Hast du mit Hilfe unserer Checkliste die wichtigsten datenschutzrelevanten Informationen in deinem Atlassian-Cloud-Projekt zusammengetragen? Dann ist es jetzt an der Zeit, alles einmal durch die Brille des Datenschutzes zu betrachten und zu bewerten. Welche Anforderungen ergeben sich daraus? Und welche Fragen solltest du dir stellen, wenn du gerade keinen Datenschutz-Experten bzw. keine Datenschutz-Expertin zur Hand hast?
Wenn du unsere Artikel und Beiträge zum Datenschutz in den letzten Wochen und Monaten verfolgt hast, dann ist dir bereits klar, dass der Datenschutz umfangreiche Anforderungen an ein Atlassian-Cloud-Projekt stellt. Dazu gehören viele selbstverständliche Themen, wie der Schutz aller Daten gemäß aktuellem Stand der Technik (Zugangsschutz, Back-up usw.). Neben diesem allgemeinen, technischen Schutz ergeben sich projektspezifische Ansprüche aus den Daten, die du in der Cloud für bestimmte Geschäftsprozesse speichern und verwenden möchtest. Wir empfehlen, diese Anforderungen individuell für dein Projekt und gemeinsam mit deiner eigenen Datenschutz-Abteilung zu ermitteln.
Wenn das allerdings nicht möglich ist, wollen wir dir mit diesem Artikel dabei helfen, einige wichtige Anforderungen in Bezug auf den Datenschutz zu berücksichtigen, die erfahrungsgemäß bei vielen Atlassian-Cloud-Projekten bestehen.
Datenschutz-Experte Thomas Rosin
Thomas Rosin ist Experte für Daten- und Informationsschutz. Er ist als Datenschutzbeauftragter und Berater für Unternehmen und Unternehmensgruppen mit Hauptsitz in Deutschland tätig. Daneben lehrt er Datenschutz im Masterstudiengang Wirtschaftsinformatik an der Rheinischen Fachhochschule Köln. Er stellt Seibert Media regelmäßig sein Expertenwissen rund um den Datenschutz zur Verfügung.
Kontakt: info@thomasrosin.de
Web: https://www.thomasrosin.de
Datenschutz-Bewertung #1: Welche Daten dürfen nicht in der Atlassian Cloud gespeichert werden?
Im Datenschutz wird zwischen „personenbezogenen Daten“ und „besonderen Kategorien“ personenbezogener Daten unterschieden. Zu letzteren gehören beispielsweise Daten, die sich auf die Gesundheit, das Sexualleben, religiöse oder weltanschauliche Überzeugungen beziehen, aber auch biometrische Daten, wie sie heute in modernen Ausweisen als entsprechendes Foto oder Fingerabdruck gespeichert werden. In Cloud-Projekten finden sich solche Daten immer wieder als Teil von Personal- oder Projektplanungen (z. B. krankheitsbedingte Abwesenheit). Auch wenn in der Cloud weitgehend unreglementiert Dateiablagen bereitgestellt werden, könnten solche Daten mit dabei sein.
Atlassian verwendet den erweiterten Begriff „sensible Daten“. Dieser umfasst z. B. auch Zahlungsdaten, die unter die Regelung des Payment Card Industry Data Security Standards (PCI-DSS) fallen. Der Begriff bezieht sich außerdem auf bestimmte Identifikationsnummern, wie Sozialversicherungs-, Führerschein- oder vergleichbare Ausweisnummern.
Atlassian schließt die Nutzung seiner Cloud-Produkte im Zusammenhang mit sensiblen personenbezogenen Daten praktisch aus. Gemäß den Cloud-Terms sind solche Daten nur in Atlassian-Produkten erlaubt, die explizit eine Verwendung mit sensiblen Daten vorsehen. Aktuell sind uns (bzw. Thomas Rosin, dem Autor dieses Beitrags) keine solchen Produkte bekannt. Der Auftragsverarbeitungsvertrag von Atlassian (Atlassian Data Processing Addendum) verneint explizit die Nutzung der Cloud-Produkte im Zusammenhang mit sensiblen Daten.
Achte in deinem Cloud-Projekt darauf, dass bei der Migration und bei der anschließenden operativen Nutzung keine sensiblen Daten in der Cloud verwendet werden. Je nach Möglichkeit kann das technisch, notfalls rein organisatorisch (z. B. durch Verhaltensregeln oder Arbeitsanweisungen) sichergestellt werden. Wenn du in der Cloud Personalressourcen planst, bietet es sich an, bei Personalausfall auf die Dokumentation eines Abwesenheitsgrundes (z. B. Krankheit) zu verzichten.
Datenschutz-Bewertung #2: Welche Daten müssen besonders geschützt werden?
Die Nutzung von Daten in der Cloud beschränkt sich meist nicht auf nur personenbezogene Daten. Unabhängig davon sollten alle Daten deines Unternehmens in der Cloud und auf dem Weg dorthin (Stichwort „Schnittstellen“) gut geschützt werden.
Einen Teil der Schutzmaßnahmen übernimmt Atlassian als Betreiber der Cloud für dich. Im Auftragsverarbeitungsvertrag (Anhang B) und auf den Atlassian-Security-Webseiten findest du eine umfangreiche Dokumentation aller technischen und organisatorischen Maßnahmen von Atlassian.
Für dein Cloud-Projekt ist es wichtig, zu wissen, bis zu welchem Punkt Atlassian deine Daten schützt und ab wann du selbst geeignete Schutzmaßnahmen ergreifen musst. Beispielsweise stellt Atlassian umfangreiche Funktionen für die Verwaltung von Benutzer*innen und die Vergabe von Berechtigungen zur Verfügung. Das kannst du nutzen, indem du ein Berechtigungskonzept erstellst, das dem Schutzbedarf deiner Daten Rechnung trägt, und die Cloud-Funktionen entsprechend konfigurierst.
Die Erstellung eines Berechtigungskonzeptes gehört zu den Basisanforderungen von praktisch jedem Cloud-Projekt. Wir empfehlen dir außerdem, alle Daten und Dokumente, die du in der Atlassian Cloud verwenden möchtest, vorab auf ihren benötigten Schutz zu prüfen. Mit Hilfe dieser Schutzbedarfsanalyse kannst du erkennen, in welchen Bereichen mehr oder weniger Schutz erforderlich ist. Weitere Informationen zum Thema findest du beispielsweise auf den Webseiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Datenschutz-Bewertung #3: Gibt es hohe Risiken bei der Implementierung von Geschäftsprozessen in der Atlassian Cloud?
Eine datenschutzseitige Bewertung kann dir helfen, die Bereiche zu identifizieren, in denen höhere Risiken bestehen. Hier müssen zusätzliche Maßnahmen getroffen werden, um Risiken für die betroffenen Personen zu vermeiden oder zumindest so weit wie möglich zu reduzieren.
Jede Verarbeitung personenbezogener Daten kann potenziell mit Gefährdungen einhergehen. Um zu ermitteln, wo ein hohes Risiko für die betroffenen Personen bestehen kann, hat der europäische Datenschutzausschuss (EDSA) einen Kriterienkatalog herausgebracht. Damit kann im Rahmen einer Schwellwertanalyse festgestellt werden, wo höhere Risiken bestehen.
Typischerweise ist das dann der Fall, wenn besondere Kategorien personenbezogener Daten in hohem Maße verarbeitet werden, wenn die betroffenen Personen zum Beispiel überwacht oder Verhaltensprofile erzeugt werden. Risiken können aber auch entstehen, wenn große Mengen personenbezogener Daten oder die Daten schutzbedürftiger Personen (z. B. Kinder) unter Einsatz moderner Technologien (beispielsweise Künstliche Intelligenz) verarbeitet werden.
Zeigt die Schwellwertanalyse hohe Risiken auf, musst du aufgrund der gesetzlichen Vorgaben (Art. 35 DS-GVO) eine dokumentierte Datenschutz-Folgenabschätzung erstellen. Das ist eine Risikobewertung aus Sicht der betroffenen Personen, die in der Regel mit einigem Dokumentations- und Analyseaufwand einhergeht.
Die deutschen Aufsichtsbehörden für den Datenschutz haben eine Liste von Datenverarbeitungen veröffentlicht, bei denen in jedem Fall eine Datenschutz-Folgenabschätzung erforderlich ist.
Datenschutz-Bewertung #4: Risiken außerhalb der Europäischen Union
Viele IT-Dienstleister und Service-Anbieter haben ihren Sitz außerhalb der EU, beispielsweise in den USA. Atlassian hat seinen Hauptsitz aktuell in Australien, betreibt aber weitere Standorte in den USA, Asia Pacific und Europa.
Werden personenbezogene Daten in Ländern außerhalb der EU verarbeitet, können weitere Risiken hinzukommen, je nachdem, welcher Umgang mit personenbezogenen Daten dort erfolgt. Der Europäische Gerichtshof hat im Juli 2020 das Datenschutzabkommen mit den USA für unwirksam erklärt. Hintergrund ist die Feststellung, dass in den USA – anders als beispielsweise in Europa – kein ausreichender Rechtsschutz für betroffene Personen und deren personenbezogene Daten besteht. Unter dem Argument der nationalen Sicherheit können staatliche Einrichtungen bestehende Rechte außer Kraft setzen und auf Daten zugreifen, ohne dass die betroffenen Personen hiervon jemals Kenntnis erhalten.
Abhängig von deinem Atlassian-Produkt und der vorgenommenen Konfiguration ist es möglich, dass auch personenbezogene Daten in den USA gespeichert werden, wenn du die Cloud nutzt. Um vor allem europäischen Kunden mehr Kontrolle und Sicherheit zu bieten, stellt Atlassian sowohl besondere Funktionalitäten als auch umfangreiche Informationen zu diesem Thema zur Verfügung.
Mit der Datenresidenz (für mehr Infos hierzu empfehlen wir dir diesen Blogpost) kannst du darüber bestimmen, in welcher Region Atlassian deine Daten speichert. Atlassian nutzt hier vorwiegend die Infrastruktur von Amazon AWS, um dein Cloud-Produkt in bestimmten Ländern oder Regionen zu betreiben. Inzwischen besteht auch die Möglichkeit, Deutschland als Datenresidenz auszuwählen.
Atlassian bietet noch nicht in allen Bereichen die Funktion „Datenresidenz“ an. In der Atlassian Roadmap https://www.atlassian.com/wac/roadmap/cloud?category=dataManagement kannst du nachlesen, wann und wie der weitere Ausbau geplant ist.
Wir empfehlen dir, möglichst vorab festzulegen, in welchen Regionen du deine Daten in der Atlassian Cloud speichern möchtest. Deine Datenschutzabteilung wird dazu vermutlich noch weitere Fragen dazu haben. Über die USA-Thematik und den Umgang mit personenbezogenen Daten außerhalb der EU informiert Atlassian ausführlich im eigenen Compliance-Center. Wie Atlassian Anfragen staatlicher Institutionen in den USA behandelt, wird in einer Atlassian Guideline beschrieben. Ob und inwieweit tatsächlich solche Zugriffe stattfinden, legt Atlassian in einem Transparenzbericht offen, der jährlich aktualisiert wird.
Zum Abschluss
Die von Seibert Media GmbH aufgeführten rechtlichen Inhalte, z. B. Urteile, Tipps und Beiträge, sind nach bestem Wissen und Gewissen sorgfältig zusammengestellt. Es wird kein Anspruch auf Vollständigkeit und Ausschließlichkeit der Inhalte erhoben. Die zur Verfügung gestellten Informationen dienen lediglich zu Informationszwecken und ersetzen keine individuelle juristische Beratung. Sie sind unverbindlich und nicht Gegenstand einer Rechtsberatung. Seibert Media GmbH übernimmt keine Gewähr dafür, dass im Streitfall den hier dargelegten Urteilen und Ansichten gefolgt wird. Eine Haftung für die von Seibert Media GmbH veröffentlichten Inhalte wird daher nicht übernommen.
Die veröffentlichten Inhalte enthalten Verweise und Links zu anderen Websites. Hierbei können wir keine Gewähr für die fortwährende Aktualität, Richtigkeit und Vollständigkeit der verlinkten Inhalte übernehmen, da diese Inhalte außerhalb unseres Verantwortungsbereichs liegen und wir auf die zukünftige Gestaltung keinen Einfluss haben. Sollten aus deiner Sicht Inhalte gegen geltendes Recht verstoßen oder unangemessen sein, teile uns dies bitte mit.
Die Zukunft ist oben!
Atlassian stellt im Februar 2024 den Support für seine Server-Produkte ein. Nutze daher die verbleibende Zeit und informiere dich über einen Umzug in die Cloud. Oder, noch besser – probiere sie ganz einfach aus: Mit unserem Cloud Migration Trial kannst du die Cloud und ihre Vorzüge selbst testen und erste Erfahrungen sammeln, ohne dein bestehendes Produktivsystem zu beeinträchtigen.
Steht deine Entscheidung für die Cloud schon fest und du möchtest nun herausfinden, ob dein Unternehmen bereit für einen Umstieg ist? Dann empfehlen wir dir, dich durch unser kurzes Cloud-Quiz zu klicken – in nur 11 Fragen stellt sich heraus, ob und wie “migrationsreif” du bist! Zudem lohnt es sich, sich schon im Vorfeld einer Migration über das Thema “Datenschutz in der Cloud” zu informieren. Gemeinsam mit dem Datenschutz-Experten Thomas Rosin haben wir dir hier einige Informationen sowie einen praktischen Flugplan mit allen Schritten zusammengestellt.
Weiterführende Infos
Abheben in die Atlassian Cloud mit dem 5-Schritte-Flugplan – Schritt 1: Die Datenschutz-Bestandsaufnahme
Atlassian Cloud mit neuer Datenhaltungs-Option: Data Residency explizit in Deutschland
Datenschutz? Check! Wechsle mit dieser Checkliste datenschutzkonform in die Atlassian Cloud
Podcast: Beziehungsstatus: “Kompliziert, aber auf dem richtigen Weg” – Atlassian Cloud und der Datenschutz
