Ab dem 17. August 2026 ändert Atlassian seine Datenverarbeitung. Als Atlassian-Partner sagen wir: Das müssen wir ansprechen.
- Ab dem 17. August 2026 nutzt Atlassian Kundendaten zum KI-Training. Betroffen sind rund 300.000 Unternehmen weltweit – wer nicht aktiv widerspricht, ist automatisch dabei.
- In-App-Daten lassen sich auf jedem Plan deaktivieren. Das geht unter Atlassian Administration > Security > Data contribution und sollte vor dem 17. August erledigt sein.
- Bei Metadaten gibt es für Free-, Standard- und Premium-Kunden kein Opt-out. Wer das aus regulatorischen oder ethischen Gründen nicht akzeptieren kann, sollte grundsätzlicher fragen: Ist Atlassian Cloud noch das richtige Werkzeug?
- Datenschutz darf kein Premiumfeature sein. Wir sagen das als Atlassian-Partner – und stehen für eine ehrliche Beratung zur Verfügung, was wirklich zu euch passt.
Vorweg: Wir sind Atlassian-Partner. Wir schätzen die Produkte und stehen hinter dem Ökosystem. Aber eine Partnerschaft bedeutet für uns auch, unbequeme Dinge beim Namen nennen zu dürfen. Und diese Änderung ist unbequem. Ab dem 17. August 2026 nutzt Atlassian Kundendaten, um seine KI-Produkte, allen voran Rovo, zu trainieren. Rund 300.000 Unternehmen weltweit sind betroffen. Wer nicht aktiv handelt, ist automatisch dabei.
Zwei Datenkategorien, ein Problem
Atlassian unterscheidet zwischen Metadaten und In-App-Daten. Metadaten klingen harmloser als sie sind. Atlassian betont, dass diese Daten „de-identifiziert und aggregiert” werden, Namen und E-Mail-Adressen also entfernt sind. Entscheidend ist dabei ein Detail: Laut Atlassian erfolgt die Aggregation „auf Kundenebene” — mit dem erklärten Ziel, „tiefere Einblicke in das Kundenverhalten” zu gewinnen. Die einzelnen User verschwinden, das Unternehmen als Auswertungseinheit bleibt.
Was sich auf dieser Ebene zusammensetzt, ist eine erstaunlich präzise Blaupause. Story Points und Sprint-Enddaten zeigen, wie schnell und unter welchem Druck Teams arbeiten. SLA-Werte legen offen, welche Reaktionszeiten ein Unternehmen seinen Kunden zugesichert hat. Aufgabenklassifikationen wie „Sales Work Item” verraten, womit sich welche Abteilung beschäftigt. Und über den sogenannten Teamwork Graph werden Beziehungen zwischen Personen, Dokumenten und Vorgängen erfasst, soweit entsprechende Connectoren freigegeben sind. Auch ohne Klarnamen bleiben Rollen, Gruppen und Abläufe erkennbar.
In-App-Daten sind die eigentlichen Inhalte: Confluence-Seiten, Jira-Tickettitel, Beschreibungen und Kommentare. Also das, was Teams täglich produzieren: Entscheidungen, Konzepte, Kundenfälle, Sicherheitsvorfälle.
Ob diese Datennutzung mit der DSGVO vereinbar ist, ist juristisch nicht abschließend geklärt. Aus unserer Sicht spricht vieles dafür, dass Atlassian für diese Verarbeitung datenschutzrechtlich vom Auftragsverarbeiter zum Verantwortlichen werden könnte — mit der Folge, dass eine eigene Rechtsgrundlage erforderlich wäre. Eine abschließende Bewertung steht aus und sollte im Einzelfall geprüft werden. Unabhängig davon ist es einen Gedanken wert, ob man dies teilen möchte oder nicht.
Datenschutz, für alle gleich?
Je nach gebuchtem Plan gelten unterschiedliche Regeln.
Free und Standard: Metadaten werden immer erhoben, kein Opt-out möglich. In-App-Daten sind standardmäßig aktiviert, können aber deaktiviert werden.
Premium: Metadaten ebenfalls ohne Opt-out. In-App-Daten sind standardmäßig deaktiviert, können aber aktiviert werden.
Enterprise: Beide Kategorien können vollständig deaktiviert werden.
Wer weniger zahlt, hat weniger Kontrolle über seine eigenen Daten. Im Ergebnis wirkt es so, als hätten größere Unternehmen schützenswertere Daten als kleinere. Diese Annahme halten wir für fragwürdig.
Aber stimmt das? Eine kleine Anwaltskanzlei auf einem Standard-Plan führt in Jira hochsensible Mandantenvorgänge. Eine Steuerberatung dokumentiert in Confluence vertrauliche Finanzstrategien. Ein gemeinnütziger Verein betreut in seinen Tickets schutzbedürftige Personen. All diese Organisationen sollen aktiv widersprechen müssen, während ein großer Konzern mit womöglich weniger sensiblen Daten standardmäßig besser geschützt ist, schlicht und ergreifend weil er sich einen Enterprise-Plan leisten kann.
Entweder man geht mit Daten verantwortungsvoll um oder nicht. Der Kontostand des Kunden darf dabei keine Rolle spielen. Das ist keine Datenschutzstrategie, das ist Datenschutz als Premiumfeature.
Was jetzt zu tun ist
Sofortmaßnahme für alle Pläne: In-App-Daten lassen sich auf jedem Plan deaktivieren, unter Atlassian Administration > Security > Data contribution. Das sollte vor dem 17. August 2026 geschehen.
Bei Metadaten gibt es für Free-, Standard- und Premium-Kunden keine Opt-out-Option. Wer das nicht hinnehmen kann, aus regulatorischen, rechtlichen oder ethischen Gründen, muss grundsätzlicher fragen: Ist Atlassian Cloud noch das richtige Werkzeug?
Für Organisationen in regulierten Branchen empfehlen wir die Einbindung des eigenen Datenschutzbeauftragten und eine schriftliche Klärung mit Atlassian. Das neue Data Processing Agreement tritt übrigens ebenfalls zum 17. August in Kraft.
Fazit
Wir sagen das als Partner, nicht als Gegner: Atlassian, dieses Modell ist nicht konsequent. Wer Vertrauen als Grundlage einer Partnerschaft versteht, schützt alle Kunden gleich, unabhängig davon, was sie zahlen.
Wir müssen über Datenschutz reden. Als Grundrecht. Nicht als Enterprise-Feature.
Wer sich angesichts dieser Entwicklung nach dem richtigen Weg fragt: Die Antwort hängt von euren Anforderungen ab – nicht von einem Produkt. Atlassian Cloud macht dort Sinn, wo Compliance und Flexibilität es erlauben. Wo volle Datenkontrolle gefragt ist, gibt es Alternativen wie Plane in der On-Premise-Version. Wir beraten euch dabei, was wirklich zu euch passt. Sprecht uns gerne an.
