Der 5-Schritte-Flugplan in die Atlassian Cloud – Schritt 4: Umsetzung und Go-live

Header 5-Schritte-Flugplan in die Atlassian Cloud #4: Umsetzung und Go-iive

Willkommen zum vierten Teil unserer Flugplan-Reihe rund um wichtige Datenschutz-Themen in Zusammenhang mit der Migration in die Atlassian Cloud! Wenn du unsere Artikel und Beiträge in den letzten Monaten verfolgt hast, dann ist dir bereits klar, dass der Datenschutz umfangreiche Anforderungen an ein Atlassian-Cloud-Projekt stellt. Dazu gehören viele selbstverständliche Themen, wie der Schutz aller Daten gemäß aktuellem Stand der Technik (Zugangsschutz, Back-up usw.). Neben diesem allgemeinen, technischen Schutz ergeben sich projektspezifische Ansprüche aus den Daten, die du in der Cloud für bestimmte Geschäftsprozesse speichern und verwenden möchtest. Wir empfehlen, diese Anforderungen individuell für dein Projekt und gemeinsam mit deiner eigenen Datenschutz-Abteilung zu ermitteln.

Wenn das allerdings nicht möglich ist, kann dir unsere Artikelreihe (Teil 1, Teil 2, und Teil 3 sind bereits online) dabei helfen, einige wichtige Anforderungen in Bezug auf den Datenschutz zu berücksichtigen, die erfahrungsgemäß bei vielen Atlassian-Cloud-Projekten bestehen. Schau gemeinsam mit uns durch die Datenschutz-Brille und mache heute den 4. Schritt – mit der Umsetzung und dem Go-live!

Datenschutz-Experte Thomas Rosin

Atlassian Cloud - Datenschutz, Umsetzung und Go-live: Ein Foto, das den Datenschutzexperten Thomas Rosin zeigt

Thomas Rosin ist Experte für Daten- und Informationsschutz. Er ist als Datenschutzbeauftragter und Berater für Unternehmen und Unternehmensgruppen mit Hauptsitz in Deutschland tätig. Daneben lehrt er Datenschutz im Masterstudiengang Wirtschaftsinformatik an der Rheinischen Fachhochschule Köln. Er stellt Seibert Media regelmäßig sein Expertenwissen rund um den Datenschutz zur Verfügung.
Kontakt: info@thomasrosin.de
Web: https://www.thomasrosin.de

 

 

 

Der 4. von 5 Schritten in die Atlassian Cloud: Umsetzung und Go-live

Was bedeuten Umsetzung und Go-live einer Atlassian-Cloud-Migration aus Sicht des Datenschutzes?

Alle wesentlichen rechtlichen Herausforderungen sind beseitigt – oder zumindest soweit bekannt und bewertet, dass das Unternehmen im Rahmen seiner individuellen Risikobereitschaft damit noch gut umgehen kann. Die Anforderungen aus dem Datenschutz sind in das Design für die IT und die Spezifikationen der Geschäftsprozesse eingeflossen. Diese sind nun datenschutzkonform gestaltet und so dokumentiert, dass alle Anforderungen bei der Umsetzung berücksichtigt werden können. Welche Details solltest du bei den nächsten Schritten beachten? Und: Lauern auf dem Weg vielleicht noch weitere Fallstricke?

Beginnen wir am Anfang – doch wann ist das eigentlich?

Das ist sicher eine ungewohnte Frage aus dem Datenschutz. Aber bei genauerer Betrachtung wird der Hintergrund deutlich: Du kennst jetzt eine ganze Reihe rechtlicher, technischer und organisatorischer Anforderungen an den Schutz personenbezogener Daten. Einige davon solltest du bereits umgesetzt haben, bevor du beginnst. Hierzu gehören beispielsweise alle erforderlichen Datenschutz-Verträge.

Wenn du mit Dienstleistern wie Atlassian oder einem Atlassian-Integrationspartner zusammenarbeitest, kommt jedoch irgendwann der Zeitpunkt, an dem Mitarbeitende des jeweiligen Dienstleisters in Kontakt mit den IT-Systemen oder Datenbeständen deines Unternehmens kommen. Deine Berater*innen werfen zum Beispiel einen Blick auf die zu migrierenden On-Premises-Systeme oder du möchtest erste (personenbezogene) Daten in die Atlassian Cloud übertragen. Bevor du damit beginnst, stelle sicher, dass alle erforderlichen Verträge zum Datenschutz abgeschlossen (= unterzeichnet) sind.

Das Gleiche gilt für alle erforderlichen Vertraulichkeitsvereinbarungen bei Betriebs- und Geschäftsgeheimnissen. Diese Verträge sind bereits dann vonnöten, wenn der erste Kontakt zu den personenbezogenen Daten erfolgt.

Wie du einen Datenschutzvertrag mit Atlassian abschließen kannst, habe ich im Beitrag „Das Atlassian Data Protection Addendum (DPA)“ erklärt.

Darfst du mit personenbezogenen Daten entwickeln und testen?

Die kurze Antwort lautet: „Besser nicht.“

Personenbezogene Daten dürfen nur zu bestimmten Zwecken verwendet und müssen dabei angemessen geschützt verarbeitet werden. Beispielsweise können geschäftliche Kontakte deiner Kunden im Jira-Service-Management genutzt werden, um Supportanfragen zu bearbeiten und zu verwalten.

Bei der Entwicklung oder dem Test von Produkten und Software ist es nicht ungewöhnlich, dass es auch einmal holpert. Wenn du in diesem Zusammenhang jedoch die personenbezogenen Daten deiner Kunden verwendest – beispielsweise, weil du Funktionalitäten testen möchtest – setzt du diese Daten einem zusätzlichen und häufig auch hohen Risiko aus. Dabei können schnell rechtlich relevante Datenschutzvorfälle entstehen – so etwa dann, wenn Daten in Entwicklungs- und Test-Bereichen nicht ausreichend durch Berechtigungen vor unbefugtem Zugriff geschützt werden.

Oder wenn – im Zusammenhang mit Kontaktdaten und bisher nicht getesteten Funktionen – „versehentlich“ E-Mails an Kunden versendet werden. Das Ergebnis ist dann nicht nur Verwirrung auf Kundenseite: Ein so unprofessionell wirkender Umgang mit Kundendaten erhöht zudem die Gefahr, dass der Eindruck entsteht, dass möglicherweise auch an anderer Stelle Daten rechtlich unzulässig verarbeitet werden.

Daher sollte, gerade im Entwicklungsbereich, ausschließlich mit Test-Daten gearbeitet werden, die bestenfalls eine gewisse Ähnlichkeit mit den echten Daten besitzen. Das empfiehlt sich für alle Tests, auch die, die in einem relativ frühen Stadium durchgeführt werden.

Mein Tipp: Sprecht frühzeitig ab, ob und welche Menge an Test-Daten benötigt wird. Sonst kann es passieren, dass nahezu jede Person, die am Projekt beteiligt ist, das Rad neu erfindet. Idealerweise werden die Daten dann von zentraler Seite für alle zur Verfügung gestellt. Wenn anonymisierte Echt-Daten die Basis für deine Test-Daten bilden sollen, ist es ratsam, dass du noch einmal deinen Datenschutzbeauftragten bzw. deine Datenschutzbeauftragte einbeziehst. Das rechtliche Verständnis von Anonymisierung ist oft ein anderes als das im unternehmerischen Alltag.

Im Rahmen der weiteren Qualitätssicherung kommt dann allerdings irgendwann der Zeitpunkt, ab dem ein Test mit Echt-Daten nicht mehr zu vermeiden ist. Dies sollte aber nur in der letzten Stufe der Qualitätssicherung und nur in Verbindung mit geeigneten Schutzmaßnahmen erfolgen.

Einige Themen werden immer wieder vergessen

Trotz aller Konzeption und Dokumentation kommt es jedoch nicht selten vor, dass das eine oder andere Thema mit Auswirkung auf den Datenschutz vergessen wird. Damit dir das bei deinem Migrationsprojekt in die Atlassian Cloud nicht passiert, findest du hier eine Liste der für den Datenschutz relevanten Themen, die häufiger “hinten runterfallen”.

#1: Add-ons von Drittanbietern

An deinem Cloud-Projekt sind viele beteiligt: du, deine User, dein Atlassian-Partner, Atlassian … Datenschutzseitig werden jedoch gerne die Anbieter der genutzten Add-ons vergessen. Das Angebot an Add-ons reicht von einfachen, funktionalen Erweiterungen bis hin zu komplexen, externen Services.

Prüfe daher schon in der Planungsphase, welche Add-ons von Drittanbietern du in der Atlassian Cloud einsetzen möchtest. Das ist eine sehr gute Gelegenheit, um bei der Umstellung von On-Premises zu Cloud ein wenig Add-on-Hygiene zu betreiben und dich von solchen Add-ons zu trennen, die du nicht oder nur noch wenig nutzt.

Aus Datenschutzsicht ist es wichtig, dass du prüfst, ob und inwieweit Drittanbieter Zugriff auf deinen Atlassian-Tenant und somit auf deine Daten haben werden. Auch wenn kein direkter Zugriff auf deinen Tenant vorgesehen ist, besteht die Möglichkeit, dass Add-ons Daten an den Drittanbieter oder weitere Diensteanbieter übermitteln (beispielsweise Add-ons zur Nutzung von ChatGPT oder Übersetzungsdiensten). Ist das der Fall, gelten auch für diese weiteren Parteien alle Anforderungen, die in den früheren Artikeln zum Datenschutz bereits erläutert wurden.

Wenn du in deinem Projekt Wert auf eine deutsche oder europäische Datenresidenz legst, dann solltest du sicherstellen, dass dies bei der Nutzung von Add-ons auch weiterhin der Fall ist.

Leider stellen nicht alle Anbieter von Add-ons eine für den Datenschutz aussagekräftige Dokumentation zur Verfügung. Oft ist unklar, welche Daten an welchen Orten verarbeitet werden und wer eventuell sonst noch beteiligt ist. Hier solltest du die Anbieter direkt ansprechen und verbindliche Aussagen einfordern. Die wichtigsten Details (z. B. die Datenresidenz) sollten im Datenschutzvertrag mit dem jeweiligen Drittanbieter als verpflichtende Leistung dokumentiert sein. Beachte bitte, dass der Atlassian-Datenschutzvertrag nicht die Add-ons von Drittanbietern abdeckt. Hier musst du mit den Anbietern individuelle Vertragslösungen abstimmen.

#2: Test- und Entwicklungsartefakte

Noch lange nach dem erfolgreichen Abschluss eines Migrationsprojektes lassen sich auf den Produktivsystemen Artefakte (Hinterlassenschaften) der Migration finden. Das „Aufräumen“ nach einer Cloud-Migration sollte als fester Bestandteil in die Projektplanung aufgenommen werden.

Typische Hinterlassenschaften sind beispielsweise:

  • Testdaten aus dem Produktivsystem,
  • Benutzer*innenkonten oder Rollen, die nur für Migrations- oder Qualitätssicherungszwecke benötigt wurden,
  • Archive mit migrierten Daten,
  • nicht mehr benötigte Datensicherung und temporäre Dateien,
  • Add-ons, Skripte und Makros, die nur für die Migration benötigt wurden oder
  • für die Migration konfigurierte und nicht mehr erforderliche Schnittstellen (z. B. die nachfolgend beschriebenen REST-APIs).

#3: REST-API

Einige Atlassian-Cloud-Produkte bieten neben der gewohnten Web-Oberfläche eine Schnittstelle (Application Program Interface, „API“) für Automatisierungszwecke auf Basis von REST (Representational State Transfer). Hierzu gehören Confluence und Jira.

Die REST-APIs werden stetig weiterentwickelt – für Jira werden auch mehrere Versionen parallel zur Verfügung gestellt. Grundsätzlich erfordern die Schnittstellen eine Authentifizierung, einzelne Funktionalitäten können aber auch ohne genutzt werden.

Nicht benötigte APIs solltest du – soweit möglich – deaktivieren. Auf eine Authentifizierung solltest du allerdings grundsätzlich nicht verzichten. Auch wenn du die REST-APIs nicht nutzen möchtest: Berücksichtige diese in deinem Projekt und prüfe, ob und wie weit diese in deinem Atlassian-Tenant aktiviert bzw. konfiguriert sind.

#4: Datenschutzerklärung und Impressum

Wenn du als Unternehmen eine Webseite im Internet zugänglich machst – und wenn es nur eine Login-Seite für ein geschlossenes System ist – sind bestimmte Kennzeichnungs- und Informationspflichten zu erfüllen. Du kennst diese vermutlich als „Impressum“ und „Datenschutzerklärung“.
Auch deine Atlassian-Webseiten, beispielsweise ein Support-Portal für deine Kunden auf Basis von Jira, benötigen ein Impressum und eine Datenschutzerklärung.

Bei kleineren Unternehmen kann möglicherweise das Impressum der Unternehmenswebseite inhaltlich als Vorlage dienen. Hier solltest du aber zunächst bei deiner Marketingleitung, deiner Rechtsabteilung oder den internen juristischen Expert*innen nachfragen.

In der Regel ist die Datenschutzerklärung der Unternehmenswebseite keine geeignete Kopiervorlage. Verlinke besser auch nicht einfach auf die Datenschutzerklärung deiner Webseite. Denn die Datenschutzerklärung beschreibt unter anderem, zu welchen Zwecken personenbezogene Daten auf der jeweiligen Webseite verarbeitet werden. Zudem sind oft bestimmte technische Funktionalitäten beschrieben, wie z. B. die eingesetzten Cookies. All diese Informationen dürften auf einer Unternehmenswebseite andere sein als beispielsweise bei einem Jira-Cloud-System. Ansprechperson für die Datenschutzerklärung ist dein Datenschutzbeauftragter oder deine Datenschutzbeauftragte.

Hast du an alles gedacht?

Wenn du deine*n Datenschutzbeauftragte*n rechtzeitig eingebunden hast und ihr gemeinsam die Empfehlungen aus dieser Artikelserie berücksichtigt habt, dann hat dein Migrationsprojekt die besten Voraussetzungen, um gleichermaßen erfolgreich und datenschutzkonform zu sein!

 

Zum Abschluss

Die von Seibert Media GmbH aufgeführten rechtlichen Inhalte, z. B. Urteile, Tipps und Beiträge, sind nach bestem Wissen und Gewissen sorgfältig zusammengestellt. Es wird kein Anspruch auf Vollständigkeit und Ausschließlichkeit der Inhalte erhoben. Die zur Verfügung gestellten Informationen dienen lediglich zu Informationszwecken und ersetzen keine individuelle juristische Beratung. Sie sind unverbindlich und nicht Gegenstand einer Rechtsberatung. Seibert Media GmbH übernimmt keine Gewähr dafür, dass im Streitfall den hier dargelegten Urteilen und Ansichten gefolgt wird. Eine Haftung für die von Seibert Media GmbH veröffentlichten Inhalte wird daher nicht übernommen.

Die veröffentlichten Inhalte enthalten Verweise und Links zu anderen Webseiten. Hierbei können wir keine Gewähr für die fortwährende Aktualität, Richtigkeit und Vollständigkeit der verlinkten Inhalte übernehmen, da diese Inhalte außerhalb unseres Verantwortungsbereichs liegen und wir auf die zukünftige Gestaltung keinen Einfluss haben. Sollten aus deiner Sicht Inhalte gegen geltendes Recht verstoßen oder unangemessen sein, teile uns dies bitte mit.

Erfahre noch mehr – auf dem 2. Atlassian Cloud Day am 27. Juni

Am 27. Juni 2023 veranstalten wir für alle, die einen Umzug in die Cloud in Erwägung ziehen, aber noch eine Menge Fragen haben, einen Tag, der die Atlassian Cloud “in a nutshell” thematisiert: den Atlassian Cloud Day! Nach dem starken Zuspruch beim 1. Atlassian Cloud Day im März wollen wir damit noch mehr Leuten die Gelegenheit geben, sich umfassend und vor allem persönlich rund um die Cloud zu informieren. Melde dich jetzt noch an (kostenfrei) und sichere dir eine große Portion Wissensvorsprung in Sachen “Reibungslos in die Cloud”!

Die Zukunft ist oben!

Atlassian stellt im Februar 2024 den Support für seine Server-Produkte ein. Nutze daher die verbleibende Zeit und informiere dich über einen Umzug in die Cloud. Oder, noch besser – probiere sie ganz einfach aus: Mit unserem Cloud Migration Trial kannst du die Cloud und ihre Vorzüge selbst testen und erste Erfahrungen sammeln, ohne dein bestehendes Produktivsystem zu beeinträchtigen.

Steht deine Entscheidung für die Cloud schon fest und du möchtest nun herausfinden, ob dein Unternehmen bereit für einen Umstieg ist? Dann empfehlen wir dir, dich durch unser kurzes Cloud-Quiz zu klicken – in nur 11 Fragen stellt sich heraus, ob und wie “migrationsreif” du bist! Zudem lohnt es sich, sich schon im Vorfeld einer Migration über das Thema “Datenschutz in der Cloud” zu informieren. Gemeinsam mit dem Datenschutz-Experten Thomas Rosin haben wir dir hier einige Informationen sowie einen praktischen Flugplan mit allen Schritten zusammengestellt.

 

Weiterführende Infos

Abheben in die Atlassian Cloud mit dem 5-Schritte-Flugplan – Schritt 1: Die Datenschutz-Bestandsaufnahme
Abheben in die Atlassian Cloud mit dem 5-Schritte-Flugplan – Schritt 2: Bewertung durch den Datenschutz
Abheben in die Atlassian Cloud mit dem 5-Schritte-Flugplan – Schritt 3: Design und Konzeption
Der 5-Schritte-Flugplan – Extra: Das Atlassian Data Protection Addendum (DPA)
Abheben in die Atlassian Cloud mit dem 5-Schritte Flugplan – Exkurs: Das Löschkonzept
Podcast: Die Cloud und der Datenschutz – eine Bestandsaufnahme und was Atlassian-Kunden beachten sollten

didit checklists for Atlassian Cloud. Präzision, Effizienz, Erfolg. Alles abgehakt. didit checklists for Atlassian Cloud. Präzision, Effizienz, Erfolg. Alles abgehakt. didit checklists for Atlassian Cloud. Präzision, Effizienz, Erfolg. Alles abgehakt.