Um unser Engagement für globale Datenschutzstandards zu demonstrieren, verfügt Asana über Zertifizierungen für die Einhaltung von ISO 27018:2019 (Schutz personenbezogener Daten in der Cloud) und ISO 27701:2019 (Datenschutz-Informationsmanagement). 

Wir arbeiten auch daran, sicherzustellen, dass unsere Vereinbarungen mit unseren Kunden auf dem neuesten Stand sind. Unsere Datenverarbeitungsvereinbarung umfasst die neuesten Datenschutzbestimmungen zwischen den USA und der EU, dem Vereinigten Königreich und der Schweiz sowie die Standardvertragsklauseln der EU und des Vereinigten Königreichs, in denen unsere vertraglichen Datenschutzverpflichtungen dargelegt sind und die Datenübertragung weltweit erleichtern.

EU / GB

Asana hat ein umfassendes Programm zur Einhaltung der DSGVO/GDPR in Großbritannien eingerichtet und ist bestrebt, mit Kunden und Dienstleistern an den Bemühungen zur Einhaltung der Richtlinien zusammenzuarbeiten. Asana hat folgende wichtige Schritte zur Anpassung seiner Tätigkeiten an die Datenschutzrichtlinien im Rahmen der DSGVO/GDPR in Großbritannien umgesetzt:

• Überarbeitung unserer Richtlinien und Verträge mit unseren Partnern, Anbietern und Nutzern, um gesetzliche Entwicklungen widerzuspiegeln

• Verbesserung unserer Sicherheitsmaßnahmen und -verfahren

• Genaue Überprüfung und Zuordnung der Daten, die wir erheben, verwenden und weitergeben

• Gewährleistung einer soliden internen Datenschutz- und Sicherheitsdokumentation

• Schulung der Mitarbeitenden in Bezug auf globale Datenschutzanforderungen und bewährte Methoden für Datenschutz und Sicherheit

• Sorgfältiger Aufbau einer Richtlinie und eines Reaktionsprozesses bezüglich der Rechte von betroffenen Personen

APAC

Der Act on the Protection of Personal Information (APPI) ist das grundlegende Gesetz zum Schutz personenbezogener Daten in Japan. Es gilt für alle Unternehmen, die personenbezogene Daten von Einzelpersonen in Japan verarbeiten. Der APPI wurde seit seiner ursprünglichen Verabschiedung im Jahr 2003 immer wieder aktualisiert, wobei die jüngsten Änderungen am 1. April 2022 in Kraft traten.

Ähnlich wie bei der Unterscheidung zwischen „Datenverantwortlichen“ und „Datenverarbeitern“ im Rahmen der DSGVO unterscheidet der APPI zwischen „Geschäftsbetreibern“ – oder Einrichtungen, die befugt sind, gespeicherte personenbezogene Daten zu kontrollieren und Entscheidungen darüber zu treffen (d. h. Kunden von Asana) – und Drittanbietern, die personenbezogene Daten im Auftrag eines Geschäftsbetreibers (d. h. Asana) verarbeiten.

Der APPI legt auch Beschränkungen für die grenzüberschreitende Übermittlung personenbezogener Daten außerhalb Japans fest. Personenbezogene Daten können an Empfänger in Übersee übermittelt werden, sofern vertragliche Vereinbarungen bestehen, mit denen die Einhaltung der Datenschutzstandards in Japan gewährleistet wird.

Asana verpflichtet sich, personenbezogene Daten in Übereinstimmung mit dem APPI und seinen Änderungen zu verarbeiten und zu schützen. Die Datenverarbeitungsvereinbarung von Asana umfasst

• Unsere Datenschutzverpflichtungen, um sicherzustellen, dass wir APPI-konform arbeiten

• Wie wir unsere Kunden bei der Erfüllung ihrer Verpflichtungen gemäß des APPI unterstützen

• Die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten

Weitere Informationen über die Sicherheits- und Datenschutzmaßnahmen von Asana finden Sie in unserem Trust Center.

USA (Bund und Länder)

Kalifornien

Der CCPA (in der Fassung des CPRA) ist ein Gesetz, das kalifornischen Verbrauchern bestimmte Rechte in Bezug auf ihre personenbezogenen Daten einräumt. Das Gesetz schreibt insbesondere vor, dass Unternehmen, die dem Gesetz unterliegen, den Verbrauchern die Möglichkeit geben müssen, den Zugang zu ihren Daten und deren Löschung zu beantragen und sich gegen bestimmte Arten der Weitergabe ihrer personenbezogenen Daten zu entscheiden. Zudem schränkt das Gesetz die Verwendung von Daten für Dienstleister ein, die im Auftrag des Unternehmens tätig sind.

Wenn ein Unternehmen, das dem CCPA unterliegt, einen Dienstleistungs- oder Abonnementvertrag mit Asana abgeschlossen hat, wird Asana auch als Dienstleister für dieses Unternehmen tätig. Insbesondere wird Asana die personenbezogenen Daten dieser Kunden nur für die in der jeweiligen Vereinbarung festgelegten Zwecke verarbeiten und mit den Kunden zusammenarbeiten, um Lösch- oder Zugriffsanfragen nachzukommen.

Die Datenverarbeitungsvereinbarung von Asana bezieht sich insbesondere auf unsere Verpflichtungen im Rahmen des CCPA. Wenn Ihr Unternehmen ein Kunde von Asana ist und einen Nachtrag benötigt, wenden Sie sich bitte an dpa@asana.com.

HIPAA

Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) ist ein Bundesgesetz in den Vereinigten Staaten, das die Schaffung nationaler Standards vorschreibt, um sensible Gesundheitsdaten von Patienten vor der Weitergabe ohne deren Zustimmung oder Wissen zu schützen. Unternehmen, die dem HIPAA unterstehen, können Asana zur Unterstützung eines HIPAA-konformen Arbeitsmanagements einsetzen.

Die Einhaltung des HIPAA durch Asana wird durch das Business Associate Addendum (BAA) von Asana geregelt. Weitere Einzelheiten zu HIPAA und Asana entnehmen Sie bitte dem HIPAA-Datenblatt.

Gramm-Leach-Bliley Act (USA)

Nach dem Gramm-Leach-Bliley Act (GLBA) müssen Finanzinstitute – Unternehmen, die Verbrauchern Finanzprodukte oder -dienstleistungen wie Darlehen, Finanz- oder Anlageberatung oder Versicherungen anbieten – ihren Kunden ihre Praktiken zum Informationsaustausch erläutern und sensible Daten schützen. Dienstleister, die die Erlaubnis von Finanzinstituten haben, auf nicht öffentliche persönliche Informationen (engl. NPI) ihrer Kunden zuzugreifen, sind zudem zur Einhaltung des GLBA verpflichtet. Asana ist GLBA-konform und passt seine Praktiken an die Datenschutz- und Sicherheitsbestimmungen des GLBA an. Neben der Implementierung von Sicherheitsmaßnahmen verwenden wir nur Arbeitsinhalte von Kunden, um unsere Dienste bereitzustellen, und nicht für andere Zwecke. Kunden sollten keine sensiblen personenbezogenen Daten (einschließlich Bankkontonummern und Sozialversicherungsnummern) in Asana speichern.

Family Educational Rights and Privacy Act (USA)

Der Family Educational Rights and Privacy Act (FERPA) ist ein US-Bundesgesetz, das akademische Einrichtungen wie Hochschulen und Universitäten verpflichtet, die Daten der Studierenden zu schützen. Asana ermöglicht seinen Kunden die Einhaltung des FERPA, indem wir sicherstellen, dass personenbezogene Daten sicher aufbewahrt und nur für die Erbringung unserer Dienstleistungen verwendet werden, wie in unseren Nutzungsbedingungen und unserer Datenschutzerklärung beschrieben. Asana verpflichtet sich vertraglich, keine Kundendaten weiterzugeben, es sei denn, dies wird von der beauftragenden Bildungseinrichtung angeordnet, wie in unseren Geschäftsbedingungen erlaubt oder gesetzlich vorgeschrieben.

Da sich die Gesetze, Vorschriften und Anleitungen von Datenschutzbehörden und Behörden ständig weiterentwickeln und immer mehr Länder neue Datenschutzgesetze und -vorschriften erlassen, werden wir diese Entwicklungen weiterhin aufmerksam verfolgen und unser Programm bei Bedarf auf Änderungen oder Verbesserungen überprüfen.

Die Bestimmungen der DPA von Asana spiegeln die Dienstleistungen und die mandantenfähige Infrastruktur von Asana wider. Zum Beispiel ist Asanas DPA auf unsere Prozesse in Bezug auf datenschutzbezogene Benachrichtigungen, Audits, Zertifizierungen, Sicherheitsmaßnahmen und Unterverarbeitungsaktivitäten zugeschnitten. Asanas DPA lässt sich auch nahtlos mit anderen Vereinbarungen und der relevanten Dokumentation verknüpfen.

Asana hat sich freiwillig nach dem EU-U.S. Data Privacy Framework (EU-U.S. DPF), der UK Extension to the DPF und dem Swiss-U.S. Data Privacy Framework zertifiziert, die vom US Department of Commerce in Bezug auf die Übertragung von personenbezogenen Daten aus dem Europäischen Wirtschaftsraum (EWR), dem Vereinigten Königreich und der Schweiz in die Vereinigten Staaten festgelegt wurden.

Weitere Informationen zur Zertifizierung von Asana finden Sie unter diesem Link zum Data Privacy Framework Program. 

Wenn Sie von Ihren Rechten Gebrauch machen möchten, übermitteln Sie uns bitte einen entsprechenden Antrag, indem Sie unser Formular für weltweite Datenschutzanfragen ausfüllen. Weitere Informationen darüber, wie Asana einzelnen Verbrauchern die Möglichkeit bietet, auf ihre persönlichen Daten zuzugreifen und deren Löschung gemäß CCPA zu beantragen, finden Sie im Abschnitt Datenschutzinformationen für in Kalifornien ansässige Personen in unseren Datenschutzbestimmungen.

Künstliche Intelligenz (KI) hat die Fähigkeit, das Leben von Menschen zu verbessern, ihre Entscheidungsfindung zu unterstützen und mehr Zeit für strategische Aufgaben zu schaffen. Wir sind überzeugt, dass KI richtig eingesetzt werden muss, um negative Folgen zu vermeiden, und wir möchten sicherstellen, dass wir KI auf eine Weise implementieren, die die Benutzererfahrung bereichert, ohne den Datenschutz zu beeinträchtigen.

Bei Asana glauben wir, dass KI dazu eingesetzt werden sollte, einzelne Mitarbeiter zu unterstützen, neue Verbindungen zwischen Teams zu schaffen und gemeinsame Erfolge zu ermöglichen und zu feiern. Asana hält sich an die folgenden KI-Grundsätze:

• KI soll Menschen helfen, ihre Ziele zu erreichen

• Wir entwickeln Lösungen zur Zusammenarbeit zwischen Mensch und KI

• Menschen sind für ihre Entscheidungen verantwortlich

• Wir fördern die Sicherheit – kurz- und langfristig

• Wir setzen uns für Transparenz in der Arbeitspraxis und im Produkt ein

Weitere Informationen darüber, wie Asana durch Sicherheit, Zuverlässigkeit, Datenschutz und Compliance Vertrauen schafft, finden Sie in unserem Trust Center und in der Datenschutzerklärung von Asana.

Weitere Informationen finden Sie auf unserer KI-Produktseite und in unserem Help Center-Artikel zu KI-Funktionen und der Admin-Konsole.