Datenschutz und Informationssicherheit in der Atlassian Cloud

Pascal Stiefel
Pascal Stiefel
This is some text inside of a div block.
28.11.2023

Atlassian hat für seine Produkte, wie Jira und Confluence, bereits länger eine klare Cloud-First-Strategie. Als Kunde profitieren Sie von deutlich kürzeren Innovationszyklen bei stark reduziertem Wartungsaufwand. Konkret bedeutet dies:

  • Höchste Anforderungen an die Verfügbarkeit, Sicherheit und Performance
  • Neue Features stehen sofort zur Verfügung
  • Stufenlose Skalierung bei steigender Nachfrage an die Anzahl Anwender
  • Keine Investitionen in eine eigene Infrastruktur

Unabhängig davon, ob Sie bereits Atlassian Cloud-Produkte einsetzen oder einen Wechsel planen, unsere Cloud-Updates fassen die wichtigsten Neuerungen der Atlassian Cloud zusammen.

In diesem Artikel stellen wir die Themen Datenschutz und Informationssicherheit aus einer Schweizer Perspektive ins Zentrum.

Wie kommen wir in die Cloud?

Atlassian hat mit seinen Solution Partnern ein strukturiertes Cloud-Migrationsvorgehen entwickelt. Wir begleiten Sie auf dem ganzen Pfad mit unserer technischen Expertise und Migrationserfahrung.

Der perfekte Start ist unser kostenfreies Cloud Readiness Assessment. Dieses liefert Ihnen Antworten auf Fragen wie:

  • Sind Ihre Apps vollständig in der Cloud verfügbar?
  • Wie sieht der grobe Migrationspfad aus?
  • Wie verändert sich das Lizenzmodell?
  • Sind Ihre Anforderungen an die Cloud-Infrastruktur erfüllt?

Cloud Readiness Assessment

Datenschutz und Informationssicherheit

Als Schweizer Atlassian Platinum Solution Partner ist es uns ein Anliegen, die Bedürfnisse und Anforderungen unserer Schweizer und europäischen Kunden ins Zentrum zu stellen. Aus diesem Grund stellen wir das Thema der Informationssicherheit von SaaS-Lösungen und der Atlassian Cloud bewusst ins Zentrum dieses Blogbeitrages.

Wenn es um Informationssicherheit geht, hilft eine Unterteilung in die folgenden Themengebiete:

  • Datenschutzrecht: Welchen rechtlichen Grundlagen unterstehen die Daten und Sie als Organisation?
  • Datenhaltung & Datenbearbeitung: Wo werden die Daten gespeichert und wo werden sie bearbeitet?
  • Datenintegrität: Wie wird die Unversehrtheit der Daten sichergestellt?

Datenschutzrecht

Die Relevanz und Anwendung rechtlicher Grundlagen sind zunächst abhängig von drei Fragestellungen:

  • Welche Daten werden in der Cloud gespeichert?
  • Welche gesetzlichen Vorgaben gelten für Sie als Organisation?
  • Bestehen Vorgaben von Aufsichtsbehörden? Wenn ja, welche?

Daten sind nicht gleich Daten

Es ist zentral zu wissen, welche Daten Sie in Ihrer Atlassian Cloud führen werden. Sobald Sie einen Überblick über die in Ihrer Atlassian Cloud gespeicherten Daten haben, können Sie diese nach folgenden Aspekten kategorisieren:

  • Personenbezogene Daten oder nicht-personenbezogene Daten
  • Bei personenbezogenen Daten:
  • Besondere Personendaten, respektive besonders schützenswerte Personendaten
  • Daten natürlicher Personen oder Daten juristischer Personen
  • Ansässigkeit der Personen, von denen Sie Daten bearbeiten

Grundsätzlich: Sind es ausschliesslich nicht-personenbezogene Daten oder bearbeiten Sie auch personenbezogene Daten? Falls ja, dann gelten bestimmte gesetzliche und regulatorische Vorgaben.

Gesetzliche und regulatorische Vorgaben für Ihre Organisation

Private Unternehmen

Private Unternehmen in der Schweiz sind dem Schweizerischen Bundesgesetz über den Datenschutz unterstellt. Falls Sie im europäischen Markt Produkte oder Dienstleistungen anbieten, müssen Sie zusätzlich das Marktortprinzip berücksichtigen. In diesem Fall kommt auch die europäische DSGVO zur Anwendung (Art. 3 der Verordnung).

Für die Speicherung der Personendaten sind folgende Aspekte relevant:

  • Wo werden die Daten gespeichert und wer bearbeitet sie? Werden Daten ins Ausland übermittelt, muss sichergestellt sein, dass auch dort Ihre Daten angemessen geschützt sind. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat dazu eine Liste von Staaten publiziert, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet.
  • Sollen die Daten in ein Land ohne angemessenes Datenschutzniveau übermittelt werden, können anerkannte Standardvertragsklauseln zwischen Ihnen und dem Cloud Partner vereinbart werden, sofern die für eine Verwendung unter Schweizer Datenschutzrecht notwendigen Anpassungen und Ergänzungen vorgenommen wurden.

Finanzinstitute

Atlassian investiert laufend in die gesetzliche und regulatorische Konformität in Europa. Aktuell werden (unter anderen) die Anforderungen der folgenden Autoritäten erfüllt:

Schweizer Finanzinstitute sind in erster Linie der Finanzmarktaufsicht (FINMA) unterstellt. Einen besonderen Schutzbedarf stellen kundenidentifizierende Daten (CID) dar. Dieser Schutz ist im Bankkundengeheimnis geregelt. Lange galt, dass CID-Daten nach dem «Over-the-border out-of-control Prinzip» die Schweiz nicht verlassen dürfen.

Dieses Prinzip gilt jedoch seit einer Anpassung des FINMA-Leitfadens nicht mehr grundsätzlich. Sobald die folgenden Elemente erfüllt sind, kann eine Speicherung von Bankkundendaten in der Cloud möglich werden:

  • Anonymisierung
  • Pseudonymisierung
  • Verschlüsselung
  • Organisatorische Massnahmen (Überwachung, etc.)
  • Vertragliche Massnahmen

Verwaltung & Behörden

Als kantonale oder kommunale Verwaltung oder Behörden gelten für Sie die Datenschutzgesetzgebungen Ihres Kantons. Massgebliche Aspekte für eine mögliche Speicherung von Personendaten in der Cloud sind:

  • Standort der Datenhaltung und Anwendung des CLOUD Act
  • Verschlüsselung der Daten durch den Auftraggeber oder den Auftragnehmer
  • Vorliegen anerkannter Standardvertragsklauseln

Datenhaltung (Data Residency) & Datenbearbeitung

Gemäss den oben beschriebenen rechtlichen Grundlagen ist die Datenhaltung oftmals relevant.

Atlassian bietet deshalb die Möglichkeit, für sämtliche Cloud-Pläne (Standard, Premium, Enterprise) den Ort der Datenhaltung explizit festzulegen. Diese Option steht kostenfrei zur Verfügung.

Unsere Empfehlungen

Zusätzliche Informationen zum Thema

Was die Atlassian Roadmap verspricht

  • Data Residency für Apps, geplant für Q1/Q2 2022: Apps unterstützen die Speicherung und Migration von Daten in derselben Region wie das Host-Produkt.

Datenintegrität

Atlassian hat bereits heute verschiedene Massnahmen für die Sicherheit Ihrer Daten ergriffen:

ECM140 Zero Trust Whitepaper

Stellen Sie mit weiteren Massnahmen die Integrität Ihrer Daten sicher.

Unsere Empfehlungen

  • Aktivieren Sie die Two-Factor-Authentication
  • Binden Sie einen vorhandenen Identity Provider mit SSO ein

Damit diese Optionen genutzt werden können, wird Atlassian Access benötigt. Profitieren Sie dabei von weiteren Sicherheitsfeatures, die mit Access zur Verfügung stehen (z.B. IP-Whitelisting)

Was die Atlassian Roadmap verspricht

  • Passwortregeln für Mitarbeiter, die nicht zur Organisation gehörten (externe Mitarbeiter), geplant für Q3 2022
  • Unterstützung mehrerer Identity Provider für dasselbe Unternehmen, geplant für Q2 2022
  • Bring your own key – BYOK-Verschlüsselung für Jira und Confluence, geplant für 2023: Verschlüsseln Sie Jira- und Confluence-Produktdaten mit einem Schlüssel, den Sie in Ihrer eigenen Instanz von AWS KMS verwalten.
  • Custom domains - Nutzung der eigenen Unternehmensdomain für ihre Atlassian Jira Cloud Instanz für Q4 2023
  • Data residency in Switzerland für Q1 2024
  • Datenklassifizierung - Die Möglichkeit Daten in Jira und Confluence zu klassifizieren für Q1 2024

Das heisst konkret?

Die Informationen sind umfangreich und teilweise komplex. Gerne unterstützen wir Sie, die Möglichkeiten der Cloud zu Ihrem Vorteil zu nutzen.

  • Wir unterstützen Ihre Cloud-Migration.
  • In Kooperation mit unseren Partnern in der Rechtsberatung klären wir offene Datenschutzbedenken.

Pascal Stiefel

Pascal Stiefel

Management

Mehr Blogartikel

Alle anzeigen
The GreaTest Quality Convention - Swarmit & Xray Booth
Events
The GreaTest Quality Convention - Swarmit & Xray Booth
Exploratory Testing with Jira Xray: A Hands-On Workshop
Events
Exploratory Testing with Jira Xray: A Hands-On Workshop
Offiziell als ITSM Spezialist von Atlassian zertifiziert
News
Offiziell als ITSM Spezialist von Atlassian zertifiziert
Swarmit Appvent Calendar: Eine Reise durch Innovative Apps
#GoodToKnow
Swarmit Appvent Calendar: Eine Reise durch Innovative Apps

Wir sind bereit für Ihren nächsten Schritt!

Sie möchten unsere Expertise nutzen und technologische Innovationen umsetzen?

Rückruf anfordern
Kontakt aufnehmen

Diese Webseite
verwendet Cookies

Cookies werden zur Benutzerführung und Webanalyse verwendet und helfen dabei, diese Webseite zu verbessern. Sie können hier unsere Cookie-Erklärung anzeigen oder hier Ihre Cookie-Einstellungen anpassen. Durch die weitere Nutzung dieser Webseite erklären Sie sich mit unserer Cookie-Richtlinie einverstanden.

Alle akzeptieren
Auswahl akzeptieren
Optimal. Funktionale Cookies zur Optimierung der Webseite, Social-Media-Cookies, Cookies für Werbezwecke und die Bereitstellung relevanter Angebote auf dieser Website und Websites Dritter sowie analytische Cookies zur Verfolgung von Website-Zugriffen.
Eingeschränkt. Mehrere funktionale Cookies für die ordnungsgemässe Anzeige der Website, z. B. um Ihre persönlichen Einstellungen zu speichern. Es werden keine personenbezogenen Daten gespeichert.
Zurück zur Übersicht

Sprechen Sie mit einem Experten

Haben Sie eine Frage oder suchen Sie weitere Informationen? Geben Sie Ihre Kontaktinformationen an und wir rufen Sie zurück.

Vielen Dank. Wir haben Ihre Anfrage erhalten und werden uns im angegebenen Zeitraum bei Ihnen melden.
Oops! Something went wrong while submitting the form.