Datenschutz und Sicherheit bei Asana: Die wichtigsten Antworten

poly1
kreis1
red

Inhalt

Asana ist für viele Unternehmen die erste Wahl als Projektmanagement-Tool. Doch ist Asana auch datenschutzkonform? In diesem Beitrag erfahren Sie, wie die Themen Datenschutz und Sicherheit bei Asana behandelt werden, wie sich das Tool in diesem Bereich von seinen Wettbewerbern abgrenzt und welche Datenschutzmaßnahmen Sie selbst in Ihrem Unternehmen umsetzen können, um die Nutzung von Asana und die DSGVO in Einklang zu bringen.

Management Summary: Ist Asana datenschutzkonform gemäß DSGVO?

Die kurze Antwort lautet: Ja, Asana entspricht den aktuellen DSGVO-Bestimmungen.

Folgende Punkte sind für diese Einstufung ausschlaggebend: 

  1. Serverstandort EU im Enterprise Plan
  2. DSGVO-konforme Datenverarbeitung
  3. Kultur des Vertrauens / DSGVO-Trainings 
  4. Datenschutzbeauftragter

 

Asana ist ein US-amerikanisches Unternehmen und speichert vorhandene Daten auf Amazon Servern in den USA, sofern Kunden keinen Enterprise-Plan haben. Mit dem Enterprise-Plan bietet Asana auch ein Datenspeicherung auf europäischen Rechenzentren an. Unter strenger Auslegung könnten die Server außerhalb der EU für Nutzer ohne Enterprise-Plan ein Problem sein. Diese Herausforderungen haben aber alle etablierten Projektmanagement-Tools auf dem Markt.

Sie möchten wissen, ob Asana das richtige Tool für Sie ist? Jetzt 30 Tage lang mit Bridgeflow testen!

Datenschutz bei Asana

Als Software, mit der Unternehmen Ihre gesamte Arbeit an einem einzigen zentralen Ort organisieren können, spielt Transparenz eine bedeutende Rolle  – das gilt vor allem für Collaboration-Tools wie Asana. Transparenz sollte allerdings nicht heißen, dass die Unternehmensdaten nicht datenschutzkonform bearbeitet, gespeichert und verfügbar gemacht werden.

Europäische Serverinfrastruktur

Mit Standorten in Dublin, München, Paris und London ist sich Asana der Wichtigkeit von Datenschutz in Europa und vor allem auch in Deutschland natürlich bewusst. Daher spielt vor allem die DSGVO eine wichtige Rolle bei Asana.

Die Grundvoraussetzung für DSGVO-Konformität ist ein Serverstandort in Europa. Für Enterprise-Kunden bietet Asana Datenspeicherung auf europäischen Rechenzentren über Amazon Web Services (AWS) an. Die Kundendaten werden in Frankfurt am Main und die Backups in Dublin gespeichert.

Damit ist die erste und wichtigste Datenschutz-Voraussetzung auf der Checkliste vieler IT-Manager und Procurement-Abteilungen geregelt. Asana verwendet die Amazon Virtual Private Cloud. Die Netzwerkarchitektur ist so konzipiert worden, dass sie sicher, skalierbar und einfach zu verwalten ist

Weitere DSGVO-Maßnahmen

Asana hat weiterhin eine Vielzahl interner Optimierungen zur Absicherung sensibler Daten unternommen. Zu diesem Zweck hat Asana die Sicherheit auf mehreren Ebenen erhöht. Auf Mitarbeiterebene wurden intensive Schulungen durchgeführt, um alle Mitarbeitenden im Umgang mit dem Thema DSGVO zu trainieren und ein Bewusstsein für Daten-Sicherheit zu schaffen. Diese Training starten ab Tag eins für jeden neuen Mitarbeiter. Asana hat zudem einen Datenschutzbeautragten ernannt und kommt damit der entsprechenden Regelung nach.

Zusätzlich hat Asana sämtliche Verträge mit Partnern und Kunden überarbeitet, um die DSGVO-Vorgaben zu implementieren und sicherzustellen, dass sie von allen Parteien eingehalten werden. Dabei liegt der Fokus auf einer genauen Überprüfung und Zuordnung aller Daten, die erhoben, verwendet oder weitergeben werden, sodass ein erhöhtes Maß an Kontrolle und Sicherheit geboten wird.

Detaillierte Informationen zum Thema Datenbanken und Webserver, Datenverarbeitung und Sicherheit im Rechenzentrum bei Asana finden Sie hier

Asana und Sicherheit

Das Wichtigste zuerst: Asana verwendet jederzeit eine SSL-Verbindung. Jeder Datenzugriff wird geprüft, sodass niemand außerhalb Ihres Unternehmens jemals einen Blick auf Ihre Daten werden, geschweige denn darauf zugreifen kann. 

Gängige, webbasierte Vektorenangriffe werden durch Best Practices in der Anwendersicherheit verhindert. Die zentralen Punkte in Asana’s Sicherheit sind folgende:

Backups

Asana garantiert die überregionale Speicherung von Backups durch täglich Snapshots der Datenbank. Die Backups der Enterprisekunden erfolgen in Irland.

Zertifikate

Asana hat eine Reihe von Zertifikaten zur Bestätigung der hohen Sicherheitsauflagen abgeschlossen. Vor allem hat das Unternehmen das SOC 2 (Typ II)-Audit für die von Asana implementierten Kontrollen in Bezug auf Sicherheit, Verfügbarkeit und Vertraulichkeit erfolgreich abgeschlossen. Weiterhin besitzt Asana verschiedene ISO-Zertifizierungen wie z.B.- ISO/IEC 27001: 2013-   ISO/IEC 27017: 2015
–   ISO/IEC 27018: 2019
–   ISO/IEC 27701: 2019

Und viele mehr. Weitere Punkte die unserer Meinung wichtig sind:

Asana bietet eine 128-Bit-Verschlüsselung (unterstützt durch TLS 1.2 und höher) Ein Enterprise Key Management

Administration

Ihr Asana Konto können Sie durch gezielte Möglichkeiten noch sicherer einstellen. Sie haben die Möglichkeit, eine Login-Sicherheit durch SSO (z.B. SAML 2.0). zu setzen. Außerdem können Sie als Admin die Passwortstärke vorgeben und die Zurücksetzung des Passworts erzwingen. Durch die Audit Log API erhöhen Sie dich Sicherheit weiter und können Compliance-bezogene Aktivitäten in Asana direkt über das Dashboard von Splunk anzeigen lassen und überwachen.

Usermanagement und Nutzer-Provisionierung und -Deprovisionierung

Admins haben volle Kontrolle darüber, wer Zugriff auf ihre Daten hat. Sie können Mitglieder und Gäste entfernen und einladen und haben im Dashboard einen Überblick über alle Nutzer. Sie können das Einladung von externen durch nicht-Admin Nutzer verhindern und somit die volle Kontrolle über die Nutzer-Provisionierung und Deprovisionierung erlangen.

Zugriffsrechte

Asana bietet individuelle Zugriffsrechte auf allen Hierarchieebenen. Von Zielen, Portfolios hinzu Projekten, Tasks und sogar Sub-Tasks. Sie könnten theoretisch einen Gast-Nutzer lediglich auf die unterste Ebene, eine Sub-Task, berechtigen ohne Daten aus übergelagerten Projekten zu zeigen. Die Sichtbarkeit einzelner Projekte, Tasks oder Verantwortlichen Personen kann damit kontrolliert werden. Dies ermöglicht eine sichere und flexible Zusammenarbeit über verschiedene Nutzergruppen hinweg und erhöht die Datensicherheit.

Auch innerhalb der Asana Oberfläche können Sie Einschränkungen zu Apps von Drittanbietern einstellen (z.b. nur Sharepoint zulassen, nicht aber Dropbox) und Datenauswertungen für die Nutzer einschränken.

Eine Uptime von 99,9 % (siehe status.asana.com)



Interessiert? Dann vereinbaren Sie noch heute
ein exklusives Kennenlerngespräch.
Jetzt starten

Kultur des Vertrauens

Asana etabliert durch ein verstärktes Sicherheitsbewusstsein aller Mitarbeiter eine „Kultur des Vertrauens“. Ab dem ersten Tag wird jeder Asana Mitarbeiter Teil dieser Kultur, in der die Wichtigkeit des Schutzes von Kundeninformationen oberste Priorität hat. Es gibt Richtlinien, Verhaltenskodizes und gemeinsame Wertvorstellungen, die Asana’s Management regelmäßig kommuniziert, um das Bewusstsein dieser Werten und Verhaltensstandards im Team zu stärken.

Asana schreibt dazu auf seiner Sicherheitswebsite:

„Wir lassen uns von folgenden Grundsätzen leiten:
–   Physische Sicherheit und Sicherheit der Umgebung zum Schutz unserer Web- und mobilen Anwendungen vor unbefugtem Zugriff
–   Gewährleistung der Verfügbarkeit unserer Anwendungen
–   Vertraulichkeit zum Schutz der Kundendaten
–   Integrität zur Aufrechterhaltung der Genauigkeit und Konsistenz der Daten während ihres gesamten Lebenszyklus“

Grafik der Server-Struktur von Asana
Abb. 2: Die Server-Struktur von Asana im Überblick

Asana im Vergleich zu europäischen Tools

Sicherlich haben Sie sich auf der Suche nach einem Projektmanagement-Tool auch andere Anbieter angeschaut. Oft werden Asana Alternativen wie Trello, Smartsheets, Wrike oder Jira gegenüber gestellt. Diese international etablierten und meist aus den USA stammenden Firmen unterscheiden sich im Punkt Datenschutz allerdings kaum von Asana. Sie alle bieten Enterprise-Pläne oder Upgrades an, um Unternehmensdaten auf EU-Servern zu speichern.

Europäischer Server gleich besseres Tool?

Spannend wird die Frage bei Tools, die von europäischen Firmen entwickelt und auf europäischen oder deutschen Servern gehostet werden. Hier fallen vor allem awork, Stackfield, und MeisterTask auf. Alle drei bewerben auf ihren Webseiten einen der Kernvorteile ihrer Services: den Serverstandort Deutschland.

Bei genauerer Betrachtung fällt auf, dass der einzige Unterschied darin besteht, dass diese Tools das Hosting auf EU-Servern bereits in der Basis-Version anbieten. Der Vorteil liegt also im Preis, da die genannten Tools in den Basis-Versionen günstiger sind als Asana in der Enterprise-Version. 

Hier vergleicht man allerdings Äpfel mit Birnen. Die drei genannten Beispiele (und es gibt weitere) bieten zwar schon in einem günstigeren Plan das Hosting auf EU-Servern an, allerdings sind die Features und Leistungen entsprechend weniger umfangreich. Der Preisvergleich hinkt also. 

Bei awork, Stackfield oder Meistertask erhält man gute, aber simple Tools, die sich entweder als zum reinen Verwalten von Aufgaben (Meistertask) oder als Alleskönner (Stackfield) positionieren. Dem internationalen Vergleich können die europäischen Wettbewerber allerdings meist nicht stand halten: In einigen Fällen fehlt es an zentralen Funktionen, um teamübergreifend an vielen, komplexen und großen Projekten zu arbeiten. In anderen kann das Gesamtprodukt aufgrund einer sperrigen Handhabung oder unübersichtlichen Nutzerführung nicht überzeugen.  

Pluspunkte für Asana: Zuverlässig und state-of-the-art 

Das sich Asana mit seinem Mix aus Datenschutz im Enterpriseplan und dem Fokus auf zentrale Funktionen bei gleichzeitig intuitiver Nutzung als weltweit beliebtestes Projektmanagement Tool etabliert hat, bestätigt auch das unabhängige Toolbewertungsportal G2.com. Hier liegt Asana seit Jahren auf Platz 1. 

Hinzu kommen Zuverlässigkeit und Sicherheit auf Unternehmensebene: Asana ist ein börsennotiertes Unternehmen und behauptet sich seit 2012 auf dem umkämpften Tool-Markt. Sie können also guten Gewissens davon ausgehen, dass Asana ein tragendes Geschäftsmodell etabliert hat und über ausreichend Ressourcen für eine langfristige Entwicklung verfügt. Bei kleineren Unternehmen wie awork, Stackfield oder Meistertask besteht ein höheres Risiko, dass die Unternehmen durch Krisen, Serverausfälle, finanzielle Notlagen o. ä. nicht in der Lage sind, ihre Software dauerhaft und stabil für die Kunden bereitzustellen. 

Alles in allem kann lässt sagen, dass man bei Asana zwar mehr für EU Server zahlt, dafür aber das auf allen Ebenen die industrieführende und am besten bewertete Software von einem etabliertes Unternehmen erhält.

Unsere Empfehlung

Wenn Sie mehr über den Datenschutz bei Asana erfahren und wissen möchten, ob der Einsatz des Tools auch für Ihr Unternehmen in Frage kommt, melden Sie sich gerne bei uns.

Wir unterstützen bei:

–   der Migration der Daten auf EU-Server beim Upgrade auf den Enterprise Plan (inklusive des Lizenzmanagements)
–   der Einrichtung von SSO / SAML
–   bei den Einstellungen von Zugriffsrechten und Compliance-Richtlinien
–   beim Training der Mitarbeiter auf sicherheitsrelevante Themen
–   bei der Erstellung eines gemeinsamen Sicherheitsverständnisses im Team
–   und vielen weiteren Fragen.

Vereinbaren Sie jetzt einen Termin. Wir unterstützen Sie gerne!
 

Disclaimer: Da wir auf die Technologie und Sicherheitseinstellungen von Asana keinen Einfluss haben, kann für die genannten Punkte keine Gewähr übernommen werden. Für die Richtigkeit der Informationen ist stets der jeweilige Informationsanbieter der verlinkten Webseite verantwortlich. Zum Zeitpunkt der Verlinkung waren keine Rechtsverstöße erkennbar.

Interessiert? Dann vereinbaren Sie noch heute
ein exklusives Kennenlerngespräch.
Jetzt starten
red
BridgeFlow GmbH
BridgeFlow GmbH
Beliebte Beiträge
Wir machen Teamarbeit effizient Vereinbaren Sie noch heute einen Termin!

Jetzt beraten lassen

poly1

Verwandte Artikel

poly1

Newsletter




    kreis1
    red