolle der Passwortwiederholung
- Automatische Abmeldung des Nutzers nach einer gewissen Zeit
- Kürzlich wurde eine Funktion hinzugefügt, mit der Sie Ihr Passwort erneut eingeben können, sobald Sie mit Benutzerrollen und Berechtigungen arbeiten
- DSGVO spezifische Funktionen:
- Recht auf Vergessenwerden: Einen Kontakt zu löschen, ist eine traditionelle Funktion, aber es kann die Datenkonsistenz, Berichte etc. stören, da man die Kontakte mit Projekten, Aufgaben, CRM und anderen Objekten verknüpfen kann. Außerdem würde dies Daten Ihrer Kundenprofile beschädigen. Die Kontaktanonymisierung würde das Löschen der Daten aus den Kontakten ermöglichen, wodurch man die Person identifizieren könnte, aber anonyme Daten über den Service, die Aufgabe und anderes über den Kunden bleibt bestehen.
- Auskunftsrecht: Eine bestimmte Schaltfläche, die Kontaktdetails in ein automatisch lesbares Format (XML) exportieren würde, würde Ihre Pflicht zur Bereitstellung persönlicher Informationen erfüllen, welche Daten Sie sammeln.
- Begrenzte Datensichtbarkeit – eine wichtige Anforderung der DSGVO ist, dass Auftragsverarbeiter den Zugriff auf personenbezogene Daten nur auf Personen beschränken, die darauf Zugriff haben müssen. Easy Redmine bietet mehrere Ansätze für dieses Problem:
- Eine Begrenzung für den Zugriff auf Kontakte im Allgemeinen.
- Eine Begrenzung für den Zugriff auf Kontakte nur für bestimmte Kontakttypen. Typischerweise kann jeder auf die Kontakte mit dem Typ Firma zugreifen (Firmen unterliegen der DSGVO nicht) und der Zugriff auf Kontakte vom Typ Personal ist nur auf ausgewählte Benutzer begrenzt. Der Benutzer ohne Berechtigung kann zwar sehen, dass es einen verknüpften Kontakt gibt (schon aufgrund des Namens), aber er kann keine weiteren Daten sehen, die eine persönliche Identifikation erlauben könnten.
- Sichtbarkeit benutzerdefinierter Felder – bestimmte Daten können eingeschränkt werden, um nur von folgenden Anwendern gesehen zu werden
- a) Benutzer / Liste von Benutzern
- b) Benutzergruppe / Liste von Benutzergruppen
- c) Benutzertyp / Liste von Benutzertypen
- Benutzerhandlungsprüfung
- Easy Redmine bietet komplette Protokolle über Benutzerhandlungen, einschließlich dem Anzeigen von Handlungen.
- Easy Redmine bietet jetzt eine Funktion zum Verwalten der Protokolle, damit Sie Ihre internen Prozesse erfüllen können.
- Begrenzte Datensichtbarkeit – eine wichtige Anforderung der DSGVO ist, dass Auftragsverarbeiter den Zugriff auf personenbezogene Daten nur auf diejenigen beschränken.
Wie man schrittweise die DSGVO einhält
- Identifizieren Sie, welche persönlichen Daten Sie in Easy Redmine sammeln.
- Stellen Sie interne Regeln auf, dass alle persönlichen Daten in benutzerdefinierte Felder eingetragen werden müssen und nicht in native Felder von Easy Redmine. Ein empfohlener Ansatz ist aber, die Entscheidung zu treffen, dass alle persönlichen Daten nur in den Kontakten gespeichert werden.
- Wenn Sie die Anonymisierung verwenden möchten, sollten Sie eine Regel einführen, durch die alle persönlichen Daten in den Kontakten stehen sollen.
- Identifizieren Sie, welche Daten für die Anonymisierung gelöscht werden – Sie können das in den benutzerdefinierten Feldeinstellungen der Kontakte machen.
- Entscheiden Sie, welche Benutzer von Easy Redmine Zugriff auf die Kontakte brauchen und begrenzen Sie den Zugriff nach dem Kontakttyp.
- Wenn alle Benutzer Zugriff auf die Kontakte brauchen, aber manche nur einen begrenzten Datensatz sehen sollen, stellen Sie das einfach bei der Sichtbarkeit der benutzerdefinierten Felder ein.
- Identifizieren Sie, welche benutzerdefinierten Felder außerhalb der Kontakte geschützt werden müssen und stellen Sie die Datensichtbarkeit entsprechend ein.
- Erhöhen Sie die Durchsetzung von Passwortrichtlinien von Easy Redmine.
- Recht auf Vergessenwerden:
- Wir empfehlen, eine Projektvorlage zu definieren, die alle Schritte zum Löschen persönlicher Daten aus allen Systemen im Detail formalisiert. Sobald eine Anfrage kommt, können Sie einfach dokumentieren, dass alle Schritte gemäß Ihren internen Prozessen durchgeführt wurden.
- Erstellen Sie eine Regelung, wie lange Sie Benutzerhandlungsprüfungsdaten (Protokolle) behalten müssen und konfigurieren Sie das in Easy Redmine entsprechend.
4. Easy Redmine in der Cloud
Easy Software bietet Easy Redmine als Service in der Cloud an. Für Cloud-Kunden fungiert Easy Software als Auftragsverarbeiter. Als Auftragsverarbeiter werden wir die Anforderungen der DSGVO dank folgendem erfüllen:
- Easy Software führte technische und prozessuale Maßnahmen ein, um den potentiellen Zugriff auf persönliche Daten nur auf eine Ausnahme und angeforderte Ereignisse zu beschränken.
- Wenn Sie eine EU-Organisation sind, ist garantiert, dass Ihr Easy Redmine Exemplar (und damit auch Daten und deren Backups auf Disaster-Recovery-Seiten) innerhalb der EU gespeichert wird.
- Easy Software verwendet nur zertifizierte Datenzentren mit High-End-Sicherheit und allen relevanten ISO-Zertifizierungen.
- Regelmäßige Backups, https für Browser und SSH-2 Verschlüsselung werden für die Backup-Übertragungs-Firewall verwendet, die auf HTTPS beschränkt ist, und andere reguläre Einstellungen erfüllen die DSGVO-Anforderungen. Hier könne Sie mehr über die Cloud erfahren.
- Die Sicherheit kann mit dem privaten Cloud Service weiter erhöht werden, indem die individuelle Sicherheit durch eine individuelle Konfiguration des dedizierten Servers (HW) erweitert werden kann.
- Easy Software Ltd. ist eine in GB ansässig Firma, aber die DSGVO wurde in allen Aspekten einer Organisation und für alle Produkte und Services umgesetzt.
5. Easy Software und Ihre persönlichen Daten
Easy Software ist Hersteller der Project Management Plattform. Easy Software ist eine kommerzielle Business-to-Business-Organisation. Das bedeutet, dass alle gesammelten Daten zur Unterstützung des Geschäfts und der Dienstleistungen von Easy Software für Organisationen dienen.
Gemäß der DSGVO werden auch Daten von Einzelpersonen erhoben, die als Daten unter dem Schutz der DSGVO betrachtet werden.
5.1. Persönliche Daten, die gesammelt werden
- Vorname und Nachname
- Telefon
- Firma
- Position in der Firma
- Erreichte Schulungen und Zertifizierungen für Produkte von Easy Software
- Der Verlauf in Zusammenhang mit dem Besuch von Easy Software Produktseiten.
- IP-Adresse
5.2. Zweck der Datensammlung und -verarbeitung und Erstellung von Profilen
Easy Software sammelt Daten für folgende Zwecke:
- Aufbau einer kommerziellen Zusammenarbeit mit Organisationen. Zu diesem Zweck kann Easy Software Daten über Kontaktpersonen in solchen Organisationen sammeln.
- Bereitstellung von Dienstleistungen für bestehende Kunden (Organisation) und in diesem Sinne kann Easy Software Daten über Kontaktpersonen in solchen Organisationen sammeln.
- Informieren der Kunden und potentiellen Kunden über neue Funktionen, Versionen und andere Nachrichten mit sowohl informellem als auch Marketingcharakter.
Sammlung:
- Alle über Personen gesammelten Informationen werden über Kontaktformulare gewonnen.
- Easy Software besitzt oder verwendet keine Daten über Personen aus externen Quellen.
Datenkombination und Erstellung von Profilen:
- Easy Software erstellt keine Profile über Personen. Alle gesammelten Daten dienen nur als Kontaktinformation innerhalb der Organisation.
- Easy Software erstellt Profile von Organisationen für Marketing- und Geschäftszwecke. Sie fallen nicht unter diese Analysen.
- Easy Software kombiniert alle Daten im eigenen Informationssystem (Easy Redmine) unter der Entität Kontakt oder der Entität CRM. Jedes andere System verwendet nur Datenfragmente und sie werden daher nicht als Daten unter der DSGVO betrachtet.