Kostenlos beraten
Asana DSGVO und Auftragsverarbeitungsvertrag für deutsche Unternehmen
tools

Asana DSGVO: Auftragsverarbeitungsvertrag und EU-Datenschutz

Ja, Asana stellt einen Auftragsverarbeitungsvertrag (AVV) und EU-Datenspeicheroptionen bereit — die vollständige EU-Datenspeicherung ist jedoch ausschließlich für Asana Enterprise- und Enterprise+-Pläne verfügbar. Für deutsche Unternehmen, die Asana unter der DSGVO einsetzen möchten, reicht die bloße Existenz eines AVV nicht aus: Die KI-Funktionen von Asana Intelligence, Unterauftragsverarbeiter-Ketten und Betriebsratsrechte müssen ebenfalls geprüft werden.

Was ist Asana AI?

Asana ist eine cloudbasierte Projektmanagement- und Arbeitskoordinations-Plattform mit Hauptsitz in den USA. Sie wird von Operations-, Marketing-, HR- und Produktteams eingesetzt, um Projekte, Aufgaben und Arbeitsabläufe zu verwalten. Im Jahr 2024 führte Asana Asana Intelligence ein — eine integrierte KI-Schicht mit Funktionen wie KI-gestützten Aufgabenzusammenfassungen, intelligenten Statusupdates, Zielfortschrittsanalysen und Workflow-Vorschlägen.

Da Asana Arbeitsdaten, Projektkommunikation und Aufgabenaufzeichnungen von Mitarbeitenden im Auftrag von Unternehmen verarbeitet, ist Asana als Auftragsverarbeiter im Sinne von Artikel 28 DSGVO einzustufen. Vor jeder beruflichen Nutzung, bei der personenbezogene Daten verarbeitet werden, ist der Abschluss eines Auftragsverarbeitungsvertrags zwingend erforderlich.

Ist Asana DSGVO-konform?

Asana kann mit dem richtigen Abonnement und den richtigen vertraglichen Voraussetzungen DSGVO-konform eingesetzt werden. Alle kostenpflichtigen Asana-Pläne (Premium, Business, Enterprise und Enterprise+) umfassen einen AVV, der für EU-Kunden in die Standard-Abonnementbedingungen eingebettet ist.

Wesentliche Punkte für deutsche Unternehmen:

  • AVV-Verfügbarkeit: Asana stellt einen Auftragsverarbeitungsvertrag für alle kostenpflichtigen Pläne bereit. Nutzerinnen und Nutzer des kostenlosen Plans sind nicht durch einen AVV abgedeckt.
  • KI-Trainingsdaten: Asana erklärt, dass Kundendaten nicht für das Training eigener KI-Modelle verwendet werden. Die Asana-Intelligence-Funktionen basieren auf Dritt-LLM-APIs — die aktuelle Unterauftragsverarbeiter-Liste zeigt, welche KI-Anbieter beteiligt sind.
  • Datenspeicherort: EU-Datenspeicherung ist für Enterprise- und Enterprise+-Kunden verfügbar. Bei Business- und niedrigeren Plänen werden Daten auf US-amerikanischer Infrastruktur verarbeitet; Standardvertragsklauseln decken den Transfer ab.
  • Unterauftragsverarbeiter: Asana führt eine veröffentlichte Liste von Unterauftragsverarbeitern, die Infrastrukturanbieter und die LLM-APIs für Asana Intelligence umfasst.
  • Standardvertragsklauseln: Der Asana-AVV enthält EU-Standardvertragsklauseln für Datentransfers aus der EU/dem EWR in die USA.
  • EU-US-Datenschutzrahmen: Asana nimmt am EU-US Data Privacy Framework (DPF) teil, das als zusätzlicher Transfermechanismus für Datentransfers in die USA dient.

Hat Asana einen AVV (Auftragsverarbeitungsvertrag)?

Ja. Asana stellt für alle kostenpflichtigen Kunden einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO bereit. Der AVV ist für EU-Kunden standardmäßig in die Abonnementbedingungen eingebettet. Nutzerinnen und Nutzer des kostenlosen Plans sind nicht durch einen Standard-AVV abgedeckt.

Für deutsche Unternehmen ist der AVV ein notwendiger, aber nicht ausreichender Ausgangspunkt. Darüber hinaus sind folgende Schritte erforderlich:

  1. Sicherstellen, dass Standardvertragsklauseln für EU-US-Datentransfers an Asana und seine Unterauftragsverarbeiter vorliegen — diese sind für EU-Kunden standardmäßig im AVV enthalten.
  2. Das Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO um Asana und seine Unterauftragsverarbeiter ergänzen.
  3. Eine Datenschutz-Folgenabschätzung (DSFA) durchführen, wenn Asana für die großflächige Verarbeitung von HR-Daten, besonderer Kategorien personenbezogener Daten (Artikel 9 DSGVO) oder einer großen Anzahl betroffener Personen eingesetzt wird.
  4. Änderungsbenachrichtigungen zu Unterauftragsverarbeitern beachten — der AVV gewährt Vorab-Benachrichtigungsrechte bei der Hinzufügung neuer Unterauftragsverarbeiter.

Zum Vergleich: Monday.com und DSGVO bietet ähnliche Enterprise-AVV- und Datenspeicheroptionen; Notion und DSGVO behandelt Workspace- und Dokumentationstools. Wenn Ihr Team auch Slack für die Projektkommunikation einsetzt, lesen Sie unsere Übersicht zu Slack und DSGVO.

Asana-AI-Funktionen und DSGVO

Asana Intelligence stellt datenschutzrechtliche Anforderungen, die über das klassische Projektmanagement hinausgehen:

KI-gestützte Aufgabenzusammenfassungen und Statusupdates verarbeiten den Inhalt von Projektaufgaben, Kommentaren und Anhängen — darunter möglicherweise Mitarbeiternamen, Kundenreferenzen und geschäftssensible Informationen. Prüfen Sie, ob diese Inhalte personenbezogene Daten darstellen, und stellen Sie sicher, dass der AVV diese Verarbeitung abdeckt.

Zielfortschrittsanalyse und Portfolio-Einblicke verwenden aggregierte Projektdaten, um Empfehlungen zu generieren. Wenn sich diese Daten auf die Arbeitsleistung identifizierbarer Mitarbeitender beziehen, sind die Implikationen für den Beschäftigtendatenschutz nach deutschem Recht (§26 BDSG in Verbindung mit der DSGVO) zu prüfen.

Workflow-Automatisierung mit KI-Triggern kann personenbezogene Daten ohne direkten menschlichen Einblick bei jedem Schritt verarbeiten. Prüfen Sie, ob eine solche automatisierte Verarbeitung als automatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO einzustufen ist — insbesondere wenn die Ergebnisse Mitarbeitende oder externe Stakeholder betreffen.

Dritt-LLM-Integration: Asana Intelligence basiert auf externen Large Language Models. Die an diese Modelle übermittelten Eingaben und Kontextdaten können personenbezogene Informationen enthalten. Prüfen Sie die aktuelle Unterauftragsverarbeiter-Liste und die Datenverarbeitungsbedingungen jedes beteiligten KI-Anbieters.

Datenspeicherort und Unterauftragsverarbeiter

Die EU-Datenspeicheroption von Asana auf Enterprise- und Enterprise+-Plänen bedeutet, dass Kundendaten im Ruhezustand in der EU gespeichert werden. Für deutsche Unternehmen in regulierten Branchen oder mit strengen Anforderungen zur Datenlokalisierung ist dies ein relevanter Unterschied.

Bei Business- und niedrigeren Plänen werden Daten auf US-amerikanischer Infrastruktur verarbeitet. Der AVV enthält Standardvertragsklauseln als Rechtsgrundlage für diesen Transfer, die Daten verbleiben jedoch nicht in der EU.

Zu den wesentlichen Unterauftragsverarbeitern von Asana gehören:

  • Infrastruktur: Amazon Web Services (AWS) für Hosting und Datenspeicherung
  • KI-Modellanbieter: Dritt-LLM-APIs für Asana Intelligence (aktuelle Liste auf der Asana-Website prüfen, da sich diese mit Feature-Updates ändern kann)
  • Support-Tools: Ticket- und Kommunikationssysteme für den Asana-Support

Bei der Hinzufügung neuer Unterauftragsverarbeiter erhalten Enterprise-AVV-Kunden eine Vorab-Benachrichtigung — stellen Sie sicher, dass Ihr Datenschutzteam diese Benachrichtigungen empfängt und prüft.

Unsere Einschätzung

Asana gehört im Bereich der Projektmanagement-Tools zu den besser für die DSGVO aufgestellten Lösungen. Ein AVV ist für alle kostenpflichtigen Pläne verfügbar, EU-Datenspeicherung ist für Enterprise-Kunden möglich, Standardvertragsklauseln sind im AVV integriert, und der Ausschluss von KI-Trainingsdaten gilt für Kundendaten. Die wesentlichen Compliance-Schritte sind: AVV-Aktivierung bestätigen, Standardvertragsklauseln prüfen, Asana-Intelligence-Datenflüsse bewerten und den Betriebsrat einbinden, wenn das Tool Mitarbeiteraktivitätsdaten im größeren Maßstab verarbeitet.

Für Teams, die EU-Datenspeicherung benötigen, ist Asana Enterprise oder Enterprise+ die geeignete Stufe. Für kleinere Teams auf Business-Plänen bieten die Standardvertragsklauseln eine Rechtsgrundlage für den Transfer, Daten werden jedoch in den USA verarbeitet.

Compound Law unterstützt Sie bei der AVV-Prüfung, der Erstellung von Datenschutz-Folgenabschätzungen, der Implementierung von Standardvertragsklauseln und der Betriebsratsberatung für Asana-Rollouts.

Häufig gestellte Fragen

Hat Asana einen AVV (Auftragsverarbeitungsvertrag)?

Ja. Asana stellt für alle kostenpflichtigen Kunden einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO bereit. Für EU-Kunden ist der AVV standardmäßig in die Abonnementbedingungen eingebettet. Der kostenlose Plan ist nicht durch einen AVV abgedeckt und für die berufliche Datenverarbeitung unter der DSGVO nicht geeignet.

Ist Asana DSGVO-konform für deutsche Unternehmen?

Asana kann auf kostenpflichtigen Plänen DSGVO-konform eingesetzt werden, wenn ein AVV vorliegt, Standardvertragsklauseln für US-Datentransfers eingebunden sind und das Verarbeitungsverzeichnis aktualisiert wurde. EU-Datenspeicherung ist auf Enterprise- und Enterprise+-Plänen verfügbar. Für die großflächige Verarbeitung von HR-Daten oder für besonders risikoreiche Verarbeitungsvorgänge ist eine Datenschutz-Folgenabschätzung durchzuführen.

Nutzt Asana Kundendaten für das KI-Training?

Asana erklärt, dass Kundendaten nicht für das Training eigener KI-Modelle verwendet werden. Die Asana-Intelligence-Funktionen basieren auf Dritt-LLM-APIs — die aktuelle Unterauftragsverarbeiter-Liste zeigt, welche KI-Anbieter involviert sind und welche Datenverarbeitungsbedingungen für diese gelten.

Bietet Asana EU-Datenspeicherung?

Ja, Asana bietet EU-Datenspeicherung für Enterprise- und Enterprise+-Kunden. Auf diesen Plänen werden Kundendaten im Ruhezustand in der EU gespeichert. Business- und niedrigere Pläne werden auf US-amerikanischer Infrastruktur betrieben; Standardvertragsklauseln bieten die Rechtsgrundlage für den EU-US-Transfer.

Muss der Betriebsrat bei Asana eingebunden werden?

Wenn Asana teamübergreifend eingesetzt wird und dabei Mitarbeiteraktivitätsdaten — wie Aufgabenerledigungsraten, Zeiterfassung oder Arbeitslastmetriken — erfasst werden, können Mitbestimmungsrechte des Betriebsrats nach §87 BetrVG bestehen. Eine frühzeitige Einbindung des Betriebsrats vor dem unternehmensweiten Rollout ist empfehlenswert.

Weitere Tool-Guides

GitHub Copilot AVV DSGVO Datenschutz Leitfaden für deutsche Unternehmen
tools

GitHub Copilot AVV und DSGVO: Leitfaden für deutsche Unternehmen

GitHub Copilot enthält einen AVV über Microsofts Standard-DPA. Leitfaden zu Datenschutz, EU-Datenhaltung, DSGVO und BetrVG für Deutschland.
Notion AVV und DSGVO-Konformität für deutsche Unternehmen
tools

Notion AVV & DSGVO: Können deutsche Unternehmen Notion rechtssicher nutzen?

Notion AVV, DSGVO-Konformität, EU-Datenhaltung und Anforderungen für deutsche Unternehmen. Praxisleitfaden für Legal-, Datenschutz- und IT-Teams.
Microsoft 365 Copilot DSGVO-Compliance für deutsche Unternehmen
tools

Microsoft 365 Copilot DSGVO? AVV, Betriebsrat & Checkliste

Microsoft 365 Copilot DSGVO: AVV mit Microsoft, EU Data Boundary, Betriebsrat und Compliance-Checkliste für Unternehmen in Deutschland.
KI Tools Anwalt BRAO DSGVO Datenschutz Verschwiegenheit
tools

KI-Tools fuer Anwaelte: Was BRAO und DSGVO erlauben (und was nicht)

KI API BRAO-konform einsetzen: Was §43a BRAO, DSGVO Art. 28 und BRAK-Empfehlungen fuer Rechtsanwaelte bedeuten — mit Checkliste und Tool-Vergleich.
Make.com AVV und DSGVO-Compliance für deutsche Unternehmen
tools

Make.com AVV: Hat Make einen Auftragsverarbeitungsvertrag?

Make.com stellt einen AVV für kostenpflichtige Tarife bereit. Was deutsche Unternehmen vor dem Einsatz für DSGVO, EU-Datenspeicherung und BetrVG prüfen müssen.
Zapier DSGVO Deutschland — AVV, Datentransfer und Workflow-Compliance fuer deutsche Unternehmen
tools

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung & Sicherheit

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung, SCCs und Sicherheit fuer deutsche Unternehmen — praktischer Compliance-Leitfaden.

Mehr KI-Tools durchsuchen

Häufige Fragen

Hat Asana einen AVV (Auftragsverarbeitungsvertrag)?

Ja. Asana stellt für alle kostenpflichtigen Kunden einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO bereit. Für EU-Kunden ist der AVV standardmäßig in die Abonnementbedingungen eingebettet. Der kostenlose Plan ist nicht durch einen AVV abgedeckt und für die berufliche Datenverarbeitung unter der DSGVO nicht geeignet.

Ist Asana DSGVO-konform für deutsche Unternehmen?

Asana kann auf kostenpflichtigen Plänen DSGVO-konform eingesetzt werden, wenn ein AVV vorliegt, Standardvertragsklauseln für US-Datentransfers eingebunden sind und das Verarbeitungsverzeichnis aktualisiert wurde. EU-Datenspeicherung ist auf Enterprise- und Enterprise+-Plänen verfügbar. Für die großflächige Verarbeitung von HR-Daten oder für besonders risikoreiche Verarbeitungsvorgänge ist eine Datenschutz-Folgenabschätzung durchzuführen.

Nutzt Asana Kundendaten für das KI-Training?

Asana erklärt, dass Kundendaten nicht für das Training eigener KI-Modelle verwendet werden. Die Asana-Intelligence-Funktionen basieren auf Dritt-LLM-APIs — die aktuelle Unterauftragsverarbeiter-Liste zeigt, welche KI-Anbieter involviert sind und welche Datenverarbeitungsbedingungen für diese gelten.

Bietet Asana EU-Datenspeicherung?

Ja, Asana bietet EU-Datenspeicherung für Enterprise- und Enterprise+-Kunden. Auf diesen Plänen werden Kundendaten im Ruhezustand in der EU gespeichert. Business- und niedrigere Pläne werden auf US-amerikanischer Infrastruktur betrieben; Standardvertragsklauseln bieten die Rechtsgrundlage für den EU-US-Transfer.

Muss der Betriebsrat bei Asana eingebunden werden?

Wenn Asana teamübergreifend eingesetzt wird und dabei Mitarbeiteraktivitätsdaten — wie Aufgabenerledigungsraten, Zeiterfassung oder Arbeitslastmetriken — erfasst werden, können Mitbestimmungsrechte des Betriebsrats nach §87 BetrVG bestehen. Eine frühzeitige Einbindung des Betriebsrats vor dem unternehmensweiten Rollout ist empfehlenswert.

Kostenlos beraten