Asana verpflichtet sich, Ihre Datenschutzrechte zu schützen und zu respektieren. Eine Reihe von Ländern haben Gesetze erlassen, die den Umgang von Unternehmen mit persönlichen Daten betreffen. Wir möchten deshalb einige der Maßnahmen hervorheben, die Asana ergriffen hat, um die sich ständig ändernden globalen Datenschutzgesetze und -vorschriften einzuhalten und das kontinuierliche Engagement von Asana für den Datenschutz zu unterstreichen.

Compliance und Sicherheit in der Zukunft

Da sich die Gesetze, Vorschriften und Anleitungen von Datenschutzbehörden und Behörden ständig weiterentwickeln und immer mehr Länder neue Datenschutzgesetze und -vorschriften erlassen, werden wir diese Entwicklungen weiterhin aufmerksam verfolgen und unser Programm bei Bedarf auf Änderungen oder Verbesserungen überprüfen.

Wir stehen in engem Austausch mit unseren Kunden Wenn Sie Fragen zu unseren Datenschutzpraktiken haben, kontaktieren Sie uns bitte per E-Mail unter privacy@asana.com

Datenschutzgrundverordnung (DSGVO)

Die Datenschutzgrundverordnung (DSGVO) ist ein europäisches Gesetz zum Schutz der personenbezogenen Daten von EU-Bürgern, das am 25. Mai 2018 in Kraft getreten ist. Nach der DSGVO müssen Unternehmen, die personenbezogene Daten von EU-Bürgern erheben, aufbewahren, verwenden oder anderweitig verarbeiten (unabhängig vom Standort des Unternehmens), bestimmte Datenschutz- und Sicherheitsvorkehrungen für diese Daten treffen. Asana hat ein umfassendes Programm zur DSGVO-Konformität eingerichtet, um gegenüber Kunden und Anbietern der Verpflichtung zur Einhaltung von Datenschutzrichtlinien gerecht zu werden. Asana hat folgende wichtige Schritte zur Anpassung seiner Tätigkeiten an die Datenschutzrichtlinien umgesetzt:

• Überarbeitung unserer Richtlinien und Verträge mit unseren Partnern, Anbietern und Nutzern bei Bedarf, wenn sich die Anforderungen ändern

• Verbesserung unserer Sicherheitsmaßnahmen und -verfahren

• Genaue Überprüfung und Zuordnung der Daten, die wir erheben, verwenden und weitergeben

• Erstellung einer soliden internen Datenschutz- und Sicherheitsdokumentation

• Schulung der Mitarbeiter in Bezug auf globale Datenschutzanforderungen und bewährte Methoden für Datenschutz und Sicherheit im Allgemeinen

• Sorgfältige Evaluierung und Erstellung der Richtlinien und des Reaktionsprozesses bezüglich der Rechte von betroffenen Personen

Nachfolgend finden Sie weitere Details zu den Kernbereichen des DSGVO-Konformitäts-Programms von Asana und wie Kunden Asana zur Unterstützung ihrer eigenen Initiativen zur DSGVO-Konformität nutzen können.

Vereinbarungen zur Datenverarbeitung

Nach der DSGVO sind „Datenverantwortliche“ (d. h. Instanzen, die den Zweck und die Art und Weise der Datenverarbeitung bestimmen) verpflichtet, Vereinbarungen mit anderen Instanzen zu treffen, die in ihrem Namen Daten verarbeiten (sogenannte „Datenverarbeiter“). Asana bietet seinen Kunden, die für die Verarbeitung personenbezogener Daten aus der EU verantwortlich sind, die Möglichkeit, ein solides Datenverarbeitungsabkommen zu schließen, in dem sich Asana verpflichtet, personenbezogene Daten gemäß den Anforderungen der DSGVO zu verarbeiten und zu schützen. Dazu gehört auch die Verpflichtung von Asana, personenbezogene Daten in Übereinstimmung mit den Anweisungen des Datenverantwortlichen zu verarbeiten.

Internationale Datenübertragung

Das EU-US-Datenschutzrahmenprogramm, die britische Erweiterung des EU-US-DPF und das Schweiz-US-Datenschutzrahmenprogramm

Asana hält sich an das EU-US-Datenschutzrahmenprogramm (EU-US DPF), die britische Erweiterung des EU-US-DPF und das Schweiz-US-Datenschutzrahmenprogramm (Swiss-US DPF), wie sie vom US-Handelsministerium festgelegt wurden. Asana hat gegenüber dem US-Handelsministerium bestätigt, dass es die EU-US-Datenschutzrahmengrundsätze (EU-US DPF Principles) in Bezug auf die Verarbeitung personenbezogener Daten einhält, die es aus der Europäischen Union unter Berufung auf das EU-US-DPF und aus dem Vereinigten Königreich (und Gibraltar) unter Berufung auf die britische Erweiterung des EU-US-DPF erhält. Asana hat gegenüber dem US-Handelsministerium bestätigt, dass es die Grundsätze des Schweiz-US-Datenschutzrahmenprogramms (Swiss-US DPF Principles) in Bezug auf die Verarbeitung von Personendaten, die es aus der Schweiz unter Berufung auf das Swiss-US DPF erhalten hat, einhält.

In Befolgung des EU-US-Datenschutzrahmenprogramms (EU-US DPF), der britischen Erweiterung des EU-US DPF und des Schweizer-US DPF hat sich Asana dazu verpflichtet, ungeklärte Beschwerden in Bezug auf unseren Umgang mit personenbezogenen Daten, die wir im Rahmen des EU-US DPF, der britischen Erweiterung des EU-US DPF und des Schweizer-US DPF erhalten haben, an BBB National Programs weiterzuleiten, einen Anbieter für alternative Streitbeilegung mit Sitz in den Vereinigten Staaten. Wenn Sie keine zeitnahe Empfangsbestätigung Ihrer Beschwerde im Zusammenhang mit DPF-Prinzipien von uns erhalten oder wenn wir Ihrer Beschwerde im Zusammenhang mit DPF-Prinzipien nicht zu Ihrer Zufriedenheit nachgegangen sind, besuchen Sie bitte die Website des Streitbeilegungsverfahrens von BBB National Programs auf https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers, um weitere Informationen zu erhalten oder eine Beschwerde einzureichen. Sie erhalten die Dienstleistungen von BBB National Programs, ohne dass Ihnen dadurch Kosten entstehen.

Bitte beachten: Falls Ihre Beschwerde nicht auf diesem Wege geklärt werden kann, kommt in begrenzten Fällen gegebenenfalls ein bindendes Schiedsverfahren gemäß den Angaben in Anhang I der DPF-Prinzipien in Betracht. Asana unterliegt in Bezug auf seine Befolgung der Bestimmungen des EU-US DPF, der britischen Erweiterung des EU-US DPF und des Schweizer-US DPF den Ermittlungs- und Sanktionsbefugnissen der Federal Trade Commission (FTC).

Asana ergreift angemessene und sachdienliche Schritte, die notwendig sind, um sicherzustellen, dass jeder Drittanbieter, der als „Auftragsverarbeiter” im Sinne der Begriffsdefinition in der EU, im Vereinigten Königreich und in der Schweiz tätig ist, die ihm von uns anvertrauten personenbezogenen Daten auf eine Art und Weise verarbeitet, die mit den DPF-Prinzipien vereinbar ist. Asana haftet unter Umständen in Fällen der Weiterleitung an Dritte von Daten von Bürgern der EU, des Vereinigten Königreichs und der Schweiz, die im Rahmen des EU-US DPF, der britischen Erweiterung des EU-US DPF bzw. des Schweizer-US DPF erhalten wurden.

Im Fall eines Widerspruchs zwischen den Bestimmungen dieser Datenschutzerklärung und den Prinzipien des EU-US DPF und/oder den Prinzipien des Schweizer-US DPF sind die jeweiligen Prinzipien maßgebend.

Um mehr über das Datenschutzrahmenprogramm (Data Privacy Framework [DPF] Program) zu erfahren und unsere Zertifizierung einzusehen, besuchen Sie bitte https://www.dataprivacyframework.gov/.

Wenn die EU-US-DPF, die britische Erweiterung der EU-US-DPF und die Schweiz-US-DPF nicht gelten, greift Asana auf andere Datenübermittlungsmechanismen zurück, um personenbezogene Daten außerhalb des EWR, des Vereinigten

Tools für Datenzugriff, -verwaltung und -übertragbarkeit

Die DSGVO gibt den betroffenen Personen unter bestimmten Umständen das Recht, unter anderem auf ihre personenbezogenen Daten zuzugreifen, sie zu löschen und zu berichtigen. Asana hat sich verpflichtet, Anfragen von betroffenen Personen in Übereinstimmung mit der DSGVO zu erleichtern, wie in unserer Datenschutzerklärung näher beschrieben.

Dokumentation zum Datenschutz

Der Fokus der DSGVO liegt auf seiner Transparenz, Fairness und Verlässlichkeit. Dementsprechend sind Unternehmen verpflichtet, ihre Datenschutzmaßnahmen und die Entscheidungen über den Umgang mit personenbezogenen Daten zu dokumentieren. Asana befolgt die Prinzipien der DSGVO und hat in sein laufendes DSGVO-Compliance-Programm eine Dokumentation über seine Datenerfassungs- und -verarbeitungsaktivitäten sowie die verschiedenen Richtlinien und Vorgaben aufgenommen, die das Unternehmen gemäß der DSGVO umsetzt. Sie können mehr darüber erfahren, wie Asana personenbezogene Daten sammelt, verwendet und offenlegt, indem Sie die Datenschutzerklärung von Asana lesen.

Datensicherheit

Die DSGVO verpflichtet Unternehmen, geeignete technische und organisatorische Maßnahmen zum Schutz der Sicherheit, Vertraulichkeit und Integrität personenbezogener Daten zu ergreifen. Sicherheit ist weiterhin eine Priorität für Asana und unsere ISO 27018 (Schutz personenbezogener Daten in der Cloud), ISO 27701 (Datenschutz-Informationsmanagement) und andere Zertifizierungen zeigen unser Engagement für globale Datenschutzstandards. Darüber hinaus haben wir unsere SOC 2 (Typ I) und (Typ II) Audits für Kontrollfunktionen, die für Sicherheit, Verfügbarkeit und Vertraulichkeit relevant sind, erfolgreich abgeschlossen. Dies bedeutet, dass ein unabhängiger Dritter sowohl unsere Prozesse und Praktiken in Bezug auf diese Service-Vertrauenskriterien validiert als auch unsere Fähigkeit bestätigt hat, die Einhaltung der Richtlinien mit den von uns implementierten Kontrollfunktionen aufrechtzuerhalten. Wir haben ebenfalls eine Reihe von Sicherheitsvorkehrungen getroffen, um die Sicherheit unserer Plattform zu gewährleisten. Dazu gehören die Verschlüsselung von Webverbindungen zum Schutz von Datenübertragungen, die Replizierung unserer Datenbanken, um die Zuverlässigkeit der Plattform zu gewährleisten, und die Kontrolle des Zugangs zu unseren Einrichtungen und unserem Büronetzwerk. Asana bietet seinen Kunden auch die Möglichkeit, zusätzliche Sicherheitskontrollen einzusetzen, um die Sicherheit der Daten ihrer Teams weiter zu erhöhen. Weitere Informationen finden Sie auf unserer Seite zum Thema Vertrauen.

Ausübung Ihrer Rechte unter den relevanten globalen Datenschutzgesetzen

Wenn Sie von Ihren Rechten Gebrauch machen möchten, übermitteln Sie uns bitte einen entsprechenden Antrag, indem Sie unser Formular für weltweite Datenschutzanfragen ausfüllen. Weitere Informationen darüber, wie Asana einzelnen Verbrauchern die Möglichkeit bietet, auf ihre persönlichen Daten zuzugreifen und deren Löschung gemäß CCPA zu beantragen, finden Sie unter Datenschutzinformationen für in Kalifornien ansässige Personen in unseren Datenschutzbestimmungen.

California Consumer Privacy Act (CCPA)

Der CCPA (in der Fassung des CPRA) ist ein Gesetz, das kalifornischen Verbrauchern bestimmte Rechte in Bezug auf ihre personenbezogenen Daten einräumt. Das Gesetz schreibt insbesondere vor, dass Unternehmen, die dem Gesetz unterliegen, den Verbrauchern die Möglichkeit geben müssen, den Zugang zu ihren Daten und deren Löschung zu beantragen und sich gegen bestimmte Arten der Weitergabe ihrer personenbezogenen Daten zu entscheiden. Zudem schränkt das Gesetz die Verwendung von Daten für Dienstleister ein, die im Auftrag des Unternehmens tätig sind.

Wenn ein Unternehmen, das dem CCPA unterliegt, einen Dienstleistungs- oder Abonnementvertrag mit Asana abgeschlossen hat, wird Asana auch als Dienstleister für dieses Unternehmen tätig. Insbesondere wird Asana die personenbezogenen Daten dieser Kunden nur für die in der jeweiligen Vereinbarung festgelegten Zwecke verarbeiten und mit den Kunden zusammenarbeiten, um deren Verpflichtungen in Bezug auf Löschungs- oder Zugriffsanforderungen zu erfüllen.

CCPA-Datenverarbeitungsvereinbarung

Asana hat sein Addendum zur Datenverarbeitung aktualisiert, um speziell auf unsere Verpflichtungen im Rahmen des CCPA (in der Fassung des CPRA) hinzuweisen. Wenn Ihr Unternehmen ein Kunde von Asana ist und einen Nachtrag benötigt, wenden Sie sich bitte an dpa@asana.com.

Gramm-Leach-Bliley Act (USA)

Nach dem Gramm-Leach-Bliley Act (GLBA) müssen Finanzinstitute – Unternehmen, die Verbrauchern Finanzprodukte oder -dienstleistungen wie Darlehen, Finanz- oder Anlageberatung oder Versicherungen anbieten – ihren Kunden ihre Praktiken zum Informationsaustausch erläutern und sensible Daten schützen. Dienstleister, denen von den Finanzinstituten der Zugriff auf die nicht öffentlichen personenbezogenen Daten (NPI) ihrer Verbraucher gestattet wird, müssen ebenfalls die GLBA einhalten. Asana hält die Datenschutzbestimmungen und Sicherheitsbestimmungen von GLBA ein. Neben der Umsetzung von Sicherheitsmaßnahmen verwenden wir die Arbeitsinhalte unserer Kunden nur für die Erbringung unserer Dienstleistungen und nicht für andere Zwecke. Kunden sollten keine sensiblen personenbezogenen Daten (einschließlich Bankkontonummern und Sozialversicherungsnummern) in Asana speichern.

Family Educational Rights and Privacy Act (USA)

Der Family Educational Rights and Privacy Act (FERPA) ist ein US-Bundesgesetz, das akademische Einrichtungen wie Hochschulen und Universitäten verpflichtet, die Daten der Studierenden zu schützen. Asana ermöglicht seinen Kunden die Einhaltung des FERPA, indem wir sicherstellen, dass personenbezogene Daten sicher aufbewahrt und nur für die Erbringung unserer Dienstleistungen verwendet werden, wie in unseren Nutzungsbedingungen und unserer Datenschutzerklärung beschrieben. Asana verpflichtet sich vertraglich, keine Kundendaten weiterzugeben, es sei denn, dies wird von der beauftragenden Bildungseinrichtung angeordnet, wie in unseren Geschäftsbedingungen erlaubt oder gesetzlich vorgeschrieben.

HIPAA

Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) ist ein Bundesgesetz in den Vereinigten Staaten, das die Schaffung nationaler Standards vorschreibt, um sensible Gesundheitsdaten von Patienten vor der Weitergabe ohne deren Zustimmung oder Wissen zu schützen. Unternehmen, für die das Health Insurance Portability and Accountability Act aus dem Jahr 1996 („HIPAA“) gilt, können Asana zur Unterstützung eines HIPAA-konformen Arbeitsmanagements einsetzen.

Die Einhaltung des HIPAA durch Asana wird durch das Business Associate Addendum (BAA) von Asana geregelt. Weitere Einzelheiten zu HIPAA und Asana entnehmen Sie bitte dem HIPAA-Datenblatt.

Act on the Protection of Personal Information (APPI)

Der Act on the Protection of Personal Information (APPI) ist das grundlegende Gesetz zum Schutz personenbezogener Daten in Japan. Es gilt für alle Unternehmen, die personenbezogene Daten von Einzelpersonen in Japan verarbeiten. Der APPI wurde seit seiner ursprünglichen Verabschiedung im Jahr 2003 immer wieder aktualisiert, wobei die jüngsten Änderungen am 1. April 2022 in Kraft traten.

Ähnlich wie bei der Unterscheidung zwischen „Datenverantwortlichen“ und „Datenverarbeitern“ im Rahmen der DSGVO unterscheidet der APPI zwischen „Geschäftsbetreibern“ – oder Einrichtungen, die befugt sind, gespeicherte personenbezogene Daten zu kontrollieren und Entscheidungen darüber zu treffen (d. h. Kunden von Asana) – und Drittanbietern, die personenbezogene Daten im Auftrag eines Geschäftsbetreibers (d. h. Asana) verarbeiten.

Der APPI legt auch Beschränkungen für die grenzüberschreitende Übermittlung personenbezogener Daten außerhalb Japans fest. Personenbezogene Daten können an Empfänger in Übersee übermittelt werden, sofern vertragliche Vereinbarungen bestehen, mit denen die Einhaltung der Datenschutzstandards in Japan gewährleistet wird.

Asana verpflichtet sich, personenbezogene Daten gemäß des APPI und seinen Ergänzungen zu verarbeiten und zu schützen. Der Datenverarbeitungszusatz von Asana umfasst (1) unsere Datenschutzverpflichtungen, um sicherzustellen, dass wir den APPI einhalten; (2) wie wir unsere Kunden bei ihren Verpflichtungen gemäß APPI unterstützen; und (3) die technischen und organisatorischen Maßnahmen, die zum Schutz personenbezogener Daten implementiert wurden. Weitere Informationen über die Sicherheits- und Datenschutzmaßnahmen von Asana finden Sie auf unserer Seite zum Thema Vertrauen.

Verwandte Ressourcen

• Asana-Datenschutzerklärung

• Asana-Datenverarbeitungsvereinbarung

• Asana-Seite zu Vertrauen

• Asana EU-US und Schweiz-US Privacy Shield Zertifizierung

• Vollständiger Text zur DSGVO

• Vollständiger Text zum CCPA (in der Fassung des CPRA)