Verpflichtung von Atlassian gegenüber der DSGVO
Unser Engagement für den Schutz deiner Daten
Wir setzen uns intensiv für den Erfolg unserer Kunden und den Schutz von Daten ein. Unter anderem helfen wir Atlassian-Kunden und -Benutzern dabei, die Anforderungen der Datenschutz-Grundverordnung (DSGVO) nachzuvollziehen und die Bestimmungen, sofern erforderlich, einzuhalten.
Die DSGVO soll EU-Bürgern mehr Kontrolle über ihre Daten geben und diverse bestehende Datenschutz- und Sicherheitsgesetze in einem umfassenden Gesetz vereinheitlichen. Die DSGVO gilt nicht nur für Unternehmen innerhalb der EU, sondern auch für Unternehmen, die personenbezogene Daten von Personen mit Wohnsitz in der Europäischen Union verarbeiten und speichern. Dabei spielt es keine Rolle, wo das Unternehmen seinen Sitz hat (das sogenannte extraterritoriale Prinzip).
Die folgenden Abschnitte beschreiben unseren Ansatz und unsere Investitionen zur Einhaltung der DSGVO im Dienste unserer Kunden und einzelner betroffener Personen.
Sicherheit und Zertifizierungen
Der Schutz der Daten unserer Kunden und ihrer Benutzer ist uns besonders wichtig. Da unsere Kunden uns ihre wertvollsten Daten anvertrauen, haben wir auf jeder Ebene der Atlassian Cloud-Architektur Sicherheitsmechanismen integriert. Wir bieten Replikation, Backup-Funktionen und Disaster-Recovery-Pläne, Verschlüsselung von Daten während der Übertragung und im Ruhezustand, erweiterte Bedrohungserkennung, Common Controls und vieles mehr. Auf der Seite Sicherheitsverfahren von Atlassian erfährst du mehr über unseren Sicherheitsansatz.
Darüber hinaus wenden wir zahlreiche Ressourcen dafür auf, um sicherzustellen, dass unsere Cloud-Produkte entsprechend weithin anerkannten Standards und Zertifizierungen entwickelt werden. Diese Standards spiegeln viele der DSGVO-Anforderungen an die Sicherheit und den Datenschutz wider und bieten unseren Kunden ein transparentes Framework, anhand dessen unsere Praktiken für die Softwareentwicklung und das Datenmanagement gemessen werden können. Derzeit sind mehrere unserer Produkte gemäß ISO/IEC 27001 und ISO/IEC 27018 sowie nach SOC 2 und SOC 3 zertifiziert. Außerdem durchlaufen unsere Anbieter für Rechenzentrums-, Colocation- und Managed Services im Rahmen des Evaluierungsprozesses eine Sicherheitsbewertung. Im Anschluss finden regelmäßige SOC 2- und/oder ISO/IEC 27001-Audits statt.
Mehr über unser Risk Management Program, aktuelle Zertifizierungen und Verpflichtungen zu unseren Cloud-Produkten findest du auf der Compliance-Seite in unserem Trust Center.
Internationale Datenübertragungen
Als Unternehmen mit einem globalen Kundenstamm und Betrieb muss Atlassian in der Lage sein, Daten auf der ganzen Welt zu übertragen und abzurufen. Wir verstehen und respektieren die Regeln für die Übertragung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), des Vereinigten Königreichs sowie der Schweiz und bieten Kunden im Rahmen unseres Zusatzes zum Datenschutz (DPA) ein robustes Framework für die internationale Datenübertragung. Der DPA gewährleistet, dass unsere Kunden personenbezogene Daten auf rechtmäßige Weise an Atlassian Cloud-Produkte außerhalb des EWR übertragen und sich dabei auf die Standardvertragsklauseln verlassen können.
Immer wenn wir deine Daten an Unterauftragsverarbeiter von Atlassian weitergeben, übernehmen wir die Verantwortung dafür, wie deine Daten von diesen Unternehmen verwendet werden. Alle Unterauftragsverarbeiter müssen eine umfassende Prüfung durchlaufen und Verträge abschließen, die sicherstellen, dass die personenbezogenen Daten unserer Kunden ausreichend geschützt sind. Wir werden bei diesen rechtlichen Anforderungen ebenso wie bei allen anderen von europäischen Datenschutzbehörden ausgegebenen Anforderungen auch weiterhin auf dem neuesten Stand bleiben. In der Zwischenzeit gelten folgende Hinweise:
- In unserer Folgenabschätzung für die Datenübertragung stellen wir wichtige Informationen zu Datenübertragungen bereit.
- Atlassian ermöglicht Kunden, abgedeckte Produktdaten im Ruhezustand einem bestimmten Standort zuzuweisen. Geplante Erweiterungen unseres Datenresidenz-Programms werden in der Cloud-Roadmap von Atlassian hervorgehoben.
- Wir verschlüsseln Daten während der Übertragung und im Ruhezustand.
- Wir veröffentlichen jedes Jahr einen Transparenzbericht, in dem Behördenanfragen bezüglich des Zugriffs auf Benutzerdaten, der Entfernung von Inhalten oder der Sperrung von Benutzerkonten festgehalten werden.
- Wir stellen weitere Informationen über unsere Richtlinien und Verfahren zur Reaktion auf Anfragen nach Benutzerdaten bereit. Diese findest du in unseren Richtlinien für die Strafverfolgung.
Weitere Informationen zu unserem Zusatz zum Datenschutz und die Standardvertragsklauseln findest du in unseren Datenschutz-FAQs.
Weitere Informationen zur Übertragung und Verarbeitung personenbezogener Daten sind unserer Datenschutzrichtlinie zu entnehmen.
Datenstandort und -portablität
Die Auswahl des Datenhosting-Standorts richtet sich danach, wie die geringste Latenz und die optimale Leistung für dich und deine Benutzer erzielt werden kann. Wir optimieren den Hosting-Standort unserer Kundendaten nach dem weltweiten Zugriff auf diese Daten (und nicht nach Anfragen). Wir können dir nicht garantieren, dass deine Daten an einem bestimmten Standort gehostet werden. Wenn du allerdings ein Organisationsadministrator mit einem neuen Standard-, Premium- oder Enterprise-Abonnement bist, kannst du jetzt im Umfang enthaltene Produktinhalte im Ruhezustand einem bestimmten Standort zuweisen. Geplante Erweiterungen unseres Datenresidenz-Programms werden in der Cloud-Roadmap von Atlassian hervorgehoben.
Wir unterstützen dich bei der Einhaltung von Anforderungen deiner Kunden bezüglich des Exports ihrer Daten, falls du deine Kundendaten auf Atlassian-Produkten hostest. Atlassian bietet robuste Datenportabilitäts- und Datenmanagementtools für den Export von Produkt- und Benutzerdaten. Weitere Informationen zum Atlassian Cloud-Datenexport findest du in unserer Dokumentation zum Import und Export.
Individuelle Datenschutzrechte und Einwilligung
Rechte betroffener Personen
Unsere Tools helfen Kunden, DSGVO-Bestimmungen wie das Recht auf Vergessenwerden (oder das Recht auf Löschung) einzuhalten, indem sie die Löschung von personenbezogenen Daten aus Atlassian Cloud-Produkten erleichtern.
- Unternehmensadministratoren von Atlassian können die Löschung von Konten verwalteter Benutzer über Kontrollen in ihrem Administratorportal veranlassen.
- Nicht verwaltete Endbenutzer können die Löschung ihrer personenbezogenen Daten beantragen, indem sie über die Profilseite ihres Atlassian-Kontos eine Löschanfrage stellen.
- Personen, die personenbezogene Daten angegeben oder Atlassian zur Verfügung gestellt haben, aber kein Atlassian-Konto besitzen, können ebenfalls eine Löschanfrage stellen.
Für Zugriffsanfragen stehen ähnliche Tools zur Verfügung.
- Unternehmensadministratoren von Atlassian können den Zugriff auf die Daten ihrer verwalteten Benutzer über den Atlassian-Support veranlassen.
- Nicht verwaltete Endbenutzer können den Zugriff auf ihre personenbezogenen Daten beantragen, indem sie über den Atlassian-Support eine Zugriffsanfrage stellen.
- Personen, die personenbezogene Daten angegeben oder Atlassian zur Verfügung gestellt haben, aber kein Atlassian-Konto besitzen, können ebenfalls eine Zugriffsanfrage stellen.
Sowohl Lösch- als auch Zugriffsanfragen können telefonisch unter der Rufnummer 1 (800) 804-5281 erfolgen.
Auswahl und Einwilligung
Auswahlmöglichkeiten und Transparenz bei der Erfassung, Verwendung und Weitergabe von Informationen sind uns wichtig und wir bieten unterschiedliche Optionen für die jeweiligen Produkt- oder Kontoeinstellungen. In unserer Datenschutzrichtlinie werden diese Optionen, ihre Anwendung sowie etwaige relevante Einschränkungen zusammengefasst.
Weitere Informationen zu Datenrechten von Endbenutzern findest du unter: Manage your personal data privacy (Den Schutz persönlicher Daten verwalten).
Für Endbenutzer in der EU holen wir für mehr Klarheit und Kontrolle an allen Erfassungsstellen Einwilligungen für Cookies und Marketingbotschaften ein.
Weitere Verpflichtungen
Im Folgenden sind weitere DSGVO-Initiativen aufgelistet, die für unsere Cloud-Produkte implementiert wurden:
- Wir sorgen dafür, dass Atlassian-Mitarbeiter, die auf personenbezogene Daten von Atlassian-Kunden zugreifen und diese verarbeiten, im Umgang mit Daten und im Aufrechterhalten der Sicherheit und Vertraulichkeit von Daten geschult sind.
- Wir stellen eine Liste mit Unterauftragsverarbeitern auf unserer Unterauftragsverarbeiter-Seite bereit und bieten ein RSS-Feed-Abonnement, um dich regelmäßig über Änderungen zu informieren.
- Wir haben uns selbst zu Datenfolgenabschätzungen verpflichtet und halten im Bedarfsfall Rücksprache mit den zuständigen EU-Aufsichtsbehörden.
- Wir unterstützen dich, indem wir Sicherheitsverletzungen an Aufsichtsbehörden melden und Kunden und Benutzer umgehend über Verstöße informieren.
- Wir verpflichten uns dazu, die Vorschriften als Datenimporteure gemäß der Standardmodellklauseln der EU einzuhalten.
Zusätzliche Ressourcen
- Datenschutzrichtlinie von Atlassian
- Datenschutz-FAQ
- Atlassian-Kundenvereinbarung
- Leitfaden: Einhalten der DSGVO, das nächste Kapitel (zum Herunterladen anklicken)