Um unser Engagement für globale Datenschutzstandards zu demonstrieren, verfügt Asana über Zertifizierungen für die Einhaltung von ISO 27018:2019 (Schutz personenbezogener Daten in der Cloud) und ISO 27701:2019 (Datenschutz-Informationsmanagement).
Wir arbeiten auch daran, sicherzustellen, dass unsere Vereinbarungen mit unseren Kunden auf dem neuesten Stand sind. Unsere
Datenverarbeitungsvereinbarung umfasst die neuesten Datenschutzbestimmungen zwischen den USA und der EU, dem Vereinigten Königreich und der Schweiz sowie die Standardvertragsklauseln der EU und des Vereinigten Königreichs, in denen unsere vertraglichen Datenschutzverpflichtungen dargelegt sind und die Datenübertragung weltweit erleichtern.
EU / GB
Asana hat ein umfassendes Programm zur Einhaltung der DSGVO/GDPR in Großbritannien eingerichtet und ist bestrebt, mit Kunden und Dienstleistern an den Bemühungen zur Einhaltung der Richtlinien zusammenzuarbeiten. Asana hat folgende wichtige Schritte zur Anpassung seiner Tätigkeiten an die Datenschutzrichtlinien im Rahmen der DSGVO/GDPR in Großbritannien umgesetzt:
Überarbeitung unserer Richtlinien und Verträge mit unseren Partnern, Anbietern und Nutzern, um gesetzliche Entwicklungen widerzuspiegeln
Verbesserung unserer Sicherheitsmaßnahmen und -verfahren
Genaue Überprüfung und Zuordnung der Daten, die wir erheben, verwenden und weitergeben
Gewährleistung einer soliden internen Datenschutz- und Sicherheitsdokumentation
Schulung der Mitarbeitenden in Bezug auf globale Datenschutzanforderungen und bewährte Methoden für Datenschutz und Sicherheit
Sorgfältiger Aufbau einer Richtlinie und eines Reaktionsprozesses bezüglich der Rechte von betroffenen Personen
APAC
Der Act on the Protection of Personal Information (APPI) ist das grundlegende Gesetz zum Schutz personenbezogener Daten in Japan. Es gilt für alle Unternehmen, die personenbezogene Daten von Einzelpersonen in Japan verarbeiten. Der APPI wurde seit seiner ursprünglichen Verabschiedung im Jahr 2003 immer wieder aktualisiert, wobei die jüngsten Änderungen am 1. April 2022 in Kraft traten.
Ähnlich wie bei der Unterscheidung zwischen „Datenverantwortlichen“ und „Datenverarbeitern“ im Rahmen der DSGVO unterscheidet der APPI zwischen „Geschäftsbetreibern“ – oder Einrichtungen, die befugt sind, gespeicherte personenbezogene Daten zu kontrollieren und Entscheidungen darüber zu treffen (d. h. Kunden von Asana) – und Drittanbietern, die personenbezogene Daten im Auftrag eines Geschäftsbetreibers (d. h. Asana) verarbeiten.
Der APPI legt auch Beschränkungen für die grenzüberschreitende Übermittlung personenbezogener Daten außerhalb Japans fest. Personenbezogene Daten können an Empfänger in Übersee übermittelt werden, sofern vertragliche Vereinbarungen bestehen, mit denen die Einhaltung der Datenschutzstandards in Japan gewährleistet wird.
Asana verpflichtet sich, personenbezogene Daten in Übereinstimmung mit dem APPI und seinen Änderungen zu verarbeiten und zu schützen. Die Datenverarbeitungsvereinbarung von Asana umfasst
Unsere Datenschutzverpflichtungen, um sicherzustellen, dass wir APPI-konform arbeiten
Wie wir unsere Kunden bei der Erfüllung ihrer Verpflichtungen gemäß des APPI unterstützen
Die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten
Weitere Informationen über die Sicherheits- und Datenschutzmaßnahmen von Asana finden Sie in unserem Trust Center.
USA (Bund und Länder)
Kalifornien
Der CCPA (in der Fassung des CPRA) ist ein Gesetz, das kalifornischen Verbrauchern bestimmte Rechte in Bezug auf ihre personenbezogenen Daten einräumt. Das Gesetz schreibt insbesondere vor, dass Unternehmen, die dem Gesetz unterliegen, den Verbrauchern die Möglichkeit geben müssen, den Zugang zu ihren Daten und deren Löschung zu beantragen und sich gegen bestimmte Arten der Weitergabe ihrer personenbezogenen Daten zu entscheiden. Zudem schränkt das Gesetz die Verwendung von Daten für Dienstleister ein, die im Auftrag des Unternehmens tätig sind.
Wenn ein Unternehmen, das dem CCPA unterliegt, einen Dienstleistungs- oder Abonnementvertrag mit Asana abgeschlossen hat, wird Asana auch als Dienstleister für dieses Unternehmen tätig. Insbesondere wird Asana die personenbezogenen Daten dieser Kunden nur für die in der jeweiligen Vereinbarung festgelegten Zwecke verarbeiten und mit den Kunden zusammenarbeiten, um Lösch- oder Zugriffsanfragen nachzukommen.
Die Datenverarbeitungsvereinbarung von Asana bezieht sich insbesondere auf unsere Verpflichtungen im Rahmen des CCPA. Wenn Ihr Unternehmen ein Kunde von Asana ist und einen Nachtrag benötigt, wenden Sie sich bitte an dpa@asana.com.
HIPAA
Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) ist ein Bundesgesetz in den Vereinigten Staaten, das die Schaffung nationaler Standards vorschreibt, um sensible Gesundheitsdaten von Patienten vor der Weitergabe ohne deren Zustimmung oder Wissen zu schützen. Unternehmen, die dem HIPAA unterstehen, können Asana zur Unterstützung eines HIPAA-konformen Arbeitsmanagements einsetzen.
Die Einhaltung des HIPAA durch Asana wird durch das Business Associate Addendum (BAA) von Asana geregelt. Weitere Einzelheiten zu HIPAA und Asana entnehmen Sie bitte dem HIPAA-Datenblatt.
Gramm-Leach-Bliley Act (USA)
Nach dem Gramm-Leach-Bliley Act (GLBA) müssen Finanzinstitute – Unternehmen, die Verbrauchern Finanzprodukte oder -dienstleistungen wie Darlehen, Finanz- oder Anlageberatung oder Versicherungen anbieten – ihren Kunden ihre Praktiken zum Informationsaustausch erläutern und sensible Daten schützen. Dienstleister, die die Erlaubnis von Finanzinstituten haben, auf nicht öffentliche persönliche Informationen (engl. NPI) ihrer Kunden zuzugreifen, sind zudem zur Einhaltung des GLBA verpflichtet. Asana ist GLBA-konform und passt seine Praktiken an die Datenschutz- und Sicherheitsbestimmungen des GLBA an. Neben der Implementierung von Sicherheitsmaßnahmen verwenden wir nur Arbeitsinhalte von Kunden, um unsere Dienste bereitzustellen, und nicht für andere Zwecke. Kunden sollten keine sensiblen personenbezogenen Daten (einschließlich Bankkontonummern und Sozialversicherungsnummern) in Asana speichern.
Family Educational Rights and Privacy Act (USA)
Der Family Educational Rights and Privacy Act (FERPA) ist ein US-Bundesgesetz, das akademische Einrichtungen wie Hochschulen und Universitäten verpflichtet, die Daten der Studierenden zu schützen. Asana ermöglicht seinen Kunden die Einhaltung des FERPA, indem wir sicherstellen, dass personenbezogene Daten sicher aufbewahrt und nur für die Erbringung unserer Dienstleistungen verwendet werden, wie in unseren Nutzungsbedingungen und unserer Datenschutzerklärung beschrieben. Asana verpflichtet sich vertraglich, keine Kundendaten weiterzugeben, es sei denn, dies wird von der beauftragenden Bildungseinrichtung angeordnet, wie in unseren Geschäftsbedingungen erlaubt oder gesetzlich vorgeschrieben.
Da sich die Gesetze, Vorschriften und Anleitungen von Datenschutzbehörden und Behörden ständig weiterentwickeln und immer mehr Länder neue Datenschutzgesetze und -vorschriften erlassen, werden wir diese Entwicklungen weiterhin aufmerksam verfolgen und unser Programm bei Bedarf auf Änderungen oder Verbesserungen überprüfen.