Mögliche Voraussetzungen für eine DSGVO-konforme Ausgestaltung von Cloud-Lösungen und Atlassian Cloud

Hinweis: Die Angaben in diesem Artikel dienen lediglich Informationszwecken. Sie stellen keine Rechtsberatung dar. Sie sollen und können insbesondere keine rechtliche Beratung ersetzen, die die Besonderheiten des Einzelfalles berücksichtigt. Soweit wir über Fälle, insbesondere Gerichtsentscheidungen berichten, darf aus deren Ergebnissen nicht auf einen notwendigerweise ähnlichen Ausgang in anderen Fällen geschlossen werden. Wir bemühen uns, alle bereitgestellten Informationen mit Sorgfalt auszuwählen und bei Bedarf zu aktualisieren oder zu ergänzen. Für Aktualität, Vollständigkeit und Richtigkeit der Informationen in diesem Text können wir dennoch keine Gewähr übernehmen.


In den letzten Monaten erkundigen sich mehr und mehr Kunden bei uns nach der DSGVO-Konformität von Atlassian Cloud. Diese Nachfrage hat mit der jüngst angekündigten Einstellung der Server-Produktreihe noch einmal merklich zugenommen. Hauptsächlich geht es hierbei oftmals  um den nicht auszuschließenden internationalen Transfer von Daten.

Insbesondere das Schrems-II-Urteil des Europäischen Gerichtshofs vom Juli 2020 und die damit einhergehende Unwirksamkeit des sogenannten Privacy Shields lassen bei vielen unserer Kunden Fragen offen und sorgen für Bedenken.

In diesem Beitrag wollen wir die Hintergründe dieses Urteils ein wenig beleuchten und mehr Klarheit darüber schaffen, wie eine rechtlich und tatsächlich DSGVO-konforme Ausgestaltung von Cloud-Lösungen laut den Vorstellungen des EuGH aussehen müsste.

Angemessenheitsbeschluss und Standardvertragsklauseln sind relevant

Die internationale Übermittlung personenbezogener Daten außerhalb der EU bedarf laut DSGVO immer besonderer Rechtfertigung. Vor allem zwei Rechtsgrundlagen sind hierbei praktisch von Bedeutung – beide sind Gegenstand der erwähnten EuGH-Entscheidung.

Mit einem Angemessenheitsbeschluss kann die EU-Kommission feststellen, dass die Rechtsordnung eines Landes außerhalb der Europäischen Union ein der EU entsprechendes Datenschutzniveau aufweist. Datentransfers in einen solchen Drittstaat folgen damit dem Regime für Datentransfers innerhalb der EU. Dies galt nach dem Privacy-Shield-Abkommen der EU mit den USA auch für Datentransfers an zertifizierte Empfänger in den USA, wenn diese sich dem Regime des Privacy Shield unterwarfen.

Die sogenannten Standardvertragsklauseln (SCC) bilden den zweiten relevanten Mechanismus. Dabei handelt es sich um von der EU-Kommission förmlich beschlossene Musterverträge. Vereinbaren die Vertragsparteien die Geltung dieser Klauseln für ihre Datenübermittlungen, dann – so die Konzeption der DSGVO – kompensieren die vertraglichen Vorkehrungen das vermeintliche Datenschutzdefizit im Empfängerland.

Standardvertragsklauseln können ein (partiell) taugliches Instrument sein

Entgegen anderslautender Interpretationen hat der EuGH nun lediglich den Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield aufgrund unkontrolliert möglicher Datenzugriffe von US-Behörden für ungültig erklärt. Die oben erwähnten Standardvertragsklauseln als solche hat der EuGH hingegen ausdrücklich als geeignetes Mittel zur Absicherung internationaler Datentransfers bestätigt.

Die Entscheidung der Übermittlung soll laut EuGH allerdings nicht allein auf die Standardvertragsklauseln gestützt werden können. Vielmehr obliegt es jedem Unternehmen,

"[...] in jedem Einzelfall – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz [...] gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren."

Zusätzliche Schutzmaßnahmen durch die Vertragspartner

Der EuGH stellt also fest, dass eine Datenübermittlung außerhalb der EU möglich ist, wenn dafür die Standardvertragsklauseln genutzt und darüber hinaus "Schutzmaßnahmen" durch die Unternehmen getroffen werden, um zu gewährleisten, dass das Datenschutzniveau gemäß der Standardvertragsklauseln durch den Vertragspartner eingehalten wird.

Der EuGH gibt jedoch keine Auskunft darüber, wie diese zusätzlichen Schutzmaßnahmen aussehen müssen oder können. Dazu hat sich aber unter anderem bereits der Europäische Datenschutzausschuss (EDSA) in seinen FAQ geäußert. Demnach müssen die Unternehmen selbst die zusätzlich erforderlichen Schutzmaßnahmen mithilfe eine Risikoabschätzung festlegen, in der unter anderem die Sensibilität der zu transferierenden Daten zu berücksichtigen ist.

Beispiele für zusätzliche Schutzmaßnahmen können laut dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg die vertragliche Vereinbarung einer besonders sicheren Verschlüsselung oder auch die Pseudonymisierung der personenbezogenen Daten sein. Der Umfang der zusätzlichen Schutzmaßnahmen muss sich hierbei laut EDSA danach richten, welche Kategorien an personenbezogenen Informationen transferiert werden.

Atlassian bietet Cloud-Kunden einen umfassenden Vertrag

Wie lässt sich der Stand der Dinge nun zusammenfassen? Dem Urteil des EuGH zufolge kann bei einer Cloud-Lösung mit internationaler Datenübertragung ein detaillierter Vertrag mit dem Anbieter geschlossen werden, um die Standardvertragsklauseln nebst der von den Unternehmen individuell als notwendig erachteten Zusatzmaßnahmen zu verankern.

Einen Vertrag, der die Standardvertragsklauseln umfasst, bietet Atlassian seinen Cloud-Kunden auf der Website an und hält fest, dass die Atlassian-Cloud – auch bei einer internationalen Datenübermittlung in die USA – bereits jetzt vertraglich DSGVO-konform ausgestaltet werden kann.

In dem Vertragsdokument sind unter anderem die EU-Standardvertragsklauseln, jährliche Auditrechte und Angaben zur besonderen Verschlüsselung der Informationen enthalten. Darüber hinaus sichert Atlassian den Kunden zu, sie über etwaige unrechtmäßige Zugriffe auf ihre Daten sofort in Kenntnis zu setzen.

Nicht zuletzt ist es im Enterprise-Tarif von Atlassian Cloud möglich, für bestimmte – jedoch nicht alle – Daten einen Speicherort innerhalb der EU festzulegen. Eine genaue Beschreibung dazu findet sich hier: Manage data residency.

Individuelle Abwägung und zusätzliche Vereinbarungen

Ob diese zusätzlichen Schutzmaßnahmen von Atlassian für die individuell nötige Auftragsverarbeitung ausreichen, muss jeder Kunde anhand der Art der zu verarbeitenden Daten und der internen Risikoeinschätzung selbst beurteilen.

Sollten Kunden zu der Einschätzung gelangen, dass die zusätzlichen Schutzmaßnahmen nicht genügen, können sie unter Umständen mit Atlassian innerhalb des Auftragsverarbeitungsvertrags zusätzliche Schutzmaßnahmen vereinbaren.

Inwieweit dies möglich ist, entzieht sich jedoch unserer Kenntnis, da diese Vereinbarung nur zwischen Atlassian und den Kunden geschlossen werden kann. Bei Fragen zu diesem Vertrag müssen wir Sie daher ausschließlich an Atlassian verweisen.

Fazit: Nutzung von Cloud-Diensten ist laut EuGH unter bestimmten Voraussetzungen möglich

Festzuhalten ist nun also, dass deutsche Unternehmen auch unter Berücksichtigung des Schrems-II-Urteils des EuGH weiterhin Cloud-Dienste für ihre Daten nutzen können, wenn die faktische und vertragliche Ausgestaltung dieser Dienste gewisse Voraussetzungen erfüllt.

Weitere Informationen zu diesem Themenfeld finden Sie  in den FAQ des Europäischen Datenschutzausschusses. Darin gibt der EDSA unter anderem an, dass geplant ist, zeitnah eine Stellungnahme hinsichtlich der möglichen zusätzlichen Schutzmaßnahmen herauszugeben.

Ihr Partner für Atlassian-Software

Haben Sie Fragen zu Atlassian den Deployment-Optionen für Jira, Confluence und Bitbucket? Gerne helfen wir Ihnen, Ihren Bedarf objektiv zu beurteilen: Als Atlassian Platinum Solution Partner mit Erfahrungen aus tausenden Atlassian-Projekten beraten wir Sie bei der Evaluation eines für Sie optimalen Lizenz- und Betriebsmodells, kümmern uns um sämtliche Details Ihres Lizenz-Setups und unterstützen Sie bei allen Aspekten der Skalierung Ihrer Atlassian-Produkte. Melden Sie sich bei uns!

Weiterführende Infos

Warum immer mehr Unternehmen auf Atlassian Cloud setzen
Atlassian Data Center vs. Atlassian Server: Die Vorteile der Enterprise-Option gegenüber der klassischen Version
Die Unterschiede zwischen Atlassian Cloud und Atlassian Server
Atlassian Cloud versus Hosting auf eigenen Servern: Die Frage nach den Kosten


Mehr über die Creative-Commons-Lizenz erfahren