Atlassian Cloud Datenschutz und -sicherheit – sind besonders schützenswerte Daten sicher?

22. Mrz. 2021Atlassian, Cloud, Datenschutz, Datensicherheit, Datentransfer

Renato Furrer hat sich im vorgängigen Blog-Post bereits zum Datenstandort in der Atlassian Cloud geäussert. In diesem Blog möchte ich nun auf die Datensicherheit und den Datenschutz bei Atlassian generell eingehen und eine Einschätzung abgeben, ob die Cloud auch für besonders schützenswerte Daten eine Option ist.

Datenschutz und Datensicherheit – ist das dasselbe?

Nein, beim Datenschutz geht es primär und Gesetze und Vorschriften. Primär sollen personenbezogene Daten bei der Verarbeitung vor Missbrauch geschützt werden. Dazu gehören auch besonders schützenswerte Daten wie z.B. Patientendaten. Aus rechtlicher Sicht sind hier der Datenstandort und der Gerichtsstand wichtig, um in einem Rechtsstreit eine entsprechende Handhabe zu haben.

Bei der Datensicherheit sollen Daten vor Verlust, Manipulation, Viren, usw. geschützt werden. Es geht also um technische Massnahmen. Diese liegen im Ermessen des Betreibers (hier Atlassian).

Datensicherheit

Atlassian investiert sehr viel Aufwand in die Datensicherheit: https://www.atlassian.com/de/trust/security. U.a.

  • gibt es ein dezidiertes Sicherheitsteam, das mit dem Common Controls Framework arbeitet.
  • mit strengen Sicherheitstests und externen Audits.
  • mit Programmen für Disaster Recovery und einer ZeroTrust-Architektur (= jeder Datenaustausch wird validiert und authentisiert).
  • mit der Zentralisierung von Sicherheitskontrollen.
  • Meldestellen für Schwachstellen und Sicherheitsempfehlungen.
  • mit laufenden Schulungen der Mitarbeitenden zum Thema.

“We treat all customer data as equally sensitive and have implemented stringent controls governing this data. Awareness training is provided to our internal employees and contractors during the on-boarding process which covers the importance of and best practices for handling customer data.” (https://www.atlassian.com/trust/security/security-practices#security-awareness-training)

Datenschutz

Atlassian unterstützt den Privacy Shield zwischen der EU und den USA – auch wenn dieser mittlerweile für nichtig erklärt wurde:

“Am 16. Juli 2020 hat der Europäische Gerichtshof den Privacy Shield zwischen der EU und den USA als rechtmäßigen Übertragungsmechanismus für die Übermittlung personenbezogener Daten von der EU in die USA für nichtig erklärt. Der Privacy Shield zwischen der Schweiz und den USA ist davon ebenfalls betroffen. Das Handelsministerium der Vereinigten Staaten hat inzwischen kommuniziert, dass es von Unternehmen die Einhaltung ihrer laufenden Pflichten gemäß Privacy Shield-Framework für Datenübertragungen erwartet. Wir gehen beim Anwenden des Frameworks für Datenübertragungen mit diesem Mechanismus weiterhin genauso sorgfältig vor.

Als Reaktion auf das Urteil des Europäischen Gerichtshofs bieten wir derzeit eine Datenverarbeitungsvereinbarung (Data Processing Agreement, DPA) an, die den gesamten Text der Standardvertragsklauseln (Standard Contractual Clauses, SCC) enthält. In älteren Versionen unserer DPA waren die SCC als Ausweichmechanismus für die Datenübertragung für den Fall vorgesehen, dass der Privacy Shield für ungültig erklärt wird. Falls deine Organisation die aktuelle DPA aktualisieren möchte: Sie steht allen Cloud-Kunden hier zum Herunterladen und elektronischen Signieren zur Verfügung. (https://www.atlassian.com/de/licensing/purchase-licensing#customer-terms → Der Privacy Shield wurde kürzlich für nichtig erklärt. Was bedeutet das für Atlassian?)

Diese Data Processing Agreement erfüllt damit auch die aktuell gültigen DSGVO-Anforderungen: “Wir verstehen, dass unsere Kunden, insbesondere europäische Kunden, erwarten, dass Atlassian in Fällen, in denen wir personenbezogene Daten aus der EU verarbeiten, zusätzliche Bedingungen geltend macht, die die DSGVO-Anforderungen bezüglich der Verarbeitung dieser personenbezogenen Daten aus der EU erfüllen. Alle Cloud-Kunden können die Zusatzbestimmungen von Atlassian zur Datenverarbeitung hier herunterladen und elektronisch signieren, um die DSGVO-Anforderungen an die Weiterübermittlung zu erfüllen.” (https://www.atlassian.com/de/licensing/purchase-licensing#customer-termsBietet ihr euren Kunden Zusatzbestimmungen zum Datenschutz an?)

Aktuell bietet Atlassian nur für Enterprise-Abos den Daten-Standord EU (Irland) an, bald folgt diese Option aber auch für Standard- und Premium-Pläne (siehe Blog-Post von Renato Furrer). Die Rechenzentren werden von Amazon Web Services (AWS) betrieben. Ein Standort in der Schweiz ist aktuell nicht geplant.

Auch wenn die Daten grundsätzlich in der EU gehostet sind, so kann Atlassian seinen Mitarbeitenden und Partnern weltweit Zugriff auf die Daten erlauben: “Wir können darüber hinaus Mitarbeitern und Auftragnehmern weltweit den Zugriff auf bestimmte Daten zu Zwecken der Produktwerbung und -entwicklung sowie für Kundensupport und technische Unterstützung gestatten.” (https://www.atlassian.com/de/licensing/purchase-licensing#privacy-gdpr → Wo speichert Atlassian meine Daten bzw. wohin werden diese gesendet?). D.h. die Daten können weltweit transferiert werden.

Diese Daten sind für Atlassian-Mitarbeitende nicht verschlüsselt abgelegt. Allerdings wird immer nur personalisiert und nachverfolgbar zugegriffen: “Within Atlassian, only authorized Atlassians have access to customer data stored within our applications. Authentication is done via individual passphrase-protected public keys, and servers only accept incoming SSH connections from Atlassian and internal data center locations. All access is restricted to privileged groups unless requested and reviewed, with additional authentication requiring 2FA.” (https://www.atlassian.com/trust/security/security-practices#controlling-access-to-customer-data).

Möchten Sie wissen, wo Ihre Cloud-Daten gerade liegen? Loggen Sie sich als Administrator in Ihre Cloud Instanz über https://admin.atlassian.com ein und wechseln Sie zu Security > Data residency.

Der Gerichtsstand ist in jedem Fall Kalifornien, USA: “Jede Partei erklärt sich unwiderruflich damit einverstanden, dass alle Klagen, Prozesse oder Verfahren, die sich aus diesen Bedingungen ergeben oder mit ihnen in Zusammenhang stehen, ausschließlich vor dem Staats- oder Bundesgericht in San Francisco, Kalifornien, USA, eingereicht werden müssen und der Zustellung von Klagen und anderen anwendbaren Verfahrensregeln unterliegen, und jede Partei unterwirft sich unwiderruflich der alleinigen und ausschließlichen persönlichen Zuständigkeit der Gerichte in San Francisco, Kalifornien, USA, im Allgemeinen und bedingungslos in Bezug auf alle Klagen, Prozesse oder Verfahren, die von ihr oder von der anderen Partei gegen sie eingereicht werden.” (https://www.atlassian.com/legal/cloud-terms-of-service → Abschnitt 22.2)

D.h. unser Schweizer- resp. EU-Recht ist nicht durchsetzbar.

Fazit

Auch aus eigener Erfahrung kann ich sagen, dass die Atlassian Cloud Produkte sicher sind und viel und fortwährend in die Security investiert wird. Dies u.a. mit externen Zertifzierungen, dem Sicherheits-Framework CCF und dem Atlassian Trust Management System (ATMS) und Mitarbeiter-Schulungen.

Die rechtliche resp. gesetzliche Lage ist aktuell für Unternehmen in der Schweiz resp. EU jedoch eher ungemütlich. Zwar werden mit dem Data Processing Addendum die DSGVO-Anforderungen eingehalten (sofern dieses denn durch den Kunden unterzeichnet wird). Aber die Daten sind halt nicht in der Schweiz gehostet und können weltweit ausgetauscht werden. Auch kann der Gerichtsstand Kalifornien, USA ein rechtliches Hindernis sein. Ich empfehle Ihnen bei sensitiven Daten, diese Anforderungen mit einem Anwalt/einer Anwältin abklären zu lassen.

Weiterführende Links

    Haben Sie Fragen oder Anregungen zum diesem Blog-Beitrag? Dürfen wir Sie unterstützen?
    Schreiben Sie uns auf hallo@zuara.ch oder rufen Sie uns an: 031 302 60 00. Wir freuen uns auf Ihre Anfrage!

    Der Autor:

    Sebastian Fiechter

    Sebastian Fiechter

    sebastian.fiechter@zuara.ch

    Direkt: +41 79 307 60 00

          

    Weitere Fachartikel und Neuigkeiten von Zuara

    Quo Vadis Jira Service Desk?

    Ausgangslage Am 9. November hat Atlassian das neueste Produkt angekündigt: Jira Service Management. Es handelt sich dabei nicht um ein komplett neues Produkt, sondern um eine Weiterentwicklung von Jira Service Desk. Atlassian will damit auf geänderte Anforderungen und...

    Auf 3 Ebenen effektiv zusammenarbeiten

    Tools einzuführen oder zu optimieren bringt alleine gerade mal gar nichts. Die Tools müssen optimal auf die Teams und ihre Organisation abgestimmt werden, so dass Mitarbeitenden ihren Arbeitsalltag motiviert meistern. Dazu ist ein Blick "unter" die Tool-Ebene nötig...

    Die Microsoft Teams Apps von Zuara – Teil #1: Confluence

    Seit Anfang dieses Jahres bietet Zuara eine App die Integration von Confluence in Microsoft Teams an, Connect Microsoft Teams for Confluence. Eine zweite App, welche die Integration von Jira in Microsoft Teams ermöglicht, ist ebenfalls kürzlich erschienen. Getreu nach...

    Effizientere Sitzungsgestaltung

    Wie viele Stunden haben Sie schon verschwendet mit unnötigen, nicht effizienten Sitzungen? Haben Sie sich auch schon gefragt, warum Sitzungen abgehalten und Entscheidungen getroffen werden, die sowieso nichts bringen? Seit meinem Start in der Berufswelt habe ich viele...

    In Confluence Finden, statt ewiges Suchen

    Haben Sie auch schon versucht, in Confluence etwas zu finden und dafür kostbare Zeit verschwendet?  Die Indexierung von Confluence ist wirklich ein grosser Vorteil, kann aber auch dazu führen, dass das Gesuchte durch die Masse an Ergebnissen einfach nicht gefunden...

    Jira Service Desk: Strukturierter Import mit Insight

    Ausgangslage Eine häufige Anforderung für Service Desk ist es, Bestellungen darüber abwickeln zu können. Um die Daten zu managen, bietet sich die App Insight - Asset Management an, die kürzlich von Atlassian übernommen wurde. Mit ihr können Daten als Objekte mit...

    Dateien auf Share direkt aus Confluence heraus öffnen mit Zuara User Makro

    Einleitung Hatten Sie bereits einmal das Problem, dass Sie eine Datei aus Confluence aus verlinken wollten, die auf einem Share liegt? Die meisten Browser verhindern dies aus Sicherheitsgründen und je nach Browser ist die Syntax der geforderten URL unterschiedlich....

    Die IT Organisationsform der Zukunft

    Sebastian Fiechter nimmt das Opinion Battle am Swiss Agile Leadership Day zum Anlass, seine Gedanken zur IT 2030 festzuhalten. Zum Opinion Battle: Die Referenten liefern sich am Opinion Battle einen Wettkampf. In 5-minütigen Lightning-Talks müssen sie die Vor- und...

    Denkanstösse zum Arbeiten mit E-Mails und Chat

    Schon seit 10 Jahren wurde der Tod von E-Mail angekündigt. E-Mail hat jedoch weiterhin ihren Platz in der heutigen Welt. Chat-Lösungen und E-Mail existieren im Unternehmen nebeneinander. In diesem Blog zeige ich Ihnen, wann und wie Sie am besten welches Tool...

    4 Tools für die erfolgreiche digitale Zusammenarbeit

    Durch den Lockdown in der Schweiz ist Homeoffice und damit die digitale Zusammenarbeit der neue Normalfall geworden. Funktioniert das gut? Wohl nur teilweise. Viele Unternehmen waren nicht darauf vorbereitet, dass ein Grossteil Ihrer Mitarbeiter/-innen in so kurzer...

    Pin It on Pinterest

    Share This