Atlas­si­an Cloud ­– drei Tipps zur DSGVO-konformen Nutzung

Ob Jira, Con­fluence oder Trel­lo: Die Anwen­dun­gen und Diens­te von Atlas­si­an sind beliebt und aus dem All­tag vie­ler Unter­neh­men nicht mehr weg­zu­den­ken. Bereits seit eini­ger Zeit hat der Anbie­ter mit Sitz in Aus­tra­li­en das Ende des Server-Supports und eine Cloud-only-Strategie ange­kün­digt. Seit Febru­ar die­ses Jah­res kön­nen für bestehen­de Server-Lizenzen kei­ne neu­en Anwen­dun­gen mehr erwor­ben wer­den. Zum 15. Febru­ar 2024 soll der Server-Support kom­plett ein­ge­stellt wer­den. Dann gibt es kei­ne Sicher­heits­up­dates oder Bug­fi­xes für kri­ti­sche Schwach­stel­len mehr. Für euro­päi­sche Kun­den drängt damit die Fra­ge in den Vor­der­grund, unter wel­chen Vor­aus­set­zun­gen eine daten­schutz­kon­for­me Nut­zung der Atlas­si­an Cloud mög­lich ist.

Drei Tipps für eine DSGVO-konforme Nut­zung der Atlas­si­an Cloud

1. Atlas­si­an als Auf­trags­ver­ar­bei­ter: Die Nut­zung von Cloud­diens­ten ist ein klas­si­scher Anwen­dungs­fall der Auf­trags­ver­ar­bei­tung, so auch bei der Atlas­si­an Cloud. Nach der DSGVO dür­fen Ver­ant­wort­li­che jedoch nur mit Auf­trags­ver­ar­bei­tern zusam­men­ar­bei­ten, die hin­rei­chen­de Garan­tien dafür bie­ten, dass die Ver­ar­bei­tung im Ein­klang mit den daten­schutz­recht­li­chen Anfor­de­run­gen erfolgt. Neben der Prü­fung des Auf­trags­ver­ar­bei­tungs­ver­trags müs­sen sich Unter­neh­men bei der Nut­zung der Atlas­si­an Cloud ver­ge­wis­sern, dass Atlas­si­an ein ver­trau­ens­wür­di­ger Anbie­ter ist und ange­mes­se­ne tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zur Daten­si­cher­heit getrof­fen hat.
2. Geeig­ne­te Garan­tien für die Dritt­lands­über­mitt­lung: Da Atlas­si­an sei­nen Sitz in Aus­tra­li­en hat und dar­über hin­aus zahl­rei­che Unter­auf­trags­ver­ar­bei­ter auf der gan­zen Welt ein­setzt, liegt auch bei einer Daten­spei­che­rung in der EU eine Dritt­lands­über­mitt­lung vor. Für eine daten­schutz­kon­for­me Dritt­lands­über­mitt­lung sind geeig­ne­te Garan­tien vor­zu­se­hen. In Betracht kommt die Ver­ein­ba­rung der Stan­dard­ver­trags­klau­seln (SCC) der EU-Kommission. Dane­ben ist ein Trans­fer Impact Assess­ment (TIA) durchzuführen.
3. Umfas­sen­de daten­schutz­recht­li­che Doku­men­ta­ti­on: Um ihrer gesetz­li­chen Rechen­schafts­pflicht nach­zu­kom­men, soll­ten Ver­ant­wort­li­che ihre Maß­nah­men zum Daten­schutz in der Atlas­si­an Cloud umfas­send doku­men­tie­ren. Sämt­li­che Umset­zungs­schrit­te, die getrof­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men sowie die Sicher­heits­vor­keh­run­gen zum Schutz per­so­nen­be­zo­ge­ner Daten sind zu doku­men­tie­ren. Soweit erfor­der­lich umfasst dies auch eine Schwel­len­wert­ana­ly­se und eine dar­auf auf­bau­en­de Datenschutz-Folgenabschätzung.

Fazit: Ein daten­schutz­kon­for­mer Ein­satz von Cloud-Produkten von Atlas­si­an ist möglich

Auch wenn die Ein­füh­rung bzw. der Umstieg auf die Atlas­si­an Cloud mit recht­li­chen Her­aus­for­de­run­gen ver­bun­den ist, lässt sich eine daten­schutz­kon­for­me Nut­zung von Jira, Con­fluence & Co. mit tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men sicher­stel­len und doku­men­tie­ren. Ange­sichts des nahen­den Endes des Server-Supports und um auf etwa­ige Prü­fun­gen durch die Daten­schutz­auf­sichts­be­hör­den auf­grund der Cloud-Strategie vor­be­rei­tet zu sein, soll­ten Ver­ant­wort­li­che jedoch zeit­nah han­deln und geeig­ne­te Maß­nah­men ergreifen.