Atlassian Cloud Datenschutz und -sicherheit – sind besonders schützenswerte Daten sicher?

22. Mrz. 2021Atlassian, Cloud, Datenschutz, Datensicherheit, Datentransfer

Renato Furrer hat sich im vorgängigen Blog-Post bereits zum Datenstandort in der Atlassian Cloud geäussert. In diesem Blog möchte ich nun auf die Datensicherheit und den Datenschutz bei Atlassian generell eingehen und eine Einschätzung abgeben, ob die Cloud auch für besonders schützenswerte Daten eine Option ist.

Datenschutz und Datensicherheit – ist das dasselbe?

Nein, beim Datenschutz geht es primär und Gesetze und Vorschriften. Primär sollen personenbezogene Daten bei der Verarbeitung vor Missbrauch geschützt werden. Dazu gehören auch besonders schützenswerte Daten wie z.B. Patientendaten. Aus rechtlicher Sicht sind hier der Datenstandort und der Gerichtsstand wichtig, um in einem Rechtsstreit eine entsprechende Handhabe zu haben.

Bei der Datensicherheit sollen Daten vor Verlust, Manipulation, Viren, usw. geschützt werden. Es geht also um technische Massnahmen. Diese liegen im Ermessen des Betreibers (hier Atlassian).

Datensicherheit

Atlassian investiert sehr viel Aufwand in die Datensicherheit: https://www.atlassian.com/de/trust/security. U.a.

  • gibt es ein dezidiertes Sicherheitsteam, das mit dem Common Controls Framework arbeitet.
  • mit strengen Sicherheitstests und externen Audits.
  • mit Programmen für Disaster Recovery und einer ZeroTrust-Architektur (= jeder Datenaustausch wird validiert und authentisiert).
  • mit der Zentralisierung von Sicherheitskontrollen.
  • Meldestellen für Schwachstellen und Sicherheitsempfehlungen.
  • mit laufenden Schulungen der Mitarbeitenden zum Thema.

“We treat all customer data as equally sensitive and have implemented stringent controls governing this data. Awareness training is provided to our internal employees and contractors during the on-boarding process which covers the importance of and best practices for handling customer data.” (https://www.atlassian.com/trust/security/security-practices#security-awareness-training)

Datenschutz

Atlassian unterstützt den Privacy Shield zwischen der EU und den USA – auch wenn dieser mittlerweile für nichtig erklärt wurde:

“Am 16. Juli 2020 hat der Europäische Gerichtshof den Privacy Shield zwischen der EU und den USA als rechtmäßigen Übertragungsmechanismus für die Übermittlung personenbezogener Daten von der EU in die USA für nichtig erklärt. Der Privacy Shield zwischen der Schweiz und den USA ist davon ebenfalls betroffen. Das Handelsministerium der Vereinigten Staaten hat inzwischen kommuniziert, dass es von Unternehmen die Einhaltung ihrer laufenden Pflichten gemäß Privacy Shield-Framework für Datenübertragungen erwartet. Wir gehen beim Anwenden des Frameworks für Datenübertragungen mit diesem Mechanismus weiterhin genauso sorgfältig vor.

Als Reaktion auf das Urteil des Europäischen Gerichtshofs bieten wir derzeit eine Datenverarbeitungsvereinbarung (Data Processing Agreement, DPA) an, die den gesamten Text der Standardvertragsklauseln (Standard Contractual Clauses, SCC) enthält. In älteren Versionen unserer DPA waren die SCC als Ausweichmechanismus für die Datenübertragung für den Fall vorgesehen, dass der Privacy Shield für ungültig erklärt wird. Falls deine Organisation die aktuelle DPA aktualisieren möchte: Sie steht allen Cloud-Kunden hier zum Herunterladen und elektronischen Signieren zur Verfügung. (https://www.atlassian.com/de/licensing/purchase-licensing#customer-terms → Der Privacy Shield wurde kürzlich für nichtig erklärt. Was bedeutet das für Atlassian?)

Diese Data Processing Agreement erfüllt damit auch die aktuell gültigen DSGVO-Anforderungen: “Wir verstehen, dass unsere Kunden, insbesondere europäische Kunden, erwarten, dass Atlassian in Fällen, in denen wir personenbezogene Daten aus der EU verarbeiten, zusätzliche Bedingungen geltend macht, die die DSGVO-Anforderungen bezüglich der Verarbeitung dieser personenbezogenen Daten aus der EU erfüllen. Alle Cloud-Kunden können die Zusatzbestimmungen von Atlassian zur Datenverarbeitung hier herunterladen und elektronisch signieren, um die DSGVO-Anforderungen an die Weiterübermittlung zu erfüllen.” (https://www.atlassian.com/de/licensing/purchase-licensing#customer-termsBietet ihr euren Kunden Zusatzbestimmungen zum Datenschutz an?)

Aktuell bietet Atlassian nur für Enterprise-Abos den Daten-Standord EU (Irland) an, bald folgt diese Option aber auch für Standard- und Premium-Pläne (siehe Blog-Post von Renato Furrer). Die Rechenzentren werden von Amazon Web Services (AWS) betrieben. Ein Standort in der Schweiz ist aktuell nicht geplant.

Auch wenn die Daten grundsätzlich in der EU gehostet sind, so kann Atlassian seinen Mitarbeitenden und Partnern weltweit Zugriff auf die Daten erlauben: “Wir können darüber hinaus Mitarbeitern und Auftragnehmern weltweit den Zugriff auf bestimmte Daten zu Zwecken der Produktwerbung und -entwicklung sowie für Kundensupport und technische Unterstützung gestatten.” (https://www.atlassian.com/de/licensing/purchase-licensing#privacy-gdpr → Wo speichert Atlassian meine Daten bzw. wohin werden diese gesendet?). D.h. die Daten können weltweit transferiert werden.

Diese Daten sind für Atlassian-Mitarbeitende nicht verschlüsselt abgelegt. Allerdings wird immer nur personalisiert und nachverfolgbar zugegriffen: “Within Atlassian, only authorized Atlassians have access to customer data stored within our applications. Authentication is done via individual passphrase-protected public keys, and servers only accept incoming SSH connections from Atlassian and internal data center locations. All access is restricted to privileged groups unless requested and reviewed, with additional authentication requiring 2FA.” (https://www.atlassian.com/trust/security/security-practices#controlling-access-to-customer-data).

Möchten Sie wissen, wo Ihre Cloud-Daten gerade liegen? Loggen Sie sich als Administrator in Ihre Cloud Instanz über https://admin.atlassian.com ein und wechseln Sie zu Security > Data residency.

Der Gerichtsstand ist in jedem Fall Kalifornien, USA: “Jede Partei erklärt sich unwiderruflich damit einverstanden, dass alle Klagen, Prozesse oder Verfahren, die sich aus diesen Bedingungen ergeben oder mit ihnen in Zusammenhang stehen, ausschließlich vor dem Staats- oder Bundesgericht in San Francisco, Kalifornien, USA, eingereicht werden müssen und der Zustellung von Klagen und anderen anwendbaren Verfahrensregeln unterliegen, und jede Partei unterwirft sich unwiderruflich der alleinigen und ausschließlichen persönlichen Zuständigkeit der Gerichte in San Francisco, Kalifornien, USA, im Allgemeinen und bedingungslos in Bezug auf alle Klagen, Prozesse oder Verfahren, die von ihr oder von der anderen Partei gegen sie eingereicht werden.” (https://www.atlassian.com/legal/cloud-terms-of-service → Abschnitt 22.2)

D.h. unser Schweizer- resp. EU-Recht ist nicht durchsetzbar.

Fazit

Auch aus eigener Erfahrung kann ich sagen, dass die Atlassian Cloud Produkte sicher sind und viel und fortwährend in die Security investiert wird. Dies u.a. mit externen Zertifzierungen, dem Sicherheits-Framework CCF und dem Atlassian Trust Management System (ATMS) und Mitarbeiter-Schulungen.

Die rechtliche resp. gesetzliche Lage ist aktuell für Unternehmen in der Schweiz resp. EU jedoch eher ungemütlich. Zwar werden mit dem Data Processing Addendum die DSGVO-Anforderungen eingehalten (sofern dieses denn durch den Kunden unterzeichnet wird). Aber die Daten sind halt nicht in der Schweiz gehostet und können weltweit ausgetauscht werden. Auch kann der Gerichtsstand Kalifornien, USA ein rechtliches Hindernis sein. Ich empfehle Ihnen bei sensitiven Daten, diese Anforderungen mit einem Anwalt/einer Anwältin abklären zu lassen.

Weiterführende Links

    Haben Sie Fragen oder Anregungen zum diesem Blog-Beitrag? Dürfen wir Sie unterstützen?
    Schreiben Sie uns auf hallo@zuara.ch oder rufen Sie uns an: 031 302 60 00. Wir freuen uns auf Ihre Anfrage!

    Der Autor:

    Sebastian Fiechter

    Sebastian Fiechter

    sebastian.fiechter@zuara.ch

    Direkt: +41 79 307 60 00

          

    Weitere Fachartikel und Neuigkeiten von Zuara

    Confluence als Innovationsplattform

    Confluence kann so erweitert werden, dass es Organisationen als Innovationsplattform dient. Alle Mitarbeitenden können neue Ideen zur Verbesserung von Angeboten oder internen Prozessen liefern. Diese Ideen werden aufbereitet, bewertet und priorisiert. Auch die...

    Kollaborationsarchitektur – weg mit dem Tool-Salat!

    Im letzten Blog-Beitrag "Digital Workplace/Home-Office – wie verteilte Zusammenarbeit gut funktioniert und wie nicht" bin ich bereits kurz auf den sperrigen Begriff Kollaborationsarchitektur eingegangen. Hier soll es nun darum gehen, diesen Begriff zu erklären und...

    Phänomene ineffektiver Teams

    Kennen Sie das? Irgendwie happert es dem Team an Drive, z.B. werden nicht alle User-Stories aufs Sprint-Ende umgesetzt oder auf dem KanBan Board stapeln sich die MMFs in der "To-Deploy"-Spalte. Und dann hat das Ganze auch noch keine Konsequenzen für die...

    Alle im Homeoffice – auch Schülerinnen und Schüler

    Aus aktuellem Anlass stellt sich für viele Schulen und Organisationen die Frage, wie ihre Mitarbeitenden weiterhin möglichst reibungslos zusammenarbeiten können und wie der Schulunterricht fortgesetzt werden kann. Teams und Klassen haben die folgenden Ansprüche, um...

    Dateien auf Share direkt aus Confluence heraus öffnen mit Zuara User Makro

    Einleitung Hatten Sie bereits einmal das Problem, dass Sie eine Datei aus Confluence aus verlinken wollten, die auf einem Share liegt? Die meisten Browser verhindern dies aus Sicherheitsgründen und je nach Browser ist die Syntax der geforderten URL unterschiedlich....

    Tabellenkalkulation in Confluence

    Excel ist aufgrund der vielfältigen Möglichkeiten zur Tabellenkalkulation sowie der Flexibilität in vielen Unternehmen weit verbreitet. Deshalb taucht auch in Zusammenhang mit dem Einsatz von Confluence oft die Frage auf, welche Funktionen zur Tabellenkalkulation...

    4 Tools für die erfolgreiche digitale Zusammenarbeit

    Durch den Lockdown in der Schweiz ist Homeoffice und damit die digitale Zusammenarbeit der neue Normalfall geworden. Funktioniert das gut? Wohl nur teilweise. Viele Unternehmen waren nicht darauf vorbereitet, dass ein Grossteil Ihrer Mitarbeiter/-innen in so kurzer...

    Jira Work Management

    Atlassian hat ein neues Produkt am Start: Jira Work Management! Das Angebot richtet sich an Business-Teams (HR, Sales, etc.) in der Atlassian Cloud. Für Server und Data Center gibt es Jira Work Management (JWM) aktuell nicht. Jira Work Management ersetzt Jira Core...

    Portfolio for JIRA® – Strategische Projektplanung direkt in JIRA®

    Portfolio for JIRA® ist ein Add-on für die Projektmanagement- und Issue-Tracking Software JIRA®, die von Atlassian® entwickelt wird. Das Add-on ermöglicht eine GANTT-ähnliche Echtzeitplanung in JIRA®. Die Informationen für die Planung werden den JIRA® Issues...

    Jira App-Entwicklung: JQL verarbeiten ohne Kopfschmerzen

    Die Herausforderung In vielen Projekten haben wir Kundenanforderungen, die mit den normalen Bordmitteln von Jira nicht mehr zu erfüllen sind. Häufig ist die einfachste Lösung, selbst ein kleines Add-on zu implementieren. Eine solche Anforderung, die wir kürzlich...

    Pin It on Pinterest

    Share This