Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Asana

Was macht Asana?

Asana ist eine cloudbasierte Projektmanagement- und Arbeitskooperationsplattform von Asana Inc. (USA). Sie ermöglicht Teams die Verwaltung von Aufgaben, Projekten, Portfolios, Zielen und Workflows. Die Plattform verarbeitet personenbezogene Daten wie Nutzerprofile, Aufgabenzuweisungen, Kommentare und Dateianhänge und überträgt Daten international über US-basierte Infrastruktur, was eine DSGVO-Konformität durch den Auftragsverarbeitungsvertrag von Asana erfordert.

Was Asana tatsächlich macht

Asana ist ein SaaS für Work Management, der seit 2008 von Asana Inc. betrieben wird. Er bietet Aufgabenverwaltung, Projekte, Portfolios, Ziele, Workflows, Formulare, Zeiterfassung und die generativen Asana Intelligence Funktionen auf Basis von OpenAI und Anthropic. EU Kunden interagieren typischerweise über asana.com und über API Integrationen mit Slack, Microsoft Teams, Google Drive und anderen. Der Enterprise Plan bietet SAML SSO, SCIM Provisionierung, Audit Logs und optional die EU Datenresidenz.

Cookies und Speicherzugriffe in der App und auf Einbettungen

In der Asana Webanwendung erhalten angemeldete Nutzer die Cookies asana_session_id (Sitzung), asana_user_id (Kennung), __cf_bm (Cloudflare Bot Management) und mehrere CSRF Cookies. Auf der Marketingseite asana.com werden Google Analytics 4, LinkedIn Insight Tag, Marketo und Vidyard geladen, die eigene Cookies setzen und einwilligungspflichtig sind. Wenn ein Publisher ein öffentliches Asana Formular einbettet, ist die Seite tatsächlich ein iFrame zu asana.com, der dieselben Cookies bereits vor jeder Einwilligung setzt; somit greift §25 TTDSG (Umsetzung Art. 5(3) ePrivacy).

Rechtsgrundlage und Auftragsverarbeitungsvertrag

Für die interne Nutzung ist die Rechtsgrundlage das Beschäftigungsverhältnis und das berechtigte Interesse des Verantwortlichen am Betrieb seines Work Management Systems. Für externe Gäste, die zu Projekten eingeladen werden, gilt Vertragserfüllung oder Anbahnung. Der Asana AVV ist über Verweis Bestandteil des Hauptvertrags und enthält die EU SCC (Modul 3 Auftragsverarbeiter Unterauftragsverarbeiter). Kunden, die Asana Intelligence nutzen, müssen einen zusätzlichen Anhang zu generativer KI akzeptieren.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Internationale Datenübermittlungen und EU Residenz

Asana Inc. ist seit dem 4. Oktober 2023 unter dem EU US Data Privacy Framework zertifiziert. Standardmäßig werden Workspace Daten auf AWS US East (Virginia) und US West (Oregon) gehostet. Die seit 2023 verfügbare EU Datenresidenz Option im Enterprise Plan fixiert den Workspace Inhalt auf AWS Frankfurt. Betriebs Telemetrie, Missbrauchserkennung, Abrechnung und Asana Intelligence Inferenz werden weiterhin in den USA verarbeitet, auch mit EU Option. Das Asana Trust Center veröffentlicht die aktuelle Liste der Unterauftragsverarbeiter (AWS, Google, OpenAI, Anthropic, Twilio, Salesforce).

Praktische Compliance Checkliste

Schließen Sie den Asana AVV ab und aktivieren Sie die EU Datenresidenz für sensible Projekte. Deaktivieren Sie Asana Intelligence auf Workspaces mit besonderen Datenkategorien (HR, Recht, Gesundheit). Beschränken Sie Gastzugriffe per SAML SSO und Conditional Access. Dokumentieren Sie Asana und seine Unterauftragsverarbeiter im Verarbeitungsverzeichnis (Art. 30 DSGVO) und in der Datenschutzerklärung. Führen Sie eine DSFA durch, wenn Asana Intelligence Mitarbeitende bewertet oder Entscheidungen mit Rechtswirkung im Sinne von Art. 22 DSGVO trifft. Aktualisieren Sie die TIA jährlich.

Alternativen

Direkte Alternativen sind Monday.com (Israel), ClickUp (USA), Notion (USA), Trello (Atlassian), Wrike (USA, Citrix), Jira (Atlassian). Souveräne EU Alternativen sind Stackfield (Deutschland), Tem.io (Frankreich), Plane (Indien, EU Hosting) sowie die Open Source Tools Vikunja, OpenProject und Taiga.

GDPR consent category

Sonstige

Websites using Asana must obtain user consent under GDPR regulations.

Legal basisFor internal use by employees and seats: legitimate interest of the controller in operating its work management environment (GDPR art. 6(1)(f)) and performance of the employment contract. For external guests invited to projects: performance of a contract or consent depending on the use case. Public Asana forms embedded on a website that drop cookies on the visitor browser require consent under ePrivacy art. 5(3).

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive 2002/58/EC, EU US Data Privacy Framework, EDPB recommendations 01/2020, AI Act (when Asana Intelligence is used for decisions affecting workers), TTDSG (Germany), LOPDGDD (Spain), LIL (France)

DPIA considerations

Eine DSFA wird für Asana-Deployments empfohlen, insbesondere wenn die Plattform organisationsweit für Projekte mit personenbezogenen Daten genutzt wird. Zu bewertende Bereiche: Umfang der in Aufgaben, Kommentaren und Anhängen gespeicherten personenbezogenen Daten, internationale Datentransfers in US-AWS-Infrastruktur, Drittanbieter-Integrationen (Slack, Google Drive, Microsoft Teams, Salesforce) und die Nutzung von Asana-Formularen auf öffentlich zugänglichen Seiten.

Sample consent text

Unser Team nutzt Asana, eine Plattform für Work Management der Asana Inc. in den USA, um seine Arbeit zu planen und zu verfolgen. Wir haben den Asana Hauptvertrag inklusive Auftragsverarbeitungsvertrag unterzeichnet. Im Enterprise Plan aktivieren wir die EU Datenresidenz, sodass der Workspace Inhalt in Frankfurt verbleibt; andernfalls werden die Daten in den USA auf Grundlage des EU US Data Privacy Framework und der EU Standardvertragsklauseln verarbeitet. Wenn Sie uns über ein freigegebenes Asana Formular oder Projekt kontaktieren, werden Ihre Daten unter diesen Garantien verarbeitet. Sie können Ihre Rechte auf Auskunft, Berichtigung und Löschung jederzeit ausüben.

Technical details

Tracking methodsaas_collaboration_application_account_based

Server locationAsana operates primarily from the United States (AWS US East Virginia and US West Oregon). The Asana Enterprise EU data residency add on (launched 2023) keeps customer data at rest inside AWS Frankfurt. Some operational metadata and AI features (Asana Intelligence) continue to be processed in the US.

Data transferred outside the EUAsana Inc. is established in San Francisco, California. Customer data is processed in the United States by default. Enterprise customers can opt for the EU data residency add on, but operational telemetry, support tickets and Asana Intelligence inference remain in the US. Transfers rely on the EU US Data Privacy Framework certification of Asana Inc. (active since 4 October 2023) and on the EU Standard Contractual Clauses appended to the Asana Master Subscription Agreement.

Third-party domains contacted

app.asana.comapi.asana.comform.asana.comcdn.asana.comassets.asana.bizapi.amplitude.com

Cookies placed

Name	Type	Duration	Purpose
asana_session	authentication	Session	Maintains the authenticated user session for the Asana web application.
xsrf_token	security	Session	CSRF protection token preventing cross site request forgery attacks on form submissions and API calls.
asana_feature_flags	functionality	1 year	Stores feature flag assignments for A/B testing and gradual feature rollouts.
amp_device_id	analytics	1 year	Amplitude analytics device identifier tracking product usage patterns across sessions.
ajs_anonymous_id	analytics	1 year	Segment analytics anonymous identifier used for tracking user journeys before and after authentication.
asana_prefs	functionality	1 year	Stores user interface preferences including sidebar state, view mode, and notification settings.

Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt Asana?

Asana setzt Session-Authentifizierungstoken, CSRF-Schutz-Cookies, Feature-Flag-Cookies für A/B-Tests und Analyse-Cookies. Wenn Asana-Formulare auf Ihrer Website eingebettet sind, können Cookies von app.asana.com im Browser der Besucher gesetzt werden.

Ist für Asana eine Einwilligung gemäß DSGVO erforderlich?

Für die interne Nutzung durch Teammitglieder ist in der Regel keine Cookie-Einwilligung erforderlich. Wenn Asana-Formulare auf einer öffentlichen Website eingebettet werden und Cookies von asana.com im Browser externer Besucher setzen, muss vor der Aktivierung eine Einwilligung eingeholt werden.

Welche Rechtsgrundlage gilt für die Datenverarbeitung durch Asana?

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für die Datenverarbeitung von Mitarbeitern im Rahmen ihrer Arbeitstätigkeit. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für Asana-Formulare auf öffentlichen Websites, die Daten externer Nutzer erheben.

Überträgt Asana Daten in die USA?

Ja. Asana Inc. ist ein US-amerikanisches Unternehmen und die Daten werden primär auf AWS-Servern in den USA gehostet. Asana bietet SCCs in seinem AVV und ist nach dem EU-US Data Privacy Framework akkreditiert. Enterprise-Kunden können EU-Datenspeicherung in AWS Frankfurt aktivieren.

Ist eine DSFA für Asana erforderlich?

Eine DSFA wird empfohlen, wenn Asana in großem Umfang für Projekte mit personenbezogenen Daten genutzt wird, insbesondere für HR-Prozesse, Kundenverwaltung oder wenn Aufgaben und Kommentare umfangreiche personenbezogene Daten enthalten.

Wie implementiere ich DSGVO-konforme Nutzung von Asana?

Unterzeichnen Sie den AVV von Asana. Aktivieren Sie EU-Datenspeicherung für Enterprise-Pläne. Konfigurieren Sie Zugriffskontrollen. Binden Sie Cookie-Einwilligung für Seiten mit Asana-Formularen ein. Dokumentieren Sie Asana in Ihrem VVT und schulen Sie Teammitglieder zur Datensparsamkeit.

Gibt es datenschutzfreundliche Alternativen zu Asana?

EU-ansässige oder datenschutzfreundlichere Projektmanagement-Alternativen sind Basecamp (mit EU-Hosting-Option), Notion (mit EU-Datenspeicherung), Linear und selbst gehostete Lösungen wie Plane oder GitLab.

Wie aktualisiere ich meine Cookie-Richtlinie für Asana?

Listen Sie Asana in Ihrer Cookie-Richtlinie auf, wenn Asana-Formulare auf Ihrer Website eingebettet sind. Beschreiben Sie den Zweck der Cookies, ihre Lebensdauer und dass Daten an Asana Inc. in den USA übertragen werden. Fügen Sie einen Link zum AVV und zur Datenschutzrichtlinie von Asana hinzu.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note