Datenschutz und Informationssicherheit in der Atlassian Cloud
Atlassian hat für seine Produkte, wie Jira und Confluence, bereits länger eine klare Cloud-First-Strategie. Als Kunde profitieren Sie von deutlich kürzeren Innovationszyklen bei stark reduziertem Wartungsaufwand. Konkret bedeutet dies:
- Höchste Anforderungen an die Verfügbarkeit, Sicherheit und Performance
- Neue Features stehen sofort zur Verfügung
- Stufenlose Skalierung bei steigender Nachfrage an die Anzahl Anwender
- Keine Investitionen in eine eigene Infrastruktur
Unabhängig davon, ob Sie bereits Atlassian Cloud-Produkte einsetzen oder einen Wechsel planen, unsere Cloud-Updates fassen die wichtigsten Neuerungen der Atlassian Cloud zusammen.
In diesem Artikel stellen wir die Themen Datenschutz und Informationssicherheit aus einer Schweizer Perspektive ins Zentrum.
Wie kommen wir in die Cloud?
Atlassian hat mit seinen Solution Partnern ein strukturiertes Cloud-Migrationsvorgehen entwickelt. Wir begleiten Sie auf dem ganzen Pfad mit unserer technischen Expertise und Migrationserfahrung.
Der perfekte Start ist unser kostenfreies Cloud Readiness Assessment. Dieses liefert Ihnen Antworten auf Fragen wie:
- Sind Ihre Apps vollständig in der Cloud verfügbar?
- Wie sieht der grobe Migrationspfad aus?
- Wie verändert sich das Lizenzmodell?
- Sind Ihre Anforderungen an die Cloud-Infrastruktur erfüllt?
Datenschutz und Informationssicherheit
Als Schweizer Atlassian Platinum Solution Partner ist es uns ein Anliegen, die Bedürfnisse und Anforderungen unserer Schweizer und europäischen Kunden ins Zentrum zu stellen. Aus diesem Grund stellen wir das Thema der Informationssicherheit von SaaS-Lösungen und der Atlassian Cloud bewusst ins Zentrum dieses Blogbeitrages.
Wenn es um Informationssicherheit geht, hilft eine Unterteilung in die folgenden Themengebiete:
- Datenschutzrecht: Welchen rechtlichen Grundlagen unterstehen die Daten und Sie als Organisation?
- Datenhaltung & Datenbearbeitung: Wo werden die Daten gespeichert und wo werden sie bearbeitet?
- Datenintegrität: Wie wird die Unversehrtheit der Daten sichergestellt?
Datenschutzrecht
Die Relevanz und Anwendung rechtlicher Grundlagen sind zunächst abhängig von drei Fragestellungen:
- Welche Daten werden in der Cloud gespeichert?
- Welche gesetzlichen Vorgaben gelten für Sie als Organisation?
- Bestehen Vorgaben von Aufsichtsbehörden? Wenn ja, welche?
Daten sind nicht gleich Daten
Es ist zentral zu wissen, welche Daten Sie in Ihrer Atlassian Cloud führen werden. Sobald Sie einen Überblick über die in Ihrer Atlassian Cloud gespeicherten Daten haben, können Sie diese nach folgenden Aspekten kategorisieren:
- Personenbezogene Daten oder nicht-personenbezogene Daten
- Bei personenbezogenen Daten:
- Besondere Personendaten, respektive besonders schützenswerte Personendaten
- Daten natürlicher Personen oder Daten juristischer Personen
- Ansässigkeit der Personen, von denen Sie Daten bearbeiten
Grundsätzlich: Sind es ausschliesslich nicht-personenbezogene Daten oder bearbeiten Sie auch personenbezogene Daten? Falls ja, dann gelten bestimmte gesetzliche und regulatorische Vorgaben.
Gesetzliche und regulatorische Vorgaben für Ihre Organisation
Private Unternehmen
Private Unternehmen in der Schweiz sind dem Schweizerischen Bundesgesetz über den Datenschutz unterstellt. Falls Sie im europäischen Markt Produkte oder Dienstleistungen anbieten, müssen Sie zusätzlich das Marktortprinzip berücksichtigen. In diesem Fall kommt auch die europäische DSGVO zur Anwendung (Art. 3 der Verordnung).
Für die Speicherung der Personendaten sind folgende Aspekte relevant:
- Wo werden die Daten gespeichert und wer bearbeitet sie? Werden Daten ins Ausland übermittelt, muss sichergestellt sein, dass auch dort Ihre Daten angemessen geschützt sind. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat dazu eine Liste von Staaten publiziert, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet.
- Sollen die Daten in ein Land ohne angemessenes Datenschutzniveau übermittelt werden, können anerkannte Standardvertragsklauseln zwischen Ihnen und dem Cloud Partner vereinbart werden, sofern die für eine Verwendung unter Schweizer Datenschutzrecht notwendigen Anpassungen und Ergänzungen vorgenommen wurden.
Finanzinstitute
Atlassian investiert laufend in die gesetzliche und regulatorische Konformität in Europa. Aktuell werden (unter anderen) die Anforderungen der folgenden Autoritäten erfüllt:
- European Banking Authority: EBA – Atlassian
- Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): BaFin Atlassian
Schweizer Finanzinstitute sind in erster Linie der Finanzmarktaufsicht (FINMA) unterstellt. Einen besonderen Schutzbedarf stellen kundenidentifizierende Daten (CID) dar. Dieser Schutz ist im Bankkundengeheimnis geregelt. Lange galt, dass CID-Daten nach dem «Over-the-border out-of-control Prinzip» die Schweiz nicht verlassen dürfen.
Dieses Prinzip gilt jedoch seit einer Anpassung des FINMA-Leitfadens nicht mehr grundsätzlich. Sobald die folgenden Elemente erfüllt sind, kann eine Speicherung von Bankkundendaten in der Cloud möglich werden:
- Anonymisierung
- Pseudonymisierung
- Verschlüsselung
- Organisatorische Massnahmen (Überwachung, etc.)
- Vertragliche Massnahmen
Verwaltung & Behörden
Als kantonale oder kommunale Verwaltung oder Behörden gelten für Sie die Datenschutzgesetzgebungen Ihres Kantons. Massgebliche Aspekte für eine mögliche Speicherung von Personendaten in der Cloud sind:
- Standort der Datenhaltung und Anwendung des CLOUD Act
- Verschlüsselung der Daten durch den Auftraggeber oder den Auftragnehmer
- Vorliegen anerkannter Standardvertragsklauseln
Datenhaltung (Data Residency) & Datenbearbeitung
Gemäss den oben beschriebenen rechtlichen Grundlagen ist die Datenhaltung oftmals relevant.
Atlassian bietet deshalb die Möglichkeit, für sämtliche Cloud-Pläne (Standard, Premium, Enterprise) den Ort der Datenhaltung explizit festzulegen. Diese Option steht kostenfrei zur Verfügung.
Unsere Empfehlungen
- Wählen Sie die Data Residency ‹Europe› (konkret: Frankfurt und Dublin)
- Unterzeichnen Sie das Data Processing Addendum von Atlassian (Standardvertragsklauseln mit Abdeckung des Schweizerischen Datenschutzgesetzes): Data Processing Addendum – Atlassian
- Prüfen Sie die Datenresidenz Ihrer eingesetzten Apps
- Atlassian User verwalten Ihre persönliche Data Privacy: Manage your personal data privacy – Atlassian
Zusätzliche Informationen zum Thema
Was die Atlassian Roadmap verspricht
- Data Residency für Apps, geplant für Q1/Q2 2022: Apps unterstützen die Speicherung und Migration von Daten in derselben Region wie das Host-Produkt.
Datenintegrität
Atlassian hat bereits heute verschiedene Massnahmen für die Sicherheit Ihrer Daten ergriffen:
Stellen Sie mit weiteren Massnahmen die Integrität Ihrer Daten sicher.
Unsere Empfehlungen
- Aktivieren Sie die Two-Factor-Authentication
- Binden Sie einen vorhandenen Identity Provider mit SSO ein
Damit diese Optionen genutzt werden können, wird Atlassian Access benötigt. Profitieren Sie dabei von weiteren Sicherheitsfeatures, die mit Access zur Verfügung stehen (z.B. IP-Whitelisting)
Was die Atlassian Roadmap verspricht
- Passwortregeln für Mitarbeiter, die nicht zur Organisation gehörten (externe Mitarbeiter), geplant für Q3 2022
- Unterstützung mehrerer Identity Provider für dasselbe Unternehmen, geplant für Q2 2022
- Bring your own key – BYOK-Verschlüsselung für Jira und Confluence, geplant für 2023: Verschlüsseln Sie Jira- und Confluence-Produktdaten mit einem Schlüssel, den Sie in Ihrer eigenen Instanz von AWS KMS verwalten.
- Custom domains - Nutzung der eigenen Unternehmensdomain für ihre Atlassian Jira Cloud Instanz für Q4 2023
- Data residency in Switzerland für Q1 2024
- Datenklassifizierung - Die Möglichkeit Daten in Jira und Confluence zu klassifizieren für Q1 2024
Das heisst konkret?
Die Informationen sind umfangreich und teilweise komplex. Gerne unterstützen wir Sie, die Möglichkeiten der Cloud zu Ihrem Vorteil zu nutzen.
- Wir unterstützen Ihre Cloud-Migration.
- In Kooperation mit unseren Partnern in der Rechtsberatung klären wir offene Datenschutzbedenken.
.webp)
