Bielefelder IT-Servicezentrum

Verantwortlich für die Verarbeitung ist die Universität Bielefeld, eine vom Land NRW getragene, rechtfähige Körperschaft des Öffentlichen Rechts. Sie wird vertreten durch die Rekorin Frau Prof. Dr. Angelika Epple.

1.1 Kontaktdaten des Verantwortlichen

Universität Bielefeld
Universitätsstraße 25
D-33615 Bielefeld
Tel.: 0521 / 106-00
Email: post@uni-bielefeld.de
Web: https://www.uni-bielefeld.de

1.2 Fachlicher Ansprechpartner

Jira:

E-Mail: henning.brune@uni-bielefeld.de
Tel.: +49 521 106-3186       
Web.: https://ekvv.uni-bielefeld.de/pers_publ/publ/PersonDetail.jsp?personId=10185

Trello:

E-Mail: jan_felix.trettow@uni-bielefeld.de
Tel.: +49 521 106-5209
Web.:https://ekvv.uni-bielefeld.de/pers_publ/publ/PersonDetail.jsp?personId=18376809

1.3 Kontaktdaten der Datenschutzbeauftragten

Die Datenschutzbeauftragte erreichen Sie postalisch unter der Adresse des Verantwortlichen.

Tel.: 0521 106-5225
E-Mail: datenschutzbeauftragte@uni-bielefeld.de

Im Rahmen der Nutzung der Projektmanagement- und Aufgabenverwaltungstools Jira und Trello verarbeitet die Universität Bielefeld personenbezogene Daten ihrer Mitarbeitenden und Nutzer*innen. Die Datenverarbeitung erfolgt zur Unterstützung von Projektkoordination, Aufgabenmanagement, Softwareentwicklung und Zusammenarbeit.

• Verarbeitete personenbezogene Daten beinhalten insbesondere:
• Name und Benutzername
• E-Mail-Adresse
• Nutzungs- und Aktivitätsdaten (z. B. Erstellen, Ändern, Status von Tickets oder Aufgaben)

 

 

 

Rechtsgrundlage für die Verarbeitung personenbezogener Daten für die unter 2 genannten Zwecke ist bei Mitarbeitenden: Art. 6 Abs. 1 lit. e. EU-DSGVO i.V.m. Art. 88 DSGVO i.V.m. § 18 DSG NRW i.V.m. § 3 Abs. DSG NRW.

Die Universität Bielefeld nutzt Jira und Trello als Cloud-Services der Atlassian Cloud. Die Datenverarbeitung erfolgt dementsprechend im Hosting-Umfeld der Atlassian Inc.

Jira:
Für Jira ist der Hosting-Standort auf Rechenzentren in Europa festgelegt. Damit werden personenbezogene Daten von Jira-Nutzer*innen ausschließlich innerhalb des europäischen Wirtschaftsraums verarbeitet, was ein hohes Datenschutzniveau gemäß EU-DSGVO gewährleistet.

Trello:
Im Gegensatz zu Jira bietet Atlassian für Trello derzeit keine Option, den Hosting- oder Verarbeitungsstandort auf Europa festzulegen. Trello-Daten können in global verteilten Rechenzentren gespeichert und verarbeitet werden, darunter auch außerhalb des Europäischen Wirtschaftsraums. Dies birgt ein erhöhtes Datenschutzrisiko, da Daten unter Umständen in Ländern mit abweichenden Datenschutzstandards landen können.

Folgenabschätzung für den Datentransfer (Data Transfer Impact Assessment - TIA) für Trello:
Atlassian hat für Trello ein Folgenabschätzung für den Datentransfer veröffentlicht, das die Datenschutzmaßnahmen, Sicherheitspraktiken und Risiken für die jeweiligen Länder offenlegt.

Diese Datenübertragungs-Folgenabschätzung hilft dabei, die Risiken bei der Übertragung personenbezogener Daten im Zusammenhang mit Atlassian-Diensten (einschließlich Cloud-Produkte) einzuschätzen. Die TIA behandelt die Verarbeitung und Übertragung solcher Daten durch Atlassian, seine verbundenen Unternehmen und Subunternehmer im Kontext des „Schrems II“-Urteils des Europäischen Gerichtshofs sowie der Empfehlungen des Europäischen Datenschutzausschusses. Sie liefert die erforderlichen Informationen, um die Einhaltung der europäischen Datenschutzvorschriften zum grenzüberschreitenden Datentransfer sicherzustellen.

Nach europäischem Datenschutzrecht dürfen personenbezogene Daten nur dann außerhalb Europas übermittelt werden, wenn entweder (i) das Empfängerland von der zuständigen Behörde als datenschutzrechtlich angemessen anerkannt ist oder (ii) der Datenexporteur angemessene Schutzmaßnahmen implementiert hat, sodass die übertragenen Daten weiterhin ausreichend geschützt sind. 

Weitere Informationen finden Sie unter:

https://www.atlassian.com/legal/data-transfer-impact-assessment#intro

Risiko und Maßnahmen:
Die Universität Bielefeld ist sich des erhöhten Risikos bei Trello bewusst und wägt den Einsatz dieser Lösung sorgfältig ab. Es werden alle zumutbaren technischen und organisatorischen Maßnahmen getroffen, um die Sicherheit der Daten zu gewährleisten und etwaige Risiken zu minimieren. Hierzu zählen u.a.:

• Einsatz von Verschlüsselung u.a. bei Übertragung 
• Vertragliche Absicherung mit Atlassian als Auftragsverarbeiter gemäß Art. 28 DSGVO
• Regelmäßige Überprüfung der Datenschutzpraktiken von Atlassian
• Sensibilisierung der Nutzer*innen zum sicheren Umgang mit Daten in Trello
• Betroffene Nutzer*innen werden über diese Besonderheit transparent informiert und erhalten die Möglichkeit, alternative Tools zu verwenden, sofern das Risiko nicht akzeptiert wird.

Datensicherheit:
Atlassian setzt modernste Sicherheitsstandards ein, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten. Dies schließt Verschlüsselung im Ruhezustand und bei der Übertragung ein.

Technische und organisatorische Maßnahmen:
Atlassian hat umfangreiche Maßnahmen gemäß Art. 32 DSGVO implementiert. Eine Übersicht dieser Maßnahmen und Compliance-Zertifikate ist öffentlich einsehbar unter:
https://www.atlassian.com/trust/security/compliance

Unterauftragnehmer (Subunternehmer)

Die Universität Bielefeld hat mit Atlassian Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen. Atlassian setzt folgende wesentliche Subunternehmer ein:

Amazon Web Services (AWS): Primär für Hosting und Infrastruktur.

Weitere Subunternehmer für Backup, Monitoring und Support, die aktuell auf der Atlassian-Website eingesehen werden können:
https://www.atlassian.com/trust/security/subprocessors

Die Authentifizierung für die Nutzung erfolgt via Shibboleth. Die Übermittlung der Daten wird von der Nutzer*in ausgelöst. Vor der Übermittlung werden alle Daten angezeigt um eine vollständige Transparenz für die Betroffenen zu erreichen.

Weiter Details zum Webauthentifizierungsdienst Shibboelth erfahren Sie auf unserer Webseite:
https://www.uni-bielefeld.de/einrichtungen/bits/services/aus/web-authentifizierung/

In Einzelfällen kann eine Datenübermittlung an Dritte auf Grundlage einer gesetzlichen Erlaubnis erfolgen, zum Beispiel eine Übermittlung an Strafverfolgungsbehörden zur Aufklärung von Straftaten im Rahmen der Regelungen der Strafprozessordnung (StPO).

Sofern technische Dienstleister Zugang zu personenbezogenen Daten erhalten, geschieht dies auf Grundlage eines Vertrages gemäß Art. 28 DSGVO.

Daten die für die unter 2 genannten Zwecke verarbeitet werden, werden nach Beendigung und Löschung des jeweiligen Projekts gelöscht.

Die Löschung eines Nutzer*innen-Kontos entfernt bzw. anonymisiert die personenbezogenen Daten aus dem ggf. noch laufenden Jira Projekt.

Sie können als betroffene Person jederzeit die Ihnen durch die EU-DSGVO gewährten Rechte geltend machen

• das Recht auf Auskunft, ob und welche Daten von Ihnen verarbeitet werden (Art. 15 EU-DSGVO),
• das Recht, die Berichtigung oder Vervollständigung der Sie betreffenden Daten zu verlangen (Art. 16 EU-DSGVO),
• das Recht auf Löschung der Sie betreffenden Daten nach Maßgabe des Art. 17 EU-DSGVO,
• das Recht, nach Maßgabe des Art. 18 EU-DSGVO eine Einschränkung der Verarbeitung der Daten zu verlangen,
• das Recht auf Widerspruch gegen eine künftige Verarbeitung der Sie betreffenden Daten nach Maßgabe des Art. 21 EU-DSGVO.

Sie haben über die genannten Rechte hinaus das Recht, eine Beschwerde bei der datenschutzrechtlichen Aufsichtsbehörde einzureichen (Art. 77 EU-DSGVO), zum Beispiel bei der für die Hochschule zuständigen

Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4
40213 Düsseldorf