Datenschutzkonform in die Atlassian Cloud

Es ist schon lange bekannt, dass der Atlassian Server dem Ende entgegengeht: Seit etwa einem Jahr bietet Atlassian keine neuen Server-Lizenzen mehr an, Down- oder Upgrades sind nicht mehr möglich und der Support dafür endet in weniger als zwei Jahren. Was bleibt, sind die Data Center Produkte und die Atlassian Cloud. Unternehmen, die keine eigene Hardware für eine Data-Center-Lösung betreiben wollen, müssen in die Cloud umziehen. Doch wie läuft das eigentlich mit dem Datenschutz und Cloud-Anbietern außerhalb der EU?

Beim Datenschutz geht es um personenbezogene Daten. Die Nutzung moderner Unternehmensanwendungen ist allein aufgrund der Existenz von Benutzerverwaltungen, elektronischer Kommunikation und technischen Logfiles ohne diese Daten praktisch nicht möglich. Einige Beispiele für typische personenbezogene Dateien in Jira oder Confluence finden Sie im Textkasten „Personenbezogene Daten“.

Bei der Einführung und dem Betrieb einer Atlassian-Lösung sind – so wie bei jeder anderen modernen Unternehmensanwendung – die gesetzlichen und ggf. auch kundenvertraglichen Anforderungen des Datenschutzes zu berücksichtigen. Die grundlegendsten Anforderungen bestehen unabhängig davon, ob eine Atlassian-Lösung On-premise oder in der Cloud betrieben wird.

Rechenschaftspflicht der Verantwortlichen

Zuständig für die Einhaltung der gesetzlichen Vorgaben ist das für die jeweiligen Daten verantwortliche Unternehmen (der „Verantwortliche“⁴). Verantwortliche müssen die Einhaltung der gesetzlichen Anforderungen im Datenschutz angemessen nachweisen können („Rechenschaftspflicht“⁵). Ist ein Unternehmen selbst als Dienstleister im Auftrag eines anderen Verantwortlichen (Auftraggeber) tätig, dann bestehen Rechenschaftspflichten auch gegenüber diesem Auftraggeber. Wer bereits regelmäßig für andere Verantwortliche tätig ist, kennt von seinen Auftraggebern die zu beantwortenden, langen Fragenkataloge, Dokumentationen von technischen und organisatorischen Maßnahmen und Auftragsverarbeitungsverträge. Dazu gleich mehr.

Diskussionen über Datenschutz und Cloudnutzung

Mit dem Einstieg in die Cloud müssen weitere Datenschutz-Anforderungen erfüllt und nachgewiesen werden. Die zwei mutmaßlich größten Anforderungen sind Gegenstand vieler aktueller Diskussionen über die Grenzen und die Zulässigkeit einer Cloudnutzung.

Wie funktioniert das Modell „Auftragsverarbeitung“ bei Atlassian?

Die Nutzung von Atlassian Cloud stellt eine klassische Auftragsverarbeitung wie zuvor beschrieben dar. Atlassian stellt jedem Kunden (Auftraggeber) die beauftragten Software-Produkte in einer eigenen, von anderen Auftraggebern getrennten, virtuellen Umgebung als betriebsbereite Software-as-a-Service-Lösung zur Verfügung. Hierzu gehören auch alle erforderlichen betrieblichen Rahmenbedingungen, angefangen von der Instandhaltung und der Erweiterung benötigter Hardware über die Wartung der Server-Infrastruktur bis hin zum individuellen Kunden-Support bei technischen Problemen oder Fragen. 

Atlassian ist an Weisungen gebunden

Ein direkter Kontakt mit den Unternehmensdaten des Auftraggebers soll zunächst nur theoretisch möglich bleiben. Im normalen Betrieb können Datenspeicherung, Durchführung von Backups und andere Schutzmaßnahmen stattfinden, ohne dass Angestellte von Atlassian konkrete Unternehmensdaten zur Kenntnis nehmen. Ein direkter Kontakt mit den Unternehmensdaten soll nur stattfinden, wenn der Auftraggeber das explizit wünscht, z. B. im Fall einer Supportanfrage zu einem konkreten Problem mit der Benutzerverwaltung des Auftraggebers. Erst dann ist dieser Kontakt erforderlich und auch erwünscht.Atlassian verpflichtet sich in einem Auftragsverarbeitungsvertrag, die Daten des Auftraggebers nur nach entsprechenden Weisungen („Weisungsgebundenheit“⁷) des Auftraggebers zu verarbeiten. Der Weisungsrahmen ist im Cloud-Vertrag und den enthaltenen Leistungsbeschreibungen festgelegt. Die für den Datenschutz obligatorischen Weisungsoptionen, wie die Rückgabe oder Löschung der Unternehmensdaten, sind im Auftragsverarbeitungsvertrag verpflichtend festgelegt⁸.

Schutz der Unternehmensdaten und Einhaltung von Standards

Im Rahmen einer Auftragsverarbeitung ist sicherzustellen, dass der Cloud-Anbieter angemessene technische und organisatorische Maßnahmen trifft, um einerseits seinen vertraglichen Verpflichtungen nachzukommen, andererseits für den Schutz von IT-Systemen und Daten zu sorgen⁹. 

Atlassian hat seine technischen und organisatorischen Maßnahmen nach den internationalen Standards ISO/IEC 27001 sowie ISO/IEC 27018 ausgerichtet und wird diesbezüglich von unabhängigen Stellen regelmäßig überprüft und zertifiziert. Die jeweils aktuellen Zertifikate stellt das Unternehmen auf seiner Webseite zu Prüf- und Dokumentationszwecken zum Download zur Verfügung.

ISO/IEC 27001 ist ein Standard für ein Informations-Sicherheits-Management-System, mit dem der Schutz von IT-Systemen und Daten in einer messbaren bzw. nachweisbaren Systematik sichergestellt werden soll. ISO/IEC 27018 erweitert diesen Standard inhaltlich um das Thema personenbezogene Daten in der Cloud.

Schutz der Unternehmensdaten und Einhaltung von Standards

Atlassian bietet auf seiner Webseite mit dem sogenannten Trust Center eine umfangreiche Dokumentation der getroffenen Maßnahmen mit Detailinformationen zum Thema Security, Datenschutz und Compliance. Diese ausführliche Dokumentation, aber auch Selbstdarstellung, ist inzwischen gängige Praxis und bei den großen Cloud-Anbietern wie z. B. Amazon AWS oder Microsoft ebenso wiederzufinden. Im Rahmen einer Erstprüfung zukünftiger Auftraggeber dürften sicherlich die offiziellen ISO-Zertifikate sowie die detaillierten Informationen zum Thema IT-Security von besonderem Interesse sein.

Die Erfüllung der hier genannten Standards ist allgemein eine wesentliche Voraussetzung für den Einstieg in eine Cloud-Lösung. Und hier zeigt sich auch ein erwähnenswerter Unterschied zum Schutzniveau der selbst betriebenen Infrastruktur von Unternehmen: Natürlich fühlt sich der Server in den eigenen Geschäftsräumen recht sicher an. Die Infrastruktur der Cloud-Anbieter wird aber regelmäßig geprüft und zertifiziert; die Infrastruktur von Unternehmen dagegen eher selten und nach ISO/IEC 27018 praktisch gar nicht.

Subunternehmer von Atlassian

Zur Auftragsverarbeitung gehört auch ein Blick in die hinteren Reihen des Cloud-Anbieters: zu den vom Cloud-Anbieter genutzten Subunternehmern.

Atlassian nutzt für einen wesentlichen Teil der Atlassian-Cloud-Infrastruktur Amazon AWS, einen der großen, weltweit vertretenen Cloud-Anbieter. Das durch die oben genannten Standards erwartete Sicherheitsniveau setzt sich bei Amazon AWS fort. Auch hier liegen unabhängige Zertifizierungen nach ISO/IEC 27001, 27018 und weiteren Standards vor.

Neben Unternehmen der Atlassian-Unternehmensgruppe setzt Atlassian für bestimmte IT-Services (unter anderem E-Mail und Telekommunikation) sowie für den Kunden- und Produktservice weitere Dienstleister ein. Atlassian veröffentlicht alle genutzten Subunternehmer auf der Webseite, zudem können sich Auftraggeber via RSS-Feeds über Änderungen informieren lassen.

Subunternehmer von Atlassian

Vertraglich sichert Atlassian zu, Änderungen mindestens 14 Tage vorher zu veröffentlichen und räumt den Auftraggebern ein Widerspruchsrecht ein, im Fall eines Widerspruchs wird ein individueller Klärungsprozess angeboten. Finden Auftraggeber und Atlassian keine einvernehmliche Lösung mit Blick auf die Hinzuziehung eines neuen Subunternehmers, besteht für den Auftraggeber ein außerordentliches Kündigungsrecht.

Widerspruchslösungen dieser Art gelten inzwischen als Standard bei Cloud-Anbietern. Natürlich kann ein Cloud-Anbieter nicht jeden seiner Auftraggeber einzeln um Erlaubnis fragen, wenn ein neuer Subunternehmer hinzugezogen wird. Mit dieser Lösung soll dem Auftraggeber aber dennoch eine angemessene Transparenz und ein gewisses, nennen wir es branchenübliches Maß an Kontrolle gewährt werden.

Was müssen Unternehmen bei Drittländern beachten?

1. Angemessenheitsbeschlüsse der EU-Kommission  

Die europäische Kommission kann für Länder außerhalb der EU sogenannte Angemessenheitsbeschlüsse fassen. Damit wird diesen Ländern ein angemessenes Datenschutzniveau attestiert. Besteht ein solcher Beschluss für ein Drittland, dürfen europäische Unternehmen Daten in dieses Land exportieren.

Aktuell bestehen solche Beschlüsse für diese Länder: Andorra, Argentinien, Kanada, Färöer, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Republik Korea (Südkorea), Schweiz, Uruguay und Vereinigtes Königreich.

2. Transfer Impact Assessment (TIA)

Für alle anderen Drittländer müssen Unternehmen, die Dienstleistungen in Verbindung mit personenbezogenen Daten in diesen Ländern nutzen wollen, zuvor eine Prüfung zum Rechts- und Datenschutz und den Auswirkungen eines Datenexports durchführen (Transfer Impact Assessment). Hierbei soll sowohl die datenschutzrechtliche Lage im jeweiligen Drittland als auch der Zweck des Exports sowie der Schutzbedarf der zu exportierenden Daten betrachtet und bewertet werden. Dort, wo hohe Risiken bestehen, sind zusätzliche wirksame Schutzmaßnahmen zu treffen. Da, wo das nicht ausreicht, sollte ein Verzicht auf diesen Export auf den Prüfstand gestellt werden.

Der europäische Datenschutzausschuss (EDSA) bietet zu diesem Thema einen ausführlichen Leitfaden an.

3. Standardvertragsklauseln

Für alle Drittländer, für die es keinen Angemessenheitsbeschluss gibt, sehr wohl aber ein durchgeführtes TIA und ggf. zusätzliche Maßnahmen zum Datenschutz, ist eine weitere vertragliche Vereinbarung erforderlich bzw. das Mittel der Wahl.

Die europäische Kommission hat Vertragsvorlagen bereitgestellt, in denen Datenexporteur und Datenimporteur ergänzende Vereinbarungen zum Datenschutz treffen. Anders als bei einem Auftragsverarbeitungsvertrag werden hier die besonderen Umstände der Übermittlung von Daten in ein Drittland behandelt. 

Die Vertragsvorlagen können auf der Webseite der europäischen Kommission kostenfrei abgerufen werden.

Was bietet Atlassian zur Drittland-Thematik?

Atlassian ermöglicht Auftraggebern die Wahl einer sogenannten Datenresidenz. Hierbei kann der Auftraggeber den geografischen Speicherort seiner Daten in der Atlassian Cloud grob vorgeben. Zur Auswahl stehen Standorte in den USA, der EU und Australien. Diese Festlegung einer Datenresidenz ist allerdings nur für bestimmte Produktbereiche verfügbar, soll aber weiter ausgebaut werden. Atlassian pflegt hierfür eine Roadmap auf der Webseite.

Eine reine EU-Lösung gibt es bei Atlassian derzeit nicht.

1. Angemessenheitsbeschluss der EU-Kommission

Atlassian ist aktuell ein Unternehmen in Australien mit wesentlichen Niederlassungen in den USA. Für Australien und die USA gibt es aktuell keinen Angemessenheitsbeschluss der europäischen Kommission. 

2. Transfer Impact Assessment (TIA)

TIA bedeutet, sich damit zu beschäftigen, welche Daten zu welchem Zweck in welches Land übermittelt werden und welche Risiken dabei bestehen könnten. Ziel ist es, diese Risiken mit geeigneten Maßnahmen zu reduzieren oder zu eliminieren.

Sicherlich dürfte ein solcher Maßnahmenplan herausfordernder werden, wenn ein Krankenhaus seine Patientenakten in einer Confluence-Instanz in der Atlassian Cloud speichern möchte. Solche Vorhaben dürften aber nicht unbedingt der typischen Zielgruppe von Atlassian entsprechen. 

Auf der Webseite von Atlassian sind Dokumentationen und Hilfestellungen für die Durchführung eines TIA veröffentlicht. Interessant sind vor allem die Ausführungen zur rechtlichen Bewertung der Drittstaaten.

Daneben bietet Atlassian einen regelmäßig aktualisierten Transparenzbericht, in dem offengelegt wird, wie viele Anfragen durch staatliche Institutionen bei Atlassian erfolgen und welche Art von Daten Atlassian tatsächlich herausgegeben hat. Dies ermöglicht eine bessere Einschätzung im Rahmen der Risikobewertung eines TIA.

Die Veröffentlichung solcher Transparenzberichte ist inzwischen bei den größeren Cloud-Anbietern Standard, beispielsweise bei Microsoft oder Amazon.

3. Standardvertragsklauseln

Atlassian hat seinen Auftragsverarbeitungsvertrag zusätzlich mit den erforderlichen Standard-Vertragsklauseln der europäischen Kommission ausgestattet. Hierbei wurden bereits die spezifischen Angaben für die Nutzung von Atlassian-Produkten vorgenommen. 

Das Vertragswerk zur Auftragsverarbeitung inklusive der Standard-Datenschutzklauseln ist Anlage des Cloud-Vertrages und wird somit gemeinsam mit dem Cloud-Vertrag vereinbart. Ein separater Abschluss ist nicht erforderlich.

Anmerkungen

¹ vgl. Rechtmäßigkeit der Verarbeitung Art. 5 Abs. 1 lit a DS-GVO

² vgl. Zweckbindung Art. 5 Abs. 1 lit. b DS-GVO

³ vgl. Erforderlichkeit und Datenminimierung Art. 5 Abs. 1 lit. c DS-GVO

⁴ Zur Begriffsdefinition im Gesetz finden Sie alle Informationen im Art. 4 Nr. 7 DS-GVO.

⁵ vgl. Rechenschaftspflichten im Datenschutz Art. 5 Abs. 2 DS-GVO

⁶ vgl. Auftragsverarbeitung Art. 28 DS-GVO

⁷ Weisungsgebundenheit gem. Art. 28 Abs. 3 lit. a DS-GVO

⁸ Löschung und Rückgabe gem. Art. 28 Abs. 3 lit. g DS-GVO

⁹ s. hierzu „Garantien des Auftragsverarbeiter“ Art. 28 Abs. 1 DS-GVO und „Technische und organisatorische Maßnahmen“ Art. 28 Abs. 3 lit. c, e DS-GVO in Verbindung mit Art. 32 DS-GVO

¹⁰ Art. 44 ff DS-GVO

¹¹ vgl. Information über Export in ein Drittland Art. 13 Abs. 1 lit. f DS-GVO

Hinweis

Die Angaben in diesem Artikel dienen lediglich Informationszwecken. Sie stellen keine Rechtsberatung dar. Sie sollen und können insbesondere keine rechtliche Beratung ersetzen, die die Besonderheiten des Einzelfalles berücksichtigt. Soweit wir über Fälle, insbesondere Gerichtsentscheidungen berichten, darf aus deren Ergebnissen nicht auf einen notwendigerweise ähnlichen Ausgang in anderen Fällen geschlossen werden. Wir bemühen uns, alle bereitgestellten Informationen mit Sorgfalt auszuwählen und bei Bedarf zu aktualisieren oder zu ergänzen. Für Aktualität, Vollständigkeit und Richtigkeit der Informationen in diesem Text können wir dennoch keine Gewähr übernehmen.

//SEIBERT/MEDIA GmbH

Luisenstraße 37-39, 65185 Wiesbaden

• Infos zur Anreise
• info@seibert-media.net
• 0800-181-2092