Abheben in die Atlassian Cloud mit dem 5-Schritte-Flugplan – Schritt 1: Die Datenschutz-Bestandsaufnahme

Avatar

Eine Header-Grafik am Anfang des Blogartikels. Zu sehen sind die 5 einzelnen Schritte des Datenschutz-Flugplans für die Atlassian Cloud. In diesem Artikel geht es um Schritt 1, die Bestandsaufnahme

“Wie kommt der Datenschutz in die Cloud und was muss ich diesbezüglich beachten?” – Wenn du diese Frage der Datenschutzabteilung oder der*dem Datenschutzbeauftragten eures Unternehmens im Vorfeld eines Atlassian-Cloud-Projekts stellst, wirst du häufig die folgende Antwort erhalten: „Das kommt ganz darauf an …“. Wir möchten dich mit diesem Beitrag dabei unterstützen, eine Bewertung durch den Datenschutz optimal vorzubereiten und dir außerdem hilfreiche Antworten auf Fragen liefern, die kommen können (oder die du dir vielleicht selbst schon gestellt hast).

Zum Thema Datenschutz existiert eine ganze Reihe sehr unterschiedlicher und nicht immer offensichtlicher Anforderungen. Wenn du Confluence nutzt, um deine IT zu dokumentieren, gibt es für dich möglicherweise andere Anforderungen zu beachten, als wenn du mit Jira Service Desk den Kundenservice für deine Produkte und Leistungen anbieten möchtest.

Datenschutz-Experte Thomas Rosin

Ein Foto, das den Datenschutzexperten Thomas Rosin zeigt

Thomas Rosin ist Experte für Daten- und Informationsschutz. Er ist als Datenschutzbeauftragter und Berater für Unternehmen und Unternehmensgruppen mit Hauptsitz in Deutschland tätig. Daneben lehrt er Datenschutz im Masterstudiengang Wirtschaftsinformatik an der Rheinischen Fachhochschule Köln. Er stellt Seibert Media regelmäßig sein Expertenwissen rund um den Datenschutz zur Verfügung.

Kontakt: info@thomasrosin.de
Web: https://www.thomasrosin.de

 

Was sind das für Daten und wem gehören sie?

Im Datenschutz geht es um den richtigen (das heißt: gesetzes- und regelkonformen) Umgang mit personenbezogenen Daten. Um die Anforderungen des Datenschutzes angemessen in deinem Atlassian-Cloud-Projekt zu berücksichtigen, solltest du zunächst einen Blick darauf werfen, um welche Daten es dabei überhaupt geht. Zum Teil sind diese Daten bereits durch die Verwendung einer Cloud-Lösung offensichtlich. Im Bereich der Geschäftsprozesse handelt es sich oftmals um Daten, die es individuell zu ermitteln gilt.

Cloud- und technikbedingte Daten

In der Atlassian Cloud ist als Teil des Zugriffsschutzes eine Benutzerverwaltung vorhanden. Damit ist regelmäßig die Verarbeitung von Namen, Logins, Passwörtern und Kontaktdaten der Benutzer*innen verbunden. User können ggf. persönliche Profile pflegen und Daten wie Fotos, Avatare oder Funktionsbezeichnungen speichern.

IT-Systeme und IT-Anwendungen produzieren Logfiles. Diese enthalten häufig personenbezogene Daten, wie Benutzernamen oder IDs, die Benutzer*innen direkt zugeordnet werden können. Auch IP-Adressen der User sind personenbezogene Daten. Alle diese lassen, zusammen mit den verbundenen technischen Informationen, Rückschlüsse auf das individuelle Verhalten der Nutzer*innen zu, beispielsweise wer, wann, welche Funktionen oder Inhalte aufgerufen hat („Clickstream“). In web-basierten Anwendungen fallen überdies weitere Daten zum Client-System und Browser an.

Detaillierte Informationen zu diesen und weiteren personenbezogenen Daten in Zusammenhang mit der Nutzung von Atlassian-Produkten sind in dieser Datenschutzerklärung beschrieben .

Nutzt du neben den Tools von Atlassian auch Drittanbieter-Erweiterungen? Diese können möglicherweise weitere Daten verarbeiten. Ob und wie sie deine Daten nutzen, kannst du in Erfahrung bringen, indem du die Datenschutzerklärungen der jeweiligen Anbieter liest oder direkt bei ihnen nachfragst.

Geschäftsprozess-Daten

Zudem solltest du ermitteln, welche Daten oder auch Dokumente, die sich auf Geschäftsprozesse deines Unternehmens beziehen, in der Atlassian Cloud gespeichert und verarbeitet werden sollen. Von welchen Personengruppen („Betroffene“) stammen diese? Auch hier ist es nicht immer einfach zu unterscheiden, ob bestimmte Daten potenziell personenbezogenen sind oder nicht. Wir empfehlen, dass du im Zweifelsfall lieber zu viele Daten dokumentierst und eine solche Einschätzung später dem Mitarbeiter*innen deines Datenschutzes überlässt.

Eine besondere Beachtung erfordern sogenannte „sensible“ oder „besondere Kategorien“ personenbezogener Daten. Hierzu gehören unter anderem Gesundheitsdaten und biometrische Daten. In Unternehmen außerhalb des Gesundheitswesens sind das unter anderem Daten zur krankheitsbedingten Abwesenheit von Mitarbeiter*innen oder Scans von offiziellen Ausweisdokumenten mit biometrischen Fotos. Solche Daten dürfen grundsätzlich nicht in der Atlassian Cloud gespeichert werden.

In unserem 5-Punkte-Flugplan haben wir gängige Arten von Daten und Betroffenen für dich aufgelistet.

Wozu werden die Daten benötigt?

Zu den grundlegenden Prinzipien des Datenschutzes gehört es, dass Daten nur für legitime Zwecke und auch nur soweit dazu erforderlich verarbeitet werden dürfen. Eine anlasslose Vorratsdatenspeicherung ist in der Regel unzulässig.

Insoweit stellt sich bei der Migration oder Implementierung von Geschäftsprozessen mit der Atlassian Cloud die Frage: Zu welchem Zweck speichert dein Unternehmen die jeweiligen Daten und inwieweit sind diese Daten für die (Teil-)Prozesse in der Cloud tatsächlich erforderlich?

Besonders bei der Migration von Geschäftsprozessen scheint es am einfachsten zu sein, alle verfügbaren Daten in die Cloud zu migrieren. Dort können sich dann die Beteiligten die Daten aussuchen, die benötigt werden. Bei diesem Vorgehen besteht allerdings das Risiko, gegen die gesetzlichen Anforderungen der Zweckbindung und Erforderlichkeit zu verstoßen. Achte daher sehr genau darauf, dass ihr nur die Daten migriert, die auch tatsächlich benötigt werden. Auch hierzu findest du in unserem Flugplan weitere Informationen.

Mache es dir einfach – male Bilder

Sowohl IT-Projekte als auch IT-Systeme sind meist komplex und für die Personen, die sich nur punktuell damit beschäftigen, nicht immer nachvollziehbar. Aus Sicht des Datenschutzes ist es wichtig, zu verstehen, welchen Weg Daten im Rahmen von IT-Projekten und im späteren operativen Betrieb nehmen („Datenfluss“).

Einerseits betrifft das die Unternehmen (eigene Schwester-/Tochterunternehmen im Konzern, externe Dienstleister, Kunden), die an dem Projekt oder dem späteren Betrieb beteiligt sind und in Kontakt mit den Daten kommen könnten. Hier bestehen regelmäßig Anforderungen zu besonderen Prüfungen und vertragliche Maßnahmen zum Datenschutz (beispielsweise Auftragsverarbeitungsvertrag, Standard-Datenschutzklauseln).

Zum anderen sind der Datenfluss zwischen den IT-Systemen und IT-Anwendungen sowie die damit verbundenen Schnittstellen relevant. Diese Informationen werden unter anderem benötigt, um die Datenschutz-Anforderungen in den Bereichen Berechtigungs- und Löschkonzept festzulegen, zudem um die vorgesehenen Schutzmaßnahmen im Security-Konzept beurteilen zu können.

Wir haben sehr gute Erfahrungen damit gemacht, die Informationen zum Datenfluss bildhaft darzustellen. Dafür visualisierst du den Datenfluss zwischen den beteiligten Unternehmen an sich und auch zwischen den IT-Systemen. Hilfreich ist auch, dabei gegebenenfalls Varianten für die Zeit der Projektdurchführung und Migration und für den späteren operativen IT-Betrieb zu erstellen.

Es muss nicht immer alles perfekt sein. Wenn du den schwarzen Gürtel in UML hast, dann ist ein Ablauf- oder Flussdiagramm eine hervorragende Lösung. In der Praxis genügt aber auch eine von Hand gemalte Skizze. Und selbstverständlich alles dazwischen!

Vorteile einer bestehende Datenschutz-Dokumentationen

Möchtest du bestehende Geschäftsprozesse in die Atlassian Cloud migrieren, dann verfügst du idealerweise bereits über eine Datenschutz-Dokumentation dieser Prozesse. Du kannst die erforderlichen Informationen im sogenannten Verzeichnis der Verarbeitungstätigkeiten (vor dem Jahr 2018 auch „Verfahrensverzeichnis“ genannt) finden. Hier sollte für jeden Geschäftsprozess beschrieben sein, welche personenbezogenen Daten zum Einsatz kommen und von welchen Personengruppen (Kunden, Mitarbeiter*innen, Lieferanten etc.) diese stammen.

Bestandsaufnahme per Workshop

Du hast keine aktuelle Datenschutz-Dokumentation oder du möchtest neue Geschäftsprozesse in der Cloud umsetzen? Dann findest du in unserem 5-Schritte-Flugplan einen Leitfaden, um die relevanten Informationen dafür zu ermitteln. Für den ersten Schritt, also die Bestandsaufnahme, kannst du beispielsweise einen circa 90-minütigen Workshop vorbereiten.

Ein solcher Workshop kann wie folgt aussehen: Als Teilnehmer*innen lädst du Key-User aus der IT und aus dem jeweiligen Geschäftsbereich ein, um an einem (gegebenenfalls auch virtuellen) Tisch zusammenkommen. Im Vorfeld beschreibst du genau, welche Arbeitsbereiche oder Geschäftsprozesse in der Atlassian Cloud implementiert werden sollen. Den Personen, die du einlädst, lässt du den 5-Punkte-Flugplan und alle weiteren wichtigen Informationen zukommen.

Apropos wichtige Informationen – du wirst im Workshop wesentlich mehr Zeit benötigen, wenn die Teilnehmer*innen unvorbereitet sind. Es lohnt sich also, wenn du sie frühzeitig, schon bei der Einladung zum Workshop, motivierst, damit sie die Unterlagen sichten und sich vorbereiten. Außerdem kannst du bei den Teilnehmer*innen aktiv nachfragen, ob sie sich für den jeweiligen Arbeitsbereich zuständig fühlen oder ob sie andere Kolleg*innen eher in der Rolle und Expertise sehen, um an dem Workshop teilzunehmen.

Im Workshop gehst du mit der Gruppe alle Fragen der Checkliste gemeinsam und für jeden Arbeitsbereich oder Geschäftsprozess separat durch. Am besten dokumentierst du auch das Ergebnis.Sollte es Uneinigkeit bei einzelnen Fragen geben, die sich nicht innerhalb von 5 Minuten klären lassen, dann empfehlen wir, die verschiedenen Sichtweisen zu dokumentieren und später an deren Klärung zu arbeiten.

Zum Abschluss

Dieser Beitrag und unser 5-Schritte-Datenschutz-Flugplan sollen dich dabei unterstützen, ein Gespräch mit deinen Datenschutzbeauftragten oder Datenschutzexpert*innen vorzubereiten und die Anforderungen des Datenschutzes zu ermitteln. Solche Dialoge sollten möglichst früh und noch in der Planungs- und Designphase deines Atlassian-Cloud-Projekts stattfinden. Natürlich wirst du zu diesem frühen Zeitpunkt nicht immer alle Fragen abschließend beantworten können. Aber genau darum geht es hier: Teile deine Designideen mit den Menschen im Datenschutz, bevor alle Details in den sprichwörtlichen Stein gemeißelt wurden und nur noch festgestellt werden kann, dass für eine datenschutzkonforme Ausrichtung des Projekts keine Zeit mehr verfügbar ist. Wir wünschen viel Erfolg!

Die von Seibert Media GmbH aufgeführten rechtlichen Inhalte, z. B. Urteile, Tipps und Beiträge, sind nach bestem Wissen und Gewissen sorgfältig zusammengestellt. Es wird kein Anspruch auf Vollständigkeit und Ausschließlichkeit der Inhalte erhoben. Die zur Verfügung gestellten Informationen dienen lediglich zu Informationszwecken und ersetzen keine individuelle juristische Beratung. Sie sind unverbindlich und nicht Gegenstand einer Rechtsberatung. Seibert Media GmbH übernimmt keine Gewähr dafür, dass im Streitfall den hier dargelegten Urteilen und Ansichten gefolgt wird. Eine Haftung für die von Seibert Media GmbH veröffentlichten Inhalte wird daher nicht übernommen.

Die veröffentlichten Inhalte enthalten Verweise und Links zu anderen Websites. Hierbei können wir keine Gewähr für die fortwährende Aktualität, Richtigkeit und Vollständigkeit der verlinkten Inhalte übernehmen, da diese Inhalte außerhalb unseres Verantwortungsbereichs liegen und wir auf die zukünftige Gestaltung keinen Einfluss haben. Sollten aus deiner Sicht Inhalte gegen geltendes Recht verstoßen oder unangemessen sein, teile uns dies bitte mit.

Die Zukunft ist oben!

Atlassian stellt im Februar 2024 den Support für seine Server-Produkte ein. Nutze daher die verbleibende Zeit und informiere dich über einen Umzug in die Cloud. Oder, noch besser – probiere sie ganz einfach aus: Mit unserem Cloud Migration Trial kannst du die Cloud und ihre Vorzüge selbst testen und erste Erfahrungen sammeln, ohne dein bestehendes Produktivsystem zu beeinträchtigen.

Steht deine Entscheidung für die Cloud schon fest und du möchtest nun herausfinden, ob dein Unternehmen bereit für einen Umstieg ist? Dann empfehlen wir dir, dich durch unser kurzes Cloud-Quiz zu klicken – in nur 11 Fragen stellt sich heraus, ob und wie “migrationsreif” du bist! Zudem lohnt es sich, sich schon im Vorfeld einer Migration über das Thema “Datenschutz in der Cloud” zu informieren. Gemeinsam mit dem Datenschutzexperten Thomas Rosin haben wir dir hier einige Informationen sowie einen praktischen Flugplan mit allen Schritten zusammengestellt.

Weiterführende Infos

Die Checkliste für deine Migrationsplanung – einfach Schritt für Schritt in die Atlassian Cloud
Bereit für die Atlassian Cloud oder nicht – mit 11 Fragen können Sie es herausfinden!
Datenschutzkonform in die Atlassian Cloud – mit dem 5-Schritte-Flugplan

Schreibe einen Kommentar