Atlassian Cloud Datenschutz und -sicherheit – sind besonders schützenswerte Daten sicher?

22. Mrz. 2021Atlassian, Cloud, Datenschutz, Datensicherheit, Datentransfer

Renato Furrer hat sich im vorgängigen Blog-Post bereits zum Datenstandort in der Atlassian Cloud geäussert. In diesem Blog möchte ich nun auf die Datensicherheit und den Datenschutz bei Atlassian generell eingehen und eine Einschätzung abgeben, ob die Cloud auch für besonders schützenswerte Daten eine Option ist.

Datenschutz und Datensicherheit – ist das dasselbe?

Nein, beim Datenschutz geht es primär und Gesetze und Vorschriften. Primär sollen personenbezogene Daten bei der Verarbeitung vor Missbrauch geschützt werden. Dazu gehören auch besonders schützenswerte Daten wie z.B. Patientendaten. Aus rechtlicher Sicht sind hier der Datenstandort und der Gerichtsstand wichtig, um in einem Rechtsstreit eine entsprechende Handhabe zu haben.

Bei der Datensicherheit sollen Daten vor Verlust, Manipulation, Viren, usw. geschützt werden. Es geht also um technische Massnahmen. Diese liegen im Ermessen des Betreibers (hier Atlassian).

Datensicherheit

Atlassian investiert sehr viel Aufwand in die Datensicherheit: https://www.atlassian.com/de/trust/security. U.a.

  • gibt es ein dezidiertes Sicherheitsteam, das mit dem Common Controls Framework arbeitet.
  • mit strengen Sicherheitstests und externen Audits.
  • mit Programmen für Disaster Recovery und einer ZeroTrust-Architektur (= jeder Datenaustausch wird validiert und authentisiert).
  • mit der Zentralisierung von Sicherheitskontrollen.
  • Meldestellen für Schwachstellen und Sicherheitsempfehlungen.
  • mit laufenden Schulungen der Mitarbeitenden zum Thema.

“We treat all customer data as equally sensitive and have implemented stringent controls governing this data. Awareness training is provided to our internal employees and contractors during the on-boarding process which covers the importance of and best practices for handling customer data.” (https://www.atlassian.com/trust/security/security-practices#security-awareness-training)

Datenschutz

Atlassian unterstützt den Privacy Shield zwischen der EU und den USA – auch wenn dieser mittlerweile für nichtig erklärt wurde:

“Am 16. Juli 2020 hat der Europäische Gerichtshof den Privacy Shield zwischen der EU und den USA als rechtmäßigen Übertragungsmechanismus für die Übermittlung personenbezogener Daten von der EU in die USA für nichtig erklärt. Der Privacy Shield zwischen der Schweiz und den USA ist davon ebenfalls betroffen. Das Handelsministerium der Vereinigten Staaten hat inzwischen kommuniziert, dass es von Unternehmen die Einhaltung ihrer laufenden Pflichten gemäß Privacy Shield-Framework für Datenübertragungen erwartet. Wir gehen beim Anwenden des Frameworks für Datenübertragungen mit diesem Mechanismus weiterhin genauso sorgfältig vor.

Als Reaktion auf das Urteil des Europäischen Gerichtshofs bieten wir derzeit eine Datenverarbeitungsvereinbarung (Data Processing Agreement, DPA) an, die den gesamten Text der Standardvertragsklauseln (Standard Contractual Clauses, SCC) enthält. In älteren Versionen unserer DPA waren die SCC als Ausweichmechanismus für die Datenübertragung für den Fall vorgesehen, dass der Privacy Shield für ungültig erklärt wird. Falls deine Organisation die aktuelle DPA aktualisieren möchte: Sie steht allen Cloud-Kunden hier zum Herunterladen und elektronischen Signieren zur Verfügung. (https://www.atlassian.com/de/licensing/purchase-licensing#customer-terms → Der Privacy Shield wurde kürzlich für nichtig erklärt. Was bedeutet das für Atlassian?)

Diese Data Processing Agreement erfüllt damit auch die aktuell gültigen DSGVO-Anforderungen: “Wir verstehen, dass unsere Kunden, insbesondere europäische Kunden, erwarten, dass Atlassian in Fällen, in denen wir personenbezogene Daten aus der EU verarbeiten, zusätzliche Bedingungen geltend macht, die die DSGVO-Anforderungen bezüglich der Verarbeitung dieser personenbezogenen Daten aus der EU erfüllen. Alle Cloud-Kunden können die Zusatzbestimmungen von Atlassian zur Datenverarbeitung hier herunterladen und elektronisch signieren, um die DSGVO-Anforderungen an die Weiterübermittlung zu erfüllen.” (https://www.atlassian.com/de/licensing/purchase-licensing#customer-termsBietet ihr euren Kunden Zusatzbestimmungen zum Datenschutz an?)

Aktuell bietet Atlassian nur für Enterprise-Abos den Daten-Standord EU (Irland) an, bald folgt diese Option aber auch für Standard- und Premium-Pläne (siehe Blog-Post von Renato Furrer). Die Rechenzentren werden von Amazon Web Services (AWS) betrieben. Ein Standort in der Schweiz ist aktuell nicht geplant.

Auch wenn die Daten grundsätzlich in der EU gehostet sind, so kann Atlassian seinen Mitarbeitenden und Partnern weltweit Zugriff auf die Daten erlauben: “Wir können darüber hinaus Mitarbeitern und Auftragnehmern weltweit den Zugriff auf bestimmte Daten zu Zwecken der Produktwerbung und -entwicklung sowie für Kundensupport und technische Unterstützung gestatten.” (https://www.atlassian.com/de/licensing/purchase-licensing#privacy-gdpr → Wo speichert Atlassian meine Daten bzw. wohin werden diese gesendet?). D.h. die Daten können weltweit transferiert werden.

Diese Daten sind für Atlassian-Mitarbeitende nicht verschlüsselt abgelegt. Allerdings wird immer nur personalisiert und nachverfolgbar zugegriffen: “Within Atlassian, only authorized Atlassians have access to customer data stored within our applications. Authentication is done via individual passphrase-protected public keys, and servers only accept incoming SSH connections from Atlassian and internal data center locations. All access is restricted to privileged groups unless requested and reviewed, with additional authentication requiring 2FA.” (https://www.atlassian.com/trust/security/security-practices#controlling-access-to-customer-data).

Möchten Sie wissen, wo Ihre Cloud-Daten gerade liegen? Loggen Sie sich als Administrator in Ihre Cloud Instanz über https://admin.atlassian.com ein und wechseln Sie zu Security > Data residency.

Der Gerichtsstand ist in jedem Fall Kalifornien, USA: “Jede Partei erklärt sich unwiderruflich damit einverstanden, dass alle Klagen, Prozesse oder Verfahren, die sich aus diesen Bedingungen ergeben oder mit ihnen in Zusammenhang stehen, ausschließlich vor dem Staats- oder Bundesgericht in San Francisco, Kalifornien, USA, eingereicht werden müssen und der Zustellung von Klagen und anderen anwendbaren Verfahrensregeln unterliegen, und jede Partei unterwirft sich unwiderruflich der alleinigen und ausschließlichen persönlichen Zuständigkeit der Gerichte in San Francisco, Kalifornien, USA, im Allgemeinen und bedingungslos in Bezug auf alle Klagen, Prozesse oder Verfahren, die von ihr oder von der anderen Partei gegen sie eingereicht werden.” (https://www.atlassian.com/legal/cloud-terms-of-service → Abschnitt 22.2)

D.h. unser Schweizer- resp. EU-Recht ist nicht durchsetzbar.

Fazit

Auch aus eigener Erfahrung kann ich sagen, dass die Atlassian Cloud Produkte sicher sind und viel und fortwährend in die Security investiert wird. Dies u.a. mit externen Zertifzierungen, dem Sicherheits-Framework CCF und dem Atlassian Trust Management System (ATMS) und Mitarbeiter-Schulungen.

Die rechtliche resp. gesetzliche Lage ist aktuell für Unternehmen in der Schweiz resp. EU jedoch eher ungemütlich. Zwar werden mit dem Data Processing Addendum die DSGVO-Anforderungen eingehalten (sofern dieses denn durch den Kunden unterzeichnet wird). Aber die Daten sind halt nicht in der Schweiz gehostet und können weltweit ausgetauscht werden. Auch kann der Gerichtsstand Kalifornien, USA ein rechtliches Hindernis sein. Ich empfehle Ihnen bei sensitiven Daten, diese Anforderungen mit einem Anwalt/einer Anwältin abklären zu lassen.

Weiterführende Links

    Haben Sie Fragen oder Anregungen zum diesem Blog-Beitrag? Dürfen wir Sie unterstützen?
    Schreiben Sie uns auf hallo@zuara.ch oder rufen Sie uns an: 031 302 60 00. Wir freuen uns auf Ihre Anfrage!

    Der Autor:

    Sebastian Fiechter

    Sebastian Fiechter

    sebastian.fiechter@zuara.ch

    Direkt: +41 79 307 60 00

          

    Weitere Fachartikel und Neuigkeiten von Zuara

    Auf 3 Ebenen effektiv zusammenarbeiten

    Tools einzuführen oder zu optimieren bringt alleine gerade mal gar nichts. Die Tools müssen optimal auf die Teams und ihre Organisation abgestimmt werden, so dass Mitarbeitenden ihren Arbeitsalltag motiviert meistern. Dazu ist ein Blick "unter" die Tool-Ebene nötig...

    Jira Work Management

    Atlassian hat ein neues Produkt am Start: Jira Work Management! Das Angebot richtet sich an Business-Teams (HR, Sales, etc.) in der Atlassian Cloud. Für Server und Data Center gibt es Jira Work Management (JWM) aktuell nicht. Jira Work Management ersetzt Jira Core...

    Confluence als Innovationsplattform

    Confluence kann so erweitert werden, dass es Organisationen als Innovationsplattform dient. Alle Mitarbeitenden können neue Ideen zur Verbesserung von Angeboten oder internen Prozessen liefern. Diese Ideen werden aufbereitet, bewertet und priorisiert. Auch die...

    Jira Software Cloud – neu mit Performance-Messungen für Dev-Teams

    Jira Software Cloud bietet 4 neue Features für Entwicklungs-Teams, die es endlich erlauben, Code und Code-Repositories mit Issues zu verknüpfen und die Deployments in verschiedenen Stages zu visualisieren. Die Folge davon: weniger Kontext-Wechsel, weniger...

    Portfolio for JIRA® – Strategische Projektplanung direkt in JIRA®

    Portfolio for JIRA® ist ein Add-on für die Projektmanagement- und Issue-Tracking Software JIRA®, die von Atlassian® entwickelt wird. Das Add-on ermöglicht eine GANTT-ähnliche Echtzeitplanung in JIRA®. Die Informationen für die Planung werden den JIRA® Issues...

    Digital Workplace/Home-Office – wie verteilte Zusammenarbeit gut funktioniert und wie nicht

    Eines vorweg: Ja, ich weiss, es schreiben zur Zeit alle über den "Digital Workplace" und die Zusammenarbeit aus dem Home-Office heraus. Schliesslich ist das gerade DAS Trend-Thema bedingt durch die Corona-Krise. Und viele Organisationen haben gemerkt, dass sie in...

    Statuspage – den Systemstatus einfach und zuverlässig kommunizieren

    Mit Statuspage hat Atlassian ein Tool im Angebot, das Teams und Organisationen hilft, Benutzer über den Systemstatus der angebotenen Services zu informieren. Im Grundsatz zeigt Statuspage auf einer Webpage den Zustand aller technischer Services einer Organisation an,...

    Vorteile für den Wechsel in die Atlassian Cloud

    Der Wechsel in die Cloud ist kein einfacher und schneller Entscheid. Zu diesem Thema gebe ich Ihnen in diesem Blog eine kurze Übersicht zu den Vorteilen der Migration auf die Cloud. Atlassian Cloud ist für Unternehmen aller Grössen und zahlreiche Anwendungsfälle...

    Confluence Data Center und GlusterFS

    Einführung In den Blog-Beiträgen Atlassian Testumgebungen automatisieren und Docker Images erstellen mit Packer habe ich die Grundlagen dargelegt, wie wir Testinstanzen von Atlassian-Produkten schnell zur Verfügung stellen können. Ein Problem der bisherigen Lösung...

    Quo Vadis Jira Service Desk?

    Ausgangslage Am 9. November hat Atlassian das neueste Produkt angekündigt: Jira Service Management. Es handelt sich dabei nicht um ein komplett neues Produkt, sondern um eine Weiterentwicklung von Jira Service Desk. Atlassian will damit auf geänderte Anforderungen und...

    Pin It on Pinterest

    Share This