Skip to end of metadata
Go to start of metadata



Datenschutzkonform in die Atlassian Cloud

Das Ende von Atlassian Server ist längst besiegelt: Seit rund einem Jahr bietet Atlassian keine neuen Server-Lizenzen mehr an, Down- oder Upgrades sind nicht mehr möglich und der Support endet in weniger als zwei Jahren. Was bleibt, sind Data-Center-Produkte oder die Atlassian Cloud. Unternehmen, die nicht ihren eigenen Maschinenpark für eine Data-Center-Lösung betreiben wollen, müssen sich mit einem Umzug in die Cloud anfreunden. Aber wie war das nochmal mit dem Datenschutz und den Cloud-Anbietern außerhalb der EU?

Thomas Rosin  

Experte für Daten- und Informationsschutz, erklärt, was beim Datenschutz zu beachten ist.

Er ist als Datenschutzbeauftragter und Berater für Unternehmen und Unternehmensgruppen mit Hauptsitz in Deutschland tätig. Daneben lehrt er Datenschutz im Masterstudiengang Wirtschaftsinformatik an der Rheinischen Fachhochschule Köln.

Kontakt: info@thomasrosin.de
Web: https://www.thomasrosin.de





On-premise vs. Cloud

Atlassian-Server-Produkte ermöglichten nicht nur den kleinen Einstieg in die Jira- und Confluence-Welt von Atlassian: Der Atlassian-Server in der eigenen IT-Infrastruktur vor Ort vermittelt auch ein positives Gefühl in puncto Datenschutz. 

Die Zukunft sieht etwas anders aus: Die Unterstützung für neue Browser-, Java- oder Datenbankversionen sowie allgemeine Fehlerbehebungen endeten bereits zum 15.02.2022. Innerhalb der nächsten beiden Jahre bietet Atlassian nur noch Bugfixes für kritische Schwachstellen an.

Welche Optionen gibt es? Der Hersteller forciert seit einiger Zeit Atlassian Cloud zum niederschwelligen Einstieg und hebt insbesondere die hohe Skalierbarkeit hervor. Hier sind viele, aber dennoch nicht alle Produktkomponenten der Server-Variante verfügbar. Dafür ist kein Betrieb eigener Hardware oder virtueller Server-Infrastruktur erforderlich. Atlassian verspricht einen kontinuierlichen funktionalen Ausbau der Cloudlösung und ein hohes Maß an Sicherheit.


Data-Center-Lizenzen

Alternativ bieten die Data-Center-Lizenzen die Möglichkeit für einen On-premise-Betrieb. Anders als bei den Server-Lizenzen steht hier aber keine Lösung für kleine Teams zur Verfügung. Die kleinste Data-Center-Lizenz startet mit 500 Usern. Ein Betrieb ist entweder auf eigener Hardware oder in einer Private Cloud – mittels klassischem Server-Hosting oder Infrastructure-as-a-Service (IaaS) – möglich. Der Aufwand für den Aufbau des erforderlichen Mitarbeiter-Know-hows sowie für die Wartung der Infrastruktur fällt allerdings in beiden Varianten an. Bei Bedarf bieten Atlassian-Partner auch für Private Clouds die erforderliche Beratung und Unterstützung bei Konzeption, Umsetzung und Betrieb von Atlassian Data-Center an.

Unternehmen, die nicht selbst über eine eigene Data-Center-Infrastruktur verfügen oder diese gar nicht erst anschaffen wollen, werden sich mit dem Thema Cloud vermutlich auseinandersetzen müssen: Eigenbetrieb eines Data-Center-Systems in der „eigenen Cloud oder die Atlassian Cloud als wartungsarme und kostengünstigere Software-as-a-Service-Lösung (SaaS).

Aber was bedeutet das nun für den Datenschutz?




Anforderungen aus dem Datenschutz

Die Pflichten für Unternehmen beim Umgang mit personenbezogenen Daten sind in verschiedenen Gesetzen wie der EU-Datenschutz-Grundverordnung (DS-GVO) oder dem Bundesdatenschutzgesetz (BDSG) festgelegt.

Personenbezogene Daten sind Informationen, die einer natürlichen Person zugeordnet werden können. Mit „natürlicher Person ist an dieser Stelle ein lebendiger, bereits geborener Mensch gemeint. Tote und ungeborene Menschen sind rechtlich nicht mit eingeschlossen (der Schutz dieser Menschen ist in anderen Gesetzen geregelt).

Die „Person – über deren Daten wir hier sprechen – muss „identifiziert oder identifizierbar sein. Das heißt, dieser Mensch ist nicht ein unbestimmbares Individuum oder ein Schatten, von dem wir annehmen, dass es sich um einen Menschen handeln könnte. Vielmehr ist diese Person bekannt oder es ist mit einem gewissen Aufwand möglich herauszufinden, um welche Person es sich konkret handelt.

Wie viel „Aufwand betrieben werden muss, so dass eine Person als identifizierbar gilt, ist vielfach umstritten. In der täglichen Praxis dürfte es ausreichend sein, wenn eine Person durch das Zusammenführen von Datenbeständen, einen Blick in die IT-Systeme, durch das Nachfragen bei Kollegen oder einer anderen Abteilung, durch eine Suche in öffentlichen Verzeichnissen (z. B. Telefonbuch, Internet) oder durch das Einlegen von Rechtsmitteln (z. B. durch eine Strafanzeige) ermittelt werden könnte.

Beispiele für typische Arten von personenbezogenen Daten in einem Jira- oder Confluence-System:

  • Kontakt- und Stammdaten von Usern (z. B. Namen, E-Mail-Adressen, Funktion)
  • Avatare
  • Individuelle Zugangsdaten
  • Kommunikationsdaten (z. B. Chat)
  • Aktivitäten der angemeldeten Usern innerhalb der jeweiligen Atlassian-Anwendung
  • Öffentliche oder private IP-Adressen zugreifender Client-Systeme in Logfiles, ggf. auch von nicht angemeldeten Usern
  • Ggf. weitere personenbezogene Daten in gespeicherten Dokumenten

Um mit einem Gerücht aufzuräumen: Daten von Personen im beruflichen Umfeld, beispielsweise die beruflichen Kontaktdaten auf einer Visitenkarte, sind genauso personenbezogene Daten wie private Kontaktdaten. Es macht an dieser Stelle rechtlich also keinen Unterschied, ob es um private oder geschäftliche Daten geht. Entscheidend ist hier der Personenbezug.

Im Datenschutz werden Betriebs- und Geschäftsgeheimnisse nur betrachtet, soweit diese selbst personenbezogene Daten enthalten. Dabei wird der geschäftsbezogene Geheimnis-Charakter aber nicht berücksichtigt. Anforderungen an den Schutz von Betriebs- und Geschäftsgeheimnissen können allerdings diesseits des Datenschutzes durch andere Gesetze oder auch Verträge mit Geschäftspartnern bestehen.



Beim Datenschutz geht es um personenbezogene Daten. Die Nutzung moderner Unternehmensanwendungen ist allein aufgrund der Existenz von Benutzerverwaltungen, elektronischer Kommunikation und technischen Logfiles ohne diese Daten praktisch nicht möglich. Einige Beispiele für typische personenbezogene Dateien in Jira oder Confluence finden Sie im Textkasten „Personenbezogene Daten.

Bei der Einführung und dem Betrieb einer Atlassian-Lösung sind – so wie bei jeder anderen modernen Unternehmensanwendung – die gesetzlichen und ggf. auch kundenvertraglichen Anforderungen des Datenschutzes zu berücksichtigen. Die grundlegendsten Anforderungen bestehen unabhängig davon, ob eine Atlassian-Lösung On-premise oder in der Cloud betrieben wird.


Hierzu gehören:

Rechtmäßigkeit

Datenschutz funktioniert wie eine gute Firewall: Die Standardeinstellung ist „deny“. Grundsätzlich ist die Verarbeitung (Erhebung, Nutzung, Weitergabe usw.) personenbezogener Daten nur gestattet, wenn das Gesetz hierfür eine explizite Erlaubnisregelung (Rechtsgrundlage) bereithält. Gängige Rechtsgrundlagen sind eine Einwilligungserklärung der betroffenen Person oder eine bestehende gesetzliche Verpflichtung, die das Unternehmen zu erfüllen hat. Die Verarbeitung von Mitarbeiterdaten erfolgt meist aufgrund des bestehenden Arbeitsvertrages.

Zweckbindung

Ganz einfach – personenbezogene Daten dürfen nur für festgelegte und rechtmäßige (Rechtsgrundlage) Zwecke verwendet werden. Ein Beispiel: Wenn Unternehmen Mitarbeiterdaten für die Durchführung von Arbeitsverträgen verwenden dürfen (beispielsweise die Zusendung einer Gehaltsabrechnung), ist es nicht erlaubt, diese für einen anderen Zweck, z. B. die Zusendung von Werbung, zu nutzen. Datenspeicherung ganz ohne Zweck – also nur auf Vorrat – ist grundsätzlich nicht zulässig.

Erforderlichkeit und Datenminimierung

Unternehmen dürfen nur die Daten verarbeiten, die für den rechtmäßigen Zweck auch tatsächlich erforderlich sind. Dabei gilt: So wenig personenbezogene Daten wie möglich, so viel davon wie nötig. Daten, die nicht mehr für ihren ursprünglichen Zweck erforderlich sind, müssen gelöscht werden. Ausnahme: Diese sind noch für andere rechtmäßige Zwecke oder zur Erfüllung von gesetzlichen Aufbewahrungspflichten eine gewisse Zeit erforderlich.


Rechenschaftspflicht der Verantwortlichen

Zuständig für die Einhaltung der gesetzlichen Vorgaben ist das für die jeweiligen Daten verantwortliche Unternehmen (der „Verantwortliche4). Verantwortliche müssen die Einhaltung der gesetzlichen Anforderungen im Datenschutz angemessen nachweisen können („Rechenschaftspflicht5). Ist ein Unternehmen selbst als Dienstleister im Auftrag eines anderen Verantwortlichen (Auftraggeber) tätig, dann bestehen Rechenschaftspflichten auch gegenüber diesem Auftraggeber. Wer bereits regelmäßig für andere Verantwortliche tätig ist, kennt von seinen Auftraggebern die zu beantwortenden, langen Fragenkataloge, Dokumentationen von technischen und organisatorischen Maßnahmen und Auftragsverarbeitungsverträge. Dazu gleich mehr.

Diskussionen über Datenschutz und Cloudnutzung

Mit dem Einstieg in die Cloud müssen weitere Datenschutz-Anforderungen erfüllt und nachgewiesen werden. Die zwei mutmaßlich größten Anforderungen sind Gegenstand vieler aktueller Diskussionen über die Grenzen und die Zulässigkeit einer Cloudnutzung.






I. Ein anderes Unternehmen erhält Zugriff auf die Daten

Die Nutzung „der Cloud ist naturgemäß damit verbunden, dass ein Teil der IT-technischen Tätigkeiten – vor allem die Beschaffung und der Betrieb von Hardware, die Wartung von Betriebssystemen und Applikationen und die Lösung von Betriebsproblemen – in die Hände eines dritten Unternehmens gegeben wird. Darüber hinaus soll dort auch für den angemessenen Schutz – inklusive Backup und Abwehr von Schadsoftware – gesorgt werden. Die Möglichkeiten, an dieser Stelle Wünsche zu äußern und konkrete Vorgaben zu machen, beschränkt sich in der Regel auf das vom Anbieter dargebotene Leistungs- und Produktportfolio. Diese Leistungen sind idealerweise standardisiert, einfach skalierbar und stehen vielen Kunden – in der Regel günstiger als selbstgemacht – zur Verfügung.

Im Rahmen der Cloudnutzung werden dem Cloud-Anbieter auch Unternehmensdaten des Auftraggebers zugänglich gemacht. Ob der Anbieter aktiv Einblick in die Daten nimmt oder die Daten lediglich speichert und ein Einblick in die Daten nur theoretisch möglich ist, spielt zunächst keine Rolle. Sobald personenbezogene Daten den Dunstkreis des einen Unternehmens verlassen und einem anderen Unternehmen zugänglich werden, fordert das Gesetz hierfür weitergehende Maßnahmen. 

Auftragsverarbeitung

In der Praxis werden das verantwortliche Unternehmen und der Cloud-Anbieter einen Auftragsverarbeitungsvertrag6 schließen. Die Vertragsparteien regeln darin, wie mit den Daten des
Verantwortlichen umzugehen ist. Besonderes Merkmal ist, dass der Auftraggeber (der Verantwortliche) auch dann rechtlich für seine Daten verantwortlich bleibt, wenn sich die Daten in den Händen des Cloud-Anbieters befinden. Dazu hat der Gesetzgeber bestimmte Regeln aufgestellt. Möglich wird das, indem der Cloud-Anbieter vertraglich verpflichtet wird, die Daten nur im Rahmen der beauftragten Leistungen zu verarbeiten und sie keinesfalls zu eigenen Zwecken zu verwenden oder gar weiterzugeben. Die Daten müssen angemessen geschützt werden und der Anbieter muss diesen Schutz nachweisen können. Dazu werden dem Verantwortlichen vertraglich bestimmte Weisungsrechte zugestanden. Diese Weisungsrechte sind eine wesentliche Eigenschaft der Auftragsverarbeitung. Damit soll der Verantwortliche auch dann die Kontrolle über seine Daten behalten, wenn diese in Händen des Cloud-Anbieters sind. In der Praxis sind solche Weisungen nicht beliebig. In der Regel sind die Möglichkeiten von Weisungen auf das angebotene Leistungs- und Serviceportfolio inklusive eventuell kostenpflichtiger Zusatzleistungen begrenzt.

Damit der Verantwortliche sich von der vertragsgemäßen Umsetzung angemessen überzeugen kann, werden ihm Prüf- und Kontrollrechte eingeräumt. Damit ist eine Grundlage geschaffen, mit der der Auftraggeber auch seinen gesetzlichen Rechenschaftspflichten nachkommen kann.Es ist die Idee dieses Modells „Auftragsverarbeitung, den Cloud-Anbieter vertraglich so weit zu binden, dass das verantwortliche Unternehmen weiterhin seiner rechtlichen Verantwortung für die Daten nachkommen und dies durch Vorlage des Vertrages und Durchführung dokumentierter Kontrollen nachweisen kann.



Wie funktioniert das Modell „Auftragsverarbeitung“ bei Atlassian?

Die Nutzung von Atlassian Cloud stellt eine klassische Auftragsverarbeitung wie zuvor beschrieben dar. Atlassian stellt jedem Kunden (Auftraggeber) die beauftragten Software-Produkte in einer eigenen, von anderen Auftraggebern getrennten, virtuellen Umgebung als betriebsbereite Software-as-a-Service-Lösung zur Verfügung. Hierzu gehören auch alle erforderlichen betrieblichen Rahmenbedingungen, angefangen von der Instandhaltung und der Erweiterung benötigter Hardware über die Wartung der Server-Infrastruktur bis hin zum individuellen Kunden-Support bei technischen Problemen oder Fragen. 

Atlassian ist an Weisungen gebunden

Ein direkter Kontakt mit den Unternehmensdaten des Auftraggebers soll zunächst nur theoretisch möglich bleiben. Im normalen Betrieb können Datenspeicherung, Durchführung von Backups und andere Schutzmaßnahmen stattfinden, ohne dass Angestellte von Atlassian konkrete Unternehmensdaten zur Kenntnis nehmen. Ein direkter Kontakt mit den Unternehmensdaten soll nur stattfinden, wenn der Auftraggeber das explizit wünscht, z. B. im Fall einer Supportanfrage zu einem konkreten Problem mit der Benutzerverwaltung des Auftraggebers. Erst dann ist dieser Kontakt erforderlich und auch erwünscht.Atlassian verpflichtet sich in einem Auftragsverarbeitungsvertrag, die Daten des Auftraggebers nur nach entsprechenden Weisungen („Weisungsgebundenheit7) des Auftraggebers zu verarbeiten. Der Weisungsrahmen ist im Cloud-Vertrag und den enthaltenen Leistungsbeschreibungen festgelegt. Die für den Datenschutz obligatorischen Weisungsoptionen, wie die Rückgabe oder Löschung der Unternehmensdaten, sind im Auftragsverarbeitungsvertrag verpflichtend festgelegt8.



Schutz der Unternehmensdaten und Einhaltung von Standards

Im Rahmen einer Auftragsverarbeitung ist sicherzustellen, dass der Cloud-Anbieter angemessene technische und organisatorische Maßnahmen trifft, um einerseits seinen vertraglichen Verpflichtungen nachzukommen, andererseits für den Schutz von IT-Systemen und Daten zu sorgen9

Atlassian hat seine technischen und organisatorischen Maßnahmen nach den internationalen Standards ISO/IEC 27001 sowie ISO/IEC 27018 ausgerichtet und wird diesbezüglich von unabhängigen Stellen regelmäßig überprüft und zertifiziert. Die jeweils aktuellen Zertifikate stellt das Unternehmen auf seiner Webseite zu Prüf- und Dokumentationszwecken zum Download zur Verfügung.

ISO/IEC 27001 ist ein Standard für ein Informations-Sicherheits-Management-System, mit dem der Schutz von IT-Systemen und Daten in einer messbaren bzw. nachweisbaren Systematik sichergestellt werden soll. ISO/IEC 27018 erweitert diesen Standard inhaltlich um das Thema personenbezogene Daten in der Cloud.

Schutz der Unternehmensdaten und Einhaltung von Standards

Atlassian bietet auf seiner Webseite mit dem sogenannten Trust Center eine umfangreiche Dokumentation der getroffenen Maßnahmen mit Detailinformationen zum Thema Security, Datenschutz und Compliance. Diese ausführliche Dokumentation, aber auch Selbstdarstellung, ist inzwischen gängige Praxis und bei den großen Cloud-Anbietern wie z. B. Amazon AWS oder Microsoft ebenso wiederzufinden. Im Rahmen einer Erstprüfung zukünftiger Auftraggeber dürften sicherlich die offiziellen ISO-Zertifikate sowie die detaillierten Informationen zum Thema IT-Security von besonderem Interesse sein.

Die Erfüllung der hier genannten Standards ist allgemein eine wesentliche Voraussetzung für den Einstieg in eine Cloud-Lösung. Und hier zeigt sich auch ein erwähnenswerter Unterschied zum Schutzniveau der selbst betriebenen Infrastruktur von Unternehmen: Natürlich fühlt sich der Server in den eigenen Geschäftsräumen recht sicher an. Die Infrastruktur der Cloud-Anbieter wird aber regelmäßig geprüft und zertifiziert; die Infrastruktur von Unternehmen dagegen eher selten und nach ISO/IEC 27018 praktisch gar nicht.



Subunternehmer von Atlassian

Zur Auftragsverarbeitung gehört auch ein Blick in die hinteren Reihen des Cloud-Anbieters: zu den vom Cloud-Anbieter genutzten Subunternehmern.

Atlassian nutzt für einen wesentlichen Teil der Atlassian-Cloud-Infrastruktur Amazon AWS, einen der großen, weltweit vertretenen Cloud-Anbieter. Das durch die oben genannten Standards erwartete Sicherheitsniveau setzt sich bei Amazon AWS fort. Auch hier liegen unabhängige Zertifizierungen nach ISO/IEC 27001, 27018 und weiteren Standards vor.

Neben Unternehmen der Atlassian-Unternehmensgruppe setzt Atlassian für bestimmte IT-Services (unter anderem E-Mail und Telekommunikation) sowie für den Kunden- und Produktservice weitere Dienstleister ein. Atlassian veröffentlicht alle genutzten Subunternehmer auf der Webseite, zudem können sich Auftraggeber via RSS-Feeds über Änderungen informieren lassen.

Subunternehmer von Atlassian

Vertraglich sichert Atlassian zu, Änderungen mindestens 14 Tage vorher zu veröffentlichen und räumt den Auftraggebern ein Widerspruchsrecht ein, im Fall eines Widerspruchs wird ein individueller Klärungsprozess angeboten. Finden Auftraggeber und Atlassian keine einvernehmliche Lösung mit Blick auf die Hinzuziehung eines neuen Subunternehmers, besteht für den Auftraggeber ein außerordentliches Kündigungsrecht.

Widerspruchslösungen dieser Art gelten inzwischen als Standard bei Cloud-Anbietern. Natürlich kann ein Cloud-Anbieter nicht jeden seiner Auftraggeber einzeln um Erlaubnis fragen, wenn ein neuer Subunternehmer hinzugezogen wird. Mit dieser Lösung soll dem Auftraggeber aber dennoch eine angemessene Transparenz und ein gewisses, nennen wir es branchenübliches Maß an Kontrolle gewährt werden.




Zwischenfazit

Die Zeiten, in denen ein Unternehmen alles selbst gemacht hat, sind lange vorbei. Vom Leiharbeitnehmer über Freelancer bis hin zum externen Dienstleistungsunternehmen unterstützen andere das eigene Geschäft und die internen Prozesse. Viele dieser Unterstützer arbeiten aktiv mit den Unternehmensdaten oder kommen zumindest in Kontakt damit. Dennoch fühlt sich „Cloud für einige Entscheider*innen immer noch ungewohnt an. Hier hilft aber eine sorgfältige Auswahl des Cloud-Anbieters, eine angemessene Prüfung der Leistungen sowie der technischen und organisatorischen Maßnahmen und ein rechtskonformer Auftragsverarbeitungsvertrag.






II. Daten gehen in die Cloud und verlassen das Land

Viele IT-Dienstleister und Service-Anbieter haben ihren Sitz außerhalb der EU, beispielsweise in den USA. Atlassian hat seinen Hauptsitz aktuell in Australien, betreibt aber weitere Standorte in den USA, Asia Pacific und Europa.

Wenn europäische Unternehmen die Dienste von Unternehmen außerhalb der EU (bzw. des europäischen Wirtschaftsraums) in Anspruch nehmen wollen und dabei personenbezogene Daten aus der EU übermittelt („exportiert) werden, müssen zusätzliche rechtliche Anforderungen erfüllt werden.

Einfach ausgedrückt: Es gibt für personenbezogene Daten „Exportbestimmungen10. Diese Bestimmungen sollen einen angemessenen Datenschutz sicherstellen, wenn Unternehmen Daten von EU-Bürgern in ein Drittland exportieren. Der Schutz besteht zunächst darin, dass der Export den betroffenen Personen transparent gemacht werden muss11. Je nach Zielland ist es dann z. B. erforderlich, dass ein Datenschutzabkommen besteht, die beteiligten Unternehmen zusätzliche Verträge zum Datenschutz abschließen oder die betroffene Person explizit einwilligt.

Es ist noch keine zwei Jahre her, dass der europäische Gerichtshof das Datenschutzabkommen mit den USA für unwirksam erklärt hat. Hintergrund ist die Feststellung, dass in den USA – anders als beispielsweise in Europa - kein ausreichender Rechtsschutz für betroffene Personen und deren personenbezogene Daten besteht. Unter dem Argument der nationalen Sicherheit können staatliche Einrichtungen bestehende Rechte außer Kraft setzen und auf Daten zugreifen, ohne dass die betroffenen Personen hiervon jemals Kenntnis erhalten. 

Ausschlaggebend für das Thema Atlassian Cloud ist nun dies: Es wurde auch entschieden, dass bei einem Export von Daten aus der EU in ein Drittland der Verantwortliche sicherstellen muss, dass ein bestehender Mangel an Datenschutz durch geeignete zusätzliche Maßnahmen ausgeglichen wird. Und an dieser Stelle soll einfach und kurz festgestellt werden: Bis vor zwei Jahren war es einfacher, IT-Dienstleister außerhalb der EU zu nutzen und dabei Daten aus der EU zu exportieren. Nach der Entscheidung des europäischen Gerichtshofs ist es wesentlich komplizierter geworden. Verantwortlich für eine rechtskonforme Umsetzung und eventuelle Maßnahmen in unsicheren Drittstaaten ist das jeweilige EU-Unternehmen.



Was müssen Unternehmen bei Drittländern beachten?

1. Angemessenheitsbeschlüsse der EU-Kommission  

Die europäische Kommission kann für Länder außerhalb der EU sogenannte Angemessenheitsbeschlüsse fassen. Damit wird diesen Ländern ein angemessenes Datenschutzniveau attestiert. Besteht ein solcher Beschluss für ein Drittland, dürfen europäische Unternehmen Daten in dieses Land exportieren.

Aktuell bestehen solche Beschlüsse für diese Länder: Andorra, Argentinien, Kanada, Färöer, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Republik Korea (Südkorea), Schweiz, Uruguay und Vereinigtes Königreich.




2. Transfer Impact Assessment (TIA)

Für alle anderen Drittländer müssen Unternehmen, die Dienstleistungen in Verbindung mit personenbezogenen Daten in diesen Ländern nutzen wollen, zuvor eine Prüfung zum Rechts- und Datenschutz und den Auswirkungen eines Datenexports durchführen (Transfer Impact Assessment). Hierbei soll sowohl die datenschutzrechtliche Lage im jeweiligen Drittland als auch der Zweck des Exports sowie der Schutzbedarf der zu exportierenden Daten betrachtet und bewertet werden. Dort, wo hohe Risiken bestehen, sind zusätzliche wirksame Schutzmaßnahmen zu treffen. Da, wo das nicht ausreicht, sollte ein Verzicht auf diesen Export auf den Prüfstand gestellt werden.

Der europäische Datenschutzausschuss (EDSA) bietet zu diesem Thema einen ausführlichen Leitfaden an.



3. Standardvertragsklauseln

Für alle Drittländer, für die es keinen Angemessenheitsbeschluss gibt, sehr wohl aber ein durchgeführtes TIA und ggf. zusätzliche Maßnahmen zum Datenschutz, ist eine weitere vertragliche Vereinbarung erforderlich bzw. das Mittel der Wahl.

Die europäische Kommission hat Vertragsvorlagen bereitgestellt, in denen Datenexporteur und Datenimporteur ergänzende Vereinbarungen zum Datenschutz treffen. Anders als bei einem Auftragsverarbeitungsvertrag werden hier die besonderen Umstände der Übermittlung von Daten in ein Drittland behandelt. 

Die Vertragsvorlagen können auf der Webseite der europäischen Kommission kostenfrei abgerufen werden.



Was bietet Atlassian zur Drittland-Thematik?

Atlassian ermöglicht Auftraggebern die Wahl einer sogenannten Datenresidenz. Hierbei kann der Auftraggeber den geografischen Speicherort seiner Daten in der Atlassian Cloud grob vorgeben. Zur Auswahl stehen Standorte in den USA, der EU und Australien. Diese Festlegung einer Datenresidenz ist allerdings nur für bestimmte Produktbereiche verfügbar, soll aber weiter ausgebaut werden. Atlassian pflegt hierfür eine Roadmap auf der Webseite.

Eine reine EU-Lösung gibt es bei Atlassian derzeit nicht.

1. Angemessenheitsbeschluss der EU-Kommission

Atlassian ist aktuell ein Unternehmen in Australien mit wesentlichen Niederlassungen in den USA. Für Australien und die USA gibt es aktuell keinen Angemessenheitsbeschluss der europäischen Kommission. 



2. Transfer Impact Assessment (TIA)

TIA bedeutet, sich damit zu beschäftigen, welche Daten zu welchem Zweck in welches Land übermittelt werden und welche Risiken dabei bestehen könnten. Ziel ist es, diese Risiken mit geeigneten Maßnahmen zu reduzieren oder zu eliminieren.

Sicherlich dürfte ein solcher Maßnahmenplan herausfordernder werden, wenn ein Krankenhaus seine Patientenakten in einer Confluence-Instanz in der Atlassian Cloud speichern möchte. Solche Vorhaben dürften aber nicht unbedingt der typischen Zielgruppe von Atlassian entsprechen. 

Auf der Webseite von Atlassian sind Dokumentationen und Hilfestellungen für die Durchführung eines TIA veröffentlicht. Interessant sind vor allem die Ausführungen zur rechtlichen Bewertung der Drittstaaten.

Daneben bietet Atlassian einen regelmäßig aktualisierten Transparenzbericht, in dem offengelegt wird, wie viele Anfragen durch staatliche Institutionen bei Atlassian erfolgen und welche Art von Daten Atlassian tatsächlich herausgegeben hat. Dies ermöglicht eine bessere Einschätzung im Rahmen der Risikobewertung eines TIA.

Die Veröffentlichung solcher Transparenzberichte ist inzwischen bei den größeren Cloud-Anbietern Standard, beispielsweise bei Microsoft oder Amazon.



3. Standardvertragsklauseln

Atlassian hat seinen Auftragsverarbeitungsvertrag zusätzlich mit den erforderlichen Standard-Vertragsklauseln der europäischen Kommission ausgestattet. Hierbei wurden bereits die spezifischen Angaben für die Nutzung von Atlassian-Produkten vorgenommen. 

Das Vertragswerk zur Auftragsverarbeitung inklusive der Standard-Datenschutzklauseln ist Anlage des Cloud-Vertrages und wird somit gemeinsam mit dem Cloud-Vertrag vereinbart. Ein separater Abschluss ist nicht erforderlich.




Schlussworte

Für potenzielle Atlassian-Cloud-Kunden, die bereits Erfahrungen mit Microsoft O365, Microsoft Azure oder Amazon AWS haben, dürfte der Schritt in die Atlassian Cloud nicht mehr allzu groß sein. Hier sei angemerkt, dass die zuvor beschriebenen Details zum Datenschutz natürlich auch beim Einsatz anderer Cloud-Dienste zu beachten sind – etwa bei einem Betrieb von Atlassian Data-Center in einer Nicht-Atlassian-Cloud.

Atlassian scheint sich an den großen Cloud-Anbietern auf dem Markt zu orientieren und bietet für die komplexen Datenschutzthemen einen umfangreichen Fundus an Transparenzinformationen, Dokumentationen und vorgefertigten Unterlagen. Die Möglichkeit zur Auswahl einer Datenresidenz ist für deutsche bzw. europäische Kunden ein wichtiges – wenn auch nicht das einzige – Pro-Argument. Hier hat Atlassian den richtigen Weg eingeschlagen und befindet sich bald auf der Zielgeraden.

Am Ende ist auch entscheidend, welche personenbezogenen Daten in eine Atlassian Cloud mitgenommen werden sollen oder müssen. Hier sollten Unternehmen gemeinsam mit ihrem Datenschutzbeauftragen den Schutzbedarf, die rechtlichen Anforderungen und die Möglichkeiten bei Atlassian prüfen. Für die Datenschutz-Kolleg*innen, die über weniger Erfahrung mit der Auslandsthematik verfügen, seien die Orientierungshilfen der Aufsichtsbehörden und der Leitfaden des EDSA empfohlen.




Anmerkungen

1 vgl. Rechtmäßigkeit der Verarbeitung Art. 5 Abs. 1 lit a DS-GVO

2 vgl. Zweckbindung Art. 5 Abs. 1 lit. b DS-GVO

3 vgl. Erforderlichkeit und Datenminimierung Art. 5 Abs. 1 lit. c DS-GVO

4 Zur Begriffsdefinition im Gesetz finden Sie alle Informationen im Art. 4 Nr. 7 DS-GVO.

5 vgl. Rechenschaftspflichten im Datenschutz Art. 5 Abs. 2 DS-GVO

6 vgl. Auftragsverarbeitung Art. 28 DS-GVO

7 Weisungsgebundenheit gem. Art. 28 Abs. 3 lit. a DS-GVO

8 Löschung und Rückgabe gem. Art. 28 Abs. 3 lit. g DS-GVO

9 s. hierzu „Garantien des Auftragsverarbeiter Art. 28 Abs. 1 DS-GVO und „Technische und organisatorische Maßnahmen Art. 28 Abs. 3 lit. c, e DS-GVO in Verbindung mit Art. 32 DS-GVO

10 Art. 44 ff DS-GVO

11 vgl. Information über Export in ein Drittland Art. 13 Abs. 1 lit. f DS-GVO

Hinweis

Die Angaben in diesem Artikel dienen lediglich Informationszwecken. Sie stellen keine Rechtsberatung dar. Sie sollen und können insbesondere keine rechtliche Beratung ersetzen, die die Besonderheiten des Einzelfalles berücksichtigt. Soweit wir über Fälle, insbesondere Gerichtsentscheidungen berichten, darf aus deren Ergebnissen nicht auf einen notwendigerweise ähnlichen Ausgang in anderen Fällen geschlossen werden. Wir bemühen uns, alle bereitgestellten Informationen mit Sorgfalt auszuwählen und bei Bedarf zu aktualisieren oder zu ergänzen. Für Aktualität, Vollständigkeit und Richtigkeit der Informationen in diesem Text können wir dennoch keine Gewähr übernehmen.


Mehr zu Atlassian Data Center



//SEIBERT/MEDIA GmbH

Luisenstraße 37-39, 65185 Wiesbaden

Diese Seite wurde zuletzt am 15.07.2022 geändert.