Zum Inhalt springen

EU-Datenschutz-Grundverordnung

DSGVO-konforme IT-Service-Management-Infrastruktur

Helpdesk- und ITSM-Plattformen verarbeiten Daten im Auftrag Ihres Unternehmens: Mitarbeiteranfragen, Kundentickets und Asset-Datensätze. Wenn diese Daten personenbezogene Informationen enthalten, ist Ihre ITSM-Infrastruktur ein DSGVO-Auftragsverarbeiter. Wir sorgen dafür, dass Ihrer konform ist.

Was ist die DSGVO?

IT-Service-Management-Plattformen stehen im Mittelpunkt Ihrer internen Abläufe. Jedes eingereichte Ticket, jede Asset-Zuweisung, jede verarbeitete Mitarbeiteranfrage kann personenbezogene Daten enthalten. Die DSGVO gilt für jedes System, das Daten verarbeitet, nicht nur für die Datenbank, in der sie ruhen. Das schließt Ihren Helpdesk und Ihre ITAM-Plattform ein.

In Kraft seit

25. Mai 2018

Geltungsbereich

Jede Org., die EU-Personendaten verarbeitet

Höchststrafe

20 Mio. € oder 4 % des Jahresumsatzes

Meldepflicht

72 Stunden

Zentrale DSGVO-Pflichten für ITSM-Plattformen

ITSM-Plattformen sind Auftragsverarbeiter: Sie behandeln Mitarbeiter- und Kundendaten im Rahmen der IT-Service-Erbringung. Diese sechs Artikel regeln, welche Pflichten das erzeugt.

1

Art. 5: Grundsätze der Verarbeitung

Helpdesk-Tickets dürfen personenbezogene Daten nur für die Zwecke verarbeiten, für die sie eingereicht wurden. Ticket-Daten, Asset-Zuweisungen und Audit-Logs sollten Aufbewahrungsgrenzen unterliegen. Wir unterstützen konfigurierbare Datenaufbewahrung für alle verwalteten Dienste.

2

Art. 6: Rechtmäßigkeit der Verarbeitung

Die Verarbeitung von Mitarbeiter- und Kundendaten über ITSM erfordert eine gültige Rechtsgrundlage, typischerweise Vertrag oder berechtigtes Interesse. Ihr Helpdesk und Ihr Asset-Management-System sind Verarbeitungstätigkeiten und sollten im Verarbeitungsverzeichnis (Art. 30) erscheinen.

3

Art. 17: Recht auf Löschung

Wenn eine betroffene Person Löschung beantragt, müssen Sie sicherstellen, dass personenbezogene Daten aus dem Ticket-Verlauf, Asset-Datensätzen und Audit-Logs entfernt werden. Wir unterstützen konfigurierbare Aufbewahrungsfenster und Datenlöschung auf Anfrage.

4

Art. 28: Auftragsverarbeiter

Wir handeln als Ihr Auftragsverarbeiter für personenbezogene Daten, die durch verwaltete ITSM-Dienste verarbeitet werden. Unser AVV deckt Snipe-IT, Zammad, FreeScout und GLPI sowie die beteiligten Infrastruktur-Unterauftragsverarbeiter ab.

5

Art. 32: Sicherheit der Verarbeitung

ITSM-Plattformen benötigen dieselbe Sicherheit wie jeder Auftragsverarbeiter. Unsere Deployments verwenden verschlüsselte Speicherung, isolierte Mandantenumgebungen und Zugriffskontrollen zum Schutz von Mitarbeiter- und Kundendaten.

6

Art. 33: Meldung von Datenschutzverletzungen

Wenn unsere verwaltete ITSM-Infrastruktur in eine Verletzung personenbezogener Daten verwickelt ist, benachrichtigen wir Sie innerhalb von 72 Stunden, damit Sie Ihrer Meldepflicht nachkommen können.

Art. 30: ITSM als dokumentierte Verarbeitungstätigkeit

Gemäß DSGVO Art. 30 müssen Verantwortliche ein Verarbeitungsverzeichnis (VVT) führen. Ihr Helpdesk und Ihr Asset-Management-System sind wahrscheinlich darin enthalten: Sie verarbeiten Mitarbeiternamen, E-Mail-Adressen, Gerätezuweisungen und Service-Anfragen.

  • Dokumentieren Sie Ihre ITSM-Plattformen im VVT: welche personenbezogenen Daten in Tickets und Asset-Datensätzen erfasst werden, zu welchem Zweck und auf welcher Rechtsgrundlage
  • Datensparsamkeit: Ticket-Formulare sollten nur die Felder anfordern, die zur Lösung des Problems benötigt werden. Vermeiden Sie die Erfassung unnötiger personenbezogener Informationen in Freitextfeldern
  • Aufbewahrungsgrenzen: Konfigurieren Sie Ticket-Archiv- und Asset-Verlauf-Aufbewahrung, damit personenbezogene Daten nach Ihrer definierten Aufbewahrungsfrist gelöscht und planmäßig aus Backups entfernt werden

Was wir für DSGVO-Compliance bereitstellen

  • Auftragsverarbeitungsvertrag (AVV) auf Anfrage
  • EU-Datenspeicherung: Nürnberg (primär) + Falkenstein (DR)
  • Audit-Logs aufbewahrt und exportierbar
  • Datenexport auf Anfrage (Art. 20 Übertragbarkeit)
  • Datenlöschung auf Anfrage (Art. 17 Löschrecht)
  • 72-Stunden-Benachrichtigung an Sie (Art. 33)
  • Verschlüsselte Backups innerhalb der EU gespeichert
  • Liste der Unterauftragsverarbeiter auf Anfrage

ITSM-Plattform verarbeitet personenbezogene Daten?

Fordern Sie unseren AVV für Ihre verwaltete ITSM-Infrastruktur an und besprechen Sie, wie Sie Ihren Helpdesk und Ihr Asset-Management im Verarbeitungsverzeichnis dokumentieren.

AVV anfordern