Datenschutzkonform in die Atlassian Cloud – mit dem 5-Schritte-Flugplan

Ann-Sophie Crecelius

Haben Sie sich schon einmal gefragt, wie und wann der Datenschutz eigentlich in die Cloud kommt? Eines ist wohl sicher: “Mal eben schnell” oder erst kurz vor dem Go-Live Ihres Cloud-Projekts schon einmal nicht. Dafür besitzt das Thema Datenschutz eine zu große Relevanz und ist zu komplex, als dass es nebenbei erledigt werden könnte. Stattdessen sollte Datensicherheit bereits zu Beginn eines Migrations-Projekts eine wichtige Rolle einnehmen und ein*e Datenschutzbeauftragte*r hinzugezogen werden.

In 5 Schritten datenschutzkonform in die Cloud wechseln!

Damit wäre zumindest geklärt, wann der Datenschutz in die Cloud kommt – widmen wir uns nun der Frage, wie man ihn erfolgreich implementiert. Auch, wenn dieser Prozess im ersten Moment nach einer sehr aufwändigen und turbulenten Reise klingt, so lässt er sich in nur wenigen Schritten – genauer gesagt fünf – zusammenfassen. Damit Sie datenschutzkonform in die Atlassian Cloud wechseln können und dabei einen Leitfaden haben, an dem Sie sich orientieren können, haben wir Ihnen – zusammen mit unserem Datenschutzexperten Thomas Rosin – den 5-Schritte-Flugplan zusammengestellt.

Nur fünf Schritte bis zum Start in die Cloud

Das sind die Stationen, die Sie bei Ihrer datenschutzkonformen Cloud-Migration durchlaufen müssen:

5-Schritte-Flugplan in die Atlassian Cloud: Bestandsaufnahme, Bewertung durch den Datenschutz, Design und Konzeption, Umsetzung und Go-Live, Qualitätssicherung

Schauen wir uns im Folgenden an, was sich hinter den einzelnen Schritten des Flugplans versteckt.

1. Bestandsaufnahme

Schnallen Sie sich an – der Flug startet gleich. Doch bevor Sie datenschutzkonform in Richtung Cloud abheben können, müssen die ersten Sicherheitsgrundlagen gecheckt werden: Daher werden grundsätzliche Fragen zu Ihrer Migration geklärt und die relevanten Projekt-Parameter analysiert. Wie oben erwähnt, sind Sie dabei nicht auf sich allein gestellt – der oder die Datenschutzbeauftragte unterstützt alle Beteiligten dabei, sich einen Überblick zu verschaffen und die beste Flugroute zu bestimmen. Dabei können z. B. folgende Fragen auftreten:

  • Welche Ziele sollen mit dem Einsatz einer Cloud-Lösung erreicht werden?
  • Welche Geschäftsprozesse sind betroffen?
  • Welche Daten sollen in der Cloud gespeichert und genutzt werden?

Um diese Fragen zu beantworten, werden Informationen aus z. B. dem Verzeichnis der Verarbeitungstätigkeiten oder aus einem aktiven Datenschutz-Management-System zu Rate gezogen.

2. Bewertung durch den Datenschutz

Um sicherzustellen, dass Ihre Cloud-Rakete nun wirklich für den Countdown bereit ist, werden die in der Bestandsaufnahme gesammelten Informationen bewertet. Sofern noch nicht alle Informationen im ersten Schritt zur Verfügung stehen, kann eine teilweise Bewertung und Einordnung stattfinden.

Das Ziel dabei ist, die individuellen Anforderungen an den Datenschutz herauszuarbeiten. So muss beispielsweise geprüft werden, welche Daten (nicht) in der Cloud gespeichert werden dürfen und ob zusätzliche Maßnahmen zur Datensicherheit erforderlich sind.

Ist auch dieser Schritt erledigt, dann startet die Cloud-Rakete in 3, 2, 1 …

3. Design und Konzeption

Die Cloud-Rakete ist erfolgreich abgehoben – nun gilt es, auf Kurs zu bleiben. Hierfür müssen Sie Folgendes beachten: Gesetzlich sind Unternehmen zur Einhaltung verschiedener Datenschutzvorgaben verpflichtet, die sie auch dokumentieren müssen. Um diese Vorgaben erfüllen zu können, ist eine wasserdichte Konzeption erforderlich. Das aktuelle IT-Konzept wird überprüft und, wo nötig, ergänzt.

Für eine sichere IT sollte neben üblichen Konzepten wie Backups, Virenschutz, Change- und Patchmanagement usw. bezüglich des Datenschutzes ebenfalls besonderer Wert auf das Berechtigungs- und das Löschkonzept sowie auf Informationspflichten, Betroffenenrechte oder das Verzeichnis der Verarbeitungstätigkeiten gelegt werden.

4. Umsetzung und Go-Live

Langsam, aber sicher neigt sich Ihr Flug dann dem Ende entgegen – die Cloud ist aus der Ferne schon sichtbar! Für eine erfolgreiche Umsetzung und einem gelungenen Go-Live ist aus Datenschutz-Sicht nicht mehr viel zu tun, außer z. B. Datenschutzverträge zu finalisieren, benötigte Rechtstexte zu schreiben oder Mitarbeiter*innen zu schulen.

An diesem Punkt werden Sie merken, dass sich Ihre ausführliche Vorbereitung inklusive der gut ausgearbeiteten Konzepte und Prozesse bezahlt gemacht hat – mit diesem Vorgehen sind Sie nicht nur auf der sicheren Seite, es kostet Sie oftmals auch weniger, als gegen Datenschutzauflagen zu verstoßen oder "Flickwerk" nachträglich implementieren zu wollen.

Nun können Sie sich mit einem guten Gefühl auf die Landung Ihrer Cloud-Rakete konzentrieren.

5. Qualitätssicherung

Gratulation, Sie sind erfolgreich und datenschutzkonform in der Cloud gelandet! Doch Ihre Reise ist noch nicht ganz beendet: Damit Sie sich auch zukünftig datensicher in der Cloud bewegen können, ist Qualitätssicherung ein “Muss”.

Für eine gleichbleibende Qualität und Stabilität sollten Sie den Umfang und die Maßnahmen des Datenschutzes regelmäßig überprüfen. Diese Wirksamkeitskontrollen können Sie als Unternehmen entweder selbst durchführen oder an externe Dienstleister abgeben.

Der 5-Schritte-Flugplan in voller Länge

Sie wollen noch mehr über die einzelnen Schritte auf Ihrem Flugplan in die Atlassian Cloud erfahren? Weitere Informationen finden Sie in unserem ausführlichen Whitepaper, das Sie hier ganz einfach anfordern können:


Ihr Partner für Atlassian-Software

Haben Sie Fragen zur Atlassian Cloud oder zur Migration von Confluence, Jira und Jira Service Management? Als langjähriger Atlassian Platinum Solution Partner helfen wir Ihnen gerne dabei, Ihr Projekt zu evaluieren und Ihre Bestandssysteme umzuziehen. Melden Sie sich einfach bei uns!

Weiterführende Infos

Mehr Datensicherheit in EMEA: Atlassian-Cloud-Produkte erfüllen aktuelle Compliance-Standards der EBA und BaFin
Beziehungsstatus: “Kompliziert, aber auf dem richtigen Weg” – Atlassian Cloud und der Datenschutz (Podcast)
Wer hat Angst vor der DSGVO? Furchtlos in die Atlassian Cloud
DSGVO, BaFin und Co.: Enterprise-Compliance mit Atlassian Cloud

Die von Seibert Media GmbH aufgeführten rechtlichen Inhalte, z.B. Urteile, Tipps und Beiträge, sind nach bestem Wissen und Gewissen sorgfältig zusammengestellt. Es wird kein Anspruch auf Vollständigkeit und Ausschließlichkeit der Inhalte gestellt. Die zur Verfügung gestellten Informationen dienen lediglich zu Informationszwecken und ersetzen keine individuelle juristische Beratung. Sie sind unverbindlich und nicht Gegenstand einer Rechtsberatung. Seibert Media GmbH übernimmt keine Gewähr dafür, dass im Streitfall den hier dargelegten Urteilen und Ansichten gefolgt wird. Eine Haftung für die von Seibert Media GmbH veröffentlichten Inhalte wird daher nicht übernommen. 

Die veröffentlichten Inhalte enthalten Verweise und Links zu anderen Websites. Hierfür können wir keine Gewähr für die fortwährende Aktualität, Richtigkeit und Vollständigkeit der verlinkten Inhalte übernehmen, da diese Inhalte außerhalb unseres Verantwortungsbereichs liegen und wir auf die zukünftige Gestaltung keinen Einfluss haben. Sollten aus deiner Sicht Inhalte gegen geltendes Recht verstoßen oder unangemessen sein, teile uns dies bitte mit.

Schreibe einen Kommentar