Mit der Einführung von Atlassian Cloud wurde die Datenschutzerklärung von Atlassian überarbeitet. Die wichtigsten Änderungen betreffen das Sammeln von Daten durch Atlassian Analytics speziell für Cloud-Produkte. Einige Anpassungen beziehen sich aber auch auf die Server-Versionen der Atlassian-Produkte.
Atlassian Analytics sammelt vielerlei Daten
Es ist verständlich, dass Atlassian Nutzungsdaten sammeln möchte, um sich bei der Weiterentwicklung und Fehlerbehebung auf die Bereiche konzentrieren zu können, die am stärksten genutzt werden. Atlassian verwendet diese Daten auch, um Marketing-Kampagnen und Vertriebsprozesse aufzusetzen und zu optimieren.
Eine Vielzahl von Unternehmen sammelt aggregierte Daten, die anonymisiert werden, und das wirkt sich in der Regel nicht negativ auf den Datenschutz aus. Doch Atlassian hat in seiner Datenschutzerklärung spezifiziert, dass auch identifizierbare, spezifische Daten erhoben werden.
Welche Daten werden erhoben und an Atlassian gesendet?
Für die Analyse werden sowohl in JIRA als auch in Confluence Daten gesammelt. Hier sind einige Beispiele:
- Beim Erstellen eines neuen JIRA-Projekts: numerische Projekt-ID, Projektschlüssel, genutzte Projektvorlage, Name des Projekts.
- Beim Editieren eines JIRA-Vorgangs: numerische Vorgangs-ID, Vorgangsschlüssel, ob der Vorgang durch einen Nutzer oder automatisch vom System bearbeitet wurde, ob eine E-Mail-Benachrichtigung versendet wurde.
- Beim Erstellen einer Confluence-Seite: numerische Seiten-ID, verwendete Blueprint-Vorlage, Bereichsschlüssel, Seitentitel.
- Beim Erstellen eines neuen Confluence-Blueprints: numerische Blueprint-ID, Bereichsschlüssel, Blueprint-Name und -Beschreibung.
Atlassian Analytics sammelt noch weitere Informationen als die genannten. Wenn Sie in Ihrer eigenen Instanz als globaler Administrator eingeloggt sind, können Sie ein Sample abrufen, das zeigt, welche Daten erhoben werden:
JIRA: 
-> System -> Erweitert -> Analytik
Confluence: 
-> Allgemeine Konfiguration -> Analytik
Betrifft die Erhebung von Nutzungsdaten nur Cloud-Kunden?
Organisationen, die Atlassian-Produkte als Server-Versionen in der eigenen Infrastruktur hinter der Firewall implementieren, sollten davon nicht betroffen sein, möchte man annehmen. Dem ist jedoch nicht so.
Auch in Server-Instanzen sammelt Atlassian Analytics Daten – immerhin aber weniger als in Cloud-Instanzen, und Elemente, von den Atlassian glaubt, dass sie sensible oder persönliche Informationen enthalten, werden entfernt. Content-Elemente werden aussortiert - das gilt jedoch nicht uneingeschränkt:
[...] we filter any Content elements we collect to discard all words except those on a list of common business and IT terminology.
Diese Liste ist Stand heute nirgends öffentlich einsehbar.
Hochsensible Daten besser vermeiden?
In der Datenschutzerklärung warnt Atlassian Kunden quasi davor, sensible Informationen in den Software-Produkten zu speichern:
[...] the analytics information we collect includes elements of content related to the function the user is performing. As such, the analytics information we collect may include personal information or sensitive business information that the user has included in content that the user chose to upload, submit, post, create, transmit, store or display in an Atlassian Service.
Die gesammelten Daten werden automatisch an Google gesendet, da Atlassian Google Analytics als Analytics-Anbieter nutzt. Wenn Sie damit einverstanden sind, Atlassian Analytics zu nutzen, akzeptieren Sie damit also automatisch auch die Datenschutzerklärung von Google.
Atlassian Analytics in Server-Produkten deaktivieren
Wir empfehlen Kunden, Atlassian Analytics in ihren Server-Instanzen abzuschalten. Das geht im Administrationsbereich ganz einfach: Wenn Sie den oben schon gezeigten Klickpfaden folgen, finden Sie dort auch jeweils eine Deaktivierungsoption. Damit sind Sie das Problem los.
Europa hat strenge Sicherheitsrichtlinien
Wenn Sie einen Cloud-Dienst verwenden, erklären Sie sich damit einverstanden, persönliche Informationen und Inhalte nach Australien und in die USA zu transferieren. Hier greift das Privacy Shield Framework, das die Datenschutzanforderungen reguliert, wenn persönliche Informationen aus der EU und der Schweiz in die USA übertragen werden.
Dennoch gilt:
Atlassian will share your personal information with third parties.
So heißt es im Privacy-Shield-Hinweis. Zu diesen Drittparteien gehört offensichtlich Google zum Zweck der Datenanalyse.
Lässt sich Atlassian Analytics für Cloud-Produkte abschalten?
Zum gegenwärtigen Zeitpunkt sammelt Atlassian in Confluence Cloud und JIRA Cloud immer Daten. Und tatsächlich verknüpft Atlassian persönliche Informationen mit Informationen, die in Logfiles gesammelt werden, um die Atlassian-Dienste für individuelle Kunden zu verbessern, die Cloud-Produkte nutzen. Anders als bei Server-Produkten, die in der eigenen Infrastruktur betrieben werden, gibt es für Cloud-Kunden keine Möglichkeit, diese Funktionalitäten zu unterbinden.
Fragen oder Bedenken?
Aus den genannten Gründen raten wir Kunden, bei der Abwägung zwischen Server- und Cloud-Produkten auf jeden Fall ihre Anforderungen an Datenschutz und Datensicherheit mit in die Waagschale zu werfen. Atlassian Cloud ist in diesem Zusammenhang definitiv nicht unproblematisch, wenn man deutsche Standards anlegt.
Brauchen Sie Unterstützung oder Beratung bei der Evaluation von Atlassian-Produkten? //SEIBERT/MEDIA ist Atlassian Platinum Solution Partner und gehört zu den größten Atlassian Experts weltweit. Wir haben Erfahrung aus tausenden Atlassian-Projekten in Organisationen aller Art und Größe. Gerne helfen wir Ihnen bei der Wahl der Produkte, die am besten zu Ihren spezifischen Anforderungen passen. Melden Sie sich bei uns!
Weiterführende Infos
Atlassians Datenschutzerklärung
Vor- und Nachteile von Atlassian Cloud
Das Intranet und die leidige Governance
Mehr über die Creative-Commons-Lizenz erfahren
