Asana ist für viele Unternehmen die erste Wahl als Projektmanagement-Tool. Doch ist Asana auch Datenschutzkonform?

In diesem Beitrag erfahren Sie, wie Asana Datenschutz behandelt, wie es im Vergleich zu seinen Wettbewerbern dasteht und welche Datenschutzmaßnahmen Sie selbst in Ihrem Unternehmen umsetzen können, um Asana-Nutzung und DSGVO in Einklang zu bringen. 

Management Summary: Ist Asana datenschutzkonform gemäß DSGVO? 

Die kurze Antwort ist: Ja. 

Dafür sprechen vor allem folgende Punkte: 

  1. Serverstandort EU im Enterprise Plan
  2. DSGVO konforme Datenverarbeitung
  3. Kultur des Vertrauens / DSGO Trainings 
  4. Datenschutzbeauftragter

Asana ist ein US-Amerikanisches Unternehmen und speichert Daten außerhalb des Enterprise Plans auf Amazon Servern in den USA. Unter strenger Auslegung könnten die Server außerhalb der EU ein Problem sein. Diese Herausforderungen haben alle etablieren Projektmanagement Tools auf dem Markt. Für Enterprise-Kunde ist das allerdings kein Thema. 

Inhaltsverzeichnis

  1. Management Summary: Ist Asana datenschutzkonform gemäß DSGVO?
  2. Asana & DSGVO
  3. Europäische Serverinfrastruktur
  4. Weitere DSGVO Maßnahmen
  5. Asana und Sicherheit
  6. Backups
  7. Zertifikate
  8. Asana im Vergleich
  9. Unsere Empfehlung 

Asana & DSGVO

Als Software, mit der Unternehmen Ihre gesamte Arbeit an einem einzigen zentralen Ort organisieren können, spielt Transparenz eine bedeutende Rolle in Collaboration-Tools wie Asana. Transparenz sollte allerdings nicht heißen, dass Daten nicht Datenschutzkonform bearbeitet, gespeichert und verfügbar gemacht werden. 

Europäische Serverinfrastruktur

Mit Standorten in Dublin, München, Paris und London ist sich Asana der Wichtigkeit von Datenschutz in Europa und vor allem auch in Deutschland natürlich bewusst. Daher spielt vor allem DSGVO eine wichtige Rolle bei Asana. 

Die Grundvoraussetzung für DSGVO-Konformität ist ein Serverstandort in Europa. Für Enterprisekunden bietet Asana Datenspeicherung auf europäische Rechenzentren über Amazon Web Services (AWS) an. Die Kundendaten werden in Frankfurt am Main und die Backups in Dublin gespeichert. 

Damit ist der erste und wichtigste Check auf der Checkliste vieler IT-Manager und Procurement-Abteilungen gesetzt. Asana verwendet die Amazon Virtual Private Cloud. Die Netzwerkarchitektur ist so konzipiert worden, dass sie sicher, skalierbar und einfach zu verwalten ist.
 

Weitere DSGVO Maßnahmen

Asana hat weiterhin eine große Menge an internen Optimierungen abgeschlossen. Dazu zählt, dass Asana die Sicherheit auf mehreren Ebenen erhöht hat. Auf Mitarbeiterebene wurden intensive Schulungen durchgeführt, um alle Mitarbeitenden auf das Thema DSGVO zu trainieren und ein Bewusstsein der Sicherheit zu schaffen. Diese Training starten ab Tag ein für jeden neuen Mitarbeiter. Asana hat natürlich zudem einen Datenschutzbeautragten ernannt und kommt damit der entsprechenden Regelung nach. 

Zusätzlich wurden sämtliche Verträge mit Partnern und Kunden überarbeitet, sodass  auch hier DSGVO im Zentrum steht und von allen Parteien eingehalten wird. Dabei liegt der Fokus ebenso auf einer genauen Überprüfung und Zuordnung der Daten, die erhoben, verwendet oder weitergeben werden, sodass ein erhöhtes Maß an Kontrolle und Sicherheit geboten wird. 

Noch mehr Informationen zum Thema Datenanken und Webserver, Datenverarbeitung und Rechenzentrum finden Sie hier.

Asana und Sicherheit

Das Wichtigste zuerst: Asana verwendet jederzeit eine SSL-Verbindung.Jeder Datenzugriff wird geprüft, sodass niemand außerhalb Ihres Unternehmens jemals einen Blick auf Ihre Daten werden, geschweige denn darauf zugreifen kann. 

Gängige, webbasierte Vektorenangriffe werden durch Best Practices in der Anwendersicherheit verhindert. Die zentralen Punkte in Asana’s Sicherheit sind folgende: 

Backups

Asana garantiert die überregionale Speicherung von Backups durch täglich Snapshots der Datenbank. Die Backups der Enterprisekunden erfolgen in Irland.


Zertifikate

Asana hat eine Reihe von Zertifikaten zur Bestätigung der hohen Sicherheitsauflagen abgeschlossen. Vor allem hat das Unternehmen das SOC 2 (Typ II)-Audit für die von Asana implementierten Kontrollen in Bezug auf Sicherheit, Verfügbarkeit und Vertraulichkeit erfolgreich abgeschlossen. Weiterhin besitzt Asana verschiedene ISO-Zertifizierungen wie z.B.
–   ISO/IEC 27001:2013
–   ISO/IEC 27017:2015
–   ISO/IEC 27018:2019
–   ISO/IEC 27701:2019

Und viele mehr. Weitere Punkte die unserer Meinung wichtig sind:

–   Asana bietet eine 128-Bit-Verschlüsselung (unterstützt durch TLS 1.2 und höher)
–   Ein Enterprise Key Management

Administration

Ihr Asana Konto können Sie durch gezielte Möglichkeiten noch sicherer einstellen. Sie haben die Möglichkeit, eine Login-Sicherheit durch SSO (z.B. SAML 2.0). zu setzen. Außerdem können Sie als Admin die Passwortstärke vorgeben und die Zurücksetzung des Passworts erzwingen. Durch die Audit Log API erhöhen Sie dich Sicherheit weiter und können Compliance-bezogene Aktivitäten in Asana direkt über das Dashboard von Splunk anzeigen lassen und überwachen.

Usermanagement und Nutzer-Provisionierung und -Deprovisionierung

Admins haben volle Kontrolle darüber, wer Zugriff auf ihre Daten hat. Sie können Mitglieder und Gäste entfernen und einladen und haben im Dashboard einen Überblick über alle Nutzer. Sie können das Einladung von externen durch nicht-Admin Nutzer verhindern und somti die volle Kontrolle über die Nutzer-Provisionierung und Deprovisionierung erlangen.

Zugriffsrechte

Asana bietet individuelle Zugriffsrechte auf allen Hierarchieebenen. Von Zielen, Portfolios hinzu Projekten, Tasks und sogar Sub-Tasks. Sie könnten theoretisch einen Gast-Nutzer lediglich auf die unterste Ebene, eine Sub-Task, berechtigen ohne Daten aus übergelagerten Projekten zu zeigen. Die Sichtbarkeit einzelner Projekte, Tasks oder Verantwortlichen Personen kann damit kontrolliert werden. Dies ermöglicht eine sichere und flexible Zusammenarbeit über verschiedene Nutzergruppen hinweg und erhöht die Datensicherheit.
Auch innerhalb der Asana Oberfläche können Sie Einschränkungen zu Apps von Drittanbietern einstellen (z.b. nur Sharepoint zulassen, nicht aber Dropbox) und Datenauswertungen für die Nutzer einschränken.

Eine Uptime von 99,9 % (siehe status.asana.com)


Kultur des Vertrauens

Asana etabliert durch ein verstärktes Sicherheitsbewusstsein aller Mitarbeiter eine „Kultur des Vertrauens“. Ab dem ersten Tag wird jeder Asana Mitarbeiter Teil dieser Kultur, in der die Wichtigkeit des Schutzes von Kundeninformationen oberste Priorität hat.
Es gibt Richtlinien, Verhaltenskodizes und gemeinsame Wertvorstellungen, die Asana’s Management regelmäßig kommuniziert, um das Bewusstsein dieser Werten und Verhaltensstandards im Team zu stärken.
Zitat von Asana’s Sicherheitswebsite:
„Wir lassen uns von folgenden Grundsätzen leiten:
–   Physische Sicherheit und Sicherheit der Umgebung zum Schutz unserer Web- und mobilen Anwendungen vor unbefugtem Zugriff
–   Gewährleistung der Verfügbarkeit unserer Anwendungen
–   Vertraulichkeit zum Schutz der Kundendaten
–   Integrität zur Aufrechterhaltung der Genauigkeit und Konsistenz der Daten während ihres gesamten Lebenszyklus“

Asana im Vergleich

Sicherlich haben Sie sich auch andere Tools bei der Suche nach einem passenden Tool angeschaut. Oft werden Asana Alternativen wie Trello, Smartsheets, Wrike oder Jira gennannt. International etablierte und meist aus den USA stammende Firmen unterscheiden sich im Punkt Datenschutz kaum von Asana. Sie alle bieten Enterprise Pläne oder Upgrades an, um Daten auf EU Servern zu speichern.

Spannend wird die Frage bei Tools, die von europäischen Firmen gebaut und auf europäischen oder deutschen Servern gehostet werden. Hier fallen vor allem awork, Stackfield, und MeisterTask auf. Alle drei bewerben auf ihren Webseiten einen der Kernvorteile ihrer Services: Serverstandort Deutschland. 

Bei genauerer Betrachtung fällt dabei auf, dass der einzige Unterschied darin besteht, dass diese Tools bereits in der Basisversion EU Server anbieten, wohingegen Tools wie Asana dafür ein Enterprise Upgrade benötigen. Der Vorteil liegt also auf dem ersten Blick im Preis, da die genannten Tools in den Basisversionen günstiger sind, als Asana in der Enterpriseversion. 

Das Problem ist allerdings, dass man hier Äpfel mit Birnen vergleicht. Die drei genannten Beispiele (und es gibt weitere) bieten zwar in einem günstigeren Plan bereits EU Server an, allerdings sind die Funktionen und Ausrichtungen deutlich unterschiedlicher, sodass der Preisvergleich hinkt. 

Bei awork, Stackfield oder Meistertask erhält man gute, aber simple Tools, die sich entweder auf das reine Verwalten von Aufgaben (Meistertask) oder um eine Alleskönner (Stackfield) positionieren. Bei der ersten Variante fehlen Zentrale Funktionen um teamübergreifend an vielen, komplexen und großen Projekten zu arbeiten. Bei Variante Zwei erhält man eine große Anzahl von Funktionen, die aber als Gesamtprodukt nicht überzeugen und zu komplex und sperrig in der Handhabung wirken. 

Das sich Asana mit seinem Mix aus Datenschutz im Enterpriseplan und dem Fokus auf zentrale Funktionen bei gleichzeitig intuitiver Nutzung als weltweit beliebtestes Projektmanagement Tool etabliert hat, bestätigt auch das unabhänge Toolbewertungsportal G2.com. Hier liegt Asana seit Jahren auf Platz 1. 

Ein weiterer Punkt ist die Sicherheit auf Unternehmensebene – Asana ist ein börsennotiertes Unternehmen und seit 2012 auf dem Markt – hat also bewiesen, dass es ein tragendes Geschäftsmodell und genügend Resourcen für eine langfristige Entwicklung hat. Bei kleinere Unternehmen wie awork, Stackfield oder Meistertask besteht ein höheres Risiko, dass die Unternehmen durch Krisen, Serverausfälle, finanzielle Notlagen usw. nicht in der Lage sind, ihre Software dauerhaft und stabil für die Kunden bereitzustellen. 

Alles in allem kann man sagen, dass man bei Asana zwar mehr für EU Server zahlt, dafür aber das auf allen Ebenen die industrieführende und am besten bewertete Software von einem etabliertes Unternehmen erhält. 

Was man bei der Suche nach dem richtigen Tool sonst noch so beachten sollte, fassen wir in einem Video zusammen. Sie finden es hier

 

Unsere Empfehlung

Wenn Sie mehr über Datenschutz bei Asana erfahren möchten um ob es auch für Ihre Firma in Frage kommt, melden Sie sich gerne bei uns.

Wir unterstützen bei:

–   der Migration der Daten auf EU-Server beim Upgrade auf den Enterprise Plan (inklusive des Lizenzmanagements)
–   der Einrichtung von SSO / SAML
–   bei den Einstellungen von Zugriffsrechten und Compliance Richtlinien
–   beim Training der Mitarbeiter auf Sicherheitsrelevante Themen
–   bei der Erstellung eines gemeinsamen Sicherheitsverständnisses im Team
–   und vieles mehr

Sie können gerne jetzt einen Termin mit uns vereinbaren und wir unterstützen Sie gerne.
 

Disclaimer: Da wir auf deren Inhalte keinen Einfluss auf Asana’s Technologie und Sicherheitseinstellungen haben, kann für die genannten Punkte keine Gewähr übernommen werden. Für die Richtigkeit der Informationen ist stets der jeweilige Informationsanbieter der verlinkten Webseite verantwortlich. Zum Zeitpunkt der Verlinkung waren keine Rechtsverstöße erkennbar.