Datenschutz in der Atlassian Cloud

Wenn es um den Datenschutz in der Cloud geht, ist die Unsicherheit oft groß: Schließlich stellen nicht nur die DSGVO, sondern auch Compliance-Richtlinien in dieser Hinsicht hohe Anforderungen an Unternehmen. Deshalb bieten wir dir hier ebenfalls kompetente Unterstützung an: von einem ersten Assessment bis hin zum abschließenden Rundum-Check. Neu im Angebot ist unsere Datenschutz-Flatrate, mit der du dich in Sachen Datenschutz optimal absichern kannst.

Group 1685 1

Dein Datenschutz-Flugplan – sicher in die Atlassian Cloud

Du befürchtest, dass die Anforderungen des Datenschutzes deine Reise in die Cloud verzögern oder gar unmöglich machen? Das muss nicht sein! Damit du in die Cloud durchstarten kannst haben wir dir, gemeinsam mit unserem Datenschutz-Experten Thomas Rosin, einen 5-Schritte-Flugplan zusammengestellt.

Memory storage rafiki 1 3
Group 1641 2

Sicherheit und Compliance im Unternehmen

Hier kannst du einen detaillierten Einblick in die Verpflichtung von Atlassian zu globalem Datenschutz, Zertifizierungen und Compliance gewinnen. 

Datenschutz-Flatrate

Mit der Datenschutz-Absicherung für die Atlassian Cloud hast du den Datenschutz im Griff und kannst dich auf die Arbeit fokussieren, die für dein Unternehmen wirklich wichtig ist. Sichere dir unsere Flatrate und baue auf Rat und Tat vom Datenschutz-Experten!

rafiki 9

FAQ

Die Pflichten für Unternehmen beim Umgang mit personenbezogenen Daten sind in verschiedenen Gesetzen wie der EU-Datenschutz-Grundverordnung (DS-GVO) Art. 4 oder dem Bundesdatenschutzgesetz (BDSG) festgelegt.

 

  1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

 

Personenbezogene Daten sind Informationen, die einer natürlichen Person zugeordnet werden können. Mit „natürlicher Person“ ist an dieser Stelle ein lebendiger, bereits geborener Mensch gemeint. Tote und ungeborene Menschen sind rechtlich nicht mit eingeschlossen (der Schutz dieser Menschen ist in anderen Gesetzen geregelt).

Die „Person“ – über deren Daten wir hier sprechen – muss „identifiziert oder identifizierbar“ sein. Das heißt, dieser Mensch ist nicht ein unbestimmbares Individuum oder ein Schatten, von dem wir annehmen, dass es sich um einen Menschen handeln könnte. Vielmehr ist diese Person bekannt oder es ist mit einem gewissen Aufwand möglich herauszufinden, um welche Person es sich konkret handelt.

Wie viel „Aufwand“ betrieben werden muss, so dass eine Person als identifizierbar gilt, ist vielfach umstritten. In der täglichen Praxis dürfte es ausreichend sein, wenn eine Person durch das Zusammenführen von Datenbeständen, einen Blick in die IT-Systeme, durch das Nachfragen bei Kollegen oder einer anderen Abteilung, durch eine Suche in öffentlichen Verzeichnissen (z. B. Telefonbuch, Internet) oder durch das Einlegen von Rechtsmitteln (z. B. durch eine Strafanzeige) ermittelt werden könnte.

1. Rechtmäßigkeit

Datenschutz funktioniert wie eine gute Firewall: Die Standardeinstellung ist „deny“. Grundsätzlich ist die Verarbeitung (Erhebung, Nutzung, Weitergabe usw.) personenbezogener Daten nur gestattet, wenn das Gesetz hierfür eine explizite Erlaubnisregelung (Rechtsgrundlage) bereithält. Gängige Rechtsgrundlagen sind eine Einwilligungserklärung der betroffenen Person oder eine bestehende gesetzliche Verpflichtung, die das Unternehmen zu erfüllen hat. Die Verarbeitung von Mitarbeiterdaten erfolgt meist aufgrund des bestehenden Arbeitsvertrages.

 

2. Zweckbindung

Ganz einfach – personenbezogene Daten dürfen nur für festgelegte und rechtmäßige (Rechtsgrundlage) Zwecke verwendet werden. Ein Beispiel: Wenn Unternehmen Mitarbeiterdaten für die Durchführung von Arbeitsverträgen verwenden dürfen (beispielsweise die Zusendung einer Gehaltsabrechnung), ist es nicht erlaubt, diese für einen anderen Zweck, z. B. die Zusendung von Werbung, zu nutzen. Datenspeicherung ganz ohne Zweck – also nur auf Vorrat – ist grundsätzlich nicht zulässig.

 

3. Erforderlichkeit und Datenminimierung

Unternehmen dürfen nur die Daten verarbeiten, die für den rechtmäßigen Zweck auch tatsächlich erforderlich sind. Dabei gilt: So wenig personenbezogene Daten wie möglich, so viel davon wie nötig. Daten, die nicht mehr für ihren ursprünglichen Zweck erforderlich sind, müssen gelöscht werden. Ausnahme: Diese sind noch für andere rechtmäßige Zwecke oder zur Erfüllung von gesetzlichen Aufbewahrungspflichten eine gewisse Zeit erforderlich.

Zuständig für die Einhaltung der gesetzlichen Vorgaben ist das für die jeweiligen Daten verantwortliche Unternehmen (der „Verantwortliche“1). Verantwortliche müssen die Einhaltung der gesetzlichen Anforderungen im Datenschutz angemessen nachweisen können („Rechenschaftspflicht“2). Ist ein Unternehmen selbst als Dienstleister im Auftrag eines anderen Verantwortlichen (Auftraggeber) tätig, dann bestehen Rechenschaftspflichten auch gegenüber diesem Auftraggeber. Wer bereits regelmäßig für andere Verantwortliche tätig ist, kennt von seinen Auftraggebern die zu beantwortenden, langen Fragenkataloge, Dokumentationen von technischen und organisatorischen Maßnahmen und Auftragsverarbeitungsverträge. Dazu gleich mehr.

 

1 Zur Begriffsdefinition im Gesetz finden Sie alle Informationen im Art. 4 Nr. 7 DS-GVO.

2 vgl. Rechenschaftspflichten im Datenschutz Art. 5 Abs. 2 DS-GVO

Im Rahmen einer Auftragsverarbeitung ist sicherzustellen, dass der Cloud-Anbieter angemessene technische und organisatorische Maßnahmen trifft, um einerseits seinen vertraglichen Verpflichtungen nachzukommen, andererseits für den Schutz von IT-Systemen und Daten zu sorgen1. Atlassian hat seine technischen und organisatorischen Maßnahmen nach den internationalen Standards ISO/IEC 27001 sowie ISO/IEC 27018 ausgerichtet und wird diesbezüglich von unabhängigen Stellen regelmäßig überprüft und zertifiziert. Die jeweils aktuellen Zertifikate stellt das Unternehmen auf seiner Webseite zu Prüf- und Dokumentationszwecken zum Download zur Verfügung.

 

ISO/IEC 27001 ist ein Standard für ein Informations-Sicherheits-Management-System, mit dem der Schutz von IT-Systemen und Daten in einer messbaren bzw. nachweisbaren Systematik sichergestellt werden soll. ISO/IEC 27018 erweitert diesen Standard inhaltlich um das Thema personenbezogene Daten in der Cloud. Atlassian bietet auf seiner Webseite mit dem sogenannten Trust Center eine umfangreiche Dokumentation der getroffenen Maßnahmen mit Detailinformationen zum Thema Security, Datenschutz und Compliance. Diese ausführliche Dokumentation, aber auch Selbstdarstellung, ist inzwischen gängige Praxis und bei den großen Cloud-Anbietern wie z. B. Amazon AWS oder Microsoft ebenso wiederzufinden. Im Rahmen einer Erstprüfung zukünftiger Auftraggeber dürften sicherlich die offiziellen ISO-Zertifikate sowie die detaillierten Informationen zum Thema IT-Security von besonderem Interesse sein.

 

Die Erfüllung der hier genannten Standards ist allgemein eine wesentliche Voraussetzung für den Einstieg in eine Cloud-Lösung. Und hier zeigt sich auch ein erwähnenswerter Unterschied zum Schutzniveau der selbst betriebenen Infrastruktur von Unternehmen: Natürlich fühlt sich der Server in den eigenen Geschäftsräumen recht sicher an. Die Infrastruktur der Cloud-Anbieter wird aber regelmäßig geprüft und zertifiziert; die Infrastruktur von Unternehmen dagegen eher selten und nach ISO/IEC 27018 praktisch gar nicht.

 

1 s. hierzu „Garantien des Auftragsverarbeiter“ Art. 28 Abs. 1 DS-GVO und „Technische und organisatorische Maßnahmen“ Art. 28 Abs. 3 lit. c, e DS-GVO in Verbindung mit Art. 32 DS-GVO

In der Praxis werden das verantwortliche Unternehmen und der Cloud-Anbieter einen Auftragsverarbeitungsvertrag1 schließen. Die Vertragsparteien regeln darin, wie mit den Daten des
Verantwortlichen umzugehen ist. Besonderes Merkmal ist, dass der Auftraggeber (der Verantwortliche) auch dann rechtlich für seine Daten verantwortlich bleibt, wenn sich die Daten in den Händen des Cloud-Anbieters befinden. Dazu hat der Gesetzgeber bestimmte Regeln aufgestellt. Möglich wird das, indem der Cloud-Anbieter vertraglich verpflichtet wird, die Daten nur im Rahmen der beauftragten Leistungen zu verarbeiten und sie keinesfalls zu eigenen Zwecken zu verwenden oder gar weiterzugeben. Die Daten müssen angemessen geschützt werden und der Anbieter muss diesen Schutz nachweisen können. Dazu werden dem Verantwortlichen vertraglich bestimmte Weisungsrechte zugestanden. Diese Weisungsrechte sind eine wesentliche Eigenschaft der Auftragsverarbeitung. Damit soll der Verantwortliche auch dann die Kontrolle über seine Daten behalten, wenn diese in Händen des Cloud-Anbieters sind. In der Praxis sind solche Weisungen nicht beliebig. In der Regel sind die Möglichkeiten von Weisungen auf das angebotene Leistungs- und Serviceportfolio inklusive eventuell kostenpflichtiger Zusatzleistungen begrenzt.

 

Damit der Verantwortliche sich von der vertragsgemäßen Umsetzung angemessen überzeugen kann, werden ihm Prüf- und Kontrollrechte eingeräumt. Damit ist eine Grundlage geschaffen, mit der der Auftraggeber auch seinen gesetzlichen Rechenschaftspflichten nachkommen. Es ist die Idee dieses Modells „Auftragsverarbeitung“, den Cloud-Anbieter vertraglich so weit zu binden, dass das verantwortliche Unternehmen weiterhin seiner rechtlichen Verantwortung für die Daten nachkommen und dies durch Vorlage des Vertrages und Durchführung dokumentierter Kontrollen nachweisen kann.

1 vgl. Auftragsverarbeitung Art. 28 DS-GVO

Die Nutzung von Atlassian Cloud stellt eine klassische Auftragsverarbeitung wie zuvor beschrieben dar. Atlassian stellt jedem Kunden (Auftraggeber) die beauftragten Software-Produkte in einer eigenen, von anderen Auftraggebern getrennten, virtuellen Umgebung als betriebsbereite Software-as-a-Service-Lösung zur Verfügung. Hierzu gehören auch alle erforderlichen betrieblichen Rahmenbedingungen, angefangen von der Instandhaltung und der Erweiterung benötigter Hardware über die Wartung der Server-Infrastruktur bis hin zum individuellen Kunden-Support bei technischen Problemen oder Fragen. 

 

Ein direkter Kontakt mit den Unternehmensdaten des Auftraggebers soll zunächst nur theoretisch möglich bleiben. Im normalen Betrieb können Datenspeicherung, Durchführung von Backups und andere Schutzmaßnahmen stattfinden, ohne dass Angestellte von Atlassian konkrete Unternehmensdaten zur Kenntnis nehmen. Ein direkter Kontakt mit den Unternehmensdaten soll nur stattfinden, wenn der Auftraggeber das explizit wünscht, z. B. im Fall einer Supportanfrage zu einem konkreten Problem mit der Benutzerverwaltung des Auftraggebers. Erst dann ist dieser Kontakt erforderlich und auch erwünscht.Atlassian verpflichtet sich in einem Auftragsverarbeitungsvertrag, die Daten des Auftraggebers nur nach entsprechenden Weisungen („Weisungsgebundenheit“1) des Auftraggebers zu verarbeiten. Der Weisungsrahmen ist im Cloud-Vertrag und den enthaltenen Leistungsbeschreibungen festgelegt. Die für den Datenschutz obligatorischen Weisungsoptionen, wie die Rückgabe oder Löschung der Unternehmensdaten, sind im Auftragsverarbeitungsvertrag verpflichtend festgelegt2.

 

7 Weisungsgebundenheit gem. Art. 28 Abs. 3 lit. a DS-GVO

8 Löschung und Rückgabe gem. Art. 28 Abs. 3 lit. g DS-GVO

 

Zur Auftragsverarbeitung gehört auch ein Blick in die hinteren Reihen des Cloud-Anbieters: zu den vom Cloud-Anbieter genutzten Subunternehmern. Atlassian nutzt für einen wesentlichen Teil der Atlassian-Cloud-Infrastruktur Amazon AWS, einen der großen, weltweit vertretenen Cloud-Anbieter. Das durch die oben genannten Standards erwartete Sicherheitsniveau setzt sich bei Amazon AWS fort. Auch hier liegen unabhängige Zertifizierungen nach ISO/IEC 27001, 27018 und weiteren Standards vor.

Neben Unternehmen der Atlassian-Unternehmensgruppe setzt Atlassian für bestimmte IT-Services (unter anderem E-Mail und Telekommunikation) sowie für den Kunden- und Produktservice weitere Dienstleister ein. Atlassian veröffentlicht alle genutzten Subunternehmer auf der Webseite, zudem können sich Auftraggeber via RSS-Feeds über Änderungen informieren lassen.

Vertraglich sichert Atlassian zu, Änderungen mindestens 14 Tage vorher zu veröffentlichen und räumt den Auftraggebern ein Widerspruchsrecht ein, im Fall eines Widerspruchs wird ein individueller Klärungsprozess angeboten. Finden Auftraggeber und Atlassian keine einvernehmliche Lösung mit Blick auf die Hinzuziehung eines neuen Subunternehmers, besteht für den Auftraggeber ein außerordentliches Kündigungsrecht. Widerspruchslösungen dieser Art gelten inzwischen als Standard bei Cloud-Anbietern. Natürlich kann ein Cloud-Anbieter nicht jeden seiner Auftraggeber einzeln um Erlaubnis fragen, wenn ein neuer Subunternehmer hinzugezogen wird. Mit dieser Lösung soll dem Auftraggeber aber dennoch eine angemessene Transparenz und ein gewisses, nennen wir es branchenübliches Maß an Kontrolle gewährt werden.

1. Angemessenheitsbeschlüsse der EU-Kommission  

Die europäische Kommission kann für Länder außerhalb der EU sogenannte Angemessenheitsbeschlüsse fassen. Damit wird diesen Ländern ein angemessenes Datenschutzniveau attestiert. Besteht ein solcher Beschluss für ein Drittland, dürfen europäische Unternehmen Daten in dieses Land exportieren. Atlassian ist aktuell ein Unternehmen in Australien mit wesentlichen Niederlassungen in den USA. Für Australien und die USA gibt es aktuell keinen Angemessenheitsbeschluss der europäischen Kommission.

 

2. Transfer Impact Assessment (TIA)

TIA bedeutet, sich damit zu beschäftigen, welche Daten zu welchem Zweck in welches Land übermittelt werden und welche Risiken dabei bestehen könnten. Ziel ist es, diese Risiken mit geeigneten Maßnahmen zu reduzieren oder zu eliminieren.

Für alle anderen Drittländer müssen Unternehmen, die Dienstleistungen in Verbindung mit personenbezogenen Daten in diesen Ländern nutzen wollen, zuvor eine Prüfung zum Rechts- und Datenschutz und den Auswirkungen eines Datenexports durchführen (Transfer Impact Assessment). Hierbei soll sowohl die datenschutzrechtliche Lage im jeweiligen Drittland als auch der Zweck des Exports sowie der Schutzbedarf der zu exportierenden Daten betrachtet und bewertet werden. Dort, wo hohe Risiken bestehen, sind zusätzliche wirksame Schutzmaßnahmen zu treffen. Da, wo das nicht ausreicht, sollte ein Verzicht auf diesen Export auf den Prüfstand gestellt werden. Der europäische Datenschutzausschuss (EDSA) bietet zu diesem Thema einen ausführlichen Leitfaden an.

Auf der Webseite von Atlassian sind Dokumentationen und Hilfestellungen für die Durchführung eines TIA veröffentlicht. Interessant sind vor allem die Ausführungen zur rechtlichen Bewertung der Drittstaaten. Daneben bietet Atlassian einen regelmäßig aktualisierten Transparenzbericht, in dem offengelegt wird, wie viele Anfragen durch staatliche Institutionen bei Atlassian erfolgen und welche Art von Daten Atlassian tatsächlich herausgegeben hat. Dies ermöglicht eine bessere Einschätzung im Rahmen der Risikobewertung eines TIA. Die Veröffentlichung solcher Transparenzberichte ist inzwischen bei den größeren Cloud-Anbietern Standard, beispielsweise bei Microsoft oder Amazon.

 

3. Standardvertragsklauseln

Für alle Drittländer, für die es keinen Angemessenheitsbeschluss gibt, sehr wohl aber ein durchgeführtes TIA und ggf. zusätzliche Maßnahmen zum Datenschutz, ist eine weitere vertragliche Vereinbarung erforderlich bzw. das Mittel der Wahl. Die europäische Kommission hat Vertragsvorlagen bereitgestellt, in denen Datenexporteur und Datenimporteur ergänzende Vereinbarungen zum Datenschutz treffen. Anders als bei einem Auftragsverarbeitungsvertrag werden hier die besonderen Umstände der Übermittlung von Daten in ein Drittland behandelt. Die Vertragsvorlagen können auf der Webseite der europäischen Kommission kostenfrei abgerufen werden.

Atlassian hat seinen Auftragsverarbeitungsvertrag zusätzlich mit den erforderlichen Standard-Vertragsklauseln der europäischen Kommission ausgestattet. Hierbei wurden bereits die spezifischen Angaben für die Nutzung von Atlassian-Produkten vorgenommen. Das Vertragswerk zur Auftragsverarbeitung inklusive der Standard-Datenschutzklauseln ist Anlage des Cloud-Vertrages und wird somit gemeinsam mit dem Cloud-Vertrag vereinbart. Ein separater Abschluss ist nicht erforderlich.

Die von Seibert Media GmbH aufgeführten rechtlichen Inhalte, z.B. Urteile, Tipps und Beiträge, sind nach bestem Wissen und Gewissen sorgfältig zusammengestellt. Es wird kein Anspruch auf Vollständigkeit und Ausschließlichkeit der Inhalte gestellt. Die zur Verfügung gestellten Informationen dienen lediglich zu Informationszwecken und ersetzen keine individuelle juristische Beratung. Sie sind unverbindlich und nicht Gegenstand einer Rechtsberatung. Seibert Media GmbH übernimmt keine Gewähr dafür, dass im Streitfall den hier dargelegten Urteilen und Ansichten gefolgt wird. Eine Haftung für die von Seibert Media GmbH veröffentlichten Inhalte wird daher nicht übernommen. 

Die veröffentlichten Inhalte enthalten Verweise und Links zu anderen Websites. Hierfür können wir keine Gewähr für die fortwährende Aktualität, Richtigkeit und Vollständigkeit der verlinkten Inhalte übernehmen, da diese Inhalte außerhalb unseres Verantwortungsbereichs liegen und wir auf die zukünftige Gestaltung keinen Einfluss haben. Sollten aus deiner Sicht Inhalte gegen geltendes Recht verstoßen oder unangemessen sein, teile uns dies bitte mit.