Kostenlos beraten
Asana AVV und DSGVO-Leitfaden für deutsche Unternehmen
tools

Asana AVV: Auftragsverarbeitungsvertrag und DSGVO für Deutschland

Kurzantwort

Asana stellt auf allen bezahlten Tarifen automatisch einen Auftragsverarbeitungsvertrag (AVV) bereit. Deutsche Unternehmen müssen ihn nicht separat anfordern, sollten aber EU-Datenspeicherort und Unterauftragnehmer für ihren konkreten Einsatzzweck prüfen.

  • AVV gilt automatisch für alle bezahlten Tarife (Premium, Business, Enterprise, Enterprise+) — kostenloser Tarif ausgeschlossen.
  • EU-Datenspeicherort ist nur bei Enterprise und Enterprise+ verfügbar.
  • Unterauftragnehmerliste ist öffentlich; Kunden haben ein Widerspruchsrecht bei Änderungen.
  • Das BetrVG kann gelten, wenn Asana zur Aufgabenverfolgung oder Leistungsbeurteilung genutzt wird.

Asana stellt auf allen bezahlten Tarifen automatisch einen Auftragsverarbeitungsvertrag (AVV) bereit. Deutsche Unternehmen müssen ihn nicht gesondert anfordern — müssen aber sicherstellen, dass sie einen bezahlten Tarif nutzen, und sollten die EU-Datenspeicherung sowie die Unterauftragnehmer für ihren konkreten Einsatz prüfen. Der kostenlose Tarif ist von der AVV-Pflicht ausgeschlossen. EU-Datenspeicherung ist nur bei Enterprise und Enterprise+ verfügbar. Diese Seite erläutert, was der Asana-AVV abdeckt, wie EU-Datenspeicherung funktioniert, was Sie über Unterauftragnehmer wissen müssen und welche BetrVG-Implikationen für deutsche Unternehmen gelten. Für eine umfassendere DSGVO-Übersicht zu Asana siehe unseren Asana-DSGVO-Leitfaden.

Diese Seite dient der allgemeinen Information und ersetzt keine rechtliche Beratung im Einzelfall.

Hat Asana einen Auftragsverarbeitungsvertrag (AVV)?

Ja. Asana stellt einen AVV für alle Kunden mit bezahlten Tarifen bereit (Premium, Business, Enterprise und Enterprise+). Für EU-Kunden wird der AVV automatisch in die Abonnementbedingungen einbezogen — eine separate Anforderung oder Verhandlung ist nicht erforderlich.

Art. 28 DSGVO schreibt vor, dass ein AVV abgeschlossen werden muss, wenn ein Unternehmen personenbezogene Daten durch einen Dritten verarbeiten lässt. Asana handelt als Auftragsverarbeiter, wenn es Aufgaben, Projekte, Kommentare oder Anhänge speichert und verarbeitet, die personenbezogene Daten enthalten — etwa Namen, E-Mail-Adressen oder Informationen zu Mitarbeitenden oder Kunden.

Der Asana-AVV verpflichtet Asana unter anderem dazu:

  • Personenbezogene Daten nur auf dokumentierte Weisung des Kunden zu verarbeiten
  • Vertraulichkeit zu wahren und den Datenzugriff auf autorisiertes Personal zu beschränken
  • Bei Betroffenenanfragen (Auskunft, Löschung, Berichtigung) zu unterstützen
  • Sicherheitsvorfälle unverzüglich zu melden
  • Personenbezogene Daten nach Vertragsende zu löschen oder zurückzugeben

Kostenloser Tarif: Asana stellt für den kostenlosen Tarif keinen AVV bereit. Unternehmen dürfen den kostenlosen Tarif nicht zur DSGVO-relevanten Verarbeitung personenbezogener Daten von Mitarbeitenden oder Kunden einsetzen.

Was deckt der Asana-AVV ab?

Der Asana-AVV deckt die nach Art. 28 DSGVO vorgeschriebenen Inhalte ab und adressiert folgende Bereiche:

Datenkategorien und Gegenstand der Verarbeitung: Der AVV definiert den Verarbeitungsumfang anhand der Datenkategorien, die ein Kunde in Asana speichert. Kunden tragen die Verantwortung dafür, dass ihr tatsächlicher Nutzungsumfang dem vereinbarten Gegenstand entspricht.

Standardvertragsklauseln (SCC): Für EU-Kunden ohne EU-Datenspeicherung (Premium, Business) werden Daten auf US-Infrastruktur verarbeitet. Asana hat Standardvertragsklauseln in den AVV aufgenommen, um diesen EU-US-Datentransfer gemäß Kapitel V DSGVO abzusichern. Asana nimmt zudem am EU-US Data Privacy Framework (DPF) teil.

Unterauftragnehmer: Asana nutzt eine Liste genehmigter Unterauftragnehmer. Diese Liste ist öffentlich zugänglich und wird mit mindestens 30 Tagen Vorlauf vor Änderungen aktualisiert. Kunden haben ein vertragliches Widerspruchsrecht gegenüber neuen Unterauftragnehmern — ein Recht, das deutsche Datenschutzteams aktiv verfolgen sollten.

Auftragsverarbeiterpflichten und Prüfrechte: Der AVV enthält Regelungen zu technischen und organisatorischen Maßnahmen (Art. 32 DSGVO), zu Datenschutzverletzungen sowie zu Prüfrechten des Kunden.

Asana EU-Datenspeicherung

EU-Datenspeicherung ist bei Enterprise und Enterprise+ verfügbar. Bei aktivierter Option speichert Asana ruhende Kundendaten in europäischen Rechenzentren. Dies erfüllt die strengsten Datenlokalisierungsanforderungen, denen manche deutschen Unternehmen und Behörden unterliegen.

Niedrigere Tarife (Business, Premium, kostenloser Tarif): Die Datenspeicherung erfolgt auf US-Infrastruktur. Der EU-US-Datentransfer ist durch Standardvertragsklauseln und DPF-Teilnahme abgesichert — für die meisten deutschen Unternehmen nach aktuellem DSGVO-Stand ausreichend, aber kein Äquivalent zu EU-Datenspeicherung.

Was EU-Datenspeicherung nicht abdeckt: Auch bei Enterprise-Tarifen mit aktivierter EU-Datenspeicherung können bestimmte Daten — etwa Kontometadaten oder Daten, die von bestimmten Unterauftragnehmern verarbeitet werden — außerhalb der EU verarbeitet werden. Kunden mit strengen Anforderungen sollten die Asana-Dokumentation zur Datenspeicherung prüfen und den Umfang mit dem Asana-Enterprise-Kontakt klären.

Asana-Unterauftragnehmer — Wichtiges im Überblick

Asana pflegt eine öffentliche Unterauftragnehmerliste in seinen Datenschutzunterlagen. Wichtige Punkte für deutsche Compliance-Teams:

  • Die Liste umfasst Infrastrukturanbieter (z. B. AWS) sowie funktionale Unterauftragnehmer für Monitoring und Support
  • Asana informiert mit mindestens 30 Tagen Vorlauf über neue Unterauftragnehmer per E-Mail oder öffentlichem Changelog
  • Kunden haben ein vertragliches Widerspruchsrecht gegenüber neuen Unterauftragnehmern innerhalb des Benachrichtigungszeitraums
  • Ein begründeter Widerspruch kann dem Kunden ein außerordentliches Kündigungsrecht einräumen

Für deutsche Unternehmen mit branchenspezifischen Anforderungen (Gesundheitswesen, Finanzdienstleistungen, öffentlicher Sektor) ist die Prüfung der Unterauftragnehmerliste ein wesentlicher Compliance-Schritt.

Asana und der Betriebsrat (BetrVG)

Deutsche Unternehmen, die Asana für interne Aufgaben- und Projektverwaltung nutzen, müssen prüfen, ob der Einsatz Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG (Betriebsverfassungsgesetz) auslöst. Diese Vorschrift schreibt die Beteiligung des Betriebsrats vor, wenn eine technische Einrichtung geeignet ist, das Verhalten oder die Leistung von Arbeitnehmern zu überwachen.

Asana kann BetrVG-Mitbestimmungsrechte auslösen, wenn es eingesetzt wird, um:

  • Aufgaben namentlichen Mitarbeitenden zuzuweisen und deren Erledigung zu verfolgen
  • Reaktionszeiten oder Aufgabenerledigungsquoten zu überwachen
  • Berichte über individuelle Arbeitsbelastung oder Produktivität zu erstellen
  • Fristen und überfällige Aufgaben pro Mitarbeitendem zu erfassen

Wenn diese Funktionen genutzt werden und ein Betriebsrat besteht, ist vor dem Einsatz eine Betriebsvereinbarung erforderlich. Diese regelt typischerweise, welche Daten erhoben werden, wie lange sie gespeichert werden und wer Zugriff auf leistungsbezogene Berichte hat.

Für HR-bezogene Anwendungsfälle — Onboarding, Abwesenheitsverwaltung oder Leistungsbeurteilung — ist die BetrVG-Prüfung besonders relevant und kann zusätzlich eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich machen.

Asana-AVV-Checkliste für deutsche Unternehmen

Vor der Verarbeitung personenbezogener Daten in Asana sollten deutsche Unternehmen Folgendes prüfen:

  1. Tarifstatus bestätigen — sicherstellen, dass das Unternehmen Premium, Business, Enterprise oder Enterprise+ nutzt, nicht den kostenlosen Tarif.
  2. AVV-Gültigkeit prüfen — die Asana-Abonnementbedingungen prüfen, um zu bestätigen, dass der AVV einbezogen ist; für Enterprise-Tarife ggf. den Asana-Account-Manager kontaktieren.
  3. EU-Datenspeicherungsanforderung klären — falls Datenlokalisierung erforderlich ist, prüfen, ob Enterprise oder Enterprise+ benötigt wird und die Funktion aktiviert ist.
  4. Unterauftragnehmerliste prüfen — aktuelle Liste prüfen und Benachrichtigungen für Änderungen einrichten.
  5. BetrVG-Implikationen bewerten — wenn Aufgabendaten von Mitarbeitenden erfasst werden, prüfen, ob eine Betriebsvereinbarung vor dem Einsatz erforderlich ist.
  6. Verzeichnis der Verarbeitungstätigkeiten aktualisieren — Asana und seine Unterauftragnehmer in das Verzeichnis nach Art. 30 DSGVO aufnehmen.
  7. AVV-Prüfung dokumentieren — AVV-Version, Prüfdatum und Ergebnis der Bewertung als Teil der internen Compliance-Akte festhalten.

Für ein umfassendes DSGVO-Vendor-Assessment-Framework siehe unsere DSGVO-KI-Vendor-Assessment-Checkliste. Für Fragen zu Asana Intelligence und DSGVO siehe den Asana-KI-DSGVO-Leitfaden.

Weitere Tool-Guides

Claude Enterprise für Kanzleien und juristische Rechtsabteilungen
tools

Claude Enterprise für Kanzleien und Rechtsabteilungen

Claude Enterprise für Kanzleien: Vertragsanalyse, Due Diligence und Compliance-Dokumentation DSGVO-konform einsetzen — Leitfaden für Juristen.
Zapier DSGVO 2026 — AVV, Art. 28, SCCs und EU-Datentransfer fuer deutsche Unternehmen
tools

Zapier DSGVO 2026: AVV, Art. 28 & EU-Datentransfer aktuell

Ist Zapier DSGVO-konform? AVV nach Art. 28, SCCs, EU-Datenhaltung und Datentransfer 2026 — aktueller Compliance-Leitfaden fuer Deutschland.
Anthropic Auftragsverarbeitungsvertrag AVV Art. 28 DSGVO Prüfleitfaden
tools

Anthropic Auftragsverarbeitungsvertrag — DSGVO-Leitfaden

Was der Anthropic AVV nach Art. 28 DSGVO enthält, welche SCCs einbezogen sind und was vor dem Claude-Einsatz in Deutschland zu prüfen ist.
Claude Enterprise DSGVO-Compliance für Unternehmen in Deutschland
tools

Claude Enterprise für Deutschland — DSGVO-konform & sicher

Claude Enterprise bietet deutschen Unternehmen eine DSGVO-konforme KI-Plattform mit AVV, ohne Modelltraining und mit EU-Datenschutzstandards.
Anthropic DPA Auftragsverarbeitung nach Art. 28 DSGVO für Claude Enterprise
tools

Anthropic DPA & DSGVO-Compliance für Deutschland

Ja – Anthropic stellt für Claude Enterprise und die Claude API eine DPA bereit. Was die DPA abdeckt und wann sie für Deutschland ausreicht.
Claude Code DSGVO-Konformität — AVV, Datenspeicherung und EU-Hosting
tools

Ist Claude Code DSGVO-konform? AVV, Datenspeicherung und Hosting

Claude Code ist per Anthropic-API-AVV DSGVO-konform. AVV, Datenspeicherung, Zero Data Retention, EU-Hosting und Compliance-Checkliste für Unternehmen.

Mehr KI-Tools durchsuchen

Häufige Fragen

Hat Asana einen Auftragsverarbeitungsvertrag (AVV)?

Ja. Asana stellt auf allen bezahlten Tarifen automatisch einen AVV bereit — Premium, Business, Enterprise und Enterprise+. Der kostenlose Tarif ist nicht durch einen AVV abgedeckt.

Ist Asana DSGVO-konform?

Asana ist auf allen bezahlten Tarifen DSGVO-konform. Der AVV enthält Standardvertragsklauseln für EU-US-Datentransfers und deckt die Pflichten als Auftragsverarbeiter gemäß Art. 28 DSGVO ab.

Bietet Asana EU-Datenspeicherung für Deutschland?

Ja, bei Enterprise und Enterprise+. Dann speichert Asana ruhende Daten in europäischen Rechenzentren. Niedrigere Tarife nutzen US-Infrastruktur, abgesichert durch Standardvertragsklauseln.

Welche Unterauftragnehmer nutzt Asana?

Asana führt eine öffentliche Unterauftragnehmerliste und informiert Kunden mit 30 Tagen Vorlauf über Änderungen. Kunden haben ein vertragliches Widerspruchsrecht gegen neue Unterauftragnehmer.

Braucht Asana eine Betriebsvereinbarung?

Möglicherweise. Wenn Asana zur Aufgabenverfolgung oder Leistungsbeurteilung einzelner Mitarbeiter eingesetzt wird, kann ein Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG bestehen. Eine Betriebsvereinbarung ist dann vor dem Einsatz erforderlich.

Kostenlos beraten