Die Nutzung von Unternehmensdaten für KI-Systeme wird zunehmend zum Standard in der Softwarebranche. Mit einer neuen Richtlinie geht Atlassian nun einen besonders weitreichenden Schritt: Ab August 2026 werden Daten aus Jira, Confluence und anderen Cloud-Produkten systematisch für das Training und die Verbesserung von KI-Funktionen verwendet.
Was wie ein logischer Innovationsschritt wirkt, wirft bei genauer Betrachtung grundlegende Fragen zu Datenschutz, Kontrolle und Informationssicherheit auf.
Was sich bei Atlassian konkret ändert
Atlassian führt sogenannte „Data Contribution Settings“ ein, über die Organisationen steuern können, ob ihre Daten zur Verbesserung von Produkten und KI verwendet werden. [Quelle: Atlassian Data Contribution]
Ab dem 17. August 2026 werden zwei Datenarten zum Anlernen der eigenen KI genutzt:
1. Metadaten: Nutzungssignale statt Inhalte
Hierzu zählen strukturierte Informationen wie:
- Story Points in Jira
- Komplexitäts- und Lesbarkeitswerte
- Workflow- und Nutzungsmuster
Diese Daten gelten als „de-identifiziert“ und werden aggregiert verarbeitet.
2. In-App-Daten: Inhalte aus dem Arbeitsalltag
Dazu gehören unter anderem:
- Confluence-Seiten
- Jira-Tickets und Kommentare
- Workflow- und Statusinformationen
Diese Inhalte liefern den Kontext den KI-Systeme benötigen um z. B. bessere Vorschläge oder Automatisierungen zu erzeugen.
Default-Einstellungen und Datenschutzrisiken
Der kritischste Punkt ist nicht die Datennutzung selbst, sondern deren Standardaktivierung.
Atlassian koppelt die Kontrolle über Daten direkt an das Preismodell:
- Free / Standard:
- Metadaten: immer aktiv, kein Opt-out
- Inhalte: standardmäßig aktiv, deaktivierbar
- Premium:
- Metadaten: immer aktiv
- Inhalte: standardmäßig deaktiviert
- Enterprise:
- Vollständige Kontrolle über beide Datenarten
Damit entsteht ein strukturelles Problem: Datenschutz wird faktisch zur kostenpflichtigen Zusatzfunktion.
Atlassians Argumente und Schutzmaßnahmen
In den offiziellen FAQ betont Atlassian mehrere Punkte:
Ziel: Bessere Produkte und KI-Funktionen
Die Datennutzung soll helfen:
- relevantere Suchergebnisse zu liefern
- Inhalte präziser zusammenzufassen
- Workflows zu automatisieren
- Vorhersagen und Empfehlungen zu verbessern
Schutzmaßnahmen laut Atlassian
- Entfernung direkter Identifikatoren (z. B. Name, E-Mail)
- Aggregation über mehrere Kunden hinweg
- Verschlüsselung und Einhaltung bestehender Sicherheitsmechanismen
Wichtige Klarstellung
Die Nutzung von Daten für Training ist getrennt von der Nutzung von KI-Funktionen selbst.
Das bedeutet:
Selbst wenn KI-Features deaktiviert sind, können Daten weiterhin zur Verbesserung verwendet werden.
Datenschutzprobleme im Detail
Atlassian argumentiert mit „De-Identifikation“. Doch aus DSGVO-Sicht ist das nur bedingt ausreichend.
1. Re-Identifikation ist nicht ausgeschlossen
Metadaten können in Kombination Rückschlüsse auf:
- Teams
- Projekte
- Arbeitsweisen
zulassen.
2. Unternehmensdaten sind oft sensibler als Personendaten
Auch ohne Personenbezug können Inhalte kritisch sein:
- Produktstrategien
- Sicherheitslücken
- interne Prozesse
3. Lange Speicherfristen
Daten können bis zu sieben Jahre gespeichert werden.
Das erhöht das Risiko langfristiger Datenexposition erheblich.
Risiken für die Informationssicherheit
Neben Datenschutzfragen entstehen auch sicherheitstechnische Risiken:
Erweiterter Datenfluss
Daten verlassen ihren ursprünglichen Kontext und fließen in Trainingssysteme – ein klassischer Fall von „secondary data use“.
Größere Datenpools = höherer Angriffsanreiz
Zentral aggregierte Daten sind attraktive Ziele für:
- Datenabfluss
- Modellmanipulation
- Insider-Bedrohungen
Schwierige Rückholbarkeit
Einmal in Modelle integrierte Informationen lassen sich nur mit erheblichem Aufwand entfernen – trotz angekündigter Retrainingsprozesse.
Überreaktion oder berechtigte Kritik?
Einige Experten sehen die Situation differenzierter:
Die Nutzung von Metadaten wird teilweise als „vergleichsweise risikoarm“ eingeschätzt, während die eigentlichen Herausforderungen eher bei Themen wie Datenresidenz und Verantwortlichkeiten liegen. (Quelle: Seibert Group)
Dennoch bleibt ein zentraler Punkt bestehen: Die Kontrolle über Daten verschiebt sich vom Kunden zum Anbieter.
Handlungsempfehlungen für Unternehmen
Die Änderungen sind nicht optional – aber steuerbar.
1. Data Contribution Settings prüfen
Diese werden zentral in der Atlassian-Administration verwaltet.
2. Sensible Inhalte identifizieren
Welche Daten dürfen grundsätzlich nicht in Trainingsprozesse gelangen?
3. Compliance bewerten
- DSGVO
- Branchenregulatorik
- interne Policies
4. Tarifstruktur hinterfragen
Ist ein Upgrade notwendig, um Datenschutzanforderungen zu erfüllen?
5. Mitarbeiter sensibilisieren
Bewusstsein für den Umgang mit sensiblen Inhalten in Tools schaffen.
Weitere gute detaillierte Handlungsempfehlungen finden sich bei XALT.
Fazit: KI braucht Daten – aber zu welchem Preis?
Atlassian folgt einem klaren Branchentrend: Unternehmenssoftware wird zur Datenquelle für KI.
Die entscheidende Frage ist jedoch nicht, ob Daten genutzt werden – sondern unter welchen Bedingungen:
- Transparenz vs. Intransparenz
- Kontrolle vs. Voreinstellung
- Sicherheit vs. Skalierung
Für Unternehmen bedeutet das: Die Einführung von KI ist nicht nur eine technische, sondern vor allem eine Governance-Frage.
