Renato Furrer hat sich im vorgängigen Blog-Post bereits zum Datenstandort in der Atlassian Cloud geäußert. In diesem Blog möchte ich nun auf die Datensicherheit und den Datenschutz bei Atlassian generell eingehen und eine Einschätzung abgeben, ob die Cloud auch für besonders schützenswerte Daten eine Option ist.
Datenschutz und Datensicherheit – ist das dasselbe?
Nein, beim Datenschutz geht es primär und Gesetze und Vorschriften. Primär sollen personenbezogene Daten bei der Verarbeitung vor Missbrauch geschützt werden. Dazu gehören auch besonders schützenswerte Daten wie z.B. Patientendaten. Aus rechtlicher Sicht sind hier der Datenstandort und der Gerichtsstand wichtig, um in einem Rechtsstreit eine entsprechende Handhabe zu haben.
Bei der Datensicherheit sollen Daten vor Verlust, Manipulation, Viren, usw. geschützt werden. Es geht also um technische Maßnahmen. Diese liegen im Ermessen des Betreibers (hier Atlassian).
Datensicherheit
Atlassian investiert sehr viel Aufwand in die Datensicherheit: https://www.atlassian.com/de/trust/security. U.a.
gibt es ein dezidiertes Sicherheitsteam, das mit dem Common Controls Framework arbeitet.
mit strengen Sicherheitstests und externen Audits.
mit Programmen für Disaster Recovery und einer ZeroTrust-Architektur (= jeder Datenaustausch wird validiert und authentisiert).
mit der Zentralisierung von Sicherheitskontrollen.
Meldestellen für Schwachstellen und Sicherheitsempfehlungen.
mit laufenden Schulungen der Mitarbeitenden zum Thema.
“We treat all customer data as equally sensitive and have implemented stringent controls governing this data. Awareness training is provided to our internal employees and contractors during the on-boarding process which covers the importance of and best practices for handling customer data.”
Datenschutz
Atlassian unterstützt den Privacy Shield zwischen der EU und den USA – auch wenn dieser mittlerweile für nichtig erklärt wurde: “Am 16. Juli 2020 hat der Europäische Gerichtshof den Privacy Shield zwischen der EU und den USA als rechtmäßigen Übertragungsmechanismus für die Übermittlung personenbezogener Daten von der EU in die USA für nichtig erklärt. Der Privacy Shield zwischen der Schweiz und den USA ist davon ebenfalls betroffen. Das Handelsministerium der Vereinigten Staaten hat inzwischen kommuniziert, dass es von Unternehmen die Einhaltung ihrer laufenden Pflichten gemäß Privacy Shield-Framework für Datenübertragungen erwartet. Wir gehen beim Anwenden des Frameworks für Datenübertragungen mit diesem Mechanismus weiterhin genauso sorgfältig vor.
Als Reaktion auf das Urteil des Europäischen Gerichtshofs bieten wir derzeit eine Datenverarbeitungsvereinbarung (Data Processing Agreement, DPA) an, die den gesamten Text der Standardvertragsklauseln (Standard Contractual Clauses, SCC) enthält. In älteren Versionen unserer DPA waren die SCC als Ausweichmechanismus für die Datenübertragung für den Fall vorgesehen, dass der Privacy Shield für ungültig erklärt wird. Falls deine Organisation die aktuelle DPA aktualisieren möchte: Sie steht allen Cloud-Kunden hier zum Herunterladen und elektronischen Signieren zur Verfügung.“ (https://www.atlassian.com/de/licensing/purchase-licensing#customer-terms → Der Privacy Shield wurde kürzlich für nichtig erklärt. Was bedeutet das für Atlassian?)
Diese Data Processing Agreement erfüllt damit auch die aktuell gültigen DSGVO-Anforderungen: “Wir verstehen, dass unsere Kunden, insbesondere europäische Kunden, erwarten, dass Atlassian in Fällen, in denen wir personenbezogene Daten aus der EU verarbeiten, zusätzliche Bedingungen geltend macht, die die DSGVO-Anforderungen bezüglich der Verarbeitung dieser personenbezogenen Daten aus der EU erfüllen. Alle Cloud-Kunden können die Zusatzbestimmungen von Atlassian zur Datenverarbeitung hier herunterladen und elektronisch signieren, um die DSGVO-Anforderungen an die Weiterübermittlung zu erfüllen.” (https://www.atlassian.com/de/licensing/purchase-licensing#customer-terms → Bietet ihr euren Kunden Zusatzbestimmungen zum Datenschutz an?)
Aktuell bietet Atlassian nur für Enterprise-Abos den Daten-Standord EU (Irland) an, bald folgt diese Option aber auch für Standard- und Premium-Pläne (siehe Blog-Post von Renato Furrer). Die Rechenzentren werden von Amazon Web Services (AWS) betrieben. Ein Standort in der Schweiz ist aktuell nicht geplant.
Auch wenn die Daten grundsätzlich in der EU gehostet sind, so kann Atlassian seinen Mitarbeitenden und Partnern weltweit Zugriff auf die Daten erlauben: “Wir können darüber hinaus Mitarbeitern und Auftragnehmern weltweit den Zugriff auf bestimmte Daten zu Zwecken der Produktwerbung und -entwicklung sowie für Kundensupport und technische Unterstützung gestatten.” (https://www.atlassian.com/de/licensing/purchase-licensing#privacy-gdpr → Wo speichert Atlassian meine Daten bzw. wohin werden diese gesendet?). D.h. die Daten können weltweit transferiert werden.
Diese Daten sind für Atlassian-Mitarbeitende nicht verschlüsselt abgelegt. Allerdings wird immer nur personalisiert und nachverfolgbar zugegriffen: “Within Atlassian, only authorized Atlassians have access to customer data stored within our applications. Authentication is done via individual passphrase-protected public keys, and servers only accept incoming SSH connections from Atlassian and internal data center locations. All access is restricted to privileged groups unless requested and reviewed, with additional authentication requiring 2FA.” (https://www.atlassian.com/trust/security/security-practices#controlling-access-to-customer-data).
Möchten Sie wissen, wo Ihre Cloud-Daten gerade liegen? Loggen Sie sich als Administrator in Ihre Cloud Instanz über https://admin.atlassian.com ein und wechseln Sie zu Security > Data residency.
Der Gerichtsstand ist in jedem Fall Kalifornien, USA: “Jede Partei erklärt sich unwiderruflich damit einverstanden, dass alle Klagen, Prozesse oder Verfahren, die sich aus diesen Bedingungen ergeben oder mit ihnen in Zusammenhang stehen, ausschließlich vor dem Staats- oder Bundesgericht in San Francisco, Kalifornien, USA, eingereicht werden müssen und der Zustellung von Klagen und anderen anwendbaren Verfahrensregeln unterliegen, und jede Partei unterwirft sich unwiderruflich der alleinigen und ausschließlichen persönlichen Zuständigkeit der Gerichte in San Francisco, Kalifornien, USA, im Allgemeinen und bedingungslos in Bezug auf alle Klagen, Prozesse oder Verfahren, die von ihr oder von der anderen Partei gegen sie eingereicht werden.” (https://www.atlassian.com/legal/cloud-terms-of-service → Abschnitt 22.2)
D.h. unser Schweizer- resp. EU-Recht ist nicht durchsetzbar.
Fazit
Auch aus eigener Erfahrung kann ich sagen, dass die Atlassian Cloud Produkte sicher sind und viel und fortwährend in die Security investiert wird. Dies u.a. mit externen Zertifizierungen, dem Sicherheits-Framework CCF und dem Atlassian Trust Management System (ATMS) und Mitarbeiter-Schulungen.
Die rechtliche resp. gesetzliche Lage ist aktuell für Unternehmen in der Schweiz resp. EU jedoch eher ungemütlich. Zwar werden mit dem Data Processing Addendum die DSGVO-Anforderungen eingehalten (sofern dieses denn durch den Kunden unterzeichnet wird). Aber die Daten sind halt nicht in der Schweiz gehostet und können weltweit ausgetauscht werden. Auch kann der Gerichtsstand Kalifornien, USA ein rechtliches Hindernis sein. Ich empfehle Ihnen bei sensitiven Daten, diese Anforderungen mit einem Anwalt/einer Anwältin abklären zu lassen.
Weiterführende Links
Datensicherheit
Sicherheit bei Atlassian: https://www.atlassian.com/de/trust/security
Security Practices (Atlassian): https://www.atlassian.com/trust/security/security-practices
Understanding Data Residency and Realms (Atlassian): https://support.atlassian.com/security-and-access-policies/docs/understand-data-residency-and-realms/
Anbietersicherheit & Risikomassnahmen (Atlassian): https://www.atlassian.com/de/trust/security/vendor-security-risk-response
Datenschutz
Datenschutz bei Atlassian: https://www.atlassian.com/de/trust/privacy
How we handle your Data (Atlassian): https://www.atlassian.com/de/trust/privacy/how-we-handle-your-data
Business Data Privacy (Atlassian): https://www.atlassian.com/de/trust/privacy/business-data-privacy
Atlassian’s GDPR Commitment: https://www.atlassian.com/de/trust/privacy/country/europe-and-gdpr
Atlassian Data Processing Addendum: https://www.atlassian.com/de/legal/data-processing-addendum
Atlassian Cloud Terms of Service: https://www.atlassian.com/legal/cloud-terms-of-service
Haben Sie Fragen oder Anregungen zum diesem Blog-Beitrag? Dürfen wir Sie unterstützen? Schreiben Sie uns auf hallo@zuara.ch oder rufen Sie uns an: 031 302 60 00.