5 Tipps für ein DSGVO-konformes Helpdesk

Das Helpdesk oder IT-Servicedesk ist sicherlich nicht das erste System, das IT-Experten beim Stichwort „DSGVO“ in den Sinn kommt. Doch auch diese Lösungen sind von den Vorgaben der am 25. Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung betroffen, da sie personenbezogene Daten von Mitarbeitern – und ggf. auch von externen Dienstleistern oder Kunden – enthalten, verarbeiten und speichern.

Wir haben 5 Tipps zusammengestellt, wie Sie dabei vorgehen können, um Ihre Helpdesk-Lösung DSGVO-konform zu machen:

Übrigens:
Für IT-Administratoren, die ServiceDesk Plus von ManageEngine nutzen, haben wir hier zwei Schritt-für-Schritt-Anleitungen zusammengestellt, die Ihnen zeigen, wie Sie:
a)    Felder mit personenbezogenen Daten in ServiceDesk Plus markieren
b)    Personenbezogene Daten eines Anwenders aus ServiceDesk Plus löschen


Tipp 1: Finden Sie heraus, welche personenbezogenen Daten in Ihrem Helpdesk verarbeitet werden

Neben Standardinformationen (z. B. Name, E-Mail-Adresse, Telefon- und Handy-Nummer) enthalten IT-Tickets oftmals weitere personenbezogene Informationen über einen Mitarbeiter oder Kunden.

Dazu zählen beispielsweise:

  • Angaben wie Jobtitel, Abteilung, interne Einstufung oder Sitzplatz im Unternehmen in den diversen Incident-, Service-Request-, Problem- und Change-Meldungen

  • Informationen, die eine Identifizierung von Personen ermöglichen, wie die IMEI-Nummer (kurz für: International Mobile Station Equipment Identity) bei Mobiltelefonen

  • Details zum geleisteten technischen Support, z. B. Informationen, welche Unterstützungstechnologien behinderte Mitarbeiter verwenden (z. B. Bildschirmleser, Speach-to-Text-Technologien)

Da diese Informationen gemäß DSGVO zum einen zuverlässig geschützt und zum anderen auf Verlangen des Anwenders gelöscht werden müssen, sollten Sie sich zunächst einen Überblick verschaffen, welche personenbezogenen Daten in Ihrer Helpdesk-Lösung abgefragt werden.


Tipp 2: Markieren Sie die Felder, in denen personenbezogene Daten eingegeben werden können

Im nächsten Schritt sollten Sie alle Felder, die personenbezogene Daten enthalten könnten, mit einer eigenen Markierung versehen. ManageEngine hat zu diesem Zweck beispielsweise in ServiceDesk Plus ein eigenes Auswahlfeld „Enthält personenbezogene Daten (PD)“ eingeführt (siehe Tipp 1).

Das erleichtert das weitere Vorgehen deutlich, da Sie so genau wissen, welche Felder für die DSGVO relevant sind und z. B. bei der Auditierung berücksichtigt werden müssen. Alle anderen Felder – sprich Felder, die keine personenbezogenen Daten enthalten – können Sie so in den nächsten Schritten ignorieren.


Tipp 3: Prüfen Sie, wie Sie personenbezogene Daten verschlüsseln können

Nachdem Sie jetzt wissen, welche Daten in welchen Feldern für die DSGVO-Compliance relevant sind, können Sie sich dem Thema „Verschlüsselung“ widmen. Um die Wahrscheinlichkeit von Datenpannen – und den damit verbundenen Bußgeldern – zu verringern, sollten Sie alle personenbezogenen Daten verschlüsseln. So können Sie nicht nur das Missbrauchsrisiko innerhalb des Unternehmens durch unbefugte Mitarbeiter minimieren, sondern die Daten auch zuverlässig auf ihrem Transportweg schützen.

Konkret sollten Sie:

  • Alle gespeicherten Daten verschlüsseln, z. B. durch Aktivieren des Passwortschutzes bei Datenbanken. Vergessen Sie dabei die Dateiordner und die zugehörigen Logfiles nicht!
  • Den gesamten Datenverkehr verschlüsseln.
  • Alle Datenexporte überwachen und darauf achten, dass diese mit einem Passwort verschlüsselt werden.

Tipp 4: Legen Sie einen Prozess fest, wie personenbezogene Daten eines Anwenders bei Bedarf gelöscht werden

Eine weitere Herausforderung bei der Umsetzung der DSGVO-Vorgaben ist das sogenannte „Recht auf Vergessenwerden“. Dieses sieht vor, dass Unternehmen alle eine bestimmte Person betreffenden personenbezogenen Daten auf Verlangen unverzüglich löschen müssen, wenn der Zweck der Speicherung entfällt. Das gilt z. B. auch für die Daten – und damit auch Helpdesk-Tickets – von ehemaligen Mitarbeitern.

Um auf derartige Anfragen vorbereitet zu sein, sollten Sie idealerweise einen Prozess definieren, mit dem unternehmensweit alle personenbezogenen Daten eines Anwenders gelöscht werden können, deren Speicherzweck nicht mehr gegeben ist. Die Bereinigung des Helpdesks gehört dabei ebenso auf die To-Do-Liste wie das Löschen eventueller Daten auf dem ehemaligen Diensthandy.

Bei einigen Helpdesk-Lösungen, z. B. bei ServiceDesk Plus, lassen sich Anwenderdaten ohne großen Aufwand über eine eigene Funktion löschen bzw. anonymisieren. Wie Sie dabei bei ServiceDesk Plus genau vorgehen, lesen Sie hier.

Wichtig:
Denken Sie beim Löschen der personenbezogenen Daten auch an die vom Helpdesk-System automatisch versendeten E-Mails an den betroffenen Anwender. Diese müssen Sie ebenfalls entfernen oder anonymisieren.

Zusatztipp:

Richten Sie sich eine Benachrichtigung ein, damit Sie umgehend darüber informiert werden, wenn beim Anonymisieren von Anwenderdaten ein Fehler auftritt.


Tipp 5: Richten Sie ein vollständiges Audit-Log für alle Aktionen im Zusammenhang mit personenbezogenen Informationen ein

Ob für zukünftige Audits oder als entlastendes Material: Unternehmen sollten darauf achten, dass alle Aktionen im Zusammenhang mit personenbezogenen Daten lückenlos dokumentiert werden – von der Erfassung über die Verarbeitung bis hin zur Löschung. Selbstverständlich sollte das Audit-Log manipulationssicher sein und weder versehentlich oder absichtlich gelöscht werden können.

Das gilt auch für das Ticket-System: Nachdem Sie inzwischen bereits genau wissen, wann und wo personenbezogene Daten in Ihrer Helpdesk-Lösung verarbeitet werden, gehen Sie die einzelnen Aktionen jetzt Schritt für Schritt durch. Prüfen Sie dabei, ob jede Aktion in einem Logfile dokumentiert wird und passen Sie, falls notwendig, die Einstellungen Ihres Log-Managements an.

Übrigens:
Die ManageEngine-Lösungen EventLog Analyzer und Log360 bieten zahlreiche Funktionen rund um das Log-Management und unterstützen Sie beim Sammeln, Analysieren, Korrelieren und Archivieren verschiedener Protokolldateien.

Weitere Themen, die Sie interessieren könnten:

ManageEngine – Support & Kontakt


MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   Support kontaktieren