Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Asana

Was macht Asana?

Asana ist eine cloudbasierte Projektmanagement- und Arbeitskooperationsplattform von Asana Inc. (USA). Sie ermöglicht Teams die Verwaltung von Aufgaben, Projekten, Portfolios, Zielen und Workflows. Die Plattform verarbeitet personenbezogene Daten wie Nutzerprofile, Aufgabenzuweisungen, Kommentare und Dateianhänge und überträgt Daten international über US-basierte Infrastruktur, was eine DSGVO-Konformität durch den Auftragsverarbeitungsvertrag von Asana erfordert.

Was ist Asana?

Asana ist eine cloudbasierte Projektmanagement- und Arbeitskooperationsplattform von Asana Inc. mit Sitz in San Francisco, Kalifornien. Teams können damit Aufgaben erstellen und zuweisen, Fristen setzen, den Projektfortschritt verfolgen, Portfolios und Ziele verwalten, Workflows automatisieren und über Aufgabenkommentare kommunizieren. Asana lässt sich mit zahlreichen Drittanbieterdiensten integrieren, darunter Slack, Google Workspace, Microsoft Teams, Salesforce und Jira. Wenn Asana-Formulare auf öffentlich zugänglichen Websites eingebettet werden, entstehen zusätzliche datenschutzrechtliche Anforderungen für Website-Betreiber.

Cookies und von Asana erhobene Daten

Asana setzt Cookies für Authentifizierung, Session-Management, Nutzereinstellungen und Analysen. Wichtige Cookies umfassen Session-Authentifizierungstoken, CSRF-Schutztoken, Feature-Flag-Cookies für A/B-Tests und Analyse-Cookies zur Messung der Produktnutzung. Asana nutzt zudem Local Storage zum Caching des Anwendungsstatus. Die Plattform erhebt personenbezogene Daten wie Namen, E-Mail-Adressen, Profilfotos, Aufgabeninhalte, Kommentare, Dateianhänge, Aktivitätsprotokolle und IP-Adressen. Drittanbieter-Analysedienste wie Amplitude und Segment können ebenfalls Cookies setzen.

DSGVO- und ePrivacy-Anforderungen

Asana wirft DSGVO-Fragen auf, da die Plattform erhebliche personenbezogene Daten im Zusammenhang mit Arbeitsaktivitäten verarbeitet. Asana Inc. agiert als Auftragsverarbeiter gemäß seinem Auftragsverarbeitungsvertrag (AVV), der Standardvertragsklauseln für internationale Datentransfers einschließt. Das Unternehmen ist nach SOC 2 Typ II, SOC 3, ISO 27001 und ISO 27701 zertifiziert und nach dem EU-US Data Privacy Framework akkreditiert. Für Enterprise-Kunden ist eine EU-Datenspeicherung in AWS Frankfurt verfügbar. Organisationen müssen jedoch die in Asana gespeicherten personenbezogenen Daten bewerten, insbesondere wenn Aufgaben und Kommentare Informationen über Kunden, Mitarbeiter oder Partner enthalten.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Einwilligung und Rechtsgrundlage

Für die interne Teamnutzung liefert in der Regel die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) oder das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) die Rechtsgrundlage. Wenn Asana-Formulare auf öffentlich zugänglichen Websites zur Datenerhebung von externen Nutzern eingesetzt werden, wird eine ausdrückliche Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO empfohlen, da diese Formulare Daten an Asanas Server übertragen und Cookies setzen können. Bei Websites, die Asana-Embeds mit nicht wesentlichen Cookies enthalten, muss ein Cookie-Einwilligungsbanner eingebunden werden.

Internationale Datentransfers

Asana Inc. ist ein US-amerikanisches Unternehmen und Daten werden primär in AWS-Infrastruktur in den USA gehostet. Für EU-basierte Organisationen stellt dies eine internationale Datenübermittlung dar. Asana begegnet diesem durch seinen AVV mit SCC und seine Akkreditierung nach dem EU-US Data Privacy Framework. Enterprise-Kunden können EU-Datenspeicherung aktivieren, die Kundendaten in der EU (Frankfurt) speichert. Einige Verarbeitungsvorgänge, Support-Aktivitäten und Metadaten können jedoch weiterhin US-basierte Systeme einbeziehen.

Praktische Compliance-Schritte

Für DSGVO-Konformität mit Asana: Unterzeichnen Sie den AVV von Asana. Aktivieren Sie die EU-Datenspeicherung im Enterprise-Plan. Konfigurieren Sie Workspace-Berechtigungen und Zugriffskontrollen. Legen Sie Datenspeicherungsrichtlinien fest und löschen Sie regelmäßig abgeschlossene Projekte mit personenbezogenen Daten. Prüfen Sie Drittanbieter-Integrationen auf DSGVO-Konformität. Binden Sie Cookie-Einwilligung auf Websites ein, die Asana-Formulare enthalten. Schulen Sie Teammitglieder zur Datensparsamkeit. Führen Sie eine DSFA durch, wenn Ihr Workspace sensible personenbezogene Daten oder HR- und Kundenprozesse enthält.

GDPR consent category

Sonstige

Websites using Asana must obtain user consent under GDPR regulations.

Legal basisContract performance for core project management features (Art. 6(1)(b)), legitimate interest for security and service operations (Art. 6(1)(f)), consent required for analytics cookies and third party integrations on public facing embeds (Art. 6(1)(a))

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive, UK GDPR, CCPA/CPRA, SOC 2 Type II, SOC 3, ISO 27001, ISO 27701

DPIA considerations

Eine DSFA wird für Asana-Deployments empfohlen, insbesondere wenn die Plattform organisationsweit für Projekte mit personenbezogenen Daten genutzt wird. Zu bewertende Bereiche: Umfang der in Aufgaben, Kommentaren und Anhängen gespeicherten personenbezogenen Daten, internationale Datentransfers in US-AWS-Infrastruktur, Drittanbieter-Integrationen (Slack, Google Drive, Microsoft Teams, Salesforce) und die Nutzung von Asana-Formularen auf öffentlich zugänglichen Seiten.

Sample consent text

Diese Seite verwendet ein eingebettetes Asana-Formular, das Cookies setzen und übermittelte Daten an in den USA gehostete Asana-Server übertragen kann. Durch das Absenden dieses Formulars stimmen Sie der Verarbeitung Ihrer personenbezogenen Daten durch Asana Inc. gemäß deren Datenschutzrichtlinie und unserem Auftragsverarbeitungsvertrag zu.

Technical details

Tracking methodfirst and third party cookies, local storage, web beacons, analytics trackers, API integrations

Server locationUS (primary, AWS hosted) with EU data residency option available

Data transferred outside the EUAsana Inc. is headquartered in San Francisco, US. Data is primarily hosted on AWS in the US. EU data residency is available for Enterprise customers, keeping data at rest in EU data centers (Frankfurt). International transfers covered by SCCs via Asana's DPA. Asana is certified under the EU US Data Privacy Framework.

Third-party domains contacted

app.asana.comapi.asana.comform.asana.comcdn.asana.comassets.asana.bizapi.amplitude.com

Cookies placed

Name	Type	Duration	Purpose
asana_session	authentication	Session	Maintains the authenticated user session for the Asana web application.
xsrf_token	security	Session	CSRF protection token preventing cross site request forgery attacks on form submissions and API calls.
asana_feature_flags	functionality	1 year	Stores feature flag assignments for A/B testing and gradual feature rollouts.
amp_device_id	analytics	1 year	Amplitude analytics device identifier tracking product usage patterns across sessions.
ajs_anonymous_id	analytics	1 year	Segment analytics anonymous identifier used for tracking user journeys before and after authentication.
asana_prefs	functionality	1 year	Stores user interface preferences including sidebar state, view mode, and notification settings.

Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt Asana?

Asana setzt Session-Authentifizierungstoken, CSRF-Schutz-Cookies, Feature-Flag-Cookies für A/B-Tests und Analyse-Cookies. Wenn Asana-Formulare auf Ihrer Website eingebettet sind, können Cookies von app.asana.com im Browser der Besucher gesetzt werden.

Ist für Asana eine Einwilligung gemäß DSGVO erforderlich?

Für die interne Nutzung durch Teammitglieder ist in der Regel keine Cookie-Einwilligung erforderlich. Wenn Asana-Formulare auf einer öffentlichen Website eingebettet werden und Cookies von asana.com im Browser externer Besucher setzen, muss vor der Aktivierung eine Einwilligung eingeholt werden.

Welche Rechtsgrundlage gilt für die Datenverarbeitung durch Asana?

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für die Datenverarbeitung von Mitarbeitern im Rahmen ihrer Arbeitstätigkeit. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für Asana-Formulare auf öffentlichen Websites, die Daten externer Nutzer erheben.

Überträgt Asana Daten in die USA?

Ja. Asana Inc. ist ein US-amerikanisches Unternehmen und die Daten werden primär auf AWS-Servern in den USA gehostet. Asana bietet SCCs in seinem AVV und ist nach dem EU-US Data Privacy Framework akkreditiert. Enterprise-Kunden können EU-Datenspeicherung in AWS Frankfurt aktivieren.

Ist eine DSFA für Asana erforderlich?

Eine DSFA wird empfohlen, wenn Asana in großem Umfang für Projekte mit personenbezogenen Daten genutzt wird, insbesondere für HR-Prozesse, Kundenverwaltung oder wenn Aufgaben und Kommentare umfangreiche personenbezogene Daten enthalten.

Wie implementiere ich DSGVO-konforme Nutzung von Asana?

Unterzeichnen Sie den AVV von Asana. Aktivieren Sie EU-Datenspeicherung für Enterprise-Pläne. Konfigurieren Sie Zugriffskontrollen. Binden Sie Cookie-Einwilligung für Seiten mit Asana-Formularen ein. Dokumentieren Sie Asana in Ihrem VVT und schulen Sie Teammitglieder zur Datensparsamkeit.

Gibt es datenschutzfreundliche Alternativen zu Asana?

EU-ansässige oder datenschutzfreundlichere Projektmanagement-Alternativen sind Basecamp (mit EU-Hosting-Option), Notion (mit EU-Datenspeicherung), Linear und selbst gehostete Lösungen wie Plane oder GitLab.

Wie aktualisiere ich meine Cookie-Richtlinie für Asana?

Listen Sie Asana in Ihrer Cookie-Richtlinie auf, wenn Asana-Formulare auf Ihrer Website eingebettet sind. Beschreiben Sie den Zweck der Cookies, ihre Lebensdauer und dass Daten an Asana Inc. in den USA übertragen werden. Fügen Sie einen Link zum AVV und zur Datenschutzrichtlinie von Asana hinzu.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note