Datenschutz auf ausländischen Servern 20.02.2019, 15:57 Uhr

Sind Projektmanagement-Tools eigentlich DSGVO-konform?

Seit die EU-Datenschutzgrundverordnung in Kraft getreten ist, tauchen immer neue Fragen auf. Etwa die, ob personenbezogene Daten bei PM-Tools wie Asana und Trello mit Servern in den USA eigentlich sicher sind. Grundsätzlich gilt: Ja, dabei gibt es jedoch einiges zu beachten.

Datenschutz-Symbolbild. Eine Lupe hält auf einen blauen Ordner mit weißem Schloss

Foto: panthermedia.net/maxkabakov

Obwohl die Vorgaben der Datenschutzgrundverordnung (DSGVO) bereits seit dem 25. Mai 2018 in allen EU-Staaten verbindlich anzuwenden sind, scheinen längst nicht alle Unsicherheiten ausgeräumt zu sein. Nach wie vor stellen sich auch Nutzer von Projektmanagement-Tools wie Asana und Trello regelmäßig die Frage, auf welche Punkte sie angesichts der DSGVO besonders achten müssen.

Personenbezogene Daten sind mehr als Name und Anschrift

Das Projektmanagement geht an vielerlei Stellen mit sensiblen, personenbezogenen Daten um – ein Beispiel unter vielen ist etwa das Profiling im Stakeholdermanagement. Vor dem Hintergrund der DSGVO sind nun verschiedene Kontrollen und Maßnahmen mit diesen sensiblen Daten durchzuführen, um Verstößen vorzubeugen. Betroffen sind davon all die Daten, die eine eindeutige Zuordnung zu einer natürlichen Person möglich machen.

Top Stellenangebote

Zur Jobbörse
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
MB Global Engineering GmbH & Co. KG-Firmenlogo
Projektleiter Elektrotechnik (m/w/d) MB Global Engineering GmbH & Co. KG
Darmstadt Zum Job 
Nitto Advanced Film Gronau GmbH-Firmenlogo
Projektingenieur (m/w/d) im Bereich Maschinen- und Anlagentechnik Nitto Advanced Film Gronau GmbH
Gronau Zum Job 
Städtische Wohnungsgesellschaft Eisenach mbH-Firmenlogo
Bauingenieur Hochbau / Architekt (m/w/d) Städtische Wohnungsgesellschaft Eisenach mbH
Eisenach Zum Job 
IT-Consult Halle GmbH-Firmenlogo
Trainee SAP HCM / Personalwirtschaft (m/w/d) IT-Consult Halle GmbH
Halle (Saale) Zum Job 
Regierungspräsidium Freiburg-Firmenlogo
Bachelor / Dipl. Ing. (FH) (w/m/d) der Fachrichtung Wasserwirtschaft, Umwelt, Landespflege oder vergleichbar Regierungspräsidium Freiburg
Freiburg im Breisgau Zum Job 
Dorsch Gruppe-Firmenlogo
Projektleiter (m/w/d) Tragwerksplanung mit Perspektive auf Fachbereichsleitung Dorsch Gruppe
Wiesbaden Zum Job 
Clariant SE-Firmenlogo
Techniker* für Automatisierungstechnik Clariant SE
Oberhausen Zum Job 
Die Autobahn GmbH des Bundes, Niederlassung Südbayern-Firmenlogo
Projektingenieur für Brückenbau / Tunnelbau / Ingenieurbau (w/m/d) Die Autobahn GmbH des Bundes, Niederlassung Südbayern
München Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Bauingenieurin oder Bauingenieur in der Schlichtungsstelle (w/m/d) Die Autobahn GmbH des Bundes
Hannover Zum Job 
Big Dutchman International GmbH-Firmenlogo
Ingenieur / Techniker / Meister (m/w/d) Big Dutchman International GmbH
Vechta Zum Job 
BOGE KOMPRESSOREN Otto Boge GmbH & Co. KG-Firmenlogo
Entwickler / Konstrukteur für die Verdichterentwicklung (m/w/x) BOGE KOMPRESSOREN Otto Boge GmbH & Co. KG
Großenhain Zum Job 
Griesemann Gruppe-Firmenlogo
Ingenieur Verfahrenstechnik / Prozessingenieur (m/w/d) Griesemann Gruppe
Wesseling, Köln Zum Job 
Energieversorgung Halle Netz GmbH-Firmenlogo
Fachingenieur Netzbetrieb Strom (m/w/d) Energieversorgung Halle Netz GmbH
Halle (Saale) Zum Job 
über ifp | Executive Search. Management Diagnostik.-Firmenlogo
COO (m/w/d) über ifp | Executive Search. Management Diagnostik.
Norddeutschland Zum Job 
Hamburger Wasser-Firmenlogo
Ingenieur/Referent (m/w/d) Vergabe Ingenieur-/ Bauleistungen Hamburger Wasser
Hamburg Zum Job 
Möller Medical GmbH-Firmenlogo
Industrial Engineer (m/w/d) Möller Medical GmbH
Fulda Zum Job 
THU Technische Hochschule Ulm-Firmenlogo
W2-Professur "Elektrifizierte Fahrzeugantriebssysteme" THU Technische Hochschule Ulm
Ulm Zum Job 
MÜNZING CHEMIE GmbH-Firmenlogo
Prozessoptimierer (m/w/d) für die chemische Industrie MÜNZING CHEMIE GmbH
Elsteraue Zum Job 
Energieversorgung Halle Netz GmbH-Firmenlogo
Projektingenieur - Fernwärme/Energietechnik (m/w/d) Energieversorgung Halle Netz GmbH
Halle (Saale) Zum Job 

Hiermit sind nicht nur die auf den ersten Blick offensichtlichen persönlichen Daten wie etwa der Name, die Anschrift und das Geburtsdatum gemeint. In Projekten werden Daten dieser Art auch etwa im Ressourcenmanagement, in der Personaleinsatzplanung und in der Personalauslastung verarbeitet. Beispiele sind etwa die Personalnummer und Daten, die sich auf die Arbeitszeitenerfassung inklusive der Urlaubs- und Krankheitstage beziehen. Wenn die Projektarbeit beispielsweise die Teilnahme an einem Web-Seminar beinhaltet, werden in aller Regel bestimmte Daten der Teilnehmer an den Plattformbetreiber übermittelt. Im Zuge des Projektmarketings werden persönliche Daten wie E-Mail-Adressen und Telefonnummern im Internet verbreitet und bereitgestellt. Auch ein Projektblog oder eine Projektwebseite muss DSGVO-konform sein. Gleiches gilt für den Versand von Newslettern.

Wann ist die Verarbeitung personenbezogener Daten für Projekte zulässig?

Die Nutzung personenbezogener Daten in Projekten ist vielseitig – die genannten Beispiele decken längst nicht die gesamte Bandbreite der möglichen Verarbeitung ab. Grundsätzlich gilt nach den aktuellen Bestimmungen, dass die Erhebung und Verarbeitung personenbezogener Daten zulässig sind, wenn der Dateninhaber ausdrücklich hierin eingewilligt hat. Um eine solche Zustimmung geben zu können, muss er ausreichend über den Umfang und den Zweck der Verarbeitung informiert werden. Im Zuge der Nachweisbarkeit muss seine Einwilligung protokolliert werden.

Auch wenn die Erhebung von Daten zur Erfüllung eines Vertrags oder einer vorvertraglichen Regelung erforderlich ist, gilt sie als zulässig. Gleiches gilt für personenbezogene Daten, die zur Erfüllung rechtlicher Verpflichtungen erforderlich sind. Hierbei handelt es sich etwa um Daten zur Abwicklung von Beschäftigungsverhältnissen.

Der Umgang mit personenbezogenen Daten im Projekt

Die DSGVO schreibt einige Grundsätze der Datenerhebung und -verarbeitung vor. So dürfen personenbezogene Daten nur dann verarbeitet werden, wenn dies einem eindeutigen und rechtmäßigen Zweck dient, der klar definiert sein muss. Weiterhin sollten hierfür gerade so viele Daten erhoben werden, wie für diesen Zweck unbedingt nötig ist. Besteht dieser Zweck nicht mehr, müssen die entsprechenden Daten gelöscht werden. Zu beachten ist hierbei allerdings, dass die gesetzlichen Aufbewahrungsfristen nicht verletzt werden. Der Dateninhaber soll die Verarbeitung seiner Daten stets nachvollziehen können. Ihm steht ein Auskunftsrecht ebenso zu wie ein Widerrufsrecht.

Projektmitarbeiter müssen im Umgang mit personenbezogenen Daten sensibilisiert und geschult werden. Eine Prüfung, welche Daten im Projekt erhoben und verarbeitet werden, muss in jedem Fall stattfinden. Weiterhin gilt, dass zwingend ein Verfahrensverzeichnis erstellt werden muss, in dem die Verarbeitungstätigkeiten dokumentiert werden. Immerhin muss ein Projektmanager jederzeit nachweisen können, welche personenbezogenen Daten er in welchen Systemen und Prozessen verwendet. Nur so kann er die Rechtmäßigkeit der Erhebung und Verarbeitung garantieren.

Verstöße gegen die DSGVO können teuer werden

Wer sich mit Projekten beschäftigt, will üblicherweise eine einfache und effiziente Abwicklung derselben sicherstellen. Hierbei ist es unerheblich, ob es sich bei dem Anwender von Projektmanagement-Tools um einen Freiberufler oder um ein großes Unternehmen handelt. Das gilt auch in anderer Hinsicht: Die Regelungen der DSGVO gelten immer, wenn personenbezogene Daten von Einzelpersonen innerhalb der EU erhoben und verarbeitet werden – unabhängig von der Firmengröße. Unter anderem von dieser hängt allerdings die Höhe der Strafe ab, die bei Verstößen gegen die DSGVO fällig werden kann. Grundsätzlich sieht die neue Datenschutzverordnung hierbei Sanktionen bis zu 20 Millionen Euro, bzw. bis zu 4 % des gesamten, weltweit erzielten Jahresumsatzes vor. In welchen Fällen diese Höchststrafe verhängt wird, muss sich allerdings erst noch zeigen.

Sind PM-Tools mit US-Servern DSGVO-konform?

Ein Nachteil von PM-Tools wie Trello und Asana ist, dass diese die personenbezogenen Daten auf US-amerikanischen Servern hosten. Sie unterliegen damit nicht mittelbar der europäischen DSGVO. In den letzten Jahren haben sich daher Alternativen wie “factro” etabliert, die die Daten auf deutschen Servern speichern – und die Einhaltung der DSGVO als ihre Geschäftsbasis garantieren. Anbieter wie Taskworld bietet seinen Nutzern an, selbst zu entscheiden, wo Ihre sensiblen Daten gespeichert werden: Sie haben die Wahl zwischen einem deutschen Rechenzentrum in einer geschützten Virtual-Private-Cloud und einer Shared-Cloud-Umgebung von Amazon Web Services (AWS). Asana hingegen bietet Ihnen beispielsweise nur den Amazon Relational Database Service (Amazon RDS) zur Verwaltung Ihrer Nutzerdaten.

Sobald personenbezogene Daten von EU-Bürgern erhoben und verarbeitet werden, findet die DSGVO allerdings immer unmittelbare Anwendung. Das gilt auch, wenn die Daten beispielsweise auf US-Servern gespeichert werden. Bei der Auswahl Ihres Projektmanagement-Tools sollten Sie daher grundsätzlich darauf achten, dass die Standards hinsichtlich der Datensicherheit eingehalten werden. Relevant sind hier neben anderen etwa ISO 27001 Informationssicherheit, ISO 27017 Cloud Security und ISO 27018 Verhaltenskodex zum Datenschutz in der Cloud.

Weitere Informationen zu den Regelungen der DSGVO und ihrer Anwendung finden Sie unter datenschutz.org.

Porträt von Alexander Kretschmar

Zum Autor: Alexander Kretschmar studierte Rechtswissenschaften an der Humboldt-Universität zu Berlin mit Abschluss der juristischen Zwischenprüfung. Danach schloss sich ein Bachelorstudium im Bereich des Journalismus an. Seither kombiniert er seine beiden Interessensgebiete „Recht“ und „Berichterstattung“ und ist als freier Rechtsjournalist für verschiedene Verbände in Berlin tätig. Schwerpunkt seiner Beiträge bilden vor allem datenschutzrechtliche Fragestellungen sowie Digitalthemen.

Weiter zu den beliebtesten PM-Tools unserer Leser

Ein Beitrag von:

  • Alexander Kretschmar

Themen im Artikel

Empfehlung der Redaktion

Hand mit Stift markiert einen Text
Kostenlose Vorlagen zum download

Anschreiben für die Bewerbung: Musterbeispiele für Ingenieure
Lebenslauf-Muster für Ihre Bewerung

Lebenslauf: Hier finden Sie Muster und Beispiele für Ingenieure
Frau sitzt am Tisch verschränkte Hände unterm Kinn
Frauen im Top-Management

Frauenquote in Vorständen: Großer Wurf oder Fortschritt in Trippelschritten?
Fokus

Kündigung
AT-Vertrag: Eine Hand mit Kugelschreiber bei der Unterzeichnung eines Blatt Papiers
Fokus

Arbeitsvertrag
Hand mit Stift markiert einen Text
Fokus

Bewerbungsschreiben

Ähnliche Artikel

Ausländische Fachkräfte
Fachkräftemangel

Bleibt Deutschland ein Top-Ziel für ausländische Fachkräfte?
Diskriminierung am Arbeitsplatz
Studie

Diskriminierung am Arbeitsplatz: Jeder Dritte betroffen?
Forschung und Entwicklung von KI

Medizinsektor: Wo steht Deutschland im KI-Wettbewerb?
Datenschutz

Fax nicht sicher? Jetzt melden sich die Datenschützer

Top 5 Arbeitsrec…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.

Jetzt anmelden

Auch auf dieser Seite werden Cookies verwendet. Wir können damit die Seitennutzung auswerten, um nutzungsbasiert redaktionelle Inhalte und Werbung anzuzeigen. Das ist für uns wichtig, denn unser Angebot finanziert sich über Werbung. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung. Weitere Infos