Daniel Gottschalk

Autor: Daniel Gottschalk

Head of Sales & Customer Success Manager bei XALT

Stell dir vor, deine IT-Abteilung hat die perfekte Begründung für die Atlassian Cloud: niedrigere Betriebskosten, automatische Updates, keine eigene Infrastruktur. Dann kommt die Compliance-Abteilung und das Projekt stockt. BaFin-Anforderungen, EBA-Leitlinien, DORA: Für Banken, Versicherungen und FinTechs klingt Atlassian Cloud lange nach einem regulatorischen Hürdenlauf.

Was früher berechtigt war, sieht heute aber anders aus.

Atlassian hat mit dem EU Financial Services Addendum und einem strukturierten Compliance-Framework gezielt auf die Bedenken regulierter Institute reagiert. In diesem Artikel bekommst du eine klare Übersicht, was das konkret bedeutet und wie du als IT-Leiter den Weg in die Cloud compliance-konform planst.

Warum Finanzinstitute bei der Cloud-Migration zögern

Die Zurückhaltung gegenüber Cloud-Lösungen im Finanzsektor ist regulatorisch begründet. EBA (European Banking Authority) und BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) behandeln Cloud-Services als Outsourcing mit weitreichenden Pflichten:

  • Auditrechte: Das Institut muss den Cloud-Anbieter und seine Unterauftragnehmer prüfen können.
  • Weisungsrecht: Klare Regelungen, wer was mit den Daten tun darf.
  • Datensicherheit und -standort: Wo werden Daten verarbeitet und gespeichert?
  • Exit-Klauseln: Wie sieht der Rückweg aus, wenn der Vertrag endet oder der Anbieter insolvent wird?
  • Chain Outsourcing: Auch Subunternehmer des Cloud-Anbieters müssen die Anforderungen erfüllen.

Die BaFin gilt als eine der anspruchsvollsten nationalen Regulierungsbehörden innerhalb der EU. Ihr Leitfaden zur Auslagerung an Cloud-Anbieter, zuletzt aktualisiert im Februar 2024 mit explizitem Verweis auf DORA, enthält Anforderungen, die über die EBA-Leitlinien hinausgehen.

Laut dem Capgemini World Cloud Report Financial Services 2025 – einer Befragung von 600 Banking- und Insurance-Entscheidern – sind nur 12 % der Finanzinstitute weltweit echte Cloud-Innovatoren, die Cloud konsequent für Wettbewerbsvorteile nutzen. Die Mehrheit kämpft noch damit, Cloud-Investitionen in messbaren Geschäftswert zu übersetzen. Der häufigste Grund dafür ist ein fehlendes regula­torisches Fundament für die Migration.

Was Atlassian seit 2021 verändert hat

EU Financial Services Addendum (EU FSA): Seit Dezember 2021 bietet Atlassian diesen Vertragszusatz für qualifizierende europäische Finanzdienstleister an. Das EU FSA stellt vertraglich sicher, dass die Anforderungen der EBA und der BaFin beim Cloud-Outsourcing erfüllt werden.

Mit dem EU FSA erhältst du als Institut:

  • Umfassende Prüfungsrechte fur dich, deine Wirtschaftsprüfer und Aufsichtsbehörden, auch nachgelagert fur AWS als Infrastruktur-Provider
  • Verbesserte Aufzeichnungs- und Meldepflichten seitens Atlassian
  • Verpflichtung zur Zusammenarbeit mit den Aufsichtsbehörden des Kunden
  • Kontinuität des Dienstes nach einer Kündigung oder Insolvenz

DORA (Digital Operational Resilience Act): Seit dem 17. Januar 2025 verbindlich für alle EU-Finanzinstitute. Atlassian unterstützt betroffene Institute durch ein robustes Vertragsrahmenwerk, Compliance-Nachweise und Transparenz zu Sicherheitspraktiken.

BaFin Outsourcing Guidance: Atlassian veröffentlicht ein spezifisches Mapping-Dokument, das zeigt, wie Atlassian Cloud Enterprise die einzelnen BaFin-Anforderungen adressiert.

Atlassian liefert das regulatorische Fundament, Vertrag, Zertifizierungen, Dokumentation. Die Verantwortung für Konfiguration und Datenverwaltung liegt beim Institut.

In 4 Schritten zur BaFin-konformen Atlassian Cloud

Schritt 1: Prüfe die Voraussetzungen für das EU FSA

Das EU FSA steht nicht jedem Kunden offen. Voraussetzungen:

  • Status als europäisches Finanzdienstleistungsinstitut (Bank, Versicherung, qualifiziertes FinTech im EWR oder UK)
  • Enterprise-Edition von Confluence Cloud, Jira Software Cloud, Jira Service Management Cloud oder Jira Align Cloud
  • MSA-Vereinbarung mit Mindestausgaben von 150.000 Euro, Anfrage über den Atlassian Partner Service Desk

Schritt 2: Hole Compliance frühzeitig ins Boot

Das ist der häufigste Fehler in der Praxis: IT plant die Migration, Compliance erfährt es sechs Wochen vor Go-Live. Mach es andersherum. Starte mit einer Mapping-Session zwischen IT, Compliance-Abteilung und Datenschutzbeauftragtem. Klar vorab:

  • Welche Daten werden in Jira/Confluence verarbeitet und welche Klassifizierung haben sie?
  • Welche Outsourcing-Genehmigungen braucht ihr intern?
  • Gibt es bestehende interne Policies für Cloud-Dienste, die zuerst aktualisiert werden müssen?
  • Welche Daten dürfen für welche Zwecke verarbeitet werden?

Schritt 3: Mappe BaFin-Anforderungen gegen Atlassian-Kontrollen

Atlassians BaFin Outsourcing Guidance liefert das genaue Mapping. Die zentralen Bereiche:

  • Auditrechte: Atlassian gewährt Inspektionsrechte auch nachgelagert bei AWS
  • Datensicherheit: ISO 27001-, SOC 2-, SOC 3- und BSI C5-attestiert; Data Residency fur EU verfügbar
  • Incident-Meldung: 72-Stunden-Standard für Security Incidents im Atlassian DPA verankert
  • Exit-Management: EU FSA regelt Dienst-Kontinuität auch bei Kündigung oder Insolvenz

Schritt 4: Dokumentiere alles als Nachweis-Paket

  • Ausgefülltes Outsourcing-Register mit dem EU FSA als Vertragsnachweis
  • Mapping-Dokument: BaFin-Anforderungen vs. Atlassian-Kontrollen
  • Konfigurationsdokumentation aller Admin-Einstellungen
  • Incident-Response-Matrix
  • Regelmäßiger Review-Termin (mindestens jährlich)

DORA ab 2025: Was sich für Atlassian-Nutzer ändert

Für Atlassian-Nutzer bedeutet DORA fünf Handlungsfelder:

  • IKT-Risikomanagement: Klare Frameworks für Risikoidentifikation und -steuerung
  • Incident-Reporting: Standardisierte Meldeprozesse bei IKT-Störungen
  • Resilienz-Tests: Regelmäßige Penetrationstests und Belastungsproben
  • Drittparteien-Management: Monitoring und Kontrolle kritischer IKT-Dienstleister
  • Informationsaustausch: Freiwilliger Austausch zu Cyberbedrohungen

Fazit: Was IT-Leiter im Finanzsektor mitnehmen sollten

  • Das EU FSA macht Atlassian Cloud regulatorisch nutzbar (seit 2021 für qualifizierende Finanzinstitute verfügbar)
  • DORA ist seit Januar 2025 Pflicht (Atlassian liefert das Vertragsrahmenwerk)
  • Shared Responsibility: Atlassian liefert das Fundament, ihr die Konfiguration.
  • Compliance früh einbinden beschleunigt Projekte (nicht umgekehrt)
  • Enterprise-Edition ist Voraussetzung für das EU FSA

Du planst die Migration in die Atlassian Cloud und willst BaFin, EBA und DORA von Anfang an einhalten? XALT begleitet dich von der regulatorischen Bestandsaufnahme bis zur auditfähigen Cloud-Umgebung.

FAQ: Atlassian Cloud und BaFin-Compliance

Wie unterstützt Atlassian die Einhaltung der BaFin BAIT Anforderungen?
Atlassian bietet durch das Financial Services Addendum (FSA) und die EU-Datenresidenz die notwendigen vertraglichen und technischen Grundlagen. Das Atlassian Trust Center liefert zudem spezifische Compliance-Mappings für deutsche Finanzinstitute, um die Anforderungen der BAIT und MaRisk zu erfüllen.

Ist die Atlassian Cloud DORA-konform für Banken in Deutschland?
Ja, Atlassian bereitet sich aktiv auf den Digital Operational Resilience Act (DORA) vor. Sie bieten bereits heute die notwendigen Transparenz- und Prüfungsrechte sowie Sicherheitszertifizierungen (ISO 27001, SOC 2), die für das IKT-Drittparteienrisikomanagement unter DORA erforderlich sind.

Was ist das Atlassian Financial Services Addendum (FSA)?
Das FSA ist eine Vertragserweiterung für Kunden aus dem Finanzsektor. Es enthält spezifische Klauseln zu Prüfungsrechten, Informationspflichten und der Kontrolle von Unterauftragnehmern, um die Anforderungen von BaFin und EBA (European Banking Authority) zu erfüllen.

Kann ich Atlassian Jira und Confluence Cloud mit BSI C5 nutzen?
Ja, Atlassian Cloud-Produkte verfügen über eine BSI C5-Testierung (Cloud Computing Compliance Controls Catalogue). Diese ist essenziell für deutsche Unternehmen, um die Sicherheit der Cloud-Infrastruktur gegenüber Aufsichtsbehörden nachzuweisen. XALT hat bereits erfolgreich Kunden (wie die AKDB) in eine C5-konforme Umgebung migriert.

Wo finde ich die aktuellen Audit-Berichte für meine Risikoanalyse?
Alle relevanten Zertifizierungen, SOC-Berichte und Compliance-Nachweise sind zentral im Atlassian Trust Center hinterlegt. Einige detaillierte Berichte können dort direkt über das Compliance-Portal angefordert werden.