Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
JumpCloud ist eine US-Open-Directory-Plattform, die Identitäts-, Zugriffs-, und Geräteverwaltung in einer Konsole kombiniert. IT-Teams setzen sie ein, um Benutzerkonten, SSO, MFA, Geräte-Posture und Conditional Access über Windows, macOS, Linux, Mobil-, und SaaS-Anwendungen zu verwalten. Obwohl JumpCloud kein Frontend-Widget auf Kunden-Websites hat, verarbeitet sie umfangreiche personenbezogene Mitarbeiterdaten (Identitäten, Geräte-Telemetrie, Audit-Logs) und ist damit ein kritischer DSGVO-Auftragsverarbeiter.
JumpCloud ist eine Open-Directory-Plattform, die drei klassisch getrennte Kategorien zusammenführt: Identity Provider (vergleichbar Okta oder Azure AD), Unified Endpoint Management (vergleichbar Intune oder Jamf) und Zugriffsmanagement (SSO, MFA, Conditional Access). IT-Teams zentralisieren mit JumpCloud das Provisioning für SaaS, setzen Geräte-Posture vor dem Zugriff durch und auditieren, wer wann von wo zugegriffen hat. Betrieben wird die Plattform von JumpCloud Inc. (USA) und ist im EMEA-Mittelstand verbreitet.
JumpCloud speichert Verzeichnisattribute (Name, E-Mail, Rolle, Abteilung, Vorgesetzte, Gruppen, Passwort-Hash), MFA-Konfiguration, Geräte-Inventar (Hostname, OS, Version, Seriennummer, Patches), Sitzungsdaten (Login-IP, Geo-Inferenz, User-Agent, genutztes Gerät) und ein vollständiges Audit-Log aller Plattformaktionen. Logs werden standardmäßig 90 Tage aufbewahrt, in höheren Tarifen bis 1 Jahr verlängerbar.
JumpCloud ist Auftragsverarbeiter personenbezogener Mitarbeiterdaten. Verantwortlicher ist der Arbeitgeber, der die Verarbeitung im Verarbeitungsverzeichnis dokumentieren, den JumpCloud-AVV abschließen und Beschäftigte informieren muss. NIS2 verlangt für wesentliche und wichtige Einrichtungen MFA und Zugriffskontrollen; JumpCloud ist häufig das gewählte Werkzeug, sodass seine Verfügbarkeit und Integrität unmittelbar NIS2-relevant sind. Drittlandtransfers in die USA sind über SCC und Transfer Impact Assessment abzusichern, oder durch die EU-Region zu vermeiden.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Da Betroffene Beschäftigte sind, ist die Rechtsgrundlage regelmäßig Art. 6(1)(b) (Erfüllung des Arbeitsvertrags) oder Art. 6(1)(f) (berechtigtes Interesse an IT-Sicherheit), nicht Einwilligung. Einige EU-Mitgliedstaaten verlangen die Konsultation des Betriebsrats nach Art. 88 DSGVO vor Einführung von Beschäftigtenüberwachungstools, insbesondere wenn Telemetrie Profile erlaubt. Eine Einwilligung ist für den Betrieb nicht erforderlich, eine Information aber Pflicht.
Standardmäßig hostet JumpCloud in den USA (AWS us-east). Beim Onboarding oder per Migration lässt sich die EU-Region (AWS Frankfurt) wählen, sodass Verzeichnis-, und Audit-Daten in der EU bleiben. Für europäische Kunden ist die EU-Region die empfohlene Wahl. Bei US-Region stützen sich Transfers auf SCC und das EU, US Data Privacy Framework, in dem JumpCloud zertifiziert ist. Führen Sie ein Transfer Impact Assessment durch und dokumentieren Sie TOMs (Verschlüsselung at rest, in transit, kundenverwaltete Schlüssel bei sensiblen Kunden).
Schließen Sie den JumpCloud-AVV, wählen Sie nach Möglichkeit die EU-Region, führen Sie bei US-Region eine TIA durch, dokumentieren Sie JumpCloud im Verarbeitungsverzeichnis, informieren Sie Mitarbeitende intern, konsultieren Sie den Betriebsrat, wo erforderlich, setzen Sie eine Audit-Log-Aufbewahrung passend zu Recht und Security-Policy, erzwingen Sie MFA für Admins, schränken Sie Konsolenzugriff per IP ein und binden Sie JumpCloud-Logs an Ihr SIEM für Detection & Response an.
Websites using JumpCloud must obtain user consent under GDPR regulations.
DPIA considerations
JumpCloud verarbeitet umfangreiche personenbezogene Mitarbeiterdaten: vollständiger Name, dienstliche E-Mail, Telefon, Rolle, Abteilung, Vorgesetzte, Gruppenzugehörigkeiten, Login-IPs, Geräte-IDs, OS-Version, MFA-Tokens, Passwort-Hashes, Conditional-Access-Entscheidungen sowie vollständige Audit-Logs. Wesentliche DSFA-Aspekte: (1) JumpCloud liegt im kritischen Pfad des Mitarbeiterzugriffs; ein Vorfall kann die Verfügbarkeit geschäftskritischer Systeme beeinträchtigen (NIS2-Bezug); (2) Audit-Logs können Standortdaten aus IPs enthalten und werfen Fragen der Beschäftigtenüberwachung nach Art. 88 DSGVO auf; (3) Geräte-Telemetrie kann Arbeit außerhalb der Geschäftszeiten und private Nutzung offenlegen; (4) Speicherung von Passwort-Hashes und MFA-Bypass-Fähigkeit machen JumpCloud zum hochrangigen Angriffsziel; (5) US-Hosting ist Default, EU-Region muss beim Onboarding gewählt werden.
Sample consent text
Ihr Arbeitgeber nutzt JumpCloud zur Verwaltung von Identität, Zugriff und Endgerätesicherheit. JumpCloud verarbeitet Ihre dienstlichen Kontoinformationen und Geräte-Telemetrie, um Sie zu authentifizieren und Unternehmenssysteme zu schützen. Daten können an JumpCloud-Server in den USA übertragen werden (oder in die EU-Region, sofern Ihr Arbeitgeber sie gewählt hat). Details entnehmen Sie der internen Mitarbeiter-Datenschutzerklärung.
Third-party domains contacted
jumpcloud.comconsole.jumpcloud.comsso.jumpcloud.comapp.jumpcloud.comapi.jumpcloud.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| session | Strictly Necessary | Session | JumpCloud admin console and user portal session cookie used to maintain authenticated state during a login. |
| csrf_token | Strictly Necessary | Session | Cross site request forgery protection token used to prevent unauthorised state changing requests. |
| jcc_mfa | Strictly Necessary | 30 days | Stores the multi factor authentication remember device decision, so users do not have to complete MFA on every login on the same trusted device. |
JumpCloud ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.
JumpCloud platziert kein Tracking-Widget auf Kunden-Websites und setzt damit keine Cookies bei öffentlichen Besuchern. Die Admin-Konsole (console.jumpcloud.com) und das Benutzerportal setzen Sitzungs-, und CSRF-Cookies auf ihren Domains, jedoch ausschließlich bei Admin-, und Mitarbeiter-Logins, nicht bei öffentlichen Besuchern.
Nein, Einwilligung ist regelmäßig nicht die Rechtsgrundlage. JumpCloud verarbeitet Mitarbeiterdaten zur Vertragserfüllung (Art. 6(1)(b)) und zur Wahrung des berechtigten Interesses an IT-Sicherheit (Art. 6(1)(f)). Mitarbeitende müssen informiert werden und in einigen Staaten (Deutschland, Frankreich) ist der Betriebsrat/CSE vor Einführung nach Art. 88 DSGVO zu konsultieren.
Für Authentifizierung und Zugriffsmanagement sind Vertragserfüllung (Art. 6(1)(b)) und berechtigtes Interesse an IT-Sicherheit (Art. 6(1)(f)) die Standardgrundlagen. Für Audit-Logs und Geräte-Telemetrie über das strikt Erforderliche hinaus ist eine Interessenabwägung zu dokumentieren und ggf. mit dem Betriebsrat abzustimmen.
Standardmäßig ja. Default-Deployment ist AWS us-east. JumpCloud bietet eine EU-Region (AWS Frankfurt), wählbar beim Onboarding oder per Migration. Für US-Deployments stützen sich Transfers auf SCC und das EU, US Data Privacy Framework, in dem JumpCloud zertifiziert ist.
Eine DSFA wird empfohlen, sobald JumpCloud im großen Umfang (große Belegschaft), für sensible Rollen (Führungskräfte, medizinisches Personal) genutzt wird, mit Geräte-Telemetrie, die Beschäftigte profilieren kann, oder mit Conditional Access, das Verhaltenssignale nutzt. Die meisten Enterprise-Deployments benötigen eine DSFA nach Art. 35 DSGVO und EDPB-Kriterien.
Schließen Sie den JumpCloud-AVV ab, wählen Sie nach Möglichkeit die EU-Region, dokumentieren Sie die Verarbeitung im Verzeichnis, informieren Sie Beschäftigte intern, konsultieren Sie den Betriebsrat, wo erforderlich, setzen Sie eine bedarfsgerechte Audit-Log-Aufbewahrung, erzwingen Sie MFA für Admins, schränken Sie Konsolen-Zugriff per IP ein, integrieren Sie JumpCloud-Logs ins SIEM, führen Sie für US-Region eine TIA und für Hochrisiko-Verarbeitungen eine DSFA durch.
EU-basierte oder EU-residenzfähige Alternativen sind u. a. Microsoft Entra ID (mit EU Data Boundary), Okta (EU-Deployment), OneLogin (EU-Region), Keycloak (Open Source, Self-Hosted) und Authelia (Open Source, Self-Hosted). Für ein vollständig selbst gehostetes Directory bieten sich Samba, FreeIPA oder Authentik Open Source an.
Nennen Sie die JumpCloud Inc. als Auftragsverarbeiter für Identitäts-, und Geräteverwaltung, die Datenkategorien (Kontodaten, MFA-Tokens, Geräte-Inventar, Login-Events, Audit-Logs), die Rechtsgrundlage (Vertrag, berechtigtes Interesse), die Aufbewahrungsdauer (gemäß JumpCloud und Security-Policy), die Hosting-Region (US oder EU), den Transfer-Mechanismus (SCC, Data Privacy Framework) und die Wege zur Wahrnehmung der DSGVO-Rechte.