Newsletter abonnieren.
Du willst mehr über die Atlassian Tools, smarte Automatisierungslösungen und effizientes Servicemanagement erfahren?
Dann melde dich zu unserem Newsletter an!
06.07.2026
Es gibt einen Satz, den wir in Gesprächen mit IT-Verantwortlichen regelmäßig hören – meistens kurz bevor ein Audit ansteht: „Wir nutzen Atlassian Cloud. Die sind doch ISO 27001-zertifiziert und SOC 2-geprüft. Das sollte reichen, oder?" Die kurze Antwort: Nein. Warum das so ist und was stattdessen zählt, erfahrt ihr hier.

Ja, Atlassian ist gut aufgestellt: ISO/IEC 27001, SOC 2 Type II, DSGVO-konformer Betrieb, PCI DSS – und seit 2025 auch das BSI C5 Type 1-Attest, das speziell für den deutschen Markt relevant ist.
Aber sie beziehen sich ausschließlich auf Atlassians eigene Infrastruktur. Nicht auf eure Jira-Konfiguration. Nicht auf eure Confluence-Berechtigungen. Nicht auf die 35 Apps, die jemand irgendwann vom Marketplace installiert hat.
Das nennt sich Shared Responsibility Model: Atlassian sichert die Plattform selbst. Ihr hingegen seid verantwortlich für alles, was darauf passiert.
Ein Auditor fragt deshalb nicht, ob Atlassian nach bestimmten Normen oder Vorgaben zertifiziert ist. Er fragt, ob ihr nachweisen könnt, wer wann auf welche Daten Zugriff hatte und warum.
Compliance folgt festen Rhythmen. Wer sie kennt, kann vorausplanen.
Nach der ISO 27001 zertifizierte Unternehmen durchlaufen alle drei Jahre ein vollständiges Rezertifizierungsaudit, dazwischen stehen jährliche Überwachungsaudits an. Für den Atlassian-Betrieb heißt das: Zugriffsrechte, Konfigurationsentscheidungen und Sicherheitsprozesse müssen jederzeit lückenlos nachweisbar sein – nicht erst, wenn der Termin feststeht.
SOC 2 Type II ist besonders für Unternehmen mit internationalen Kunden oder Partnern relevant. Der Bericht bezieht sich auf einen 12-monatigen Prüfzeitraum. Was in dieser Zeit in eurer Atlassian-Umgebung passiert ist, fließt direkt ein. Undokumentierte Zugriffsrechte oder fehlende Change-Protokolle landen im Bericht und können eine Rezertifizierung schlimmstenfalls verhindern.
Die DSGVO verpflichtet euch, mit jedem Tool, das personenbezogene Daten verarbeitet, einen Auftragsverarbeitungsvertrag (AVV) abzuschließen – auch mit App-Anbietern aus dem Atlassian Marketplace. Diese Verträge müssen aktuell gehalten und bei Bedarf aktualisiert werden. Bei Nicht-Einhaltung dieser Vorgaben drohen Sanktionen.
Vierteljährliche User-Access-Reviews (also die Prüfung, welche Nutzer noch welche Rechte in Jira und Confluence haben) gehören zu den Nachweisen, die bei Atlassian-Audits am häufigsten fehlen. Die Frage dahinter ist simpel: Kann jedes aktive Zugriffsrecht heute noch begründet werden?
Bei einem DSGVO-relevanten Sicherheitsvorfall gilt eine Meldepflicht von 72 Stunden gegenüber der zuständigen Datenschutzbehörde. Das setzt voraus, dass euer Team Vorfälle überhaupt erkennt und einen dokumentierten Incident-Response-Prozess hat, der greift.
Die Atlassian Cloud wird kontinuierlich aktualisiert, und zwar ohne eure Freigabe. Dazu gehören Bugfixes, neue Features, geänderte Konfigurationsoptionen und abgekündigte Funktionen. Manchmal werden sogar mehrere Updates pro Woche veröffentlicht.
Zwei konkrete Beispiele: Im November 2025 stellte Atlassian die Protokollierung von Drittanbieter-App-Aktivitäten auf Opt-in um. Wer die neue Einstellung verpasst hat, hat seitdem unvollständige Audit Logs. Auch bei der Datenspeicherung zu KI-Trainingszwecken steht ein Update im August 2026 bevor und sollte für Audits zwingend berücksichtigt werden. Mehr dazu lest ihr in diesem Blogbeitrag zum Thema Änderung der Datenspeicherung bei Atlassian.
Ein Audit ist wie ein Zahnarztbesuch: Wer innerhalb weniger Wochen versucht, die Versäumnisse mehrerer Jahre zu beseitigen, kann sich auf eine unangenehme Erfahrung gefasst machen.
Besser ist es also, sich heute schon darauf vorzubereiten. Ein guter erster Schritt ist zu wissen, wo die eigenen Lücken liegen.
Genau dafür haben wir den Atlassian-Admin-Check entwickelt: ein kostenloser Selbstcheck speziell für Jira-, Confluence- und JSM-Umgebungen – verständlich für IT-Mitarbeitende, konkret genug für IT-Leiter.
✅ Selbstcheck gegliedert nach Berechtigungen, Apps, Compliance-Dokumentation und Prozessreife
✅ Die Fragen, die Auditoren in Atlassian-Umgebungen tatsächlich stellen
✅ Sofort umsetzbare Handlungsempfehlungen