Atlassian DSGVO: Jira, Confluence und AVV fuer Unternehmen in Deutschland

Ist Atlassian DSGVO-konform fuer Unternehmen in Deutschland?

Atlassian kann DSGVO-konform eingesetzt werden. Jira und Confluence erfordern jedoch einen geprueften AVV nach Art. 28 DSGVO, die Konfiguration von EU-Datenspeicherung, die Bewertung der Subprozessoren sowie die Klaerung arbeitsrechtlicher Fragen rund um Mitarbeiteranalytics und Atlassian Intelligence.

• Atlassian bietet ein DPA nach Art. 28 DSGVO — bei Cloud-Nutzung automatisch einbezogen, auf Datenkategorien, Subprozessoren und Transferklauseln pruefen.
• EU-Datenspeicherung fuer Jira und Confluence ist in Standard-, Premium- und Enterprise-Tarifen verfuegbar — muss explizit aktiviert werden.
• Atlassian Intelligence und Jira-Analytics mit Mitarbeiterbezug koennen Mitbestimmungspflicht nach § 87 Abs. 1 Nr. 6 BetrVG ausloesen.

Atlassian DSGVO in Deutschland betrifft fast jedes Technologieunternehmen und viele Grossunternehmen im DACH-Raum: Jira, Confluence, Jira Service Management und Bitbucket sind Standardwerkzeuge fuer Projektmanagement, Dokumentation und Softwareentwicklung. Als Auftragsverarbeiter stellt Atlassian ein Data Processing Addendum (DPA) bereit, das die Anforderungen von Art. 28 DSGVO abdecken soll und bei Cloud-Nutzung automatisch gilt. Dennoch muessen deutsche Unternehmen EU-Datenspeicherung aktiv konfigurieren, die Subprozessorenliste pruefen und arbeitsrechtliche Fragen rund um Mitarbeiter-Tracking und Atlassian Intelligence klaeren, bevor Jira und Confluence vollstaendig freigegeben werden. Eine Uebersicht weiterer Tools im Unternehmenseinsatz bietet die KI-Tools-Uebersicht.

Kurzantwort

Ja, aber mit aktiver Konfiguration und AVV-Pruefung.

• Das Atlassian DPA nach Art. 28 DSGVO gilt automatisch — pruefen Sie es auf Datenkategorien, Subprozessoren und EU-Transferklauseln.
• EU-Datenspeicherung erfordert explizite Konfiguration in den Cloud Admin-Einstellungen — sie ist nicht standardmaessig aktiv.
• Atlassian Intelligence und Jira-Analytics mit Mitarbeiterbezug erfordern in Deutschland regelmaessig eine Betriebsratseinbindung.

Dieser Beitrag bietet allgemeine Informationen und ersetzt keine Rechtsberatung fuer einen konkreten Einsatz. Fuer angrenzende Anwendungsfaelle sind auch unsere Beitraege zu Slack DSGVO, Notion AI DSGVO und KI-gestuetzte Mitarbeiterueberwachung und Betriebsrat relevant.

Hat Atlassian einen AVV nach DSGVO?

Ja. Atlassian stellt ein Data Processing Addendum (DPA) bereit — in Deutschland dem Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO entsprechend. Das Atlassian DPA gilt automatisch fuer alle Cloud-Kunden als Teil der Atlassian-Kundenvereinbarung, ohne dass eine separate Unterzeichnung erforderlich ist. Fuer Enterprise-Kunden ist ein individuell verhandeltes DPA verfuegbar.

Deutsche Unternehmen sollten beim Atlassian AVV insbesondere pruefen:

• dass das DPA alle genutzten Atlassian-Cloud-Produkte abdeckt — Jira Software, Confluence, Jira Service Management, Bitbucket, Atlassian Access
• welche Datenkategorien tatsaechlich durch Atlassian fliessen — Aufgaben, Kommentare, Anhange, Nutzerprofile, Zeiterfassungsdaten, Sprint-Daten
• wie Atlassian seine Subprozessoren offenlegt, einschliesslich Cloud-Infrastruktur (Amazon Web Services), Support-Dienste und KI-Anbieter fuer Atlassian Intelligence
• welche Transfermechanismen fuer EU-US-Datenfluesse gelten — Atlassian nutzt Standardvertragsklauseln (SCCs) als Transferbasis im Rahmen des DPA
• wie Retentions- und Loeschfristen fuer Projektdaten, Tickets, Wiki-Seiten und Anhange nach Vertragsende geregelt sind
• wie Atlassian bei Sicherheitsvorfaellen benachrichtigt und welche Pflichten beim Verantwortlichen verbleiben

Wo speichert Atlassian Daten fuer EU-Kunden?

Der Datenspeicherort ist eine zentrale DSGVO-Frage fuer den Atlassian-Einsatz in Deutschland. Atlassian Cloud bietet die Data-Residency-Funktion, die es Kunden erlaubt, die EU als bevorzugte Speicherregion fuer bestimmte Produktdaten zu waehlen.

Produkt	EU Data Residency verfuegbar	Standardmaessig aktiv
Jira Software / Work Management	Ja (Standard+ Tarife)	Nein
Confluence	Ja (Standard+ Tarife)	Nein
Jira Service Management	Ja (Standard+ Tarife)	Nein
Bitbucket Cloud	Bedingt — Infrastruktur abhaengig	Nein

Welche Daten erfasst EU Data Residency: Bei aktivierter EU-Residency werden die sogenannten In-Scope-Daten (Jira-Issues, Confluence-Seiten, Kommentare, Anhange) in EU-Rechenzentren gespeichert und verarbeitet. Nicht erfasst sind bestimmte Support- und Transaktionsdaten sowie Daten, die durch Subprozessoren ausserhalb der EU verarbeitet werden.

Atlassian Data Center als Alternative: Unternehmen mit strengen Anforderungen an Datensouverenitaet koennen Atlassian Data Center (On-Premise) einsetzen. Dabei liegt die gesamte Infrastruktur beim Unternehmen selbst — Atlassian handelt in diesem Szenario nicht als Cloud-Auftragsverarbeiter fuer den Datenspeicher.

DSGVO-Checkliste fuer den Atlassian-Einsatz in Deutschland

1. Atlassian DPA/AVV pruefen und Atlassian im Verarbeitungsverzeichnis nach Art. 30 DSGVO dokumentieren.
2. EU Data Residency in den Atlassian Cloud Admin-Einstellungen aktivieren, sofern Standard- oder hoehere Tarife genutzt werden.
3. Subprozessorenliste auf atlassian.com/trust/privacy pruefen und Aenderungen beobachten.
4. SCCs fuer EU-US-Transfers pruefen: im Atlassian DPA enthalten, aber auf konkrete Datenfluesse hin bewerten.
5. Datenkategorien in Jira-Projekten bewerten — insbesondere Mitarbeiterdaten, Kundendaten und besondere Kategorien nach Art. 9 DSGVO.
6. Betroffenenrechte technisch sicherstellen: Loeschung und Auskunft fuer Atlassian-Nutzerkonten und Projektinhalte konfigurieren.
7. Betriebsrat einbinden, wenn Jira fuer Mitarbeiterprojekte mit Analytics-Funktionen, Zeiterfassung oder Atlassian Intelligence genutzt wird.
8. Atlassian Intelligence separat bewerten — KI-Funktionen, die Confluence-Inhalte zusammenfassen oder Jira-Daten auswerten, erfordern eine eigene Datenschutzpruefung.

Welche Atlassian-Produkte fallen unter den AVV?

Das Atlassian DPA gilt fuer saemtliche Cloud-Produkte, bei denen Atlassian als Auftragsverarbeiter handelt:

• Jira Software und Jira Work Management (Aufgabenverwaltung und Projekttracking)
• Confluence (Wissensdatenbank und Teamdokumentation)
• Jira Service Management (IT-Servicemanagement und Ticketsystem)
• Bitbucket Cloud (Code-Repository und CI/CD-Pipelines)
• Atlassian Access (Identity- und Access-Management)

Hinweis zu Atlassian Intelligence: Die KI-Funktionen von Atlassian — Confluence-Seiten-Zusammenfassungen, Jira-Issue-Generierung, intelligente Suche — werden separat betrieben und erfordern eine eigene Datenschutzpruefung (siehe unten).

Atlassian Intelligence und DSGVO

Atlassian Intelligence ist die KI-Funktionsebene, die in Confluence und Jira integriert ist. Sie umfasst automatische Zusammenfassungen, KI-generierte Inhalte, Smart Answers und Empfehlungen auf Basis von Projektdaten.

Aus DSGVO-Perspektive sind folgende Punkte relevant:

• Kein KI-Training mit Kundendaten: Atlassian erklaert, dass Kundendaten nicht zum Training von KI-Modellen verwendet werden. Diese Zusage ist im DPA verankert, sollte aber im konkreten Einsatzkontext verifiziert werden.
• Verarbeitungsort: Atlassian-Intelligence-Anfragen werden ueber Atlassian-Cloud-Infrastruktur verarbeitet. Ob EU Data Residency vollstaendig greift, haengt von der konkreten Funktion und Produktkonfiguration ab.
• Transparenzpflicht: Wenn Atlassian Intelligence Zusammenfassungen von Confluence-Seiten oder Jira-Tickets erzeugt, die Mitarbeiterdaten enthalten, ist eine Datenschutz-Folgeabschaetzung (DSFA) nach Art. 35 DSGVO zu erwaegen.
• Betriebsrat: Wenn Atlassian Intelligence Metriken zu Mitarbeiteraktivitaeten in Jira auswertet oder KI-gestuetzte Leistungsanalysen erzeugt, greift das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG.

Betriebsrat und Mitarbeiter-Tracking in Jira

Jira erzeugt strukturierte Aktivitaetsdaten ueber Mitarbeiter: Ticket-Erstellungsrate, Bearbeitungszeiten, Story-Points pro Sprint, Kommentarverhalten und Reaktionszeiten. Auch wenn diese Daten primaer fuer das Projektmanagement gedacht sind, ermoeglicht ihre Auswertung eine individuelle Mitarbeiterverfolgung — was in Deutschland regelmaessig die Mitbestimmungsrechte des Betriebsrats ausloest.

Typische Jira-Funktionen, die einer Betriebsrats-Pruefung beduerften:

• Sprint-Reports und Velocity-Tracking mit individueller Zuordnung
• Board-Filter und JQL-Abfragen, die Aufgabenverteilung pro Mitarbeiter zeigen
• Jira-Zeiterfassung (nativ oder per Drittanbieter-Plugin wie Tempo)
• Atlassian Analytics und Advanced Roadmaps mit Ressourcenauslastung auf Mitarbeiterebene

Das bedeutet nicht, dass diese Funktionen verboten sind. Es bedeutet, dass in deutschen Unternehmen mit Betriebsrat eine Betriebsvereinbarung und eine Konsultation nach § 87 Abs. 1 Nr. 6 BetrVG erforderlich sein kann. Das Bundesdatenschutzgesetz (BDSG), insbesondere § 26 BDSG zu Beschaeftigtendaten, gilt neben der DSGVO stets zugleich.

Wann rechtliche Beratung sinnvoll ist

Allgemeine DSGVO-Hinweise reichen regelmaessig nicht aus, wenn der Atlassian-Einsatz:

• Mitarbeiterprojekte mit Analytics-Funktionen, Zeiterfassung oder Leistungsmessung umfasst
• Kundendaten oder besondere Kategorien nach Art. 9 DSGVO in Jira-Tickets oder Confluence-Seiten verarbeitet
• Atlassian Intelligence fuer Aufgaben nutzt, die personenbezogene Daten von Mitarbeitern oder Kunden verarbeiten
• Betriebsratsverhandlungen zur Jira-Einfuehrung oder -Erweiterung erfordert
• durch Marketplace-Apps und Plugins erweitert wird, die eigenstaendige Auftragsverarbeitungsbeziehungen begruenden

Compound Law beraet Unternehmen und Gruender in Deutschland zu DSGVO, Arbeitsrecht, Commercial Contracts und KI-Compliance. Wenn Sie den Atlassian AVV pruefen, EU-Datenspeicherung konfigurieren oder eine Betriebsvereinbarung fuer Jira vorbereiten moechten, sprechen Sie uns an.

FAQ: Atlassian und deutsches Datenschutzrecht

Hat Atlassian einen AVV (Auftragsverarbeitungsvertrag) nach DSGVO?

Ja. Atlassian stellt ein Data Processing Addendum (DPA) bereit, das automatisch fuer alle Cloud-Nutzer gilt und die Anforderungen von Art. 28 DSGVO abdecken soll. Unternehmen sollten es auf Datenkategorien, Subprozessoren, SCCs und Retentionsfristen pruefen. Enterprise-Kunden koennen ein individuell verhandeltes DPA anfordern.

Wo werden Daten in Atlassian Cloud gespeichert?

Atlassian bietet eine Data-Residency-Funktion fuer Standard-, Premium- und Enterprise-Tarife. Bei Aktivierung werden bestimmte Produktdaten (Jira-Issues, Confluence-Seiten, Anhange) in EU-Rechenzentren gespeichert. Die Funktion ist nicht standardmaessig aktiv und muss in den Admin-Einstellungen konfiguriert werden.

Ist Jira DSGVO-konform?

Jira kann DSGVO-konform betrieben werden, wenn AVV, EU-Datenspeicherung, Subprozessoren und Verarbeitungsverzeichnis korrekt konfiguriert und dokumentiert sind. Die Antwort haengt entscheidend davon ab, welche Datenkategorien in Projekten verarbeitet werden und ob Mitarbeiterdaten durch Tracking-Funktionen oder Atlassian Intelligence ausgewertet werden.

Muss ich den Betriebsrat beim Einsatz von Jira einbinden?

In deutschen Unternehmen mit Betriebsrat in den meisten Faellen ja. Sprint-Tracking, Zeiterfassung und Atlassian Intelligence-Funktionen, die Mitarbeiteraktivitaeten auswerten, koennen Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG ausloesen. Fruehzeitige Einbindung und eine Betriebsvereinbarung sind dringend zu empfehlen.

Was ist der Unterschied zwischen Atlassian Cloud und Atlassian Data Center fuer DSGVO-Zwecke?

Atlassian Data Center ist eine self-hosted On-Premise-Loesung: Daten liegen vollstaendig auf der eigenen Infrastruktur, Atlassian handelt nicht als Cloud-Auftragsverarbeiter. Atlassian Cloud ist ein SaaS-Dienst mit DPA-Pflicht. Data Center eignet sich fuer Unternehmen mit strikten Anforderungen an Datensouverenitaet oder regulatorischen Vorgaben zur On-Premise-Verarbeitung.