Eine ausführlichere Version dieses Artikels mit noch mehr Hintergründen gibt es in unserer Infothek.
Das Ende von Atlassian Server ist längst besiegelt: Seit rund zwölf Monaten bietet Atlassian keine neuen Server-Lizenzen mehr an, Down- oder Upgrades sind nicht mehr möglich und der Support endet in weniger als zwei Jahren. Was bleibt, sind die Data-Center-Produkte oder Atlassian Cloud. Unternehmen, die nicht ihr eigenes Rechenzentrum für eine Data-Center-Lösung betreiben wollen, müssen sich mit einem Umzug in die Cloud anfreunden. Aber wie war das nochmal mit dem Datenschutz und den Cloud-Anbietern außerhalb der EU? Thomas Rosin, Experte für Daten- und Informationsschutz, erklärt, was beim Datenschutz zu beachten ist.
Thomas Rosin ist Experte für Daten- und Informationsschutz. Er ist als Datenschutzbeauftragter und Berater für Unternehmen und Unternehmensgruppen mit Hauptsitz in Deutschland tätig. Daneben lehrt er Datenschutz im Masterstudiengang Wirtschaftsinformatik an der Rheinischen Fachhochschule Köln.
Anforderungen aus dem Datenschutz
Beim Datenschutz geht es um personenbezogene Daten. Die Nutzung moderner Unternehmensanwendungen ist allein aufgrund der Existenz von Benutzerverwaltungen, elektronischer Kommunikation und technischen Logfiles ohne diese Daten praktisch nicht möglich.
Bei der Einführung und beim Betrieb einer Atlassian-Lösung sind – so wie bei jeder anderen modernen Unternehmensanwendung – die gesetzlichen und ggf. auch kundenvertraglichen Anforderungen des Datenschutzes zu berücksichtigen. Die grundlegendsten Anforderungen bestehen unabhängig davon, ob eine Atlassian-Lösung On-premise oder in der Cloud betrieben wird. Hierzu gehören:
- Rechtmäßigkeit1: Grundsätzlich ist die Verarbeitung (Erhebung, Nutzung, Weitergabe usw.) personenbezogener Daten nur gestattet, wenn das Gesetz hierfür eine explizite Erlaubnisregelung (Rechtsgrundlage) bereithält. Die "Standardeinstellung" ist also "deny".
- Zweckbindung2: Ganz einfach – personenbezogene Daten dürfen nur für festgelegte und rechtmäßige (Rechtsgrundlage) Zwecke verwendet werden.
- Erforderlichkeit und Datenminimierung3: Unternehmen dürfen nur die Daten verarbeiten, die für den rechtmäßigen Zweck auch tatsächlich erforderlich sind. Dabei gilt: So wenig personenbezogene Daten wie möglich, so viel davon wie nötig.
Zuständig für die Einhaltung der gesetzlichen Vorgaben ist das für die jeweiligen Daten verantwortliche Unternehmen (der "Verantwortliche"4). Verantwortliche müssen die Einhaltung der gesetzlichen Anforderungen im Datenschutz angemessen nachweisen können ("Rechenschaftspflicht"5). Ist ein Unternehmen selbst als Dienstleister im Auftrag eines anderen Verantwortlichen (Auftraggeber) tätig, dann bestehen Rechenschaftspflichten auch gegenüber diesem Auftraggeber.
Diskussionen über Datenschutz und Cloud-Nutzung
Mit dem Einstieg in die Cloud müssen weitere Datenschutzanforderungen erfüllt und nachgewiesen werden. Die zwei mutmaßlich größten Anforderungen sind Gegenstand vieler aktueller Diskussionen über die Grenzen und die Zulässigkeit einer Cloud-Nutzung.
I. Ein anderes Unternehmen erhält Zugriff auf die Daten
Im Rahmen der Cloudnutzung werden dem Cloud-Anbieter personenbezogene Unternehmensdaten des Auftraggebers zugänglich gemacht. Ob der Anbieter aktiv Einblick in die Daten nimmt oder die Daten lediglich speichert und ein Einblick in die Daten nur theoretisch möglich ist, spielt zunächst keine Rolle. Das Gesetz fordert hierfür weitergehende Maßnahmen.
Auftragsverarbeitung
In der Praxis werden das verantwortliche Unternehmen und der Cloud-Anbieter einen Auftragsverarbeitungsvertrag6 schließen. Die Vertragsparteien regeln darin, wie mit den Daten des Verantwortlichen umzugehen ist.
Besonderes Merkmal ist, dass der Auftraggeber (der Verantwortliche) auch dann rechtlich für seine Daten verantwortlich bleibt, wenn sich die Daten in den Händen des Cloud-Anbieters befinden. Dazu hat der Gesetzgeber bestimmte Regeln aufgestellt. Möglich wird das, indem der Cloud-Anbieter vertraglich verpflichtet wird, die Daten nur im Rahmen der beauftragten Leistungen zu verarbeiten und sie keinesfalls zu eigenen Zwecken zu verwenden oder gar weiterzugeben. Die Daten müssen angemessen geschützt werden und der Anbieter muss diesen Schutz nachweisen können. Dazu werden dem Verantwortlichen vertraglich bestimmte Weisungsrechte zugestanden.
Diese Weisungsrechte sind eine wesentliche Eigenschaft der Auftragsverarbeitung. Damit soll der Verantwortliche auch dann die Kontrolle über seine Daten behalten, wenn diese in Händen des Cloud-Anbieters sind. Damit der Verantwortliche sich von der vertragsgemäßen Umsetzung angemessen überzeugen kann, werden ihm Prüf- und Kontrollrechte eingeräumt. Damit ist eine Grundlage geschaffen, mit der der Auftraggeber auch seinen gesetzlichen Rechenschaftspflichten nachkommen kann.
Es ist die Idee dieses Modells "Auftragsverarbeitung", den Cloud-Anbieter vertraglich so weit zu binden, dass das verantwortliche Unternehmen weiterhin seiner rechtlichen Verantwortung für die Daten nachkommen und dies durch Vorlage des Vertrages und Durchführung dokumentierter Kontrollen nachweisen kann.
Wie funktioniert das Modell "Auftragsverarbeitung" bei Atlassian?
Die Nutzung von Atlassian Cloud stellt eine klassische Auftragsverarbeitung wie zuvor beschrieben dar. Atlassian stellt jedem Kunden (Auftraggeber) die beauftragten Software-Produkte in einer eigenen, von anderen Auftraggebern getrennten, virtuellen Umgebung als betriebsbereite Software-as-a-Service-Lösung zur Verfügung. Hierzu gehören auch alle erforderlichen betrieblichen Rahmenbedingungen, angefangen von der Instandhaltung und der Erweiterung benötigter Hardware über die Wartung der Server-Infrastruktur bis hin zum individuellen Kunden-Support bei technischen Problemen oder Fragen.
Atlassian ist an Weisungen gebunden
Ein direkter Kontakt mit den Unternehmensdaten des Auftraggebers soll zunächst nur theoretisch möglich bleiben. Im normalen Betrieb können Datenspeicherung, Durchführung von Backups und andere Schutzmaßnahmen stattfinden, ohne dass Angestellte von Atlassian konkrete Unternehmensdaten zur Kenntnis nehmen. Ein direkter Kontakt mit den Unternehmensdaten soll nur stattfinden, wenn der Auftraggeber das explizit wünscht, z. B. im Fall einer konkreten Supportanfrage.
Atlassian verpflichtet sich in einem Auftragsverarbeitungsvertrag, die Daten des Auftraggebers nur nach entsprechenden Weisungen ("Weisungsgebundenheit"7) des Auftraggebers zu verarbeiten. Der Weisungsrahmen ist im Cloud-Vertrag und den enthaltenen Leistungsbeschreibungen festgelegt. Die für den Datenschutz obligatorischen Weisungsoptionen, wie die Rückgabe oder Löschung der Unternehmensdaten, sind im Auftragsverarbeitungsvertrag verpflichtend festgelegt8.
Schutz der Unternehmensdaten und Einhaltung von Standards
Im Rahmen einer Auftragsverarbeitung ist sicherzustellen, dass der Cloud-Anbieter angemessene technische und organisatorische Maßnahmen trifft, um einerseits seinen vertraglichen Verpflichtungen nachzukommen, andererseits für den Schutz von IT-Systemen und Daten zu sorgen.9
Atlassian hat seine technischen und organisatorischen Maßnahmen nach den internationalen Standards ISO/IEC 27001 sowie ISO/IEC 27018 ausgerichtet und wird diesbezüglich von unabhängigen Stellen regelmäßig überprüft und zertifiziert. Die jeweils aktuellen Zertifikate stellt das Unternehmen auf seiner Webseite zu Prüf- und Dokumentationszwecken zum Download zur Verfügung.
Atlassian bietet auf seiner Webseite mit dem Trust Center eine umfangreiche Dokumentation der getroffenen Maßnahmen mit Detailinformationen zu Security, Datenschutz und Compliance. Im Rahmen einer Erstprüfung zukünftiger Auftraggeber dürften sicherlich die offiziellen ISO-Zertifikate sowie die detaillierten Informationen zum Thema IT-Security von besonderem Interesse sein. Die Erfüllung der hier genannten Standards ist allgemein eine wesentliche Voraussetzung für den Einstieg in eine Cloud-Lösung.
Subunternehmer von Atlassian
Zur Auftragsverarbeitung gehört auch ein Blick zu den vom Cloud-Anbieter genutzten Subunternehmern. Atlassian nutzt für einen wesentlichen Teil der Atlassian-Cloud-Infrastruktur Amazon AWS, einen der großen, weltweit vertretenen Cloud-Anbieter. Das durch die oben genannten Standards erwartete Sicherheitsniveau setzt sich bei Amazon AWS fort. Auch hier liegen unabhängige Zertifizierungen nach ISO/IEC 27001, 27018 und weiteren Standards vor.
Neben Unternehmen der Atlassian-Unternehmensgruppe setzt Atlassian für bestimmte IT-Services sowie für den Kunden- und Produktservice weitere Dienstleister ein.
Atlassian veröffentlicht alle genutzten Subunternehmer auf der Webseite. Vertraglich sichert Atlassian zu, Änderungen mindestens 14 Tage vorher zu veröffentlichen und räumt den Auftraggebern ein Widerspruchsrecht ein, im Fall eines Widerspruchs wird ein individueller Klärungsprozess angeboten. Finden Auftraggeber und Atlassian keine einvernehmliche Lösung mit Blick auf die Hinzuziehung eines neuen Subunternehmers, besteht für den Auftraggeber ein außerordentliches Kündigungsrecht.
Mit dieser Lösung soll dem Auftraggeber eine angemessene Transparenz und ein gewisses, nennen wir es branchenübliches Maß an Kontrolle gewährt werden.
Zwischenfazit
Die Zeiten, in denen ein Unternehmen alles selbst gemacht hat, sind lange vorbei. Vom Leiharbeitnehmer über Freelancer bis hin zum externen Dienstleistungsunternehmen unterstützen andere das eigene Geschäft und die internen Prozesse. Viele dieser Unterstützer arbeiten aktiv mit den Unternehmensdaten oder kommen zumindest in Kontakt damit. Dennoch fühlt sich "Cloud" für einige Entscheider immer noch ungewohnt an. Hier hilft aber eine sorgfältige Auswahl des Cloud-Anbieters, eine angemessene Prüfung der Leistungen sowie der technischen und organisatorischen Maßnahmen und ein rechtskonformer Auftragsverarbeitungsvertrag.
II. Daten gehen in die Cloud und verlassen das Land
Atlassian hat seinen Hauptsitz aktuell in Australien, betreibt aber weitere Standorte in den USA, Asia Pacific und Europa. Wenn europäische Unternehmen die Dienste von Unternehmen außerhalb der EU (bzw. des europäischen Wirtschaftsraums) in Anspruch nehmen wollen und dabei personenbezogene Daten aus der EU übermittelt ("exportiert") werden, sind zusätzliche rechtliche Anforderungen zu erfüllen.
Einfach ausgedrückt: Es gibt für personenbezogene Daten "Exportbestimmungen"10. Diese Bestimmungen sollen einen angemessenen Datenschutz sicherstellen, wenn Unternehmen Daten von EU-Bürgern in ein Drittland exportieren. Der Schutz besteht zunächst darin, dass der Export den betroffenen Personen transparent gemacht werden muss.11 Je nach Zielland ist es dann z. B. erforderlich, dass ein Datenschutzabkommen besteht, die beteiligten Unternehmen zusätzliche Verträge zum Datenschutz abschließen oder die betroffene Person explizit einwilligt.
Es ist noch keine zwei Jahre her, dass der europäische Gerichtshof das Datenschutzabkommen mit den USA für unwirksam erklärt hat. Hintergrund ist die Feststellung, dass in den USA – anders als beispielsweise in Europa - kein ausreichender Rechtsschutz für betroffene Personen und deren personenbezogene Daten besteht.
Ausschlaggebend für das Thema Atlassian Cloud ist nun dies: Es wurde auch entschieden, dass bei einem Export von Daten aus der EU in ein Drittland der Verantwortliche sicherstellen muss, dass ein bestehender Mangel an Datenschutz durch geeignete zusätzliche Maßnahmen ausgeglichen wird.
Verantwortlich für eine rechtskonforme Umsetzung und eventuelle Maßnahmen in unsicheren Drittstaaten ist das jeweilige EU-Unternehmen.
Was müssen Unternehmen bei Drittländern beachten?
1. Angemessenheitsbeschlüsse der EU-Kommission
Die europäische Kommission kann für Länder außerhalb der EU sogenannte Angemessenheitsbeschlüsse fassen. Damit wird diesen Ländern ein angemessenes Datenschutzniveau attestiert. Besteht ein solcher Beschluss für ein Drittland, dürfen europäische Unternehmen Daten in dieses Land exportieren.
Aktuell bestehen solche Beschlüsse für diese Länder: Andorra, Argentinien, Kanada, Färöer, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Republik Korea (Südkorea), Schweiz, Uruguay und Vereinigtes Königreich.
2. Transfer Impact Assessment (TIA)
Für alle anderen Drittländer müssen Unternehmen, die Dienstleistungen in Verbindung mit personenbezogenen Daten in diesen Ländern nutzen wollen, zuvor eine Prüfung zum Rechts- und Datenschutz und zu den Auswirkungen eines Datenexports durchführen (Transfer Impact Assessment). Hierbei soll sowohl die datenschutzrechtliche Lage im jeweiligen Drittland als auch der Zweck des Exports sowie der Schutzbedarf der zu exportierenden Daten betrachtet und bewertet werden. Der europäische Datenschutzausschuss (EDSA) bietet zu diesem Thema einen ausführlichen Leitfaden an.
3. Standardvertragsklauseln
Für alle Drittländer, für die es keinen Angemessenheitsbeschluss gibt, sehr wohl aber ein durchgeführtes TIA und ggf. zusätzliche Maßnahmen zum Datenschutz, ist eine weitere vertragliche Vereinbarung erforderlich bzw. das Mittel der Wahl.
Die europäische Kommission hat Vertragsvorlagen bereitgestellt, in denen Datenexporteur und Datenimporteur ergänzende Vereinbarungen zum Datenschutz treffen. Anders als bei einem Auftragsverarbeitungsvertrag werden hier die besonderen Umstände der Übermittlung von Daten in ein Drittland behandelt.
Was bietet Atlassian zur Drittland-Thematik?
Atlassian ermöglicht Auftraggebern die Wahl einer sogenannten Datenresidenz. Hierbei kann der Auftraggeber den geografischen Speicherort seiner Daten in der Atlassian Cloud grob vorgeben. Zur Auswahl stehen Standorte in den USA, der EU und Australien. Diese Festlegung einer Datenresidenz ist allerdings nur für bestimmte Produktbereiche verfügbar, soll aber weiter ausgebaut werden. Eine reine EU-Lösung gibt es bei Atlassian derzeit jedoch nicht.
1. Angemessenheitsbeschluss der EU-Kommission
Atlassian ist aktuell ein Unternehmen in Australien mit wesentlichen Niederlassungen in den USA. Für Australien und die USA gibt es aktuell keinen Angemessenheitsbeschluss der europäischen Kommission.
2. Transfer Impact Assessment (TIA)
TIA bedeutet, sich damit zu beschäftigen, welche Daten zu welchem Zweck in welches Land übermittelt werden und welche Risiken dabei bestehen könnten. Ziel ist es, diese Risiken mit geeigneten Maßnahmen zu reduzieren oder zu eliminieren.
Auf der Webseite von Atlassian sind Dokumentationen und Hilfestellungen für die Durchführung eines TIA veröffentlicht. Daneben bietet Atlassian einen regelmäßig aktualisierten Transparenzbericht, in dem offengelegt wird, wie viele Anfragen durch staatliche Institutionen bei Atlassian erfolgen und welche Art von Daten Atlassian tatsächlich herausgegeben hat. Dies ermöglicht eine bessere Einschätzung im Rahmen der Risikobewertung eines TIA.
3. Standardvertragsklauseln
Atlassian hat seinen Auftragsverarbeitungsvertrag zusätzlich mit den erforderlichen Standard-Vertragsklauseln der europäischen Kommission ausgestattet. Hierbei wurden bereits die spezifischen Angaben für die Nutzung von Atlassian-Produkten vorgenommen.
Das Vertragswerk zur Auftragsverarbeitung inklusive der Standard-Datenschutzklauseln ist Anlage des Cloud-Vertrages und wird somit gemeinsam mit dem Cloud-Vertrag vereinbart.
Schlussworte
Für potenzielle Atlassian-Cloud-Kunden, die bereits Erfahrungen mit Microsoft O365, Microsoft Azure oder Amazon AWS haben, dürfte der Schritt in die Atlassian Cloud nicht mehr allzu groß sein.
Atlassian scheint sich an den großen Cloud-Anbietern auf dem Markt zu orientieren und bietet für die komplexen Datenschutzthemen einen umfangreichen Fundus an Transparenzinformationen, Dokumentationen und vorgefertigten Unterlagen. Die Möglichkeit zur Auswahl einer Datenresidenz ist für deutsche bzw. europäische Kunden ein wichtiges – wenn auch nicht das einzige – Pro-Argument. Hier hat Atlassian den richtigen Weg eingeschlagen und befindet sich bald auf der Zielgeraden.
Am Ende ist auch entscheidend, welche personenbezogenen Daten in eine Atlassian Cloud mitgenommen werden sollen oder müssen. Hier sollten Unternehmen gemeinsam mit ihren Datenschutzbeauftragen den Schutzbedarf, die rechtlichen Anforderungen und die Möglichkeiten bei Atlassian prüfen. In diesem Zusammenhang seien auch die Orientierungshilfen der Aufsichtsbehörden und der Leitfaden des EDSA empfohlen.
Anmerkungen
1 vgl. Rechtmäßigkeit der Verarbeitung Art. 5 Abs. 1 lit a DS-GVO
2 vgl. Zweckbindung Art. 5 Abs. 1 lit. b DS-GVO
3 vgl. Erforderlichkeit und Datenminimierung Art. 5 Abs. 1 lit. c DS-GVO
4 Zur Begriffsdefinition im Gesetz finden Sie alle Informationen im Art. 4 Nr. 7 DS-GVO.
5 vgl. Rechenschaftspflichten im Datenschutz Art. 5 Abs. 2 DS-GVO
6 vgl. Auftragsverarbeitung Art. 28 DS-GVO
7 Weisungsgebundenheit gem. Art. 28 Abs. 3 lit. a DS-GVO
8 Löschung und Rückgabe gem. Art. 28 Abs. 3 lit. g DS-GVO
9 s. hierzu "Garantien des Auftragsverarbeiter" Art. 28 Abs. 1 DS-GVO und "Technische und organisatorische Maßnahmen" Art. 28 Abs. 3 lit. c, e DS-GVO in Verbindung mit Art. 32 DS-GVO
10 Art. 44 ff DS-GVO
11 vgl. Information über Export in ein Drittland Art. 13 Abs. 1 lit. f DS-GVO
Die von Seibert Media GmbH aufgeführten rechtlichen Inhalte, z.B. Urteile, Tipps und Beiträge, sind nach bestem Wissen und Gewissen sorgfältig zusammengestellt. Es wird kein Anspruch auf Vollständigkeit und Ausschließlichkeit der Inhalte gestellt. Die zur Verfügung gestellten Informationen dienen lediglich zu Informationszwecken und ersetzen keine individuelle juristische Beratung. Sie sind unverbindlich und nicht Gegenstand einer Rechtsberatung. Seibert Media GmbH übernimmt keine Gewähr dafür, dass im Streitfall den hier dargelegten Urteilen und Ansichten gefolgt wird. Eine Haftung für die von Seibert Media GmbH veröffentlichten Inhalte wird daher nicht übernommen.
Die veröffentlichten Inhalte enthalten Verweise und Links zu anderen Websites. Hierfür können wir keine Gewähr für die fortwährende Aktualität, Richtigkeit und Vollständigkeit der verlinkten Inhalte übernehmen, da diese Inhalte außerhalb unseres Verantwortungsbereichs liegen und wir auf die zukünftige Gestaltung keinen Einfluss haben. Sollten aus deiner Sicht Inhalte gegen geltendes Recht verstoßen oder unangemessen sein, teile uns dies bitte mit.
