Sind Projektmanagement-Tools eigentlich DSGVO-konform?
Seit die EU-Datenschutzgrundverordnung in Kraft getreten ist, tauchen immer neue Fragen auf. Etwa die, ob personenbezogene Daten bei PM-Tools wie Asana und Trello mit Servern in den USA eigentlich sicher sind. Grundsätzlich gilt: Ja, dabei gibt es jedoch einiges zu beachten.
Foto: panthermedia.net/maxkabakov
Obwohl die Vorgaben der Datenschutzgrundverordnung (DSGVO) bereits seit dem 25. Mai 2018 in allen EU-Staaten verbindlich anzuwenden sind, scheinen längst nicht alle Unsicherheiten ausgeräumt zu sein. Nach wie vor stellen sich auch Nutzer von Projektmanagement-Tools wie Asana und Trello regelmäßig die Frage, auf welche Punkte sie angesichts der DSGVO besonders achten müssen.
Personenbezogene Daten sind mehr als Name und Anschrift
Das Projektmanagement geht an vielerlei Stellen mit sensiblen, personenbezogenen Daten um – ein Beispiel unter vielen ist etwa das Profiling im Stakeholdermanagement. Vor dem Hintergrund der DSGVO sind nun verschiedene Kontrollen und Maßnahmen mit diesen sensiblen Daten durchzuführen, um Verstößen vorzubeugen. Betroffen sind davon all die Daten, die eine eindeutige Zuordnung zu einer natürlichen Person möglich machen.
Hiermit sind nicht nur die auf den ersten Blick offensichtlichen persönlichen Daten wie etwa der Name, die Anschrift und das Geburtsdatum gemeint. In Projekten werden Daten dieser Art auch etwa im Ressourcenmanagement, in der Personaleinsatzplanung und in der Personalauslastung verarbeitet. Beispiele sind etwa die Personalnummer und Daten, die sich auf die Arbeitszeitenerfassung inklusive der Urlaubs- und Krankheitstage beziehen. Wenn die Projektarbeit beispielsweise die Teilnahme an einem Web-Seminar beinhaltet, werden in aller Regel bestimmte Daten der Teilnehmer an den Plattformbetreiber übermittelt. Im Zuge des Projektmarketings werden persönliche Daten wie E-Mail-Adressen und Telefonnummern im Internet verbreitet und bereitgestellt. Auch ein Projektblog oder eine Projektwebseite muss DSGVO-konform sein. Gleiches gilt für den Versand von Newslettern.
Wann ist die Verarbeitung personenbezogener Daten für Projekte zulässig?
Die Nutzung personenbezogener Daten in Projekten ist vielseitig – die genannten Beispiele decken längst nicht die gesamte Bandbreite der möglichen Verarbeitung ab. Grundsätzlich gilt nach den aktuellen Bestimmungen, dass die Erhebung und Verarbeitung personenbezogener Daten zulässig sind, wenn der Dateninhaber ausdrücklich hierin eingewilligt hat. Um eine solche Zustimmung geben zu können, muss er ausreichend über den Umfang und den Zweck der Verarbeitung informiert werden. Im Zuge der Nachweisbarkeit muss seine Einwilligung protokolliert werden.
Auch wenn die Erhebung von Daten zur Erfüllung eines Vertrags oder einer vorvertraglichen Regelung erforderlich ist, gilt sie als zulässig. Gleiches gilt für personenbezogene Daten, die zur Erfüllung rechtlicher Verpflichtungen erforderlich sind. Hierbei handelt es sich etwa um Daten zur Abwicklung von Beschäftigungsverhältnissen.
Der Umgang mit personenbezogenen Daten im Projekt
Die DSGVO schreibt einige Grundsätze der Datenerhebung und -verarbeitung vor. So dürfen personenbezogene Daten nur dann verarbeitet werden, wenn dies einem eindeutigen und rechtmäßigen Zweck dient, der klar definiert sein muss. Weiterhin sollten hierfür gerade so viele Daten erhoben werden, wie für diesen Zweck unbedingt nötig ist. Besteht dieser Zweck nicht mehr, müssen die entsprechenden Daten gelöscht werden. Zu beachten ist hierbei allerdings, dass die gesetzlichen Aufbewahrungsfristen nicht verletzt werden. Der Dateninhaber soll die Verarbeitung seiner Daten stets nachvollziehen können. Ihm steht ein Auskunftsrecht ebenso zu wie ein Widerrufsrecht.
Projektmitarbeiter müssen im Umgang mit personenbezogenen Daten sensibilisiert und geschult werden. Eine Prüfung, welche Daten im Projekt erhoben und verarbeitet werden, muss in jedem Fall stattfinden. Weiterhin gilt, dass zwingend ein Verfahrensverzeichnis erstellt werden muss, in dem die Verarbeitungstätigkeiten dokumentiert werden. Immerhin muss ein Projektmanager jederzeit nachweisen können, welche personenbezogenen Daten er in welchen Systemen und Prozessen verwendet. Nur so kann er die Rechtmäßigkeit der Erhebung und Verarbeitung garantieren.
Verstöße gegen die DSGVO können teuer werden
Wer sich mit Projekten beschäftigt, will üblicherweise eine einfache und effiziente Abwicklung derselben sicherstellen. Hierbei ist es unerheblich, ob es sich bei dem Anwender von Projektmanagement-Tools um einen Freiberufler oder um ein großes Unternehmen handelt. Das gilt auch in anderer Hinsicht: Die Regelungen der DSGVO gelten immer, wenn personenbezogene Daten von Einzelpersonen innerhalb der EU erhoben und verarbeitet werden – unabhängig von der Firmengröße. Unter anderem von dieser hängt allerdings die Höhe der Strafe ab, die bei Verstößen gegen die DSGVO fällig werden kann. Grundsätzlich sieht die neue Datenschutzverordnung hierbei Sanktionen bis zu 20 Millionen Euro, bzw. bis zu 4 % des gesamten, weltweit erzielten Jahresumsatzes vor. In welchen Fällen diese Höchststrafe verhängt wird, muss sich allerdings erst noch zeigen.
Sind PM-Tools mit US-Servern DSGVO-konform?
Ein Nachteil von PM-Tools wie Trello und Asana ist, dass diese die personenbezogenen Daten auf US-amerikanischen Servern hosten. Sie unterliegen damit nicht mittelbar der europäischen DSGVO. In den letzten Jahren haben sich daher Alternativen wie “factro” etabliert, die die Daten auf deutschen Servern speichern – und die Einhaltung der DSGVO als ihre Geschäftsbasis garantieren. Anbieter wie Taskworld bietet seinen Nutzern an, selbst zu entscheiden, wo Ihre sensiblen Daten gespeichert werden: Sie haben die Wahl zwischen einem deutschen Rechenzentrum in einer geschützten Virtual-Private-Cloud und einer Shared-Cloud-Umgebung von Amazon Web Services (AWS). Asana hingegen bietet Ihnen beispielsweise nur den Amazon Relational Database Service (Amazon RDS) zur Verwaltung Ihrer Nutzerdaten.
Sobald personenbezogene Daten von EU-Bürgern erhoben und verarbeitet werden, findet die DSGVO allerdings immer unmittelbare Anwendung. Das gilt auch, wenn die Daten beispielsweise auf US-Servern gespeichert werden. Bei der Auswahl Ihres Projektmanagement-Tools sollten Sie daher grundsätzlich darauf achten, dass die Standards hinsichtlich der Datensicherheit eingehalten werden. Relevant sind hier neben anderen etwa ISO 27001 Informationssicherheit, ISO 27017 Cloud Security und ISO 27018 Verhaltenskodex zum Datenschutz in der Cloud.
Weitere Informationen zu den Regelungen der DSGVO und ihrer Anwendung finden Sie unter datenschutz.org.
Zum Autor: Alexander Kretschmar studierte Rechtswissenschaften an der Humboldt-Universität zu Berlin mit Abschluss der juristischen Zwischenprüfung. Danach schloss sich ein Bachelorstudium im Bereich des Journalismus an. Seither kombiniert er seine beiden Interessensgebiete „Recht“ und „Berichterstattung“ und ist als freier Rechtsjournalist für verschiedene Verbände in Berlin tätig. Schwerpunkt seiner Beiträge bilden vor allem datenschutzrechtliche Fragestellungen sowie Digitalthemen.
Weiter zu den beliebtesten PM-Tools unserer Leser
Ein Beitrag von:
