Wie Atlassian Cloud den Datenschutz nach EU- und DSGVO-Vorgaben gewährleistet

Mittel- und langfristig will Atlassian möglichst alle bestehenden Kunden dazu bewegen, von ihren On-Premise-Systemen auf die Cloud-Versionen von Jira, Confluence und Co. umzusteigen. Atlassian investiert hier seit Jahren massiv – und zwar nicht nur in die Produktfunktionen, sondern nicht weniger in die Bereiche Sicherheit, Compliance und Datenschutz. Mit welchen Features und Maßnahmen Atlassian Cloud den Datenschutz nach EU- und DSGVO-Vorgaben gewährleistet, beleuchten wir in diesem Beitrag.

Datenschutz nach EU- und DSGVO-Vorgaben in der Atlassian Cloud

Branchenführende Hosting-Infrastruktur

Die Atlassian-Cloud-Produkte und die dazugehörigen Daten werden mit Amazon Web Services (AWS) gehostet, dem branchenführenden Anbieter für Cloud-Hosting. Dort erfolgt die Haltung der Daten redundant: Die Daten werden ständig in wechselnden geographisch isolierten Rechenzentren (sogenannten Verfügbarkeitszonen) repliziert, sodass ein eventueller Ausfall einer Verfügbarkeitszone keine negativen Auswirkungen auf die Instanzen und Daten von Atlassian-Kunden hat.

Data Residency

Die Kontrolle darüber, wo die eigenen Daten gespeichert werden, ist eine Schlüsselanforderung nicht nur für Konzerne, sondern für Organisationen aller Größen und Branchen. Unternehmen müssen diesbezüglich nicht nur interne Compliance-Anforderungen erfüllen, sondern haben auch branchenspezifische Regulierungen und natürlich die Vorschriften der EU in Form der DSGVO zu beachten.

Kunden von Atlassian Cloud können in allen Tarifen festlegen, dass ihre Anwendungsdaten ganz oder teilweise physikalisch in bestimmten Datenregionen gespeichert werden, zum Beispiel innerhalb der Europäischen Union. Auch für Marketplace-Apps wird es voraussichtlich noch im Jahresverlauf eine Data-Residency-Option geben.

Vollständige Verschlüsselung beim Transfer und im Speicherzustand

Eine weitere Grundanforderung an sichere Cloud-Software ist die Verschlüsselung der Daten, die zwischen Kunden und Anbieter übertragen und in der Cloud gespeichert werden. Atlassian verschlüsselt sämtliche Produkt- und Kundendaten während der Übertragung nach dem dem Branchenstandard Transport Layer Security 1.2+ mit Perfect Forward Secrecy. Diese Methode gewährleistet, dass kein unautorisierter Dritter Daten dechiffrieren oder verändern kann. Die Verschlüsselung im gespeicherte Zustand erfolgt nach dem Advanced Encryption Standard 256.

Auf der Atlassian-Cloud-Roadmap für das laufende Jahr steht darüber hinaus die Implementierung einer Bring-Your-Own-Key-Verschlüsselung für Confluence und Jira. Sie wird Kunden in die Lage versetzen, über den Key Management Service von AWS eigene Schlüssel zu hinterlegen und zu verwalten und dadurch noch höhere Sicherheitsanforderungen an die Datenverschlüsselung zu erfüllen.

Datenschutzprogramm

Das Datenschutzprogramm von Atlassian sieht vor, dass entwicklungs- und betriebsübergreifend alle wichtigen Datenschutzstandards und -zertifizierungen Berücksichtigung finden. Außerdem nehmen Mitarbeiter, die bei Atlassian Umgang mit Kundendaten haben, in regelmäßigen Abständen an verpflichtenden Datenschutzschulungen teil.

Im Hinblick auf die Kontrolle personenbezogener Daten und ihre Löschung gewährt Atlassian Kunden größtmögliche Autonomie. Administratoren können Benutzerprofile der Organisationsmitarbeiter einfach verwalten und die Löschung von Konten verwalteten Nutzern über die Admin-Konsole anstoßen. Dabei werden alle personenbezogenen Daten entfernt, die für den Zugriff auf die Cloud-Produkte erforderlich sind. Nicht verwaltete Endbenutzer können die Löschung ihrer personenbezogenen Daten verlangen, indem sie eine Aufforderung zum Löschen ihres Kontos stellen.

Immer zum Jahresende publiziert Atlassian einen Transparenzbericht, aus dem hervorgeht, welche Anfragen von Strafverfolgungsbehörden in den vergangenen zwölf Monaten an das Unternehmen gestellt worden sind und wie Atlassian auf diese reagiert hat.

Atlassian Cloud Compliance

Verpflichtung zur Einhaltung der DSGVO

Die Cloud-Systeme von Atlassian werden nach Sicherheits- und Datenschutzstandards entwickelt, die gewährleisten, dass die Produkte die Anforderungen der DSGVO erfüllen. Als Folge aus dem Urteil Schrems II des Europäischen Gerichtshofs stellt Atlassian einen unterzeichneten Zusatz zum Datenschutz bereit. Der Hersteller hat seinen Auftragsverarbeitungsvertrag zusätzlich mit den erforderlichen Standard-Vertragsklauseln der europäischen Kommission ausgestattet. Hierbei wurden bereits die spezifischen Angaben für die Nutzung von Atlassian-Produkten hinterlegt. Das Vertragswerk zur Auftragsverarbeitung inklusive der Standard-Datenschutzklauseln ist Bestandteil des Cloud-Vertrags und wird also gemeinsam mit diesem vereinbart.

Um den DSGVO-Bestimmungen hinsichtlich des Rechts einer Einzelperson auf die Löschung ihrer Daten zu entsprechen, haben Admins (wie oben schon erwähnt) einfache Instrumente zur Hand, um die personenbezogenen Daten und Accounts von Usern aus den Atlassian-Cloud-Produkten zu entfernen.

Zu einer DSGVO-konformen Auftragsverarbeitung gehört außerdem der Blick auf die von Atlassian genutzten Subunternehmern. Neben Amazon Web Services setzt Atlassian für bestimmte IT-Services sowie für den Kunden- und Produktservice weitere Dienstleister ein. Atlassian veröffentlicht all diese Subunternehmer auf der Webseite und sichert vertraglich zu, Änderungen mindestens 14 Tage vorher zu veröffentlichen. Dann haben Kunden ein Widerspruchsrecht, dem ein individueller Klärungsprozess und gegebenenfalls eine außerordentliche Kündigung durch den Auftraggeber folgen kann.

Branchenspezifische Compliance-Maßnahmen

Bei der Entwicklung der Atlassian-Cloud-Produkte finden seit jeher die führenden Compliance-Frameworks Berücksichtigung. Mittlerweile hat der Hersteller das EU Financial Services Addendum ("EU FSA") für europäische Finanzdienstleistungskunden zur Verfügung gestellt.

Damit wird gewährleistet, dass die Cloud-Enterprise-Produkte die Anforderungen und Standards der European Banking Authority (EBA) sowie der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erfüllen. Durch die Unterzeichnung eines EU FSA ist Atlassian in der Lage, die Einhaltung der EBA- und BaFin-Outsourcing-Vorschriften sicherzustellen.

Ihr Partner für Atlassian-Software

Haben Sie Fragen zu Atlassian Cloud und zur Migration von Confluence, Jira und Jira Service Management? Als Atlassian Platinum Solution Partner mit Erfahrungen aus tausenden Atlassian-Projekten helfen wir Ihnen gerne bei der Evaluation Ihres Projekts und beim Umzug Ihrer Bestandssysteme. Melden Sie sich bei uns!

Weiterführende Infos

Atlassian Cloud und der Datenschutz
DSGVO, BaFin und Co.: Enterprise-Compliance mit Atlassian Cloud
Atlassian Cloud und Compliance-Anforderungen von Finanzdienstleistern
Skalierung von Atlassian-Produkten in Konzernen mit hohen Sicherheitsanforderungen

Die von Seibert Media GmbH aufgeführten rechtlichen Inhalte, z.B. Urteile, Tipps und Beiträge, sind nach bestem Wissen und Gewissen sorgfältig zusammengestellt. Es wird kein Anspruch auf Vollständigkeit und Ausschließlichkeit der Inhalte gestellt. Die zur Verfügung gestellten Informationen dienen lediglich zu Informationszwecken und ersetzen keine individuelle juristische Beratung. Sie sind unverbindlich und nicht Gegenstand einer Rechtsberatung. Seibert Media GmbH übernimmt keine Gewähr dafür, dass im Streitfall den hier dargelegten Urteilen und Ansichten gefolgt wird. Eine Haftung für die von Seibert Media GmbH veröffentlichten Inhalte wird daher nicht übernommen. 

Die veröffentlichten Inhalte enthalten Verweise und Links zu anderen Websites. Hierfür können wir keine Gewähr für die fortwährende Aktualität, Richtigkeit und Vollständigkeit der verlinkten Inhalte übernehmen, da diese Inhalte außerhalb unseres Verantwortungsbereichs liegen und wir auf die zukünftige Gestaltung keinen Einfluss haben. Sollten aus deiner Sicht Inhalte gegen geltendes Recht verstoßen oder unangemessen sein, teile uns dies bitte mit.

Karma - Beautiful Confluence Pages In Seconds