Quo Vadis Atlassian: Jira und Confluence Cloud und die DSGVO

Modelle, Features und DSGVO-relevante Merkmale der Atlassian Cloud Pläne sowie Möglichkeiten eines DSGVO-konformen Betriebes.

07.07.2020

Tags

Disclaimer: Die nachfolgenden Informationen erfolgen nicht im Rahmen eines konkreten Vertragsverhältnisses. Der Verfasser übernimmt keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen. Haftungsansprüche gegen den Verfasser, welche sich auf Schäden materieller oder ideeller Art beziehen, die durch die Nutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind grundsätzlich im weitest zulässigen Rahmen ausgeschlossen.

Als langjähriger Atlassian Platinum Solution Partner mit Sitz in Deutschland stellen wir überwiegend europäischen Kunden unsere Dienstleistungen rund um die Lösungen von Atlassian zur Verfügung - unabhängig vom jeweiligen Betriebsmodell (Cloud, Server, Data Center oder als Managed Hosting).

Durch die stetig steigende Verbreitung der Anwendungen und deren Wichtigkeit in Unternehmen - nicht zuletzt durch den massiven Zuwachs an Tele- bzw. Heimarbeit in Zeiten einer Pandemie - stellen wir in den letzten Jahren einen starken Zustrom an Anfragen hinsichtlich eines sicheren, datenschutzkonformen und hochverfügbaren Betriebs fest.

Spätestens mit der Einführung der Datenschutzgrundverordnung (DSGVO) im Mai 2018, erfordern Einsatz und Betrieb aller Anwendungen, in denen personenbezogene Daten (bspw. von Mitarbeitern, Kunden, Lieferanten) verarbeitet werden, eine detaillierte Betrachtung bzw. Datenschutz-Folgenabschätzung.

Abhängig vom Betriebsmodell sind unterschiedliche Aspekte zu berücksichtigen: bei den in Deutschland und anderen europäischen Ländern noch immer vorherrschenden Varianten Server und Data Center im eigenen Rechenzentrum oder in Form eines Managed Hostings / Managed Services, wie ihn die kreuzwerker unter hosting.kreuzwerker.de auch anbieten, gilt es, die Applikationen hinsichtlich ihrer Funktionalität bspw. zu datenschutzfreundlichen Voreinstellungen zu betrachten. Bei einem Managed Hosting / Betrieb wird dies durch einen Dienstleister (=Auftragsverarbeitung) unterstützt. Ein mit dem Dienstleister geschlossener Auftragsdatenverarbeitungsvertrag (AVV) stellt einen DSGVO-konformen Betrieb sicher. Die technischen und organisatorischen Maßnahmen legen dabei die konkret vom Dienstleister getroffenen Maßnahmen dar, um Überwachung und Einhaltung eines DSGVO-konformen Betriebs abzusichern.

Insbesondere in stark regulierten Bereichen (Medizintechnik, Finanzen, Versicherungen) bzw. stark heterogenen Umgebungen mit einer Vielzahl an Integrationen kann es von Vorteil sein, einen flexiblen, lokalen Partner zu wählen.

Wie aber sieht es bei den nativen Cloud-Angeboten von Atlassian aus? Atlassian bietet seine Cloud Produkte in unterschiedlichen Lizenzmodellen (Cloud-Plänen) an. Bereits seit 2008 verfügt Atlassian über ein eigenes Betriebsangebot. Gestartet als Jira Studio (welches eher dem klassischen Managed Hosting entsprach) und später in Atlassian OnDemand umbenannt, steht seit 2014 mit “Atlassian Cloud” ein natives Cloud Angebot von Atlassian bereit. Neben den beiden bereits etablierten Lizenzmodellen “Cloud Standard” und “Cloud Premium”, bietet Atlassian seit kurzem auch ein “Cloud Enterprise” Paket an. Die nachfolgende Tabelle stellt die verschiedenen Leistungen gut dar.

Tabelle Vergleich

Die Atlassian Cloud Angebote beinhalten im wesentlichen die Produkte: Jira Software, Jira Core, Jira Service Desk, Portfolio, Confluence und Bitbucket. Der Funktionsumfang weicht je nach Produkt leicht von den Server und Data Center Varianten ab. Einen generellen Überblick der Unterschiede zwischen den Betriebsmodellen Cloud und Server liefert Atlassian hier.

Für die Applikationen Jira, Confluence und Bitbucket existieren jeweils produktspezifische Übersichten.

Mit Atlassian Access gibt es zudem ein Cloud Produkt um Nutzer und Produkte zentral zu verwalten sowie Compliance-Anforderungen zentral überwachen zu können. Durch Zukäufe hat Atlassian in den letzten Jahren sein Produktangebot um Trello, StatusPage und OpsGenie erweitert.

Bei der Weiterentwicklung setzt Atlassian auf Transparenz und hat die Roadmap für die die Atlassian Cloud Plattform und begleitenden Dienste unter https://www.atlassian.com/trust/roadmap veröffentlicht.

Atlassians Bemühungen um ein DSGVO-konformes Angebot, welches den hohen Anforderungen europäischer Kunden entspricht, sind in dieser Roadmap übersichtlich dargestellt. Der Standard AVV (DPA) regelt bereits eine Vielzahl der Erfordernisse der DSGVO. Dort, wo es Lücken gibt, beispielsweise bzgl. der Anforderungen an das Datenschutzmanagement, das Incident-Response Management oder interne Kontrollen / Audits, hilft eine Betrachtung weiterer Dokumente, wie zum Beispiel:

Cloud Terms of Service
Privacy Policy
Zertifizierungen / Compliance
Atlassian Common Controls Framework

Die meisten Cloud-Angebote von Atlassian sind bereits ISO27001 und SOC2, bzw. SOC3 zertifiziert, weitere sind in Planung.

Im aktuellen Stand wird ein DSGVO-konformer Einsatz demnach für die meisten möglich sein. Insbesondere in stark regulierten Bereichen oder solchen, die einen hochflexiblen Betrieb erfordern, wird die Prüfung vom Einzelfall abhängen.

Atlassian hat in den vergangenen Monaten sehr viel in die Plattform investiert und eine Vielzahl früher existierender Blockaden gelöst. An zwei wesentlichen Punkten arbeitet Atlassian noch aktiv: Data Locality und der DSGVO-konforme Einsatz von Erweiterungen (Apps aus dem Atlassian Marketplace, auch als Add-Ons oder Plugins bekannt).

Stand heute gibt es eine explizite Kontrolle über den Speicherort der Daten - ein EAP (Early Access Program) im Cloud Enterprise Plan erlaubt dies bereits in ersten Zügen bereits. In allen anderen anderen Plänen werden die Daten automatisch dort vorgehalten, von wo die meisten Nutzer auf die Plattform zugreifen (für Europäische Kunden also in Europa) - eine Kontrolle darüber gibt es jedoch nicht. Für Primärdaten hat Atlassian dies bereits auf der Roadmap. Für Sekundärdaten (beispielsweise für den Suchindex) wird dies zu einem späteren Zeitpunkt realisiert.

Bei Jira Cloud und Confluence Cloud handelt es sich in großen Teilen um eine funktional identische (oder mitunter verbesserte) Basis, die jedoch technisch weitestgehend neu implementiert wurde. Dies gilt auch für die Schnittstellen und das App-Framework. Bei Server und Data Center Produkten werden die Add-Ons meist als Teil der Applikation lokal (auf dem gleichen Server) betrieben. Bei der Cloud ist dies nicht der Fall. Hier werden die Apps von Anbietern aus dem Marketplace extern durch diese bereitgestellt / betrieben. Sie interagieren über Schnittstellen mit den Atlassian Applikationen. Die Bereitstellung von Apps erfolgt durch den Anbieter im Marketplace selbst, dieser ist somit also auch direkter Vertrags- und Ansprechpartner für die jeweilige App.

Anbieter von Apps im Atlassian Marketplace sind angehalten personenbezogene Daten nicht lokal zu speichern, sofern dies nicht für die Funktionalität der App zwingend erforderlich ist. Zudem hat Atlassian eine Reihe neuer Schnittstellen für App Anbieter implementiert, um den Anforderungen der DSGVO zum Beispiel im Bezug auf das Recht auf Löschung und Berichtigung bzw. den Mitteilungspflichten gerecht zu werden (https://developer.atlassian.com/cloud/jira/platform/user-privacy-developer-guide/).

Eine erhebliche Vereinfachung, die eine gesonderte Betrachtung obsolet machen würde, könnte Atlassian Forge liefern. Forge ist eine Entwicklungs- und Betriebsumgebung für Atlassian Cloud Apps, welche auch den Betrieb der Apps auf der Atlassian Infrastruktur und somit unter identischen technischen und organisatorischen Bedingungen im Hinblick auf Sicherheit, Konformität und Compliance erlaubt.

Sollten Sie Fragen zu den Produkten, Betriebsmodellen und dem DSGVO-konformen Einsatz von Atlassian Applikationen haben melden Sie sich zu unserem Webinar zum Thema Atlassian Cloud und die DSGVO an, oder nehmen Sie gerne Kontakt mit uns auf.

E-Mail: atlassian@kreuzwerker.de
Telefon: +49 30 609 83 880