BaFin

Im Vertrag soll eine Spezifizierung und ggf. Abgrenzung der vom Cloud-Anbieter zu erbringenden Leistung erfolgen. Dies sollte in sogenannten Service Level Agreements fixiert werden. Dabei sollte grundsätzlich Folgendes festgelegt werden:

Unsere Dokumentation, die durch Bezugnahme in den Atlassian-Kundenvertrag für berechtigte Kunden aufgenommen wird, enthält klare Beschreibungen der abgedeckten Cloud-Produkte.

Berechtigte Kunden haben Zugang zum Atlassian-Supportangebot, das dem Atlassian-Kundenvertrag unterliegt.

Generell durch den Atlassian-Kundenvertrag abgedeckt.

Bestimmte abgedeckte Cloud-Produkte enthalten produktinterne Funktionen zur Datenresidenz, wie hier näher beschrieben, sodass die Administratoren unserer Kunden die Aufbewahrung von Produktdaten an einem Ort ihrer Wahl bestimmen können. Auf dieser Seite wird unsere Cloud-Hosting-Infrastruktur beschrieben.

Wir verpflichten uns vertraglich, (a) die Produktfunktionalität während der geltenden Abonnementlaufzeit nicht wesentlich zu beeinträchtigen und (b) Kunden über Änderungen an unseren Datenhosting-Standorten zu informieren.

Der Atlassian-Kundenvertrag legt die Standarddauer einer Abonnementlaufzeit und alle geltenden Kündigungsfristen fest. Wenn du eine Bestellung für ein oder mehrere abgedeckte Cloud-Produkte aufgibst, enthält diese außerdem das Start- und Enddatum deiner jeweiligen Abonnementlaufzeit.

Die entsprechenden Service-Level-Bedingungen sowie die Abhilfemaßnahmen bei Nichteinhalten der Service-Level für die abgedeckten Cloud-Produkte sind in unserem Service Level Agreement und den entsprechenden produktspezifischen Bedingungen angegeben.

Wir veröffentlichen Aktualisierungen der Serviceverfügbarkeit unter https://status.atlassian.com/ und verpflichten uns vertraglich, Kunden über Ereignisse zu informieren, die einen wesentlichen Einfluss auf die Verfügbarkeit der abgedeckten Cloud-Produkte haben.

Informations- und Prüfungsrechte sowie Kontrollmöglichkeiten des beaufsichtigten Unternehmens dürfen vertraglich nicht eingeschränkt werden. Es ist sicherzustellen, dass das beaufsichtigte Unternehmen diejenigen Informationen erhält, die es für die angemessene Steuerung und Überwachung der mit der Auslagerung verbundenen Risiken benötigt.

Unser Audit-Programm soll es qualifizierten Kunden und ihren Aufsichtsbehörden ermöglichen, die abgedeckten Cloud-Produkte effektiv zu prüfen.

Siehe oben, Zeile 12.

Siehe oben, Zeile 12.

Erleichterungen

Abhängig von den einschlägigen aufsichtsrechtlichen Vorgaben können die beaufsichtigten Unternehmen Erleichterungen in Anspruch nehmen, um ihre eigenen Prüfungshandlungen effizienter zu gestalten. Solche Erleichterungen stellen Sammelprüfungen oder das Heranziehen von Nachweisen/Zertifikaten auf Grundlage gängiger Standards bzw. von Prüfberichten anerkannter Dritter oder von internen Prüfberichten des Cloud-Anbieters dar.

Dies ist eine Überlegung im Hinblick auf den Kunden. Beachte bitte auch Zeile 12 oben und Zeile 20 unten.

Sammelprüfungen

Beaufsichtigte Unternehmen, die §§ 25a, 25b KWG einzuhalten haben, finden Erleichterungen im Rundschreiben 09/2017 (BA) – Mindestanforderungen an das Risikomanagement – (MaRisk). Gemäß BT 2.1 Tz. 3 MaRisk kann die interne Revision des beaufsichtigten Unternehmens im Fall wesentlicher Auslagerungen auf eigene Prüfungshandlungen verzichten, sofern die anderweitig durchgeführte Revisionstätigkeit den Anforderungen in AT 4.4 und BT 2 MaRisk genügt. Die Interne Revision des auslagernden beaufsichtigten Unternehmens hat sich von der Einhaltung dieser Voraussetzungen regelmäßig zu überzeugen. Die für das beaufsichtigte Unternehmen relevanten Prüfungsergebnisse sind an die Interne Revision des auslagernden beaufsichtigten Unternehmens weiterzuleiten.

Dies ist eine Überlegung im Hinblick auf den Kunden. Bitte beachte auch Zeile 12 oben.

Die Revisionstätigkeit kann hierbei durch die Interne Revision des Cloud-Anbieters, die Interne Revision eines oder mehrerer der auslagernden beaufsichtigten Unternehmen im Auftrag der auslagernden beaufsichtigten Unternehmen ("Sammelprüfungen" sog. "Pooled Audits"), einen vom Cloud-Anbieter beauftragten Dritten oder einen von den auslagernden beaufsichtigten Unternehmen beauftragten Dritten durchgeführt werden.

Dies ist eine Überlegung im Hinblick auf den Kunden. Bitte beachte auch Zeile 12 oben.

Für die anderen beaufsichtigten Unternehmen kann es im Einzelfall zulässig sein, bestimmte Informations- und Prüfungsrechte gegenüber dem Cloud-Anbieter per Sammelprüfung gemeinsam mit anderen beaufsichtigten Unternehmen wahrzunehmen.

Dies ist eine Überlegung im Hinblick auf den Kunden. Bitte beachte auch Zeile 12 oben.

Nimmt ein beaufsichtigtes Unternehmen eine der zuvor beschriebenen Erleichterungen in Anspruch, darf dies nicht zur Einschränkung seiner Informations- und Prüfungsrechte führen.

Siehe oben, Zeile 12.

Nachweise/Zertifikate und Prüfberichte

Das beaufsichtigte Unternehmen darf grundsätzlich Nachweise/Zertifikate auf Basis gängiger Standards (z. B. Internationaler Sicherheitsstandard ISO/IEC 2700X der International Organization for Standardization, C5-Anforderungskatalog des Bundesamtes für Sicherheit in der Informationstechnik), Prüfberichte anerkannter Dritter oder interne Prüfberichte des Cloud-Anbieters heranziehen. Das beaufsichtigte Unternehmen sollte hierbei Umfang, Detailtiefe, Aktualität und Eignung des Zertifizierers oder Prüfers dieser Nachweise/Zertifikate und Prüfberichte berücksichtigen.

Atlassian unterzieht sich regelmäßig einer unabhängigen Prüfung unserer Sicherheits-, Datenschutz- und Compliance-Kontrollen. Während der Laufzeit unseres Vertrags mit dir werden wir mindestens die in unserem Trust Center aufgeführten Standards einhalten, zu denen ISO/IEC 27001- und ISO/IEC 27018-Zertifizierungen sowie Audit-Berichte nach SOC 2 Typ II und SOC 3 gehören: https://www.atlassian.com/trust/compliance.

Allerdings sollte sich ein beaufsichtigtes Unternehmen bei der Ausübung seiner Revisionstätigkeit nicht allein hierauf stützen. Soweit die Interne Revision im Rahmen ihrer Tätigkeit solche Nachweise/Zertifikate bzw. Prüfberichte heranzieht, sollte sie die diesen zugrunde liegenden Evidenzen prüfen können.

Dies ist eine Überlegung im Hinblick auf den Kunden. Bitte beachte auch Zeile 12 oben.

Informations- und Prüfungsrechte sowie Kontrollmöglichkeiten der Aufsicht dürfen vertraglich nicht eingeschränkt werden. Die Aufsicht muss die Cloud-Anbieter genauso kontrollieren können, wie dies das jeweils einschlägige Gesetz gegenüber dem beaufsichtigten Unternehmen vorsieht. Der Aufsicht muss es möglich sein, ihre Informations- und Prüfungsrechte sowie Kontrollmöglichkeiten ordnungsgemäß im Hinblick auf den ausgelagerten Sachverhalt uneingeschränkt auszuüben; dies gilt auch für diejenigen Personen, deren sich die Aufsicht bei der Durchführung von Prüfungen bedient.

Unser Audit-Programm soll es qualifizierten Kunden und ihren Aufsichtsbehörden ermöglichen, die abgedeckten Cloud-Produkte effektiv zu prüfen.

Siehe oben, Zeile 23.

Keine (mittelbare) Einschränkung der Rechte

Als eine unzulässige Einschränkung der Informations- und Prüfungsrechte sowie Kontrollmöglichkeiten der Aufsicht gelten insbesondere Regelungen, die diese Rechte nur unter bestimmten Voraussetzungen gewähren. Zur Vermeidung von Wiederholungen wird auf die obigen Ausführungen zur Einschränkung der Rechte der beaufsichtigten Unternehmen verwiesen.

Siehe oben, Zeile 23.

4. Weisungsrechte

Es sind Weisungsrechte der beaufsichtigten Unternehmen zu vereinbaren. Diese Weisungsrechte sollen sicherstellen, dass alle erforderlichen und zur Erfüllung der vereinbarten Dienstleistung notwendigen Weisungen erteilt werden können, d. h., es bedarf einer Einflussnahme- und Steuerungsmöglichkeit auf den ausgelagerten Sachverhalt. Die technische Umsetzung kann unternehmensindividuell ausgestaltet werden.

Unsere Kunden können uns über ihre Kundensupportkanäle Weisungen (einschließlich in Bezug auf Zertifizierungen und Prüfberichte Dritter) zu den abgedeckten Cloud-Produkten erteilen.

Zieht das beaufsichtigte Unternehmen Nachweise/Zertifizierungen oder Prüfberichte heran (vgl. V.2), sollte es auch die Möglichkeit haben, Einfluss auf den Umfang der Nachweise/Zertifizierungen oder Prüfberichte zu nehmen, sodass dieser auf relevante Systeme und Kontrollen erweitert werden kann. Die Anzahl und Häufigkeit entsprechender Weisungen sollte verhältnismäßig sein.

Siehe oben, Zeile 27.

Außerdem sollte das beaufsichtigte Unternehmen jederzeit zur Erteilung von Weisungen an den Cloud-Anbieter im Hinblick auf die Berichtigung, Löschung und Sperrung von Daten befugt sein und der Cloud-Anbieter die Daten nur im Rahmen der erteilten Weisungen des beaufsichtigten Unternehmens erheben, verarbeiten oder nutzen dürfen. Darin eingeschlossen sein sollte auch die Möglichkeit zur jederzeitigen Erteilung einer Weisung zur unverzüglichen und unbeschränkten Rücküberführung der vom Cloud-Anbieter verarbeiteten Daten an das beaufsichtigte Unternehmen.

In unserem Zusatz zum Datenschutz sind detaillierte Verpflichtungen zur Verarbeitung und Sicherheit personenbezogener Kundendaten enthalten. Mehr über unser DSGVO-Compliance-Programm erfährst du hier:

https://www.atlassian.com/trust/compliance/resources/gdpr

Außerdem bieten wir allen Kunden produktinterne Funktionen, mit denen sie ihre Daten jederzeit während der Laufzeit ihres Vertrags ohne unsere Unterstützung exportieren können.

Sofern auf die explizite Vereinbarung von Weisungsrechten zugunsten des beaufsichtigten Unternehmens verzichtet werden kann, ist die vom Auslagerungsunternehmen zu erbringende Leistung hinreichend klar im Auslagerungsvertrag zu spezifizieren.

Siehe oben, Zeile 27.

Es sind Regelungen zu vereinbaren, die sicherstellen, dass datenschutzrechtliche Bestimmungen und sonstige Sicherheitsanforderungen eingehalten werden.

Angesichts des Eins-zu-Viele-Charakters unserer abgedeckten Cloud-Produkte bieten wir allen unseren Kunden dieselbe robuste Sicherheit. Diese Sicherheitspraktiken werden in unserem Trust Center ausführlich beschrieben: https://www.atlassian.com/trust/.

Wir verpflichten uns, die Sicherheitspraktiken in unserem Trust Center einzuhalten und die allgemeine Sicherheit unserer abgedeckten Cloud-Produkte während deiner Abonnementlaufzeit nicht wesentlich zu verringern.

Bitte beachte auch die Zeilen 27 und 29 oben.

Der Ort der Datenspeicherung soll dem beaufsichtigten Unternehmen bekannt sein. Dies sollte den konkreten Standort der Rechenzentren umfassen. Eine Benennung des Ortes (z. B. Stadt) genügt hierfür grundsätzlich. Sollte ein beaufsichtigtes Unternehmen jedoch aus Erwägungen des Risikomanagements die genaue Anschrift des Rechenzentrums benötigen, sollte der Cloud-Anbieter sie zur Verfügung stellen.

Siehe oben, Zeile 7.

Darüber hinaus sollte die Redundanz der Daten und Systeme sichergestellt sein, damit bei einem Ausfall eines Rechenzentrums die Aufrechterhaltung der Dienste gewährleistet ist.

Wir haben Business-Continuity- und Disaster-Recovery-Pläne, wie in unserem Trust Center beschrieben. Diese Pläne werden mindestens einmal im Jahr überprüft und getestet.

Die Sicherheit der Daten und Systeme ist auch innerhalb der Auslagerungskette zu gewährleisten.

Siehe oben, Zeile 32.

Dem beaufsichtigten Unternehmen muss es jederzeit schnell und uneingeschränkt möglich sein, auf seine beim Cloud-Anbieter gespeicherten Daten zugreifen und diese, soweit erforderlich, rücküberführen zu können. Dabei sollte sichergestellt werden, dass die gewählte Form der Rücküberführung nicht die Verwendung der Daten einschränkt oder unmöglich macht. Daher sollten, wenn möglich, plattformunabhängige Standarddatenformate vereinbart werden. Die Kompatibilität der unterschiedlichen Systeme ist zu berücksichtigen.

Siehe oben, Zeile 29.

Es sind Kündigungsrechte und angemessene Kündigungsfristen zu vereinbaren. Es sollte insbesondere ein Sonderkündigungsrecht vereinbart werden, das die Kündigung aus wichtigem Grund vorsieht, wenn seitens der Aufsichtsbehörde die Beendigung des Vertrags verlangt wird.

Wir bieten unseren Kunden ein umfassendes Kündigungsrecht, das es ihnen ermöglicht, unter allen Umständen zu kündigen.

Es ist sicherzustellen, dass die an den Cloud-Anbieter ausgelagerten Sachverhalte im Falle der Kündigung solange erbracht werden, bis eine vollständige Übertragung des ausgelagerten Sachverhalts auf einen anderen Cloud-Anbieter oder auf das beaufsichtigte Unternehmen erfolgt ist. Dabei ist insbesondere zu gewährleisten, dass der Cloud-Anbieter das beaufsichtigte Unternehmen bei der Übertragung der ausgelagerten Sachverhalte an einen anderen Cloud-Anbieter oder direkt an das beaufsichtigte Unternehmen angemessen unterstützt.

Falls von einem Institut gefordert, kann das Unternehmen seine Abonnementlaufzeit für einen kurzen Zeitraum verlängern, um den Übergang zu einem anderen Serviceanbieter zu ermöglichen.

Die Art, Form und Qualität der Übergabe des ausgelagerten Sachverhalts und der Daten sollte festgelegt werden. Soweit Datenformate auf die individuellen Bedürfnisse des beaufsichtigten Unternehmens angepasst sind, sollte der Cloud-Anbieter eine Dokumentation dieser Anpassungen bei der Beendigung übergeben.

Diese Informationen sind in unserer Dokumentation zugänglich.

Es sollte vereinbart werden, dass nach Rückübertragung der Daten an das beaufsichtigte Unternehmen, dessen Daten vollständig und unwiderruflich auf Seiten des Cloud-Anbieters gelöscht werden.

Diese Überlegung wird in unserem Zusatz zum Datenschutz behandelt.

Damit im Falle der geplanten bzw. ungeplanten Beendigung des Vertrags die Aufrechterhaltung der ausgelagerten Bereiche gewährleistet wird, soll das beaufsichtigte Unternehmen eine Exit-Strategie vorhalten und ihre Durchführbarkeit prüfen.

Dies ist eine Überlegung im Hinblick auf den Kunden.

Es sind Regelungen über die Möglichkeit und über die Modalitäten einer Weiterverlagerung zu vereinbaren, die sicherstellen, dass die aufsichtsrechtlichen Anforderungen weiterhin eingehalten werden. Einschränkungen dahingehend, dass etwa nur weitestgehend ähnliche Verpflichtungen übernommen werden, sind nicht zulässig. Insbesondere muss sichergestellt werden, dass die Informations- und Prüfungsrechte sowie Kontrollmöglichkeiten des auslagernden beaufsichtigten Unternehmens sowie der Aufsicht im Falle einer Weiterverlagerung auch gegenüber den Subunternehmen bestehen.

Um globale Produkte mit minimalen Unterbrechungen bereitzustellen, können wir bestimmte wichtige Funktionen an hochwertige Serviceanbieter (z. B. Datenhosting-Anbieter) auslagern. In Bezug auf kritische Weiterverlagerungen verpflichtet sich Atlassian zum Abschluss geeigneter Verträge mit solchen Weiterverlagerungsunternehmen, den Instituten und ihren Aufsichtsbehörden angemessene Audit-, Zugangs- und Informationsrechte zu gewähren und von diesen Weiterverlagerungsunternehmen die Einhaltung aller geltenden Gesetze zu fordern. Bitte beachte auch Zeile 12 oben.

Mit Blick auf die Weiterverlagerung sollten Zustimmungsvorbehalte des auslagernden Unternehmens oder konkrete Voraussetzungen, wann Weiterverlagerungen möglich sind, im Auslagerungsvertrag vereinbart werden. Es sollte festgelegt werden, welche ausgelagerten Sachverhalte bzw. Teile davon weiterverlagert werden dürfen und welche nicht.

Siehe oben, Zeile 44.

Über Weiterverlagerungen der ausgelagerten Sachverhalte bzw. Teilen davon soll das beaufsichtigte Unternehmen vorab in Textform informiert werden. Die Subunternehmen und die an sie weiterverlagerten Sachverhalte bzw. Teile hiervon sollten dem beaufsichtigten Unternehmen bekannt sein.

Atlassian informiert über Änderungen oder neues Sub-Outsourcing kritischer oder wichtiger Funktionen. Wenn das Institut Bedenken gegen solche Sub-Outsourcings hat, gestatten wir dem Institut, seinen Vertrag mit uns zu kündigen.

Im Falle einer neuen Weiterverlagerung ist zu beachten, dass dies Auswirkungen auf die Risikosituation der Auslagerung und somit auf das auslagernde Unternehmen haben kann. Entsprechend sollte im Falle einer neuen Weiterverlagerung die Risikoanalyse mindestens überprüft oder neu durchgeführt werden. Dies gilt auch im Falle des Bekanntwerdens wesentlicher Mängel sowie wesentlicher Änderungen des zu erbringenden Cloud-Dienstes durch Subunternehmer.

Dies ist eine Überlegung im Hinblick auf den Kunden.

Das Unternehmen sollte die Durchführung des gesamten Dienstes laufend überwachen und überprüfen, unabhängig davon, ob der Cloud-Dienst vom Cloud-Anbieter oder dessen Subunternehmen erbracht wird.

Dies ist eine Überlegung im Hinblick auf den Kunden.

Es sind Regelungen zu vereinbaren, die sicherstellen, dass der Cloud-Anbieter das beaufsichtigte Unternehmen über Entwicklungen informiert, die die ordnungsgemäße Erledigung der ausgelagerten Sachverhalte beeinträchtigen können. Dies beinhaltet beispielsweise die Meldung von eingetretenen Störungen im Rahmen der Erbringung des Cloud-Dienstes. Dadurch soll für das Unternehmen eine angemessene Überwachung des ausgelagerten Sachverhalts sichergestellt sein.

Wir veröffentlichen Aktualisierungen der Serviceverfügbarkeit unter https://status.atlassian.com/ und verpflichten uns vertraglich, Kunden über Ereignisse zu informieren, die einen wesentlichen Einfluss auf die Verfügbarkeit der abgedeckten Cloud-Produkte haben.

Der Cloud-Anbieter soll das beaufsichtigte Unternehmen unverzüglich über Umstände informieren, die eine Gefahr für die Sicherheit der vom Cloud-Anbieter zu verarbeitenden Daten des beaufsichtigten Unternehmens zur Folge haben können, z. B. durch Maßnahmen Dritter (z. B. Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse.

Zusätzlich zu den in Zeile 50 genannten Verpflichtungen verpflichten wir uns, Kunden in unserem Zusatz zum Datenschutz über Sicherheitsvorfälle zu informieren.

Es sollte sichergestellt werden, dass das beaufsichtigte Unternehmen bei relevanten Änderungen des zu erbringenden Cloud-Dienstes durch den Cloud-Anbieter vorab angemessen informiert wird. Service-Beschreibungen und deren etwaige Änderungen sollten dem beaufsichtigten Unternehmen in Textform überlassen beziehungsweise mitgeteilt werden. Es sollte sichergestellt werden, dass das beaufsichtigte Unternehmen bei Anfragen/Aufforderungen Dritter zur Herausgabe von Daten des beaufsichtigten Unternehmens informiert wird, soweit rechtlich zulässig.

Wir veröffentlichen unsere Cloud-Produkt-Roadmap, die Kunden über wesentliche Änderungen an den abgedeckten Cloud-Produkten informiert.

Darüber hinaus geben wir Kundendaten nur gemäß unseren Richtlinien für Anfragen von Strafverfolgungsbehörden an Dritte weiter.

Insbesondere aus Gründen der Rechtssicherheit sollte bei der Vereinbarung einer Rechtswahlklausel darauf geachtet werden, dass – soweit nicht das deutsche Recht vereinbart wird – jedenfalls das Recht eines Staates der Europäischen Union bzw. des Europäischen Wirtschaftsraums auf den Vertrag Anwendung findet.

Standardmäßig gilt für den Atlassian Customer Contract kalifornisches Recht. Bitte wende dich an unser Enterprise Sales Team, um weitere Informationen zu erhalten.