PDD-001 - Prüfung der Drittlandsübermittlung - Atlassian¶
| Auftragsverarbeiter | Atlassian Pty Ltd |
|---|---|
| Bearbeiter/in | |
| Erstellt am | |
| Auslandübermittlung gemäß | Artikel 44 ff. DSGVO |
| Nächstes Review am | |
| Änderungshistorie | |
Inhalt¶
Einsatz von Standardvertragsklauseln¶
[!info] Quelle: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32021D0914
| Standardvertragsklauseln | Bemerkungen |
|---|---|
| Wie werden die Standardvertragsklauseln einbezogen? | Atlassian gibt auf seiner Internetseite an, dass in sämtlichen Vertragsbeziehungen die aktuellen Standardvertragsklauseln abgeschlossen worden sind. Diese sind unter folgendem Link zu finden: https://www.atlassian.com/legal/data-processing-addendum Hierunter findet sich eine Data Processing Addendum vom 01.04.2024. Es werden zu den SCC in dem Dokument folgende Regelungen getroffen 1.2 Europäische Übermittlungen . Wenn personenbezogene Daten, die durch das EU-Datenschutzgesetz geschützt sind, entweder direkt oder durch Weiterübermittlung in ein Land außerhalb Europas übermittelt werden, für das kein Angemessenheitsbeschluss vorliegt, gilt Folgendes: Die EU-SCCs werden durch Verweis in diese DPA aufgenommen. |
| Klausel 7: Enthalten oder nicht? | nein |
| Klausel 8: Welches Modul wurde ausgewählt und wurde das korrekte Modul ausgewählt? (1/2/3/4) | Modul Zwei (Controller zu Prozessor) gilt, wenn der Kunde ein Controller der personenbezogenen Daten des Kunden ist und Atlassian personenbezogene Daten des Kunden als Prozessor verarbeitet. |
| Klausel 9: Wurden Optionen bei a) ausgewählt? | In Klausel 9 findet Option 2 Anwendung und die Frist für die Vorankündigung von Änderungen beim Unterauftragsverarbeiter ist in Abschnitt 4 (Unterauftragsverarbeitung) dieser DPA angegeben. |
| Klausel 11: Wurden Optionen bei a) ausgewählt? | In Klausel 11 findet die optionale Formulierung keine Anwendung. |
| Klausel 17: Welcher Staat wurde eingetragen? | In Klausel 17 findet Option 1 Anwendung und die EU-SCCs unterliegen irischem Recht. |
| Klausel 18: Welcher Gerichtsstand wurde eingetragen? | In Klausel 18(b) werden Streitigkeiten vor irischen Gerichten beigelegt. |
| Wurden die Anhänge 1 + 2 ausgefüllt? | Der Anhang der EU-SCCs wird wie folgt ausgefüllt: · Die für Anhang I(A) erforderlichen Informationen finden Sie in der Vereinbarung und/oder in den einschlägigen Verordnungen. · Die für Anhang I(B) erforderlichen Informationen finden Sie in Anhang 1 (Beschreibung der Verarbeitung) dieser DPA. · Die zuständige Aufsichtsbehörde in Anhang I(C) wird gemäß dem geltenden Datenschutzgesetz bestimmt; und · Die für Anhang II erforderlichen Informationen finden Sie hier (Technische und organisatorische Maßnahmen): https://www.atlassian.com/legal/security-measures#intro |
| Sind die Dokumente vollständig bzw. können alle Informationen (bei Weblinks) im Internet abgerufen werden? | ja - Die Verweise in den EU-Standardvertragsklauseln auf die Anhänge der Datenschutzergänzung sind geprüft. |
| Regelungen zu Unterauftragsverarbeitern | 4.1 des DPA: Allgemeine Genehmigung. Durch den Abschluss dieser DPA erteilt der Kunde Atlassian die allgemeine Genehmigung, Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten des Kunden zu beauftragen. Atlassian muss: (i) mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung mit Datenschutzbestimmungen abschließen, die den Unterauftragsverarbeiter verpflichten, personenbezogene Daten des Kunden gemäß dem geltenden Datenschutzgesetz und dem in dieser DPA vorgesehenen Standard zu schützen; und (ii) gegenüber dem Kunden haftbar bleiben, wenn der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen in Bezug auf die relevanten Verarbeitungsaktivitäten gemäß der Vereinbarung nicht nachkommt. |
| Auflistung der Unterauftragsverarbeiter | Auflistung der Unterauftragsverarbeiter: Atlassian nutzt die unten aufgeführten Drittunternehmen (jeweils ein „Unterauftragsverarbeiter“) zur Verarbeitung personenbezogener Daten im Auftrag von Atlassian-Kunden und gemäß den Vertragsbedingungen zwischen Atlassian und dem Unterauftragsverarbeiter, um die Verpflichtungen von Atlassian im Datenverarbeitungszusatz von Atlassian einzuhalten. Atlassian führt jährliche Compliance-Prüfungen seiner Unterauftragsverarbeiter durch. Wenn die Beauftragung eines Unterauftragsverarbeiters die grenzüberschreitende Übertragung personenbezogener Daten erfordert, führt Atlassian für diese Datenübertragungen Übertragungsauswirkungsanalysen gemäß den geltenden Datenschutzgesetzen durch. Atlassian verpflichtet seine Unterauftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen, dass die Unterverarbeitung personenbezogener Daten gemäß den geltenden Datenschutzgesetzen geschützt ist. Die aktuelle Liste ist hier zu finden: https://www.atlassian.com/legal/sub-processors#atlassian-group-sub-processors |
| Benachrichtigung über neue Unterauftragsverarbeiter | https://privacy.atlassian.net/servicedesk/customer/portal/1/group/1/create/39 |
Durchführung des Transfer Impact Assessment (TIA)¶
[!info] Wenn Standardvertragsklauseln das einzige Übermittlungsinstrument in Drittländer sind, ist eine Risikoanalyse (Transfer Impact Assessment, kurz: TIA) durchzuführen.
| Umstände der Übermittlung | Systematische Beschreibung des Datentransfers (einschließlich der Verantwortlichkeiten) Siehe Anhang 1 des DPA |
|---|---|
| Wurden alternative Auftragsverarbeiter ohne Drittlandsübermittlung in Betracht gezogen? | nein- nicht mit dem Funktionsumfang bekannt |
| Folgenabschätzung für den Datentransfer | Atlassian hat ein Dokument bereitgestellt, um Kunden die Durchführung einer Datentransferfolgenabschätzung zu erleichtern. Dieses ist zu finden unter: https://www.atlassian.com/legal/data-transfer-impact-assessment Dieses Dokument enthält alle notwendigen Angaben sowie ergänzende Maßnahmen und einen Hinweis zur Neubewertung der Maßnahmen. |
| Welche praktische Erfahrung hat der Auftragsverarbeiter im Umgang mit behördlichen Zugriffsanfragen? | Atlassian veröffentlicht einen jährlichen Transparenzbericht mit Informationen über behördliche Anfragen zum Zugriff auf Daten. Die Transparenzberichte sind zu finden unter: https://www.atlassian.com/trust/privacy/transparency-report Danach gibt es seit 2017 zwei Anfragen von australischen Behörden, wovon eine Auskunft erfolgt ist (Stand 24.07.2024). |
| Vertragliche, technische oder organisatorische Garantien zur Ergänzung von Garantien in den Klauseln zum Schutz der personenbezogenen Daten | Abhilfemaßnahmen, um das Auftreten der Risiken/Bedrohungen zu mindern (etwa Verschlüsselung der Daten während der Übertragung und im gespeicherten Zustand, Zugriffsbeschränkungen) Siehe ergänzende Maßnahmen unter https://www.atlassian.com/legal/data-transfer-impact-assessment#intro Siehe technische und organisatorische Maßnahmen von Atlassian unter https://www.atlassian.com/legal/security-measures#intro |
Übersicht der ermittelten Risiken¶
[!info] Zur Risikobewertung sollten die oben erfassten Informationen sowie weitere Angaben des Anbieters (z.B.: Transparenzberichte und TOMs) berücksichtigt werden.
LIST
FROM "IMS/04 - Lieferantenmanagement/Lieferantenverzeichnis/L-001 Atlassian Pty Ltd/Datenschutzbewertung Atlassian Pty Ltd vom 2024-12-18"
SORT file.name ASC
Neue Risiken können hier angelegt werden: Risiken
Fazit / Empfehlung¶
a. Risiko
Aufgrund des möglichen Zugriffs der Behörden in Australien besteht ein Risiko, dass Daten offengelegt werden könnten. Demnach wäre eine Übermittlung der Daten grundsätzlich rechtswidrig.
b. Vernachlässigbar?
Aufgrund der geringen Anfragen und des durchaus hohen Niveaus des australischen Datenschutzes mit weiteren geplanten Erweiterungen in der Zukunft erscheint das Risiko vernachlässigbar.
1 1 incomplete Der Transparenzbericht von Atlassian sollte mindestes einmal jährlich überprüft werden, um die Risikoabschätzung regelmäßig zu überprüfen.
Dementsprechend ist eine Drittlandsübermittlung aufgrund der Standardvertragsklauseln zulässig.
Anhang: Dokumentenablage¶
Änderungshistorie¶
| Datum | Autor | Änderung |
|---|---|---|
| 2026-02-15 | Visitrans | Execute SPEC-03: Plugins, templates, dashboards, placeholder replacement |
| 2026-02-15 | Visitrans | Execute SPEC-02: YAML frontmatter for 646 files, link conversion, validation |
| 2026-02-15 | Visitrans | Fix table conversion: colspan expansion, header promotion, line breaks |
| 2026-02-14 | Visitrans | Execute SPEC-01: Bulk-Export 646 Confluence pages to Obsidian vault |