UnView für Jira und Data Center– Mitarbeiterdatenschutz jenseits der DSGVO

Bei der Einführung von Jira, gerade in größeren Unternehmen besitzt der Mitarbeiterdatenschutz spätestens seit Einführung der DSGVO höchste Priorität. Allerdings ist Mitarbeiterdatenschutz ein umfangreiches Thema, das bis heute nicht zentral geregelt ist.

Der Mitarbeiterdatenschutz ist im Gesetz nicht an zentraler Stelle verankert. Das Gesamtbild ergibt sich aus einer Vielzahl an verschiedenen Gesetzen, wie der DSGVO, dem Bundesdatenschutzgesetz, dem Betriebsverfassungsgesetz und dem Telemediengesetz.

Nach dem Betriebsverfassungs-Gesetzt, besitzt der Betriebsrat, wie bei Einführung jeder andere IT-Lösung auch, ein Mitspracherecht*, solange die Arbeitnehmer durch die Einführung betroffen sind.

*§ 87 Abs. 1 Nr. 6 BetrVG spricht dem Betriebsrat bei der Einführung und Anwendung von Systemen zur Arbeitszeiterfassung ein Mitbestimmungsrecht zu.

Das war schon vor DSGVO so, allerdings hat dieses Thema im Rahmen der Einführung der DSGVO eine neue Dynamik erzielt.

In Zukunft wird sich der Mitarbeiterdatenschutz noch stärker auf die Informationstechnologie konzentrieren. Nie zuvor wurden Mitarbeiterdaten so häufig in Geschäftsprozesse einbezogen, weshalb es erforderlich wird, den Gesetzesrahmen noch präziser abzustecken.

Leistungskontrolle von Mitarbeitern

Grundsätzlich kann jedes IT System, das von Mitarbeitern eingesetzt wird, natürlich theoretisch und praktisch zur Leistungskontrolle durch den Arbeitgeber eingesetzt werden. Genau deshalb gilt es hier, durch Betriebsvereinbarungen mit dem Betriebsrat sicher zu stellen, dass bestimmte Informationen eben nicht zur Leistungskontrolle verwendet werden. Außerdem wird der Zugang und die Berechtigungen geregelt, so dass nur bestimmte Nutzer entsprechende Informationen sehen können.

Aber wo ist jetzt die Grenze zwischen Leistungskontrolle und Leistungserfassung?

Stellen wir uns vor wir wollen, dass unsere Mitarbeiter ihre Arbeitszeit projektbezogen selbst in Jira erfassen, um beispielsweise später unseren Kunden entsprechend eine Abrechnung erstellen zu können.

Hierzu bietet sich natürlich das Jira Time Tracking Feature/Zeitverfolgung an (Log Work, Arbeit protokollieren).

Natürlich gibt es ergänzend weitere Apps im Atlassian Marketplace, die die Zeiterfassung selbst und das Reporting verbessern (zum Beispiel Tempo), jedoch ändert dieses nichts an der Tatsache, dass gerade wenn Mitarbeiter ihre Arbeitszeiten in Jira loggen, zusätzliche Maßnahmen ergriffen werden, müssen um die Sichtbarkeit der Einträge gegenüber Kollegen und Vorgesetzten zu steuern.

Schließlich sind diese Daten auch Persönliche Daten, die einem besonderen Schutz unterliegen (müssen). Wer ist schon bereit, dass Kollegen genau sehen können wann ein Mitarbeiter wie lange woran gearbeitet hat. Spannend wäre das auch bei Krankheit, Fehlzeiten oder Urlaub.

Standardmäßig werden in Jira an vielen Stellen relevante und eindeutig zuordenbare Informationen zur Leistung der Mitarbeiter angezeigt, die von allen Projektmitgliedern eingesehen werden können. Hierzu gehören

• Geleistete Arbeit im Activity Stream, (Projetct Activity Stream, User Activity Stream, Dashboad, Issue Activity Stream)
• Geleistete Arbeit in der Issuehistory/Vorgangshistorie
• Geleistete Arbeit im Arbeitsprotokoll des Issue Tab Panel

Zusätzlich wird aggregierte Information im Jira Time Tracking Panel angezeigt, diese ist mitunter nicht gewünscht, wenn beispielsweise Kunden zwar mit an einem Ticket arbeiten, aber keine weiteren Details über Schätzungen/Estimates oder Fortschritt sehen sollen.

Zu allem Überfluss stehen alle Daten, die wir vor unbeabsichtigtem Zugriff schützen wollen auch noch im Klartext in der Antwort, die uns der Jira REST Service liefert.

Die App "UnView" von Accxia setzt hier an. In unserem Webinar stellen wir diese App genauer vor, sollten Sie darauf nicht warten möchten, können Sie unten weiter lesen.

UnView für Jira Server und Data Center

UnView wird von führenden Großunternehmen aus der Lebensmittel- und Versicherungsindustrie genauso eingesetzt, wie von Telekommunikationsunternehmen und Möbeldiscountern.

Die App wurde bereits im November 2017 im Atlassian Marketplace released. Erster Kunde war ein großes Mobilfunk Unternehmen.

UnView wird einfach aus dem Atlassian Marketplace installiert. Nach minimalem Konfigurationsaufwand werden oben genannte Informationen sicher geschützt, indem die Sichtbarkeit dieser Informationen über zusätzliche Berechtigungen rollenbasiert gesteuert werden kann.

UnView arbeitet server- und frontend-seitig. So wird sichergestellt, dass die relevante Information tatsächlich nicht sichtbar ist. Bei der Entwicklung wurde höchster Wert auf die Performance gelegt.

Zusätzliches Berechtigungskonzept realisiert durch UnView

Benutzer ohne zusätzliche Berechtigungen

Diese Benutzer sehen nur ihre eigene geloggte Arbeit und keine Schätzungen/Estimates.

Es gibt folgende zusätzliche Berechtigungen

WorkLogViewer Group

Benutzer dieser Gruppe können in Allen Projekten Details zur geleisteten Arbeit sowie Schätzungen sehen

WorkLogViewer Roles

Projektspezifisch können hier die Benutzer über Rollen festgelegt werden, die im jeweiligen Projekt die Details sowie Schätzungen sehen dürfen.

EstimatesViewer Roles

Projektspezifisch können hier die Benutzer über Rollen festgelegt werden, die im jeweiligen Projekt die Estimates sehen dürfen. Diese User dürfen keine Details zur geleisteten Arbeit sehen, außer ihren Eigenen

Projektleiter

Der Projektleiter, es handelt sich hier nicht direkt um eine Jira Rolle, kann auf Wunsch entsprechend die Rechte erhalten, alle Details zur geleisteten Arbeit in seinem Projekt zu sehen.

Folgende weiter Features schränken die Sichtbarkeit für alle Benutzer ohne WorkLogViewer Rechte weiter ein

REST Filter

Durch den REST-Filter wird sichergestellt, dass auch in REST Antworten, die entsprechenden Details zur geleisteten Arbeit entfernt werden.

Export Blocker

Der Export von Vorgängen kann eine Fülle von Informationen enthalten, die bestimmte Benutzer eben nicht sehen dürfen. Daher kann der Export Blocker aktiviert werden. Dann können nur noch berechtigte Benutzer diese Exports tätigen.

Report Blocker

Der Zeitverfolgungsbericht von Jira enthält auch zu schützende Informationen. Dieser ist durch UnView dauerhaft für normale Benutzer blockiert und steht nur Benutzern mit WorklogViewer Group oder Rolle zur Verfügung.

Über Accxia

Accxia hat sich vom ursprünglichen reinen Atlassian Consulting zum einem führenden App Anbieter sowie Private Cloud-Plattform Anbieter im Atlassian-Ökosystem entwickelt und kombiniert intelligentes Infrastruktur Outsourcing mit Sicherheit und Kontrolle.

Accxia’s Kunden profitieren von der Automatisierung kritischer Geschäftsprozesse, beispielsweise durch Microservices, in einer Cloud- oder Hybridarchitektur.

Im Rahmen unseres Infrastruktur Outsourcing Ansatzes (IOA) übernehmen wir auch das Personal, wenn dies zu Kosteneinsparungen und Skalierungseffekten führt.

Unsere Mission: Digitalisierung durch die Migration in die Accxia Private CLOUD zu beschleunigen. Denn oft können interne Kapazitäten den externen Veränderungen nicht Schritt halten.

Dabei ist die Erstellung einer Cloud-Strategie die Grundlage für die Digitalisierung. Die CIOs, die mit Accxia den Schritt in die Cloud gemacht haben, bestätigen dies.

Wir stellen sicher, dass unsere Kunden einen für das Unternehmen spezifischen Cloud-Ansatz implementieren, um von der Migration in die Cloud zu profitieren.

Als Lösungsanbieter fügen wir Automatisierung und Cloud-native Microservices hinzu, um eine leistungsstarke Cloud-Plattform bereitzustellen, die die Effizienz der Anwendungen erhöht, Geschäftsprozesse digitalisiert und sich neuen Geschäftsmodellen anpasst, die sich post-Pandemie schnell entwickeln können, z.B. Low- oder Zero Touch Modelle, Remote Working und Self-Help Prozesse. Ein weiterer Effekt unseres IOA - Ansatzes ist, dass sich der für die Verwaltung und Kontrolle der Infrastruktur erforderliche Overhead reduziert.