Sicher in die Atlassian Cloud mit dem 5-Schritte-Flugplan

Mit unserem 5-Schritte-Flugplan in die Atlassian Cloud (hier findest du Teil 1, Teil 2, Teil 3, Teil 4 und Teil 5) hast du eine solide Grundlage für die Absicherung deiner Cloud-Migration in Bezug auf den Datenschutz. Das heißt aber nicht, dass es nicht links und rechts davon Themen gibt, die du ebenfalls auf dem Schirm haben solltest.

Im heutigen Exkurs widmen wir uns dem deshalb den “Betroffenenrechten”. “Betroffene Personen” sind all die Menschen, um deren Daten es im Datenschutz geht: Also Mitarbeiter*innen, Kund*innen, Dienstleister*innen usw. Wie es sich mit den Betroffenenrechten in der Cloud verhält, wie du richtig reagierst und wo du Unterstützung erhältst, wenn du allein nicht weiterkommst – all das erfährst du in diesem Artikel.

Datenschutz-Experte Thomas Rosin

Thomas Rosin ist Experte für Daten- und Informationsschutz. Er ist als Datenschutzbeauftragter und Berater für Unternehmen und Unternehmensgruppen mit Hauptsitz in Deutschland tätig. Daneben lehrt er Datenschutz im Masterstudiengang Wirtschaftsinformatik an der Rheinischen Fachhochschule Köln. Er stellt Seibert Media regelmäßig sein Expertenwissen rund um den Datenschutz zur Verfügung.
Kontakt: info@thomasrosin.de
Web: https://www.thomasrosin.de

Der 5-Schritte Flugplan - Extra: Betroffenenrechte

Viele Unternehmen möchten in die Cloud migrieren, um die Nutzung von IT-Services einfacher und effizienter zu gestalten. Hersteller von IT-Produkten konzentrieren sich zunehmend auf die Cloud. Neue Produkt-Funktionalitäten werden bevorzugt dort implementiert. Das ist nicht verwunderlich, denn immer weniger Unternehmen möchten noch selbst das berühmte „Blech“ betreiben, also Serverhardware einkaufen und selbst reparieren bzw. instandhalten. Der Cloud-Anbieter kümmert sich darum und sorgt dafür, dass alles funktioniert. Soweit die Theorie.

In der Praxis müssen sich Unternehmen allerdings um einige Themen, darunter der Datenschutz, dennoch weiter kümmern. Bei den sogenannten „Betroffenenrechten“ sorgt die scheinbare Einfachheit der Cloud aber für Mehrarbeit. In diesem Beitrag erklären wir dir, worum es bei den Betroffenenrechten geht und was du in deiner Atlassian Cloud in diesem Zusammenhang beachten solltest.

Was sind Betroffenenrechte?

Die Grundidee im Datenschutz ist, dass die betroffenen Personen in gewissen Grenzen selbst darüber (mit)bestimmen können sollen, was mit ihrem eigenen Daten passiert. Die „betroffenen Personen“ sind die Menschen, um deren Daten es im Datenschutz geht. Wenn beispielsweise deine dienstliche E-Mail-Adresse genutzt wird, um dich als User in der Atlassian Cloud anzulegen, dann bist du hier eine betroffene Person.

Damit betroffenene Personen sich bei der Verarbeitung ihrer Daten mit einbringen können, hat der Gesetzgeber verschiedene Rechte („Betroffenenrechte“) definiert. Sie sollen sicherstellen, dass du dich als betroffene Person z. B. darüber informieren kannst, welche Daten von einem Unternehmen gespeichert und wozu diese verwendet werden („Auskunftsrecht“). Auch kannst du in gewissen Grenzen Einfluss darauf nehmen, was mit deinen Daten passiert. Unter anderem darfst du verlangen, dass falsche Daten korrigiert werden („Recht auf Berichtigung“) oder nicht mehr erforderliche Daten gelöscht werden („Recht auf Löschung“).

Was ist die Herausforderung und was ändert sich in der Cloud?

Wenn du für dich die Frage beantworten müsstest, welche Daten dein Arbeitgeber über dich besitzt und wo diese genau zu finden sind (digital oder in Papierform) – wüsstest du die Antwort? In kleineren Unternehmen gelingt das vielleicht noch gut – in Konzernen wird es deutlich schwerer. Überlege einmal, wie es in deiner Confluence-Instanz aussieht: Hast den Überblick zu den Inhalten der vielen Spaces, die es bei euch gibt?

Kommt im nächsten Schritt Cloud-Infrastruktur zum Einsatz, dann kümmert sich ein anderes Unternehmen um die Speicherung deiner Daten. Welche Daten werden wo genau in der Cloud gespeichert? Kann und darf man diese löschen und wie sieht es mit den Daten in den Cloud-Back-ups von Atlassian aus?

Große Unternehmensstrukturen einerseits und nicht immer einfach zu durchschauende Cloud-Infrastruktur andererseits machen es deutlich schwerer, eine Auskunftsanfrage oder ein Löschgesuch betroffener Personen in angemessener Zeit zu bearbeiten.

Wie lange darfst du dir Zeit nehmen?

Unternehmen („Verantwortlicher“) haben grundsätzlich einen Monat Zeit, um auf Anfragen von Betroffenen zu reagieren, bei denen es um die Wahrnehmung ihrer Betroffenenrechte geht. Im begründeten Ausnahmefall kann dieser Zeitraum auch um zwei Monate verlängert werden. Davon unbenommen ist, dass der Verantwortliche in jedem Fall innerhalb eines Monats antworten und die längere Bearbeitungszeit begründen muss.

Mit einer bloßen Eingangsbestätigung ist es dabei nicht getan: Innerhalb dieser Fristen müssen Unternehmen auch das Recht, das die betroffene Person ihnen gegenüber geltend gemacht hat, vollständig bearbeiten und beantworten. Das bedeutet, dass eine vollständige Auskunft zu erteilen ist, eine gewünschte Kopie der Daten bereitgestellt wurde und zu löschende Daten gelöscht sind.

Was passiert, wenn du die Betroffenenrechte nicht erfüllst?

Solange sich niemand beschwert, passiert vermutlich nichts. Betroffene Personen machen aber typischerweise dann von ihren Rechten Gebrauch, wenn bereits irgendetwas nicht so gelaufen ist, wie von der betroffenen Person erwartet. Je mehr Betroffenenanfragen ein Unternehmen erhält, desto größer ist die Wahrscheinlichkeit, dass Anfragen, die nicht zufriedenstellend beantwortet wurden, zu einer Beschwerde bei der zuständigen Aufsichtsbehörde führen. Diese Art von Sichtbarkeit wollen Unternehmen meist vermeiden.

Eine Beschwerde bei der Aufsichtsbehörde wird, sofern stichhaltig, von der Behörde untersucht. Das jeweilige Unternehmen wird aufgefordert, eine Stellungnahme abzugeben. Die Behörde entscheidet dann über weitere Untersuchungen oder Maßnahmen. Nach unserer Erfahrung schauen die Behörden spätestens bei sich wiederholenden Beschwerden genauer hin.

Grundsätzlich droht bei Nichterfüllung von Betroffenenrechten ein Bußgeld. Außerdem können Betroffene gegebenenfalls einen Schaden geltend machen und Schadenersatz fordern. Meist sorgen sich die Unternehmen aber mehr um die unangenehme Sichtbarkeit gegenüber der Behörde und das Risiko, das bei einer Untersuchung weitere Baustellen entdeckt werden.

Wie startest du am besten?

Zunächst solltest du verstehen, worum es im Datenschutz grundsätzlich geht – und dich damit beschäftigen, welche Daten du in der Atlassian Cloud speichern wirst. Dazu findest du hier einen Artikel mit einer Checkliste zum Einstieg.

Erstelle für die Atlassian Cloud eine Datenlandkarte, in der du genauer beschreibst, wo welche Arten von (personenbezogenen) Daten und zu welchem Zweck gespeichert werden. Ordne diese Daten auch Geschäftsprozessen zu, wenn es sich um Daten deiner Kunden und/oder Lieferanten bzw. Dienstleister handelt.

Im Artikel „Löschkonzept“ habe ich erklärt, wie du in deinen Geschäftsprozessen die Anforderungen an die Aufbewahrung und Löschung von Daten ermittelst. Das stellt sicher, dass du am Ende nur noch die Daten in der Atlassian Cloud speicherst, die wirklich erforderlich sind. Nur für diese Daten musst du sicherstellen, dass du Auskünfte und Kopien bereitstellen kannst.

Hier findest du einen weiteren Beitrag, der dir erklärt, wie Unternehmen eine Auskunftsanfrage beantworten müssen. Daraus kannst du ableiten, wie detailliert der Daten-Überblick sein muss (Stichwort „Datenlandkarte“), den du in deiner Cloud vorhalten musst. Damit bist du dann auf eine zeitnahe Bearbeitung von Betroffenenanfragen bezüglich deiner Atlassian Cloud vorbereitet. Die einzelnen Anfragen sollten aber idealerweise von deiner Datenschutzabteilung beantwortet werden – alternativ sollte sie mit Rat und Tat zur Seite stehen.

Wo bekomme ich Unterstützung?

Erste Anlaufstelle für Betroffenenrechte ist im Normalfall der oder die für dich zuständige Datenschutzbeauftragte. Sind sehr umfassende Kenntnisse der Atlassian Cloud vonnöten, dann solltest du dir unbedingt die Datenschutz-Absicherung für die Atlassian Cloud anschauen.

Mit der Datenschutz-Absicherung steht dir während deines Migrationsprojekts und beim operativen Betrieb immer ein Datenschutz-Experte zur Seite. Mehr zur Datenschutz-Absicherung erfährst du in diesem Blogartikel.

Zum Abschluss

Die von Seibert Media GmbH aufgeführten rechtlichen Inhalte, z. B. Urteile, Tipps und Beiträge, sind nach bestem Wissen und Gewissen sorgfältig zusammengestellt. Es wird kein Anspruch auf Vollständigkeit und Ausschließlichkeit der Inhalte erhoben. Die zur Verfügung gestellten Informationen dienen lediglich zu Informationszwecken und ersetzen keine individuelle juristische Beratung. Sie sind unverbindlich und nicht Gegenstand einer Rechtsberatung. Seibert Media GmbH übernimmt keine Gewähr dafür, dass im Streitfall den hier dargelegten Urteilen und Ansichten gefolgt wird. Eine Haftung für die von Seibert Media GmbH veröffentlichten Inhalte wird daher nicht übernommen.

Die veröffentlichten Inhalte enthalten Verweise und Links zu anderen Websites. Hierbei können wir keine Gewähr für die fortwährende Aktualität, Richtigkeit und Vollständigkeit der verlinkten Inhalte übernehmen, da diese Inhalte außerhalb unseres Verantwortungsbereichs liegen und wir auf die zukünftige Gestaltung keinen Einfluss haben. Sollten aus deiner Sicht Inhalte gegen geltendes Recht verstoßen oder unangemessen sein, teile uns dies bitte mit.

Die Zukunft ist oben!

Atlassian stellt im Februar 2024 den Support für seine Server-Produkte ein. Nutze daher die verbleibende Zeit und informiere dich über einen Umzug in die Cloud. Oder, noch besser – probiere sie ganz einfach aus: Mit unserem Cloud Migration Trial kannst du die Cloud und ihre Vorzüge selbst testen und erste Erfahrungen sammeln, ohne dein bestehendes Produktivsystem zu beeinträchtigen.

Steht deine Entscheidung für die Cloud schon fest und du möchtest nun herausfinden, ob dein Unternehmen bereit für einen Umstieg ist? Dann empfehlen wir dir, dich durch unser kurzes Cloud-Quiz zu klicken – in nur 11 Fragen stellt sich heraus, ob und wie “migrationsreif” du bist! Zudem lohnt es sich, sich schon im Vorfeld einer Migration über das Thema “Datenschutz in der Cloud” zu informieren. Gemeinsam mit dem Datenschutz-Experten Thomas Rosin haben wir dir hier einige Informationen sowie einen praktischen Flugplan mit allen Schritten zusammengestellt.