Ob Jira, Confluence oder Trello: Die Anwendungen und Dienste von Atlassian sind beliebt und aus dem Alltag vieler Unternehmen nicht mehr wegzudenken. Bereits seit einiger Zeit hat der Anbieter mit Sitz in Australien das Ende des Server-Supports und eine Cloud-only-Strategie angekündigt. Seit Februar dieses Jahres können für bestehende Server-Lizenzen keine neuen Anwendungen mehr erworben werden. Zum 15. Februar 2024 soll der Server-Support komplett eingestellt werden. Dann gibt es keine Sicherheitsupdates oder Bugfixes für kritische Schwachstellen mehr. Für europäische Kunden drängt damit die Frage in den Vordergrund, unter welchen Voraussetzungen eine datenschutzkonforme Nutzung der Atlassian Cloud möglich ist.
Drei Tipps für eine DSGVO-konforme Nutzung der Atlassian Cloud
- Atlassian als Auftragsverarbeiter: Die Nutzung von Clouddiensten ist ein klassischer Anwendungsfall der Auftragsverarbeitung, so auch bei der Atlassian Cloud. Nach der DSGVO dürfen Verantwortliche jedoch nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichende Garantien dafür bieten, dass die Verarbeitung im Einklang mit den datenschutzrechtlichen Anforderungen erfolgt. Neben der Prüfung des Auftragsverarbeitungsvertrags müssen sich Unternehmen bei der Nutzung der Atlassian Cloud vergewissern, dass Atlassian ein vertrauenswürdiger Anbieter ist und angemessene technische und organisatorische Maßnahmen zur Datensicherheit getroffen hat.
- Geeignete Garantien für die Drittlandsübermittlung: Da Atlassian seinen Sitz in Australien hat und darüber hinaus zahlreiche Unterauftragsverarbeiter auf der ganzen Welt einsetzt, liegt auch bei einer Datenspeicherung in der EU eine Drittlandsübermittlung vor. Für eine datenschutzkonforme Drittlandsübermittlung sind geeignete Garantien vorzusehen. In Betracht kommt die Vereinbarung der Standardvertragsklauseln (SCC) der EU-Kommission. Daneben ist ein Transfer Impact Assessment (TIA) durchzuführen.
- Umfassende datenschutzrechtliche Dokumentation: Um ihrer gesetzlichen Rechenschaftspflicht nachzukommen, sollten Verantwortliche ihre Maßnahmen zum Datenschutz in der Atlassian Cloud umfassend dokumentieren. Sämtliche Umsetzungsschritte, die getroffenen technischen und organisatorischen Maßnahmen sowie die Sicherheitsvorkehrungen zum Schutz personenbezogener Daten sind zu dokumentieren. Soweit erforderlich umfasst dies auch eine Schwellenwertanalyse und eine darauf aufbauende Datenschutz-Folgenabschätzung.
Fazit: Ein datenschutzkonformer Einsatz von Cloud-Produkten von Atlassian ist möglich
Auch wenn die Einführung bzw. der Umstieg auf die Atlassian Cloud mit rechtlichen Herausforderungen verbunden ist, lässt sich eine datenschutzkonforme Nutzung von Jira, Confluence & Co. mit technischen und organisatorischen Maßnahmen sicherstellen und dokumentieren. Angesichts des nahenden Endes des Server-Supports und um auf etwaige Prüfungen durch die Datenschutzaufsichtsbehörden aufgrund der Cloud-Strategie vorbereitet zu sein, sollten Verantwortliche jedoch zeitnah handeln und geeignete Maßnahmen ergreifen.
zurück