EU-Datenschutz-Grundverordnung
DSGVO-konforme IT-Service-Management-Infrastruktur
Helpdesk- und ITSM-Plattformen verarbeiten Daten im Auftrag Ihres Unternehmens: Mitarbeiteranfragen, Kundentickets und Asset-Datensätze. Wenn diese Daten personenbezogene Informationen enthalten, ist Ihre ITSM-Infrastruktur ein DSGVO-Auftragsverarbeiter. Wir sorgen dafür, dass Ihrer konform ist.
Was ist die DSGVO?
IT-Service-Management-Plattformen stehen im Mittelpunkt Ihrer internen Abläufe. Jedes eingereichte Ticket, jede Asset-Zuweisung, jede verarbeitete Mitarbeiteranfrage kann personenbezogene Daten enthalten. Die DSGVO gilt für jedes System, das Daten verarbeitet, nicht nur für die Datenbank, in der sie ruhen. Das schließt Ihren Helpdesk und Ihre ITAM-Plattform ein.
In Kraft seit
25. Mai 2018
Geltungsbereich
Jede Org., die EU-Personendaten verarbeitet
Höchststrafe
20 Mio. € oder 4 % des Jahresumsatzes
Meldepflicht
72 Stunden
Zentrale DSGVO-Pflichten für ITSM-Plattformen
ITSM-Plattformen sind Auftragsverarbeiter: Sie behandeln Mitarbeiter- und Kundendaten im Rahmen der IT-Service-Erbringung. Diese sechs Artikel regeln, welche Pflichten das erzeugt.
Art. 5: Grundsätze der Verarbeitung
Helpdesk-Tickets dürfen personenbezogene Daten nur für die Zwecke verarbeiten, für die sie eingereicht wurden. Ticket-Daten, Asset-Zuweisungen und Audit-Logs sollten Aufbewahrungsgrenzen unterliegen. Wir unterstützen konfigurierbare Datenaufbewahrung für alle verwalteten Dienste.
Art. 6: Rechtmäßigkeit der Verarbeitung
Die Verarbeitung von Mitarbeiter- und Kundendaten über ITSM erfordert eine gültige Rechtsgrundlage, typischerweise Vertrag oder berechtigtes Interesse. Ihr Helpdesk und Ihr Asset-Management-System sind Verarbeitungstätigkeiten und sollten im Verarbeitungsverzeichnis (Art. 30) erscheinen.
Art. 17: Recht auf Löschung
Wenn eine betroffene Person Löschung beantragt, müssen Sie sicherstellen, dass personenbezogene Daten aus dem Ticket-Verlauf, Asset-Datensätzen und Audit-Logs entfernt werden. Wir unterstützen konfigurierbare Aufbewahrungsfenster und Datenlöschung auf Anfrage.
Art. 28: Auftragsverarbeiter
Wir handeln als Ihr Auftragsverarbeiter für personenbezogene Daten, die durch verwaltete ITSM-Dienste verarbeitet werden. Unser AVV deckt Snipe-IT, Zammad, FreeScout und GLPI sowie die beteiligten Infrastruktur-Unterauftragsverarbeiter ab.
Art. 32: Sicherheit der Verarbeitung
ITSM-Plattformen benötigen dieselbe Sicherheit wie jeder Auftragsverarbeiter. Unsere Deployments verwenden verschlüsselte Speicherung, isolierte Mandantenumgebungen und Zugriffskontrollen zum Schutz von Mitarbeiter- und Kundendaten.
Art. 33: Meldung von Datenschutzverletzungen
Wenn unsere verwaltete ITSM-Infrastruktur in eine Verletzung personenbezogener Daten verwickelt ist, benachrichtigen wir Sie innerhalb von 72 Stunden, damit Sie Ihrer Meldepflicht nachkommen können.
Art. 30: ITSM als dokumentierte Verarbeitungstätigkeit
Gemäß DSGVO Art. 30 müssen Verantwortliche ein Verarbeitungsverzeichnis (VVT) führen. Ihr Helpdesk und Ihr Asset-Management-System sind wahrscheinlich darin enthalten: Sie verarbeiten Mitarbeiternamen, E-Mail-Adressen, Gerätezuweisungen und Service-Anfragen.
- Dokumentieren Sie Ihre ITSM-Plattformen im VVT: welche personenbezogenen Daten in Tickets und Asset-Datensätzen erfasst werden, zu welchem Zweck und auf welcher Rechtsgrundlage
- Datensparsamkeit: Ticket-Formulare sollten nur die Felder anfordern, die zur Lösung des Problems benötigt werden. Vermeiden Sie die Erfassung unnötiger personenbezogener Informationen in Freitextfeldern
- Aufbewahrungsgrenzen: Konfigurieren Sie Ticket-Archiv- und Asset-Verlauf-Aufbewahrung, damit personenbezogene Daten nach Ihrer definierten Aufbewahrungsfrist gelöscht und planmäßig aus Backups entfernt werden
Was wir für DSGVO-Compliance bereitstellen
- Auftragsverarbeitungsvertrag (AVV) auf Anfrage
- EU-Datenspeicherung: Nürnberg (primär) + Falkenstein (DR)
- Audit-Logs aufbewahrt und exportierbar
- Datenexport auf Anfrage (Art. 20 Übertragbarkeit)
- Datenlöschung auf Anfrage (Art. 17 Löschrecht)
- 72-Stunden-Benachrichtigung an Sie (Art. 33)
- Verschlüsselte Backups innerhalb der EU gespeichert
- Liste der Unterauftragsverarbeiter auf Anfrage
Ihr DSGVO-konformer ITSM-Stack
Vier verwaltete ITSM-Plattformen auf EU-Infrastruktur, mit AVV-Abdeckung für alle personenbezogenen Daten, die durch Ihr Service Desk und Ihre Asset-Inventarisierung verarbeitet werden.
IT-Asset-Management
Snipe-IT
IT-Asset-Management leicht gemacht
Helpdesk & Ticketing
Zammad
Modernes Helpdesk und Ticketing für Ihr Team
Geteiltes Postfach & Helpdesk
FreeScout
Leichtgewichtiges geteiltes Postfach für kleine Teams
Vollständige ITSM-Suite
GLPI
Vollständige ITSM-Suite mit Asset- und Helpdesk-Management
DCIM / IPAM
NetBox
Single Source of Truth für Netzwerk und Infrastruktur
ITSM-Plattform verarbeitet personenbezogene Daten?
Fordern Sie unseren AVV für Ihre verwaltete ITSM-Infrastruktur an und besprechen Sie, wie Sie Ihren Helpdesk und Ihr Asset-Management im Verarbeitungsverzeichnis dokumentieren.
AVV anfordern