Datenschutz in der Atlassian Cloud

Atlassian hat viele Verbesserungen bezüglich des Datenschutzes vorgenommen. In diesem Artikel fassen wir die derzeitige Ausgangslage zusammen und weisen auf mögliche Stolpersteine aus technischer Sicht hin.

Atlassian hat viele Verbesserungen bezüglich des Datenschutzes vorgenommen. In diesem Artikel fassen wir die derzeitige Ausgangslage zusammen und weisen auf mögliche Stolpersteine aus technischer Sicht hin.

Seit dem Ende des EU-U.S. Privacy Shields stützt Atlassian den Schutz von Personendaten gemäss Europäischen Standards auf den sogenannten Standardvertragsklauseln ab. Kunden, die davon Gebrauch machen möchten, können das entsprechende Agreement hier beziehen und unterzeichnen. Die Liste der von Atlassian beauftragten Unterauftragsdatenverarbeiter ist hier ebenfalls publiziert. Atlassian setzt damit die Anforderungen der Europäischen Datenschutz-Grundverordnung DSGVO um, soweit dies kurzfristig für eine private Firma lösbar ist. Wir empfehlen die Unterzeichnung der Standardvertragsklauseln in jedem Fall.

Zu Recht stellte Computerworld allerdings fest, dass die Begründung des Europäischen Gerichtshofs nicht direkt auf Mängel im Abkommen selbst zurückzuführen sind, und daher dies auch die Verwendung von Standardvertragsklauseln mindestens teilweise in Frage stellt. Und zwar mindestens gegenüber Anbietern von Internetdiensten und Telekommunikations-Providern aus den USA, denn diese Firmen unterliegen Gesetzen, die gemäss EU Gerichtshof nicht mit den Grundrechten der EU vereinbar sind. Die Anbieter von Internetdiensten unterliegen beispielsweise dem Foreign Intelligence Surveillance Act (FISA), welches den amerikanischen Geheimdiensten weitreichende Rechte für den Zugriff auf Daten einräumt. Es ist daher nicht ersichtlich, wie ein privater Vertrag mit den Standardvertragsklauseln besser gegen den Datenzugriff von amerikanischen Geheimdiensten schützen sollten, als es das EU-U.S. Privacy Shield konnte. Für eine noch bessere Absicherung kann es daher sinnvoll sein, wo möglich zusätzlich auf die wenigen Ausnahmen nach Art. 49 DSGVO abzustützen, insbesondere die Einwilligungserklärung. In einigen, wenn auch nicht allen Fällen, dürfte sich dies bewerkstelligen lassen. Für weiterführende Informationen zur rechtlichen Seite verweisen wir auf entsprechend spezialisierte Rechtsanwälte.

Data Residency

Derzeit findet das Hosting bei Atlassian in den AWS-Regionen Vereinigte Staaten (Ost und West), Deutschland, Irland, Singapur und Australien statt. Dabei kann heute nicht direkt gesteuert werden, wo die Daten gespeichert werden. Gemäss Dokumentation entscheidet Atlassian aufgrund der Zugriffshäufigkeit, in welcher Region die Daten gespeichert sind. Benutzerdaten werden ausserdem zentral in den USA gespeichert, unabhängig davon, welche Datenregion verwendet wird. Einige relevante Erweiterungen dafür sind geplant. Konkret läuft derzeit ein Early Access Programm des sogenannten Enterprise Plan, welcher dann auch Data Residency Management-Features freischalten soll.

Bei der Betrachtung des Themas Data Residency ist jedoch zentral zu beachten, dass die EU Datenschutz-Grundverordnung nicht nur spezifiziert, wo Daten gespeichert werden, sondern wo diese verarbeitet werden. Art. 4 DSGVO hält den auch fest, dass der Begriff Datenverarbeitung jegliche Einsicht, Änderung, Weitergabe oder Speicherung von Personendaten umfasst. Entsprechend ist die Wahl der Datenspeicherung in der EU im Prinzip für sich unerheblich, wenn die Bearbeitung danach weiterhin durch zum Beispiel Supportpersonal aus anderen Ländern erfolgt.

Soll die Datenverarbeitung nach DSGVO daher auf eine bestimmte Region eingeschränkt werden, reicht es entsprechend nicht aus, die Daten nur technisch in diese Region zu verlagern. Erst wenn auch alle Datenverarbeitungen innerhalb dieser Region oder als äquivalent Betrachteten Regionen erbracht werden, entfaltet Data Residency aus Sicht des Datenschutzes Wirkung. Data Residency hat jedoch natürlich verschiedene andere Vorteile, wie bessere Netzwerk-Latenzzeiten.

Marketplace Apps

Die meisten Atlassian Produkte lassen sich durch Apps funktionell erweitern. Drittsoftware-Hersteller haben so die Möglichkeit, die Produkte von Atlassian für weitere Anwendungsfälle zu erweitern. Nach unserer Erfahrung haben die meisten Kunden innerhalb weniger Wochen nach Betriebsaufnahme eine Handvoll zusätzlicher Apps im Einsatz, da diese ihre Anwendungsfälle noch besser unterstützen. Die verfügbaren Apps können im Atlassian Marketplace durchstöbert werden. Wichtig zu wissen ist, dass die grosse Mehrheit dieser Apps nicht von Atlassian, sondern von Drittherstellern angeboten werden. Im Marketplace sind die Anbieter entsprechend benannt.

Eine technische Besonderheit der Atlassian Cloud ist es, dass diese Apps nicht direkt als zusätzlicher Programmcode in die jeweilige Applikation integriert wird, wie dies bei den Deployment-Modellen Server und Data Center von Atlassian der Fall ist. Das heisst, diese Programme werden nicht von Atlassian betrieben, sondern durch den entsprechenden Dritthersteller. Dieser betreibt die entsprechende App selbstständig an einem Ort seiner Wahl. Die App kommuniziert über die Schnittstelle Atlassian Connect mit dem entsprechenden Atlassian-Produkt. Um ihren Dienst erfüllen zu können, erhalten diese Apps in der Regel weitgehenden Zugang zu den Kundendaten, die bei Atlassian gespeichert sind. Die Weitergabe dieser Daten erfolgt, da eine Vertragserfüllung sonst nicht möglich wäre.

Wichtig ist, dass bei der Nutzung einer Atlassian Connect-App der Kunde der direkte Vertragspartner der entsprechenden Drittsoftware-Hersteller ist und denen gegenüber ihre Rolle als Verantwortlicher im Sinne der DSGVO wahrnehmen muss. Atlassian ist nicht für die Einhaltung des Datenschutzes bei Drittsoftware-Herstellern verantwortlich, sondern leitet nur im Auftrag des Kunden die erforderlichen Daten über die Schnittstelle zur Verarbeitung weiter. Entsprechend muss der Kunde pro Drittsoftware-Hersteller die Erfüllung der DSGVO  separat prüfen. Dabei ist zu berücksichtigen, dass viele Apps von Herstellern bereitgestellt werden, die ihren Sitz oder eine Niederlassung in Ländern wie Russland, den Philippinen oder in der Ukraine haben. Oder natürlich wiederum den USA. Neben dem Datenschutz sind solche Datentransfers natürlich auch für den Schutz von Intellectual Property möglicherweise relevant.

Atlassian hat dieses Problem erkannt und als Lösung die Atlassian Forge lanciert, für welche Atlassian die Betriebsinfrastruktur dann bereitstellen wird. Aus Sicht des Datenschutzes wird die Landschaft damit etwas überschaubarer, da die separaten IT Infrastrukturprovider als Unterauftragsverarbeiter der Dritthersteller wegfallen. Ob die DSGVO-Konformitätsprüfung resp. Verträge gegenüber den Drittherstellern dann entfallen kann, wird davon abhängen, ob diese weiterhin Zugriff auf die Kundendaten, die dann durch Atlassian gespeichert sind, erhalten können. Im Spezialfalle von Europäischen App-Anbietern werden ausserdem potentiell bisher in der EU gespeicherte Daten neu in die USA exportiert werden müssen, wodurch eine bisher sichergestellte Konformität entfallen kann. Atlassian Forge befindet sich derzeit in einem Beta-Programm, daher sind noch nicht alle Mechanismen im Detail beschrieben.

Erfahrungsgemäss werden die Verträge mit Atlassian zum Grundprodukt (z.B. Confluence oder Jira) von den Kunden aufmerksam geprüft, wenn später dann Apps hinzugefügt werden findet jedoch oft keine juristische Prüfung der Verträge mit diesen Drittherstellern mehr statt. Wir empfehlen entsprechend besonders im Falle der Atlassian Cloud eine Inventarisierung und Prüfung der Verträge mit App-Herstellen durchzuführen, wo dies noch nicht erfolgt ist. Wo notwendig und möglich sollten danach ebenfalls DSGVO-konforme Verträge mit diesen Drittherstellern abgeschlossen werden.

--

linkyard ist ein Gold Atlassian Solution Partner mit Sitz in der Schweiz und bietet eine Full Service rund um die Produkte. Dabei bietet linkyard neben Produkte-Wissen auch ausgewiesenes Know-how in den Bereichen Management, Projektleitung (Lean/Agile und klassisch), Security, Compliance, Risk Management, Requirements Engineer oder Software Architektur. linkyard spezialisiert sich auch technisch anspruchsvolle Integrationen und Kunden mit besonders hohen Ansprüchen an die Informationssicherheit und den Datenschutz. Das Informationssicherheits-Managementsystem von linkyard ist zertifiziert nach ISO/IEC 27001:2013.

Wie können wir dir helfen?

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.