Datenschutz in der Atlassian Cloud

Im Herbst 2020 hat Atlassian die Konsolidierung des Lizenzangebots angekündigt und fokussiert sich nun auf die Weiterentwicklung der Produkte auf den Plattformen Data Center und Atlassian Cloud. Zahlreiche (Server-) Kunden evaluieren daher, welche Option für ihr Unternehmen die Beste ist. Bei Betrachtung der unterschiedlichen Themen stellen sich vor allem hinsichtlich des Themas Datenschutz in der Atlassian Cloud einige Fragen. Wo und wie werden die Daten gespeichert? Kann die Atlassian Cloud DSGVO-konform verwendet werden? Welche Möglichkeiten stehen zur Verfügung?

In diesem Blogbeitrag haben wir Ihnen Antworten auf zentrale Fragen zum Thema Datenschutz zusammengefasst.

Disclaimer: Die Communardo GmbH kann keine Rechtsberatung erbringen. Bitte prüfen und bewerten Sie individuell mit Ihrem Datenschutzbeauftragten, ob die Atlassian Cloud für Ihr Unternehmen geeignet ist. Darüber hinaus aktualisieren wir diesen Blogbeitrag regelmäßig, sobald es Neuigkeiten zum Thema gibt. Die letzte Aktualisierung erfolgte im Juni 2022.

Bei einer möglichen Entscheidungsfindung unterstützen wir Sie gern durch unsere langjährige Erfahrung mit der Atlassian Cloud und stehen Ihnen dank des kontinuierlichen Austauschs mit qualifizierten Datenschutzbeauftragten jederzeit beratend zur Seite. Sollten Sie Fragen haben oder an einer Cloud Migration interessiert sein, helfen wir Ihnen gern weiter. Sprechen Sie uns einfach an.

Wo speichert Atlassian die Daten von Jira und Confluence Cloud?

Die Daten der Atlassian Cloud werden bei Amazon Webservices (AWS) in den Regionen Vereinigte Staaten, Deutschland, Irland, Singapur und Australien gehostet.

Wo werden welche Daten gespeichert?

Standardmäßig verwendet Atlassian alle der zuvor genannten Rechenzentren (Datenresidenz: global). Auf Wunsch können Kunden aber auch eine abweichende Datenresidenz (z. B. EU) auswählen.
Das bedeutet, dass die meisten Daten nur auf EU-Servern (Frankfurt am Main und Dublin) gespeichert werden.
Diese Funktion steht allen zahlenden Kunden (Standard, Premium, Enterprise) zur Verfügung.

Für Q1/ Q2 2023 steht die Datenresidenz in Deutschland nun offiziell auf der Atlassian-Cloud-Roadmap.

Folgende Daten können auf eine Region (z. B. EU) festgelegt werden:

Jira Software Daten:

• Alle Anhänge
• Board- und Sprintdaten
• Kommentare
• Benachrichtigungsdaten im Produkt
• Jira-Problem und Feldinhalte (einschließlich System- und benutzerdefinierte Felder)
• Jira-Suchdaten
• Projektkonfigurationsdaten (einschließlich Workflows, Konfiguration benutzerdefinierter Felder und Board-Konfiguration)

Jira Service Management Daten:

• Alle Anhänge
• Kommentare
• Benachrichtigungsdaten im Produkt
• Insight-Objektdaten und Schemakonfigurationsdaten
• Jira-Vorgänge, Anforderungstypen und Feldinhalte (einschließlich System- und benutzerdefinierter Felder)
• Jira-Suchdaten
• Projektkonfigurationsdaten (einschließlich Workflows und Konfiguration benutzerdefinierter Felder)
• Warteschlangendaten

Confluence Daten:

• Confluence-Seiten- und Blog-Daten
• Alle Anhänge
• Kommentare
• "Gefällt mir" Angaben an Seiten und Kommentaren
• Benachrichtigungsdaten im Produkt
• Metadaten der Seite
• Quelldaten für Benachrichtigungen in E-Mails

Manche Daten (z. B. Analysedaten) werden aktuell in den USA gehostet oder können nicht auf eine Region beschränkt werden. Eine ausführliche Übersicht ist hier abgebildet.

Wie können Sie definieren, wo die Daten gespeichert werden?

Organisationsadministratoren können auf admin.atlassian.com unter "Sicherheit" feststellen, welche Datenresidenz-Option zurzeit aktiv ist.
Wenn Sie einen Wechsel wünschen (z. B. von "global" zu "EU"), kontaktieren Sie gern Atlassian oder uns.

Tipp: Wenn Sie Ihre Cloud-Site über Communardo beauftragen, erhalten Sie die EU-Datenresidenz kostenlos und vom ersten Tag an.

Wie ist eine DSGVO-konforme Verwendung von Jira und Confluence Cloud möglich ist?

Atlassian verfügt bereits heute über eine Reihe von Compliance-Funktionen, wie SOC2, PCI DSS, ISO 27001/27018. Die Übertragung und Speicherung der Daten erfolgt verschlüsselt. Die bestehenden Zertifizierungen decken viele der Sicherheits- und Datenschutzanforderung der DSGVO ab. Um entsprechend DSGVO-konform zu handeln, wird eine Auftragsdatenvereinbarung (AVV) - englisch: Data Processing Addendum - bereitgestellt, welche explizit die Standard-Vertragsklauseln der EU - englisch: Standard Contractual Clauses (SCCs) - enthalten. Die seitens Atlassian unterzeichnete Vereinbarung steht auf der Webseite zum Download bereit. Nach erfolgter Gegenzeichnung durch Ihr Unternehmen sowie die Zusendung an Atlassian ist die Vereinbarung bindend und die Verwendung der Atlassian Cloud DSGVO-konform möglich.

Wo werden die App-Daten gespeichert?

Für die Speicherung und Verarbeitung der Daten aus Cloud Apps ist der App Anbieter verantwortlich. Die Informationen stellen die Hersteller im Atlassian Marketplace im Bereich "Privacy and security" in der "Vendor privacy policy" zur Verfügung. Sofern die Bestimmungen des Herstellers Ihre Fragen nicht beantworten, empfehlen wir den Hersteller direkt zu kontaktieren. Die Kontaktinformationen zum Hersteller ist im Marketplace in der Registerkarte "Support" zu finden.

Zurzeit fallen einige Marketplace-Apps und App-Daten nicht unter die Datenresidenz-Garantie von Atlassian. Aktuell wird daran gearbeitet, dass dies ermöglicht wird. Updates dazu veröffentlicht Atlassian in ihrer Cloud Roadmap (Titel: Datenresidenz für Apps).

Unser Fazit

Es ist möglich, sowohl Jira als auch Confluence datenschutzkonform in der Atlassian Cloud zu nutzen. Dennoch sollten Sie nicht vergessen: Datenschutz ist ein Thema, welches individuell von jedem Unternehmen beleuchtet werden sollte. Für eine weiterführende Recherche stellen wir Ihnen nachfolgend eine Linksammlung zur Verfügung:

• Atlassian Cloud Roadmap im Bereich Datenmanagement
• Übersicht, welche Daten wo gespeichert werden
• Atlassian Compliance Zertifizierungen
• Zusatzvereinbarung zur Datenverarbeitung
• Informationen rund um Datenschutz, Compliance, Sicherheit
• Atlassian DSGVO Commitment

Wir sind Atlassian Platinum Partner und Enterprise Solution Partner und unterstützen Ihre individuellen Betrachtungen zum Thema Datenschutz gern mit unserer langjährigen Erfahrung. 

Bereit für den nächsten Schritt? Lassen Sie uns gemeinsam herausfinden, ob Ihr Unternehmen bereit für die Cloud ist.