Suche nach inaktiven Kunden / Löschung unter DSGVO-Gesichtspunkten

Hilfe zu OTRS Problemen aller Art
Post Reply
ncmbu
Znuny advanced
Posts: 111
Joined: 23 Jun 2016, 17:11
Znuny Version: 5.0.23

Suche nach inaktiven Kunden / Löschung unter DSGVO-Gesichtspunkten

Post by ncmbu »

Hallo,
erstmal kurz zu den Voraussetzungen: OTRS 5.0.26 mit per LDAP angebundenen Kundenbenutzer-Daten.

Unter Vorgabe des Datenschutzes (insbesondere der anstehenden DSGVO) ist jetzt die gewünschte Vorgabe, alle Tickets, die älter sind als Zeitpunkt X und die von Personen stammen, die inzwischen keine Kunden mehr sind (Ex-Kunden), zu löschen.
Die Suche nach Alter stellt ja grundsätzlich kein Problem dar. Die Schwierigkeit scheint mir eher zu sein, die Ex-Kunden zu finden. In der LDAP-Konfiguration ist der Parameter "CustomerUserValidFilter" gesetzt, so dass OTRS grundsätzlich die Möglichkeit haben sollte zwischen aktiven und inaktiven Kunden zu unterscheiden. Ich habe nur aktuell keine Idee, wie ich diese Information in eine Suche für den GenericAgent packen kann.

Hat da jemand eine Idee, oder kennt eine Erweiterung für diesen Zweck?

Wie handhabt ihr die gesetzlichen Vorgaben zur Datenlöschung?
Last edited by ncmbu on 04 May 2018, 10:34, edited 1 time in total.
wurzel
Znuny guru
Posts: 3224
Joined: 08 Jul 2010, 22:25
Znuny Version: x.x.x
Real Name: Florian

Re: Suche nach inaktiven Kunden?

Post by wurzel »

Hi,

DSGVO berücksichtigen? Kein Problem:

Es sind berechtigt gespeicherte Daten für welche für das Geschäft relevant sind. Somit darfste die aufheben.

Kundendaten werden nicht am Ticket gespeichert, der deaktivierte Kunde ist am Ticket als Kundeninfo nicht vorhanden, Artikel Informationen sind wiederum geschäftsrelevant.


Das Alter des Tickets ist irrelevant! Der Geschäftsvorgang ist relevant.

Tickets, vor mehr als als x Jahren geschlossen werden gelöscht.

Fertig aus.


Sollte für die Erfüllung des BDSG und der neuen DSGVO genügen.


Hol Dir bitte einen Anwalt oder einen Sachkundigen. Meine Aussage ist nämlich nicht fundiert. Ich würde es dennoch so machen.



Viele Grüße
Flo
OTRS 8 SILVER (Prod)
OTRS 8 auf Debian 11 (Test)
Znuny 7.x latest version testing auf Debian 11

-- Ich beantworte keine Forums-Fragen PN - No PN please

I won't answer to unfriendly users any more. A greeting and regards are just polite.
reneeb
Znuny guru
Posts: 5018
Joined: 13 Mar 2011, 09:54
Znuny Version: 6.0.x
Real Name: Renée Bäcker
Company: Perl-Services.de
Contact:

Re: Suche nach inaktiven Kunden?

Post by reneeb »

Ganz so einfach ist das ja nicht....

Erstens muss unterschieden werden, ob die eingehenden Mails für einen Geschäftsvorgang von Bedeutung sind oder nicht. Eine Anfrage von einem Nicht-Kunden muss demnach früher gelöscht werden als eine Mail die zu einem Vertrag führt.

Kundeninformationen müssen auch gelöscht werden sobald sie nicht mehr relevant sind. Wann sind Kundendaten noch relevant? Das ist nicht ganz so einfach, weil verschiedene Vorschriften/Gesetze beachtet werden müssen. Also einfach nur inaktiv setzen reicht nicht... Es ist ja dann auch die Frage zu klären, ob es personenbezogene Informationen sind oder z.B. wirklich nur der Firmenname mit einer allgemeinen Mailadresse...

- Wie bei wurzel: Ich bin kein Rechtsanwalt und das ist keine Rechtsberatung. Es gibt jede Menge Leute, die da mehr Ahnung haben als ich...
Perl / Znuny development: http://perl-services.de
Free Znuny add ons from the community: http://opar.perl-services.de
Commercial add ons: http://feature-addons.de
ncmbu
Znuny advanced
Posts: 111
Joined: 23 Jun 2016, 17:11
Znuny Version: 5.0.23

Re: Suche nach inaktiven Kunden?

Post by ncmbu »

Also ich versuch das einfach mal in zwei Abschnitte zu trennen:
1. technische Machbarkeit:
Also jetzt mal ganz unabhängig von der Begründung die dahinter steckt betrachtet: Ist es möglich den Status eines Kunden bei der Suche (über Generic Agent) nach dessen Tickets zu berücksichtigen? Für die Frage sollte es ja auch nicht relevant sein, ob die Daten nun aus einem LDAP kommen, oder direkt in OTRS stecken.

2. rechtliche Betrachtung:
Im Grunde ist mir durchaus klar, dass hier niemand Anwalt ist und selbst wenn jemand es wäre, derjenige keine Rechtsberatung geben darf. Aus euren Antworten wird ja auch schon deutlich, dass das Thema offenbar unterschiedlich gesehen wird.
Aber auch ohne Rechtsberatung kann ich ja die ursprüngliche Frage aus meinem Eingangspost stellen: Wie handhabt ihr das bei euren OTRS-Installationen?
Löscht Ihr einfach pauschal alles, was älter als ein bestimmtes Datum ist? Oder habt ihr irgendwelche ausgeklügelten Suchen oder Prozesse erdacht? Oder das Thema vielleicht noch gar nicht bedacht?
reneeb
Znuny guru
Posts: 5018
Joined: 13 Mar 2011, 09:54
Znuny Version: 6.0.x
Real Name: Renée Bäcker
Company: Perl-Services.de
Contact:

Re: Suche nach inaktiven Kunden / Löschung unter DSGVO-Gesichtspunkten

Post by reneeb »

Was ich allgemein zum Datenschutz schon implementiert habe:

* Sehr fein granulierte Queues und deren Gruppen, Rollen für die Agentenberechtigungen
* Tagging für Kundenbenutzer, so dass ich auch externe auf das System lassen kann und derjenige nur ganz bestimmte Kundenbenutzer sieht (Funktioniert momentan allerdings nur für Kundenbenutzer aus der OTRS-DB)
* Sichtbarkeit von Artikeln abhängig von der Gruppe des Agenten
* Bestimmte Dynamische Felder auf Basis der Gruppe des Agenten ausblenden/einblenden
* Dynamisches Feld "Aufbewahrungsgrund" mit "Vertrag", "Vorvertrag", "Rechnung", "Laufendes Projekt", "Support", "Bewerbung"
* Lösche alle Tickets älter als 6 ohne Aufbewahrungsgrund
* Lösche alle Tickets mit Aufbewahrungsgrund nach den jeweiligen Fristen
* Lösche alle Tickets mit Aufbewahrungsgrund "Bewerbung" sofort wenn "erfolglos geschlossen"
* Lösche bestimmte Anhänge (CSV, eml) von Tickets wenn diese länger als 6 Monate geschlossen sind

Was ich gerade dabei bin zu implementieren:

* Übersicht für Admins aller Kundenbenutzer ohne Tickets mit Möglichkeit diese einzeln und alle zu löschen
* Da ich auch meine Rechnungen in OTRS einpflege: Übersicht aller Kundenbenutzer ohne Rechnung < 10 Jahre (Möglichkeiten siehe oben)
* Weitere Ideen sind noch in der Pipeline...

Viele meiner Erweiterungen werde ich demnächst unter http://otrs-datenschutz.de anbieten...
Perl / Znuny development: http://perl-services.de
Free Znuny add ons from the community: http://opar.perl-services.de
Commercial add ons: http://feature-addons.de
pfipf
Znuny advanced
Posts: 123
Joined: 14 Jul 2017, 09:30
Znuny Version: 6 Free
Real Name: Günter
Company: KIT

Re: Suche nach inaktiven Kunden / Löschung unter DSGVO-Gesichtspunkten

Post by pfipf »

Bei uns ist das so geregelt, dass alle geschlossenen Tickets, die älter als 180 Tage sind, gelöscht werden.
Ausnahme: sogenannte Service-Aufträge, die kostenpflichtige Leistungen anfordern. Für diese gilt eine Löschfrist von 5 Jahren.
Dieses Prozedere wurde von unserem Datenschutzbeauftragten (Jurist) und auch vom Personalrat so genehmigt.

Was aus meiner Sicht bleibt ist die Frage, ob man deaktivierte Kundenbenutzer aus der DB löschen kann und wie dies am elegantesten zu Regeln ist. Kann ich diese z.B. einfach auf der DB mittels SQL löschen oder sind da unerwünschte Nebeneffekte zu befürchten?
Denn nach DSGVO sind diese zu löschen. Die Tatsache, dass diese nicht mehr im Ticketsystem sichtbar sind, genügt nicht um die DSGVO zu erfüllen. Das sieht auch unser Datenschutzbeauftragter so.
reneeb
Znuny guru
Posts: 5018
Joined: 13 Mar 2011, 09:54
Znuny Version: 6.0.x
Real Name: Renée Bäcker
Company: Perl-Services.de
Contact:

Re: Suche nach inaktiven Kunden / Löschung unter DSGVO-Gesichtspunkten

Post by reneeb »

pfipf wrote:Was aus meiner Sicht bleibt ist die Frage, ob man deaktivierte Kundenbenutzer aus der DB löschen kann und wie dies am elegantesten zu Regeln ist. Kann ich diese z.B. einfach auf der DB mittels SQL löschen oder sind da unerwünschte Nebeneffekte zu befürchten?
Nur weil sie deaktiviert sind, heißt das nicht, dass nicht vielleicht noch Tickets daran hängen.

Und ich würde das immer über das API machen, damit eventuell vorhandene Abhängigkeiten ordentlich aufgelöst werden.
pfipf wrote: Denn nach DSGVO sind diese zu löschen. Die Tatsache, dass diese nicht mehr im Ticketsystem sichtbar sind, genügt nicht um die DSGVO zu erfüllen. Das sieht auch unser Datenschutzbeauftragter so.
Deshalb
reneeb wrote:Was ich gerade dabei bin zu implementieren:

* Übersicht für Admins aller Kundenbenutzer ohne Tickets mit Möglichkeit diese einzeln und alle zu löschen
Perl / Znuny development: http://perl-services.de
Free Znuny add ons from the community: http://opar.perl-services.de
Commercial add ons: http://feature-addons.de
pfipf
Znuny advanced
Posts: 123
Joined: 14 Jul 2017, 09:30
Znuny Version: 6 Free
Real Name: Günter
Company: KIT

Re: Suche nach inaktiven Kunden / Löschung unter DSGVO-Gesichtspunkten

Post by pfipf »

Gibt es diese Pakete dann in OPAR?
wurzel
Znuny guru
Posts: 3224
Joined: 08 Jul 2010, 22:25
Znuny Version: x.x.x
Real Name: Florian

Re: Suche nach inaktiven Kunden / Löschung unter DSGVO-Gesichtspunkten

Post by wurzel »

Hi,
pfipf wrote:(...)
Was aus meiner Sicht bleibt ist die Frage, ob man deaktivierte Kundenbenutzer aus der DB löschen kann und wie dies am elegantesten zu Regeln ist. Kann ich diese z.B. einfach auf der DB mittels SQL löschen oder sind da unerwünschte Nebeneffekte zu befürchten?
(...)
Kannst Du machen, sollte keine Nebeneffekte haben. Nach dem löschen der SQL Daten musst Du den Cache einmal leeren.


viele Grüße
Flo
OTRS 8 SILVER (Prod)
OTRS 8 auf Debian 11 (Test)
Znuny 7.x latest version testing auf Debian 11

-- Ich beantworte keine Forums-Fragen PN - No PN please

I won't answer to unfriendly users any more. A greeting and regards are just polite.
reneeb
Znuny guru
Posts: 5018
Joined: 13 Mar 2011, 09:54
Znuny Version: 6.0.x
Real Name: Renée Bäcker
Company: Perl-Services.de
Contact:

Re: Suche nach inaktiven Kunden / Löschung unter DSGVO-Gesichtspunkten

Post by reneeb »

pfipf wrote:Gibt es diese Pakete dann in OPAR?
Ein Teil ja, ein Teil nein. Was das Löschen der Kundenbenutzer angeht, wird es ein Basispaket geben mit Checks wie "keine Tickets" und dann wird es noch weitere Module/Checks geben die aufwändiger zu programmieren sind und deshalb nicht auf OPAR landen werden.

Über einige meiner Maßnahmen werde ich aber auch bloggen...
Perl / Znuny development: http://perl-services.de
Free Znuny add ons from the community: http://opar.perl-services.de
Commercial add ons: http://feature-addons.de
Post Reply