Datenschutz in der Atlassian Cloud

Im Herbst 2020 hat Atlassian die Konsolidierung des Lizenzangebots ange­kün­digt und fokus­siert sich nun auf die Weiterentwicklung der Produkte auf den Plattformen Data Center und Atlassian Cloud. Zahlreiche (Server-) Kunden eva­lu­ie­ren daher, wel­che Option für ihr Unternehmen die Beste ist. Bei Betrachtung der unter­schied­li­chen Themen stel­len sich vor allem hin­sicht­lich des Themas Datenschutz in der Atlassian Cloud einige Fragen. Wo und wie wer­den die Daten gespei­chert? Kann die Atlassian Cloud DSGVO-konform ver­wen­det wer­den? Welche Möglichkeiten ste­hen zur Verfügung?

In die­sem Blogbeitrag haben wir Ihnen Antworten auf zen­trale Fragen zum Thema Datenschutz zusammengefasst.

Disclaimer: Die Communardo Software GmbH kann keine Rechtsberatung erbrin­gen. Bitte prü­fen und bewer­ten Sie indi­vi­du­ell mit Ihrem Datenschutzbeauftragten, ob die Atlassian Cloud für Ihr Unternehmen geeig­net ist. Darüber hin­aus aktua­li­sie­ren wir die­sen Blogbeitrag regel­mä­ßig, sobald es Neuigkeiten zum Thema gibt. Die letzte Aktualisierung erfolgte im Juni 2022.

Bei einer mög­li­chen Entscheidungsfindung unter­stüt­zen wir Sie gern durch unsere lang­jäh­rige Erfahrung mit der Atlassian Cloud und ste­hen Ihnen dank des kon­ti­nu­ier­li­chen Austauschs mit qua­li­fi­zier­ten Datenschutzbeauftragten jeder­zeit bera­tend zur Seite. Sollten Sie Fragen haben oder an einer Cloud Migration inter­es­siert sein, hel­fen wir Ihnen gern wei­ter. Sprechen Sie uns ein­fach an.

Wo spei­chert Atlassian die Daten von Jira und Confluence Cloud?

Die Daten der Atlassian Cloud wer­den bei Amazon Webservices (AWS) in den Regionen Vereinigte Staaten, Deutschland, Irland, Singapur und Australien gehostet.

Wo wer­den wel­che Daten gespei­chert?

Standardmäßig ver­wen­det Atlassian alle der zuvor genann­ten Rechenzentren (Datenresidenz: glo­bal). Auf Wunsch kön­nen Kunden aber auch eine abwei­chende Datenresidenz (z. B. EU) aus­wäh­len.
Das bedeu­tet, dass die meis­ten Daten nur auf EU-Servern (Frankfurt am Main und Dublin) gespei­chert wer­den.
Diese Funktion steht allen zah­len­den Kunden (Standard, Premium, Enterprise) zur Verfügung.

Für Q1/ Q2 2023 steht die Datenresidenz in Deutschland nun offi­zi­ell auf der Atlassian-Cloud-Roadmap.

Folgende Daten kön­nen auf eine Region (z. B. EU) fest­ge­legt werden:

• Jira Software Daten:
  • Alle Anhänge
  • Board- und Sprintdaten
  • Kommentare
  • Benachrichtigungsdaten im Produkt
  • Jira-Problem und Feldinhalte (ein­schließ­lich System- und benut­zer­de­fi­nierte Felder)
  • Jira-Suchdaten
  • Projektkonfigurationsdaten (ein­schließ­lich Workflows, Konfiguration benut­zer­de­fi­nier­ter Felder und Board-Konfiguration)
• Jira Service Management Daten:
  • Alle Anhänge
  • Kommentare
  • Benachrichtigungsdaten im Produkt
  • Insight-Objektdaten und Schemakonfigurationsdaten
  • Jira-Vorgänge, Anforderungstypen und Feldinhalte (ein­schließ­lich System- und benut­zer­de­fi­nier­ter Felder)
  • Jira-Suchdaten
  • Projektkonfigurationsdaten (ein­schließ­lich Workflows und Konfiguration benut­zer­de­fi­nier­ter Felder)
  • Warteschlangendaten
• Confluence Daten:
  • Confluence-Seiten- und Blog-Daten
  • Alle Anhänge
  • Kommentare
  • "Gefällt mir" Angaben an Seiten und Kommentaren
  • Benachrichtigungsdaten im Produkt
  • Metadaten der Seite
  • Quelldaten für Benachrichtigungen in E-Mails

Manche Daten (z. B. Analysedaten) wer­den aktu­ell in den USA gehos­tet oder kön­nen nicht auf eine Region beschränkt wer­den. Eine aus­führ­li­che Übersicht ist hier abgebildet.

Wie kön­nen Sie defi­nie­ren, wo die Daten gespei­chert werden?

Organisationsadministratoren kön­nen auf admin.atlassian.com unter "Sicherheit" fest­stel­len, wel­che Datenresidenz-Option zur­zeit aktiv ist.
Wenn Sie einen Wechsel wün­schen (z. B. von "glo­bal" zu "EU"), kon­tak­tie­ren Sie gern Atlassian oder uns.

Tipp: Wenn Sie Ihre Cloud-Site über Communardo beauf­tra­gen, erhal­ten Sie die EU-Datenresidenz kos­ten­los und vom ers­ten Tag an.

Wie ist eine DSGVO-konforme Verwendung von Jira und Confluence Cloud mög­lich ist?

Atlassian ver­fügt bereits heute über eine Reihe von Compliance-Funktionen, wie SOC2, PCI DSS, ISO 27001/27018. Die Übertragung und Speicherung der Daten erfolgt ver­schlüs­selt. Die bestehen­den Zertifizierungen decken viele der Sicherheits- und Datenschutzanforderung der DSGVO ab. Um ent­spre­chend DSGVO-konform zu han­deln, wird eine Auftragsdatenvereinbarung (AVV) - eng­lisch: Data Processing Addendum - bereit­ge­stellt, wel­che expli­zit die Standard-Vertragsklauseln der EU - eng­lisch: Standard Contractual Clauses (SCCs) - ent­hal­ten. Die sei­tens Atlassian unter­zeich­nete Vereinbarung steht auf der Webseite zum Download bereit. Nach erfolg­ter Gegenzeichnung durch Ihr Unternehmen sowie die Zusendung an Atlassian ist die Vereinbarung bin­dend und die Verwendung der Atlassian Cloud DSGVO-konform möglich.

Wo wer­den die App-Daten gespeichert?

Für die Speicherung und Verarbeitung der Daten aus Cloud Apps ist der App Anbieter ver­ant­wort­lich. Die Informationen stel­len die Hersteller im Atlassian Marketplace im Bereich "Privacy and secu­rity" in der "Vendor pri­vacy policy" zur Verfügung. Sofern die Bestimmungen des Herstellers Ihre Fragen nicht beant­wor­ten, emp­feh­len wir den Hersteller direkt zu kon­tak­tie­ren. Die Kontaktinformationen zum Hersteller ist im Marketplace in der Registerkarte "Support" zu finden.

Zurzeit fal­len einige Marketplace-Apps und App-Daten nicht unter die Datenresidenz-Garantie von Atlassian. Aktuell wird daran gear­bei­tet, dass dies ermög­licht wird. Updates dazu ver­öf­fent­licht Atlassian in ihrer Cloud Roadmap (Titel: Datenresidenz für Apps).

Unser Fazit

Es ist mög­lich, sowohl Jira als auch Confluence daten­schutz­kon­form in der Atlassian Cloud zu nut­zen. Dennoch soll­ten Sie nicht ver­ges­sen: Datenschutz ist ein Thema, wel­ches indi­vi­du­ell von jedem Unternehmen beleuch­tet wer­den sollte. Für eine wei­ter­füh­rende Recherche stel­len wir Ihnen nach­fol­gend eine Linksammlung zur Verfügung:

• Atlassian Cloud Roadmap im Bereich Datenmanagement
• Übersicht, wel­che Daten wo gespei­chert werden
• Atlassian Compliance Zertifizierungen
• Zusatzvereinbarung zur Datenverarbeitung
• Informationen rund um Datenschutz, Compliance, Sicherheit
• Atlassian DSGVO Commitment

Wir sind Atlassian Platinum Partner und Enterprise Solution Partner und unter­stüt­zen Ihre indi­vi­du­el­len Betrachtungen zum Thema Datenschutz gern mit unse­rer lang­jäh­ri­gen Erfahrung. 

Bereit für den nächs­ten Schritt? Lassen Sie uns gemein­sam her­aus­fin­den, ob Ihr Unternehmen bereit für die Cloud ist. Unser Atlassian Cloud-Experte Timo Borkowski wirft gemein­sam mit Ihnen einen ers­ten Blick auf Ihre indi­vi­du­elle Ausgangssituation. Buchen Sie jetzt Ihr unver­bind­li­ches Erstgespräch.