Willkommen zum 3. Teil unserer Flugplan-Reihe rund um wichtige Datenschutz-Themen in Zusammenhang mit der Migration in die Atlassian Cloud! Wenn du unsere Artikel und Beiträge in den letzten Monaten verfolgt hast, dann ist dir bereits klar, dass der Datenschutz umfangreiche Anforderungen an ein Atlassian-Cloud-Projekt stellt. Dazu gehören viele selbstverständliche Themen, wie der Schutz aller Daten gemäß aktuellem Stand der Technik (Zugangsschutz, Back-up usw.). Neben diesem allgemeinen, technischen Schutz ergeben sich projektspezifische Ansprüche aus den Daten, die du in der Cloud für bestimmte Geschäftsprozesse speichern und verwenden möchtest. Wir empfehlen, diese Anforderungen individuell für dein Projekt und gemeinsam mit deiner eigenen Datenschutz-Abteilung zu ermitteln.
Wenn das allerdings nicht möglich ist, kann dir unsere Artikel-Reihe (Teil 1 und Teil 2 sind bereits online) dabei helfen, einige wichtige Anforderungen in Bezug auf den Datenschutz zu berücksichtigen, die erfahrungsgemäß bei vielen Atlassian-Cloud-Projekten bestehen. Schau gemeinsam mit uns durch die Datenschutz-Brille!
Datenschutz-Experte Thomas Rosin
Thomas Rosin ist Experte für Daten- und Informationsschutz. Er ist als Datenschutzbeauftragter und Berater für Unternehmen und Unternehmensgruppen mit Hauptsitz in Deutschland tätig. Daneben lehrt er Datenschutz im Masterstudiengang Wirtschaftsinformatik an der Rheinischen Fachhochschule Köln. Er stellt Seibert Media regelmäßig sein Expertenwissen rund um den Datenschutz zur Verfügung.
Kontakt: info@thomasrosin.de
Web: https://www.thomasrosin.de
Du kennst die fachlichen Anforderungen für dein Cloud-Projekt und der Datenschutz ist abgeholt: Jetzt kann es endlich richtig losgehen! Aber bevor du der Datenmigration und der finalen Implementierung beginnst, solltest du das Design festlegen und für alle relevanten Bereiche ein geeignetes Konzept entwickeln. Ein solch strukturiertes Vorgehen ist aber nicht überall in der IT beliebt: Während bei manchen Unternehmen die Einführung eines Wikis als großer Fortschritt gefeiert wird, geben sich andere längst nicht nur mit einem schriftlichen „Statement of Work“ und einem 30-seitigen Grobkonzept zufrieden.
Sind Konzeption und Dokumentation wirklich erforderlich?
Wie viel Konzeption und Dokumentation sind tatsächlich notwendig? Und was ist hier aus Sicht des Datenschutzes zu beachten? Ein Blick in das Gesetz kann helfen – hier nur kurz und knapp: Der*Die Verantwortliche hat geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik zu treffen. Hierbei sind Rahmenbedingungen wie Art, Umfang und Risiken der Datenverarbeitungen, aber auch die Implementierungskosten zu berücksichtigen (aus Artikel 32 der EU-Datenschutz-Grundverordnung (DS-GVO)).
Einen Hinweis zum „Stand der Technik“ bietet unter anderem die Norm IEC/ISO 27001 (Informationssicherheit): Schon die Einleitung setzt voraus, dass „die Informationssicherheit bereits bei der Konzeption von Prozessen, Informationssystemen und Maßnahmen berücksichtigt wird“. Auf den rund 30 Seiten (inklusive Deckblatt) dieser Norm findet die Volltextsuche dreißig Mal das Wort „dokumentiert“.
Wir beenden an dieser Stelle die kurze Gesetzes- und Normenschau mit dem Fazit: Konzeption und Dokumentation gehören zu einer sicheren IT nach dem heutigen Stand der Technik.
Wo fange ich an?
Konzeptionell fängt der Datenschutz bereits bei den operativen Standard-IT-Themen an: User-Support, Change- und Patchmanagement, Monitoring, Back-up und Schutz vor Schadsoftware. Hier empfiehlt es sich, die Standards der eigenen IT (die hoffentlich angemessen hoch sind) auch in der Cloud fortzuführen. Aufgrund der neuen Aufgabenverteilung müssen diese aber meist angepasst werden. (Um welche Themen kümmert sich Atlassian, um welche Themen muss sich mein Unternehmen kümmern?)
Von Seiten der Architektur lohnt es sich, dem Weg der Daten im Sinn des Datenflusses konzeptionell zu folgen und zu prüfen, wie die Daten in Bewegung („data in transit“) und an den jeweiligen Speicherorten („data at rest“) angemessen geschützt werden können. Erste Informationen, wie das in der Atlassian Cloud erfolgt, bietet dieser Atlassian-Blogartikel. Daneben beschreibt Atlassian in seiner Online-Dokumentation ausführlich die technischen und organisatorischen Schutzmaßnahmen.
Welche Themen sind für den Datenschutz wichtig?
Im Datenschutz wird häufig nach bestimmten Einzelkonzepten oder vorzubereitenden Themen gefragt. Hierzu gehören:
Das Berechtigungskonzept:
Der Zugang zu Systemen und der Zugriff auf Daten und Funktionen muss aktiv geregelt werden. Das Berechtigungskonzept beschreibt, wie sichergestellt wird, dass nur die befugten Personen Zugriff auf die Atlassian Cloud haben.
Hierbei sollten Einzelberechtigungen sinnvoll in Form von Rollen kombiniert und beschrieben werden (Beispiele für Rollen sind „Vertriebsmitarbeiter*in“, „Vertriebsleiter*in“, „Bereichsassistentin“). Zudem sollten nur die unbedingt erforderlichen Berechtigungen zugewiesen werden. Gerade in größeren Unternehmen ist es wichtig, darauf zu achten, dass nicht eine einzelne Person bestimmte Berechtigungen bei sich vereint (z. B. die Möglichkeit zur Bestellung externer Dienstleistungen und die Durchführung von Zahlungen). Bereits an diesem Beispiel wird deutlich, dass die Zusammenstellung von Berechtigungen komplex sein kann und eine vorherige konzeptionelle Betrachtung sinnvoll ist.
Daneben sollte der Prozess – von der Beantragung über die Freigabe bis zur Vergabe und Dokumentation der Berechtigungen – festgelegt werden.
Und: Wie wird sichergestellt, dass nicht mehr benötigte Berechtigungen wieder entfernt werden, beispielsweise wenn Mitarbeitende eine neue Aufgabe bekommen oder das Unternehmen verlassen? Auch auf diese Frage solltest du eine Antwort finden.
Dem Gesetz nach müssen personenbezogene Daten gelöscht werden, wenn sie für den ursprünglichen Zweck, zu dem sie gespeichert wurden, nicht mehr benötigt werden. Dabei sind eventuelle gesetzliche Pflichten zur Aufbewahrung mit zu berücksichtigen („Aufbewahrungsfristen“).
In einem Löschkonzept werden die umfangreichen Anforderungen des Unternehmens an die Aufbewahrung und Löschung von Daten gesammelt und eine rechtskonforme Berücksichtigung im eigenen Unternehmen festgelegt. Wie ein Löschkonzept konkret erstellt werden muss, beschreibt die Norm DIN 66398.
Wenn dein Unternehmen noch kein übergreifendes Löschkonzept besitzt, kann es herausfordernd sein, solche Festlegungen nur für eine einzelne Cloudlösung vorzunehmen. Allerdings ist es nicht optimal, wenn du dann kurzerhand ganz auf ein Löschkonzept verzichtest. Eine Möglichkeit wäre, dich vorher mit der zuständigen Datenschutz-Fachkraft abzusprechen, wie ihr das in eurem Unternehmen handhaben könnt.
Die Säulen des Datenschutzes sind „Transparenz“ und „Kontrolle“ für die betroffenen Personen. Auch bei Nutzung einer Cloudlösung sind die vom Gesetzgeber vorgeschriebenen Informations- und Transparenzpflichten zu erfüllen. Bei einem Umstieg in die Cloud sind ggf. die bereits bestehenden Rechtstexte („Informationen zur Verarbeitung der personenbezogenen Daten“, „Datenschutzerklärung“, „Privacy Notices“ o. Ä.) zu aktualisieren. In Unternehmen üblich sind unterschiedliche Datenschutzerklärungen für Beschäftigte, Kunden und Geschäftspartner. Werden Webportale oder Apps angeboten, z. B. ein Support-Portal, gibt es für diese in der Regel auch eine Datenschutzerklärung.
Die Herausforderung liegt dabei in den Detailinformationen, die in solchen Informationstexten enthalten sein müssen. Daher sollte auch hier die zuständige Datenschutz-Fachkraft im Vorfeld eingebunden werden.
„Kontrolle“ erhalten die betroffenen Personen über die im Gesetz festgelegten Betroffenenrechte. Unternehmen sind verpflichtet, die Erfüllung dieser Rechte zu gewährleisten. Das heißt: Sie müssen, entweder in einem separaten Konzept oder als Bestandteil anderer Konzepte des Cloud-Projekts, sicherstellen, dass eine Umsetzung dieser Rechte auch in der Cloud praktisch funktioniert.
Beispiel: Ein Bewerber, dessen Bewerbungsunterlagen in der Cloud gespeichert sind, möchte, dass seine Bewerbungsdaten im Fall einer Absage gelöscht werden. Die Daten werden nun gelöscht – aber entfernt der Cloud-Anbieter diese Daten tatsächlich aus seiner Cloud-Infrastruktur, inklusive aller Sicherungskopien – und bis wann? Wenn du jetzt denkst, das sei das Problem bzw. die Verantwortlichkeit des Anbieters, liegst du leider falsch: Vor dem Gesetz ist das Unternehmen, das die Cloud einsetzt, dafür verantwortlich. In der Praxis lässt sich das lösen, aber es erfordert eine nähere konzeptionelle Betrachtung.
Unterstützung durch den Datenschutz
Die Erfahrung zeigt, dass es sinnvoll ist, wenn eine Datenschutz-Fachkraft einen tieferen Blick in die IT-Konzepte wirft, bevor es an die Umsetzung geht. Häufig schlummern in bisher gewohnten technischen Vorgehensweisen Herausforderungen für den Datenschutz in der Cloud.
Beispiel: Während die Benutzer-Anmeldung an einem Büro-PC mit Benutzername und Passwort vielleicht noch in Ordnung ist, reicht das in einer über das Internet zugänglichen Cloud nicht mehr aus. Hier entspricht eine Multifaktor-Authentifizierung (MFA) dem aktuellen Stand der Technik, die bekannterweise gesetzlich gefordert wird.
Unser Fazit: Eine technisch erfahrene Datenschutz-Fachkraft kann dir und allen anderen Beteiligten bei den IT-Konzepten hilfreiche Impulse geben.
Zum Abschluss
Die von Seibert Media GmbH aufgeführten rechtlichen Inhalte, z. B. Urteile, Tipps und Beiträge, sind nach bestem Wissen und Gewissen sorgfältig zusammengestellt. Es wird kein Anspruch auf Vollständigkeit und Ausschließlichkeit der Inhalte erhoben. Die zur Verfügung gestellten Informationen dienen lediglich zu Informationszwecken und ersetzen keine individuelle juristische Beratung. Sie sind unverbindlich und nicht Gegenstand einer Rechtsberatung. Seibert Media GmbH übernimmt keine Gewähr dafür, dass im Streitfall den hier dargelegten Urteilen und Ansichten gefolgt wird. Eine Haftung für die von Seibert Media GmbH veröffentlichten Inhalte wird daher nicht übernommen.
Die veröffentlichten Inhalte enthalten Verweise und Links zu anderen Websites. Hierbei können wir keine Gewähr für die fortwährende Aktualität, Richtigkeit und Vollständigkeit der verlinkten Inhalte übernehmen, da diese Inhalte außerhalb unseres Verantwortungsbereichs liegen und wir auf die zukünftige Gestaltung keinen Einfluss haben. Sollten aus deiner Sicht Inhalte gegen geltendes Recht verstoßen oder unangemessen sein, teile uns dies bitte mit.
Die Zukunft ist oben!
Atlassian stellt im Februar 2024 den Support für seine Server-Produkte ein. Nutze daher die verbleibende Zeit und informiere dich über einen Umzug in die Cloud. Oder, noch besser – probiere sie ganz einfach aus: Mit unserem Cloud Migration Trial kannst du die Cloud und ihre Vorzüge selbst testen und erste Erfahrungen sammeln, ohne dein bestehendes Produktivsystem zu beeinträchtigen.
Steht deine Entscheidung für die Cloud schon fest und du möchtest nun herausfinden, ob dein Unternehmen bereit für einen Umstieg ist? Dann empfehlen wir dir, dich durch unser kurzes Cloud-Quiz zu klicken – in nur 11 Fragen stellt sich heraus, ob und wie “migrationsreif” du bist! Zudem lohnt es sich, sich schon im Vorfeld einer Migration über das Thema “Datenschutz in der Cloud” zu informieren. Gemeinsam mit dem Datenschutz-Experten Thomas Rosin haben wir dir hier einige Informationen sowie einen praktischen Flugplan mit allen Schritten zusammengestellt.
Weiterführende Informationen
Abheben in die Atlassian Cloud mit dem 5-Schritte-Flugplan – Schritt 1: Die Datenschutz-Bestandsaufnahme
Abheben in die Atlassian Cloud mit dem 5-Schritte-Flugplan – Schritt 2: Bewertung durch den Datenschutz
Der 5-Schritte-Flugplan – Extra: Das Atlassian Data Protection Addendum (DPA)
Datenschutzkonform in die Atlassian Cloud – mit dem 5-Schritte-Flugplan
Zeit, in die Cloud zu wechseln – Atlassian Data Center und Server werden im Februar 2023 teurer (Advantaged Prices)
