Willkommen zum fünften und damit letzten Teil unserer Flugplan-Reihe rund um wichtige Datenschutz-Themen in Zusammenhang mit der Migration in die Atlassian Cloud! Wenn du unsere Artikel und Beiträge in den letzten Monaten verfolgt hast, dann ist dir bereits klar, dass der Datenschutz umfangreiche Anforderungen an ein Atlassian-Cloud-Projekt stellt. Dazu gehören viele selbstverständliche Themen, wie der Schutz aller Daten gemäß aktuellem Stand der Technik (Zugangsschutz, Back-up usw.). Neben diesem allgemeinen, technischen Schutz ergeben sich projektspezifische Ansprüche aus den Daten, die du in der Cloud für bestimmte Geschäftsprozesse speichern und verwenden möchtest. Wir empfehlen, diese Anforderungen individuell für dein Projekt und gemeinsam mit deiner eigenen Datenschutz-Abteilung zu ermitteln.
Wenn das allerdings nicht möglich ist, kann dir unsere Artikelreihe (Teil 1, Teil 2, Teil 3 und Teil 4 sind bereits online) dabei helfen, einige wichtige Anforderungen in Bezug auf den Datenschutz zu berücksichtigen, die erfahrungsgemäß bei vielen Atlassian-Cloud-Projekten bestehen.
Schau gemeinsam mit uns durch die Datenschutz-Brille und mache heute den 5. Schritt – rein in die Qualitätssicherung!
Datenschutz-Experte Thomas Rosin
Thomas Rosin ist Experte für Daten- und Informationsschutz. Er ist als Datenschutzbeauftragter und Berater für Unternehmen und Unternehmensgruppen mit Hauptsitz in Deutschland tätig. Daneben lehrt er Datenschutz im Masterstudiengang Wirtschaftsinformatik an der Rheinischen Fachhochschule Köln. Er stellt Seibert Media regelmäßig sein Expertenwissen rund um den Datenschutz zur Verfügung.
Kontakt: info@thomasrosin.de
Web: https://www.thomasrosin.de
Der 5-Schritte Flugplan in die Atlassian Cloud – Schritt 5: Qualitätssicherung
Welcher “Typ” bist du: Suchst du gerne nach Verbesserungspotenzial und hast Spaß daran, auch noch den letzten Fehler zu finden? Oder sind bei dir umfangreiche Tests genauso beliebt wie die Erstellung von IT-Dokumentationen? Im Datenschutz gehören Tests und regelmäßige Wirksamkeitskontrollen zum gesetzlich geforderten Standard. Im letzten Teil unseres 5-Schritte-Flugplans zeigen wir dir daher, was du hierbei beachten solltest.
Nach dem Test ist vor dem Test
Du erinnerst dich vielleicht: Im vierten Teil des 5-Schritte-Flugplans haben wir darauf hingewiesen, dass du, wenn es um die Entwicklung und das Testen geht, zunächst auf die Verwendung „echter“ personenbezogener Daten verzichten solltest. Viel zu schnell können in dieser frühen Phase Fehler zu einem meldepflichtigen Datenschutzvorfall und einer unangenehmen (oder auch kostspieligen) Sichtbarkeit führen. Aber irgendwann kommt der Zeitpunkt, zu dem auch mit echten Daten getestet werden muss. Spätestens dann, wenn du das finale Ergebnis deiner Cloud-Migration noch einmal vollständig überprüfst, bevor du die Atlassian Cloud für deine User freigibst.
Mit einem letzten Test vor der Freigabe für die Nutzung ist es aber nicht getan. Sowohl einschlägige Standards (z. B. ISO 27001) als auch der Gesetzgeber (Art. 32 Abs. 1 lit. d DS-GVO) fordern in regelmäßigen Abständen eine Überprüfung, ob die getroffenen Maßnahmen wirksam sind. Auch wenn sich dein Unternehmen nicht an der ISO 27001 orientiert, solltest du die gesetzlichen Anforderungen berücksichtigen. Denn: Bei eventuellen zukünftigen Datenschutz-Problemen, etwa einer Datenschutzpanne, zählt die Ausrede „Das hat früher aber mal funktioniert“ nicht.
Was sollte getestet werden?
Im Rahmen deiner Projektkonzeption hast du vorab festgelegt, welche Daten in die Atlassian Cloud migriert werden sollen. Du hast technische und organisatorische Maßnahmen definiert, mit denen die Sicherheit der Daten gewährleistet werden soll. Und du hast Regeln für die IT und die User aufgestellt, wie ein sicherer Umgang mit Daten und Atlassian-Produkten aussehen muss. Alle diese Maßnahmen und Regelungen gilt es zu überprüfen. Hierbei können Personen aus unterschiedlichen Arbeitsbereichen mitwirken.
IT-Hausaufgaben – auch in der Atlassian Cloud: Monitoring und Wirksamkeitskontrollen
Wir gehen davon aus, dass du es gewohnt bist, deine selbst betriebene IT-Infrastruktur angemessen zu überwachen (z. B. mit Monitoring-Tools). Aber auch dann, wenn ein Cloud-Anbieter die Infrastruktur für dich betreibt und dir fertige IT-Dienste zur Verfügung stellen, ist es hilfreich – und in einigen Bereichen weiterhin unabdingbar – diese zu überwachen.
Wenn du die Erreichbarkeit und die Performance der bereitgestellten Dienste selbst prüfst, vermeidest du, dass deine User durch Meldungen auf Probleme aufmerksam machen müssen. Es bleibt weiterhin deine Aufgabe, die von dir eingerichteten Schutzmaßnahmen ständig im Blick zu haben. Hierzu gehört unter anderem die Prüfung, ob Datensicherungen planmäßig und erfolgreich ausgeführt wurden. Du solltest aber auch regelmäßig ohne konkreten Anlass prüfen, ob sich deine Datensicherungen im Bedarfsfall zurückspielen lassen.
Viele dieser gewohnten Hausaufgaben eines zeitgemäßen IT-Betriebs bleiben dir auch nach einer Migration in die Cloud erhalten. Die folgenden Themen gehören in jedem Fall dazu:
- Monitoring der von dir beauftragen Cloud-Dienste (Erreichbarkeit bzw. Verfügbarkeit der Dienste; Performance)
- Funktionsfähigkeit geschäftskritischer Anwendungen Erreichbarkeit und Nutzbarkeit von Schnittstellen (APIs) in der Cloud
- Erreichbarkeit und Nutzbarkeit von Schnittstellen (APIs) zu deiner eigenen Infrastruktur oder anderen Cloud-Diensten
- Überwachung konkreter Geschäftsaktivitäten (z. B. Anzahl neu eröffneter Tickets, die durch eingehende E-Mails generiert werden)
- Datensicherungen (Wurden diese erfolgreich durchgeführt? Sind die Daten wiederherstellbar?)
- Funktionsfähigkeit und korrekte Funktion von Netzwerk-Schnittstellen zwischen Cloud und deiner On-premises-IT (VPNs, Firewalls)
- Übergreifende Penetrationstests (automatisiert, manuell – im Bereich der Atlassian Cloud aber unbedingt vorher mit Atlassian und allen weiteren betroffenen Anbietern abstimmen)
Wirksamkeitskontrollen aus Sicht des Datenschutzes
Die regelmäßige Prüfung aller getroffenen Schutzmaßnahmen (IT-Sicherheit) ist auch ein essenzielles Bedürfnis des Datenschutzes. Diesseits der Technik solltest du aber noch weitere Bereiche berücksichtigen:
1. Welche Daten werden in der Cloud gespeichert?
Es ist ratsam, im Vorfeld deines Migrationsprojekts klare Vorgaben für die Fachbereiche zu erarbeiten und abzustimmen, welche Daten in welchem Bereich der Atlassian Cloud gespeichert werden dürfen – und welche eventuell auch nicht.
Die Einhaltung dieser Vorgaben sollte regelmäßig – mindestens jährlich, bei höherem Schutzbedarf häufiger – überprüft werden. Eine solche Überprüfung muss nicht unbedingt vollständig erfolgen, die Stichproben sollten allerdings angemessen groß sein.
2. Sind die Berechtigungen aktuell und wirksam?
Zudem solltest du im Blick behalten, ob dein Berechtigungskonzept sich bewährt – ob also die eingerichteten Berechtigungen sinnvoll und wirksam sind. Auch hier empfiehlt sich eine mindestens jährliche Überprüfung. Achte hierbei vor allem darauf, ob Daten und Funktionalitäten ohne Authentifizierung zugänglich sind (und ob dies tatsächlich so erforderlich ist).
Die Vergabe von Berechtigungen an die User sollte als wesentlicher Bestandteil des Berechtigungskonzeptes ebenfalls geprüft werden. Gibt es beispielsweise noch aktive User, die längst das Unternehmen verlassen oder den Arbeitsbereich gewechselt haben? Bei Kontrollen haben wir häufiger festgestellt, dass die Auszubildenden – die ja meist nahezu alle Abteilungen eines Unternehmens durchlaufen – am Ende mehr Berechtigungen als alle anderen Mitarbeiter*innen besitzen.
Abschließend solltest du auch untersuchen, welche Gastbenutzer*innen es gibt und ob diese noch weiter benötigt werden. Idealerweise werden solche externen User nur mit einem automatischen Deaktivierungsdatum eingerichtet.
3. Welche Datenfreigaben gibt es nach außen?
Weißt du, ob und welche Datenfreigaben für externe Nutzer*innen oder sogar für einen anonymen Datenzugriff vorhanden sind? Hand aufs Herz: Wahrscheinlich nicht oder zumindest nicht vollständig. Dieser Zustand ist aus Datenschutzsicht ein Alptraum! Erschwerend kommt hinzu: Je nach Konfiguration deines Atlassian Tenants können deine User selbst Berechtigung für z. B. einen anonymen Zugriff auf Daten vergeben. In der Praxis sollte das die Ausnahme bleiben. Viele anonyme Freigaben können ein Zeichen dafür sein, dass die Berechtigungskonfiguration nicht optimal ist oder dass die Nutzer*innen nur unzureichend informiert sind.
4. Kontrolliere deine Regeln und Richtlinien!
Die in Nr. 1 genannten Vorgaben beziehen sich natürlich nicht nur auf die Art der Daten – auch andere Themen zum Umgang mit der Atlassian Cloud und den dort betriebenen Applikationen sollten geregelt sein. Wenn du in einem großen Unternehmen tätig bist, dann ist dir das Arbeiten mit Arbeitsanweisungen, Verfahrensanleitungen oder Richtlinien vertraut. Die Einhaltung solcher Regelungen solltest du stichprobenartig kontrollieren. In vielen Fällen genügt eine jährliche Kontrolle.
5. Werden Daten gelöscht?
Nichts währt für immer – so sollte es auch mit den meisten personenbezogenen Daten sein. In unserer Spezialausgabe „Löschkonzept“ haben wir dir beschrieben, was du beim Thema Löschen beachten solltest. Aber funktionieren die von dir in deinem Löschkonzept festgelegten Prozesse? Ein gutes Konzeptpapier allein erfüllt die gesetzlichen Vorgaben nicht. Daher ist es, mit Blick auf die Wirksamkeit, wichtig, die Löschprozesse regelmäßig zu überprüfen.
6. Haben sich rechtliche Rahmenbedingungen geändert?
Rechtliche Vorgaben sind nicht in Stein gemeißelt. Neue oder geänderte gesetzliche Vorschriften sowie aktuelle Entscheidungen der Gerichte können dazu führen, dass deine mühsam entwickelten Konzepte zum Datenschutz nicht mehr passend sind. Um die Cloud weiterhin rechtskonform nutzen zu können, sind dann geeignete Anpassungen erforderlich. Ein aktuelles Beispiel war der erforderlich gewordene, neue Atlassian-Datenschutzvertrag, weil sich hier der rechtliche Rahmen in Europa geändert hatte. Unsere Empfehlung: Lasse deine Konzepte jährlich durch deinen Datenschutzbeauftragten oder deine Datenschutzbeauftragte auf rechtliche Aktualität prüfen.
Wie oft sollte getestet werden?
Umfang und Häufigkeit von Tests und Wirksamkeitskontrollen richten sich zunächst nach dem konkreten Schutzbedarf deiner Daten. Je höher der Schutzbedarf, umso umfangreicher und häufiger sollte geprüft werden. Als erste Orientierung:
- Bei einem normalen Schutzbedarf sollten automatisierte Tests für die Verfügbarkeit und Qualität von Diensten innerhalb der Betriebszeiten deines Unternehmens mehrmals täglich (z. B. stündlich) durchgeführt werden. Meist macht es aber keinen Unterschied, wenn du dafür kürzere Intervalle wählst.
- Manuelle Überprüfungen mit Blick darauf, ob Back-ups wiederhergestellt werden können, sollten so geplant werden, dass alle Back-up-Jobs (nicht jede einzelne Durchführung) innerhalb eines Jahres mindestens einmal geprüft wurden. Bei höherem Schutzbedarf entsprechend öfter.
- Flächendeckende Penetrationstests sollten mindestens jährlich durchgeführt werden.
- Die Überprüfung von Regeleinhaltungen – also ob Mitarbeiter*innen alle Regelungen kennen und sich auch daran halten – kann per Stichproben erfolgen (jährlich, auf angemessene Anzahl achten). Ist der Schutzbedarf deines Unternehmens hoch, sind gegebenenfalls auch monatliche Überprüfungen begründbar.
Noch mehr Dokumentation?
Wenn du all diese Tests und Prüfungen professionell planst und durchführst, ergibt sich dadurch ein gewisser Dokumentationsaufwand. Beschreibe die entsprechenden Aktivitäten daher in einem Konzept und passe sie in der Praxis so an, wie deine gemachten Erfahrungen es verlangen. Die Durchführung der Prüfung sollte gemeinsam mit dem ermittelten Ergebnis dokumentiert werden. Hier lohnt es sich, z. B. mit Bildschirmfotos das Ergebnis festzuhalten, sodass eine dritte Person auch später noch nachvollziehen kann, wie du zu deinem Prüfergebnis gekommen bist.
Um das richtige Maß zu finden, könntest du bei der Konzeption die Abteilungen in deinem Unternehmen einbeziehen, die sich mit Softwaretests oder Qualitätssicherung beschäftigen. Im Zweifel hilft hier auch wieder der oder die Datenschutzbeauftragte.
Fazit
Du solltest auch nach der Migration in die Atlassian Cloud regelmäßig prüfen, ob die Qualität der Dienste und Anwendungen, Schutzmaßnahmen und der Umgang mit der Cloud für deine Anforderungen ausreichend ist.
Art, Umfang und Häufigkeit von Prüfungen richten sich nach dem Schutzbedarf deiner Daten und Anwendungen. Bei kleineren Unternehmen besteht die erste Herausforderung vermutlich darin, den Schutzbedarf zu ermitteln. Hier kann gegebenenfalls externer Rat eingeholt werden. Unternehmen mit einer ISO-27001-Zertifizierung dürfte es hingegen nicht schwerfallen, den Schutzbedarf festzustellen und das richtige Maß für Tests und Prüfungen zu finden. Damit du nicht ständig das Rad neu erfinden musst, ist es hilfreich, wenn du alles in einem Test- und Prüfkonzept beschreibst und die Ergebnisse so dokumentierst, dass sie für Dritte nachvollziehbar sind.
Hat dich unser 5-Schritte-Flugplan weitergebracht? Oder hast du jetzt mehr Fragen als zuvor? Schreib uns deine Meinung oder deine Ideen und Vorschläge, welche Antworten dir zum Datenschutz in der Atlassian Cloud noch fehlen: atlassian-licensing@seibert-media.net. Wir freuen uns auf dein Feedback! Konkrete inhaltliche Fragen beantwortet dir auch gerne Thomas Rosin direkt: info@thomasrosin.de.
Zum Abschluss
Die von Seibert Media GmbH aufgeführten rechtlichen Inhalte, z. B. Urteile, Tipps und Beiträge, sind nach bestem Wissen und Gewissen sorgfältig zusammengestellt. Es wird kein Anspruch auf Vollständigkeit und Ausschließlichkeit der Inhalte erhoben. Die zur Verfügung gestellten Informationen dienen lediglich zu Informationszwecken und ersetzen keine individuelle juristische Beratung. Sie sind unverbindlich und nicht Gegenstand einer Rechtsberatung. Seibert Media GmbH übernimmt keine Gewähr dafür, dass im Streitfall den hier dargelegten Urteilen und Ansichten gefolgt wird. Eine Haftung für die von Seibert Media GmbH veröffentlichten Inhalte wird daher nicht übernommen.
Die veröffentlichten Inhalte enthalten Verweise und Links zu anderen Websites. Hierbei können wir keine Gewähr für die fortwährende Aktualität, Richtigkeit und Vollständigkeit der verlinkten Inhalte übernehmen, da diese Inhalte außerhalb unseres Verantwortungsbereichs liegen und wir auf die zukünftige Gestaltung keinen Einfluss haben. Sollten aus deiner Sicht Inhalte gegen geltendes Recht verstoßen oder unangemessen sein, teile uns dies bitte mit.
Die Zukunft ist oben!
Atlassian stellt im Februar 2024 den Support für seine Server-Produkte ein. Nutze daher die verbleibende Zeit und informiere dich über einen Umzug in die Cloud. Oder, noch besser – probiere sie ganz einfach aus: Mit unserem Cloud Migration Trial kannst du die Cloud und ihre Vorzüge selbst testen und erste Erfahrungen sammeln, ohne dein bestehendes Produktivsystem zu beeinträchtigen.
Steht deine Entscheidung für die Cloud schon fest und du möchtest nun herausfinden, ob dein Unternehmen bereit für einen Umstieg ist? Dann empfehlen wir dir, dich durch unser kurzes Cloud-Quiz zu klicken – in nur 11 Fragen stellt sich heraus, ob und wie “migrationsreif” du bist! Zudem lohnt es sich, sich schon im Vorfeld einer Migration über das Thema “Datenschutz in der Cloud” zu informieren. Gemeinsam mit dem Datenschutzexperten Thomas Rosin haben wir dir hier einige Informationen sowie einen praktischen Flugplan mit allen Schritten zusammengestellt.
Weiterführende Infos
Wer hat Angst vor der DSGVO? Furchtlos in die Atlassian Cloud – mit Seibert Media und Thomas Rosin
Neun Monate bis zum Support-Ende der Atlassian-Server-Produkte: Wie Kunden jetzt die Cloud-Migration vorbereiten
Der 5-Schritte-Flugplan in die Atlassian Cloud – Schritt 4: Umsetzung und Go-live
Podcast: Die Cloud und der Datenschutz – eine Bestandsaufnahme und was Atlassian-Kunden beachten sollten
Abheben in die Atlassian Cloud mit dem 5-Schritte Flugplan – Exkurs: Das Löschkonzept
Sieben Sicherheitspraktiken für moderne Cloud-Software, die nicht verhandelbar sind