Der 5-Schritte Flugplan – Extra: Das Atlassian Data Protection Addendum (DPA)

Der 5-Schritte Flugplan – Extra: Das Atlassian Data Protection Addendum (DPA)

Es sollte jetzt keine Überraschung mehr sein: Wenn du die Atlassian Cloud nutzt, dann kommen Mitarbeitende von Atlassian und deren Subunternehmer in Kontakt mit den Daten deines Unternehmens. Um sicherzustellen, dass zwischen allen Beteiligten die Rechte und Pflichten in Bezug auf den Datenschutz klar vereinbart sind, verlangt der europäische Gesetzgeber hierzu den Abschluss eines speziellen Datenschutzvertrages. Das passiert bei Atlassian aber nicht automatisch. Wir verraten dir hier, was du als Atlassian-Cloud-Kunde noch beachten solltest.

Datenschutz-Experte Thomas Rosin

Ein Foto, das den Datenschutzexperten Thomas Rosin zeigt

Thomas Rosin ist Experte für Daten- und Informationsschutz. Er ist als Datenschutzbeauftragter und Berater für Unternehmen und Unternehmensgruppen mit Hauptsitz in Deutschland tätig. Daneben lehrt er Datenschutz im Masterstudiengang Wirtschaftsinformatik an der Rheinischen Fachhochschule Köln. Er stellt Seibert Media regelmäßig sein Expertenwissen rund um den Datenschutz zur Verfügung.

Kontakt: info@thomasrosin.de
Web: https://www.thomasrosin.de

Im Rahmen der Cloud-Nutzung werden diverse personenbezogene Unternehmensdaten („Daten“) gegenüber Atlassian als Cloud-Anbieter offengelegt. Das beginnt mit den Zugangs- und Kontaktdaten in deiner User-Verwaltung und geht bis zu den Daten, die du in Dokumenten, Tickets und anderen Bereichen der Cloud speicherst. Ob Mitarbeitende von Atlassian aktiv Einblick in die Daten nehmen oder ein Zugriff auf die Daten nur theoretisch möglich ist, spielt keine Rolle.

Sobald personenbezogene Daten den Dunstkreis deines eigenen Unternehmens verlassen und einem anderen Unternehmen zugänglich gemacht werden, fordert das Gesetz hierfür weitergehende Maßnahmen. Bei Cloud-Services gehört außerdem dazu, dass du als Auftraggeber mit Atlassian vertraglich vereinbarst, wie mit personenbezogenen Daten und den gesetzlichen Pflichten im Datenschutz umzugehen ist.

Das Atlassian Data Protection Addendum

Atlassian stellt einen standardisierten Datenschutzvertrag zur Verfügung, in dem die Themen geregelt werden, die der europäische Gesetzgeber hierzu in Artikel 28 der EU-Datenschutz-Grundverordnung (DS-GVO) festgelegt hat. In deutscher Sprache wird dieser als Auftragsverarbeitungsvertrag („AVV“), im Englischen als Data Protection Agreement oder Data Processing Addendum („DPA“), bezeichnet. Die jeweils aktuelle Fassung des Atlassian Data Processing Addendum kann auf den Atlassian-Webseiten abgerufen werden.

Atlassian selbst ist eine internationale Unternehmensgruppe. Je nach Standort deines Unternehmens, dem Vertriebsweg und dem beauftragten Produkt können unterschiedliche Unternehmen der Atlassian-Gruppe als dein Vertragspartner auftreten. Die DPA-Version von September 2022 ist so gestaltet, dass alle infrage kommenden Atlassian-Unternehmen das DPA unterzeichnet haben.

Wenn du also ein DPA mit Atlassian abschließen möchtest, kommt immer das gleiche Vertragsdokument zum Einsatz. Auch der Ablauf ändert sich nicht – unabhängig davon, wer dein Vertragspartner ist oder über welchen Vertriebsweg du Lizenzen erworben hast.

Du musst aktiv werden

Manche Cloud-Anbieter haben den Datenschutzvertrag bereits in ihre allgemeinen Vertragsbedingungen integriert. Da Atlassian seine Cloud-Produkte für Kunden weltweit anbietet, müssen deutsche und europäische Kunden den hier regelmäßig erforderlichen Datenschutzvertrag ergänzend vereinbaren.

Lade hierfür einfach den aktuellen DPA herunter, fülle ihn aus und sende ihn an Atlassian zurück.

Mini-Checkliste für den Abschluss des Atlassian DPA (Version 09/2022)

  1. Lade das Atlassian DPA als PDF-Dokument herunter.
  2. Lies das DPA und verstehe die Pflichten und Rechte, die du als Auftraggeber und Atlassian als Auftragnehmer hast.
  3. Lasse das DPA durch deine Datenschutz- oder Rechtsabteilung prüfen und freigeben, soweit das in deinem Unternehmen erforderlich oder gewünscht ist.
  4. Trage deine Unternehmensdaten auf Seite 7 des DPA ein.
  5. Lass das DPA durch eine berechtigte Person in deinem Unternehmen unterzeichnen. Je nach Unternehmensgröße und interner Unterschriftenregelung können auch Unterschriften zweier berechtigter Personen erforderlich sein.
  6. Sende den ausgefüllten und unterzeichneten DPA per E-Mail an dpasubmission@atlassian.com.
  7. Archiviere ein Exemplar des DPA, so wie es in deinem Unternehmen für Verträge erforderlich oder gewünscht ist.

Achtung: Ohne dieses Vorgehen kommt kein Datenschutzvertrag zwischen deinem Unternehmen und Atlassian zustande!

Fragen und Informationsbedarf zum Datenschutzvertrag

Wenn sich deine Datenschutz- oder Rechtsabteilung mit dem Atlassian Datenschutzvertrag beschäftigt, kommen erfahrungsgemäß einige Fragen auf. Häufig geht es um Details zu den von Atlassian getroffenen Schutzmaßnahmen („Technische und organisatorische Maßnahmen“, „TOM“), um die beteiligten Atlassian-Unternehmen und deren Subunternehmer. Eine weitere wichtige Frage ist auch, in welchen Ländern deine Daten verarbeitet werden.

Atlassian bietet zu Datenschutz- und Datensicherheitsthemen umfangreiche Informationen an, mit denen viele datenschutztypische Fragen beantwortet werden:

Das Datenschutz-Team von Atlassian erreichst du per E-Mail unter privacy@atlassian.com.

In der Seibert-Media-Infothek findest du viele weitere Beiträge dazu, was du zum Datenschutz in der Atlassian Cloud wissen und beachten solltest.

Regelungen zum internationalen Datentransfer

Je nachdem, welches Atlassian-Cloud-Produkt du nutzt und wie du es konfiguriert hast, werden deine Daten oder Teile davon außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) gespeichert. Für diesen Fall hat Atlassian die sogenannten EU-Standard-Datenschutzklauseln (Version 2021) in den Datenschutzvertrag integriert. Diese besonderen Regelungen der Europäischen Kommission sollen gemeinsam mit weiteren Maßnahmen sicherstellen, dass deine Daten auch außerhalb der EU/EWR angemessen geschützt werden.

Seit ein paar Jahren ist besonders diese Auslandsthematik im Datenschutz ein kontrovers diskutiertes Thema. Im Seibert-Media-Blog findest du im Beitrag „Atlassian Cloud und der Datenschutz“ mehr Informationen zu den Hintergründen.

Vertragliche Änderungswünsche

Hat deine Datenschutzabteilung Änderungswünsche für den Datenschutzvertrag mit Atlassian? Atlassian bietet prinzipiell keinen Abschluss individueller Datenschutzverträge an.

Atlassian ist ein Cloud-Anbieter mit vielen Kunden weltweit. Der Abschluss von Datenschutzverträgen mit individuellen Kundenklauseln würde erfordern, dass die spezifischen Wünsche von Kunden auch angemessen in der gesamten Atlassian-Welt umgesetzt werden. Das ist praktisch kaum zu erreichen und steht der Idee einer wirksamen und effizienten Standardisierung entgegen. Auch andere große Cloud-Anbieter halten aus den gleichen Gründen keine individuellen Datenschutzverträge vor.

Atlassian passt das angebotene DPA immer wieder an den aktuellen Stand der Produkte und die geltenden rechtlichen Rahmenbedingungen an. Zuletzt erfolgte eine Anpassung im September 2022 aufgrund ergänzender Anforderungen der europäischen Rechtsprechung sowie Änderungen der Bestimmungen zum internationalen Datentransfer in Großbritannien.

Zum Abschluss

Die von Seibert Media GmbH aufgeführten rechtlichen Inhalte, z. B. Urteile, Tipps und Beiträge, sind nach bestem Wissen und Gewissen sorgfältig zusammengestellt. Es wird kein Anspruch auf Vollständigkeit und Ausschließlichkeit der Inhalte erhoben. Die zur Verfügung gestellten Informationen dienen lediglich zu Informationszwecken und ersetzen keine individuelle juristische Beratung. Sie sind unverbindlich und nicht Gegenstand einer Rechtsberatung. Seibert Media GmbH übernimmt keine Gewähr dafür, dass im Streitfall den hier dargelegten Urteilen und Ansichten gefolgt wird. Eine Haftung für die von Seibert Media GmbH veröffentlichten Inhalte wird daher nicht übernommen.

Die veröffentlichten Inhalte enthalten Verweise und Links zu anderen Websites. Hierbei können wir keine Gewähr für die fortwährende Aktualität, Richtigkeit und Vollständigkeit der verlinkten Inhalte übernehmen, da diese Inhalte außerhalb unseres Verantwortungsbereichs liegen und wir auf die zukünftige Gestaltung keinen Einfluss haben. Sollten aus deiner Sicht Inhalte gegen geltendes Recht verstoßen oder unangemessen sein, teile uns dies bitte mit.

Die Zukunft ist oben!

Atlassian stellt im Februar 2024 den Support für seine Server-Produkte ein. Nutze daher die verbleibende Zeit und informiere dich über einen Umzug in die Cloud. Oder, noch besser – probiere sie ganz einfach aus: Mit unserem Cloud Migration Trial kannst du die Cloud und ihre Vorzüge selbst testen und erste Erfahrungen sammeln, ohne dein bestehendes Produktivsystem zu beeinträchtigen.

Steht deine Entscheidung für die Cloud schon fest und du möchtest nun herausfinden, ob dein Unternehmen bereit für einen Umstieg ist? Dann empfehlen wir dir, dich durch unser kurzes Cloud-Quiz zu klicken – in nur 11 Fragen stellt sich heraus, ob und wie “migrationsreif” du bist! Zudem lohnt es sich, sich schon im Vorfeld einer Migration über das Thema “Datenschutz in der Cloud” zu informieren. Gemeinsam mit dem Datenschutz-Experten Thomas Rosin haben wir dir hier einige Informationen sowie einen praktischen Flugplan mit allen Schritten zusammengestellt.

Weiterführende Infos

Abheben in die Atlassian Cloud mit dem 5-Schritte-Flugplan – Schritt 1: Die Datenschutz-Bestandsaufnahme
Abheben in die Atlassian Cloud mit dem 5-Schritte-Flugplan – Schritt 2: Bewertung durch den Datenschutz
Atlassian Cloud mit neuer Datenhaltungs-Option: Data Residency explizit in Deutschland
Podcast: Beziehungsstatus: “Kompliziert, aber auf dem richtigen Weg” – Atlassian Cloud und der Datenschutz