Projektmanagement-Software und DSGVO?!

Datenschutz – präsenter als je zuvor

Datenschutz – ein unglaublich wichtiges Thema. Präsent ist es gerade, seitdem im Mai 2018 die Datenschutzgrundverordnung (DSGVO) in allen EU-Staaten verbindlich ist.

Und trotzdem gibt es in diesem Bereich immer noch Unsicherheiten. Vor allem Unternehmen müssen sich mit großen Mengen personenbezogener Daten auseinandersetzen – ob von Kunden oder Mitarbeitern. Und diese müssen angemessen geschützt werden.

Datenschutz ist im Projektmanagement ist vor allem bei sensiblen Daten wichtig

Datenschutz & DSGVO im Projektmanagement

Gerade im Projektmanagement müssen viele sensible, personenbezogene Daten gemanagt werden. Diese betreffen sowohl die eigene Organisation, interne Inhalte und Firmenwissen als auch Kunden bzw. externe Partner, Dienstleister oder Agenturen.

Im Tagesgeschäft wird Datensicherheit oft von einem Datenschutzbeauftragten „geregelt“. Doch auch Verantwortliche kommen nicht ganz herum, sich mit diesem Thema auseinanderzusetzen. Zum Beispiel dann, wenn es um die Auswahl eines Projektmanagement-Tools geht. Denn viele große Anbieter aus den USA hosten auf Servern außerhalb der EU. Doch wie sieht es an anderen Serverstandorten mit der Sicherheit und dem Datenschutz aus?

Datenerhebung und -verarbeitung: Wann ist’s ok?

„Grundsätzlich gilt nach den aktuellen Bestimmungen, dass die Erhebung und Verarbeitung personenbezogener Daten zulässig sind, wenn der Dateninhaber ausdrücklich hierin eingewilligt hat.“ – Alexander Kretschmar, Berufsverband der Rechtsjournalisten

Besonders entscheidend ist aber die Absicht dahinter. Denn personenbezogene Daten dürfen nur zu einem eindeutigen, rechtmäßigen und klar definierten Zweck erhoben werden.

Auch der Umfang der zu sammelden Daten ist damit begrenzt auf das Notwendigste. Ändert sich diese Situation und besteht der Zweck nicht mehr, müssen die Daten mit Blick auf die gesetzliche Aufbewahrungspflicht gelöscht werden.

Daher ist eine Datenerhebung und -verarbeitung auch zulässig, wenn sie für einen Vertrag oder eine rechtliche Verpflichtung notwendig ist, zum Beispiel bei Beschäftigungsverhältnissen.

Du als Dateninhaber musst umfassend über Zweck und Umfang informiert werden. Achte daher bei Deiner Recherche nach einem Projektmanagement-Tool auf die Datenschutzbestimmungen des Anbieters – auch wenn diese oft mühsam zu lesen sind. Übrigens steht Dir ein Auskunftsrecht sowie ein Widerrufsrecht zu, falls Du etwas nicht nachvollziehen kannst oder nicht mehr einverstanden bist

DSGVO vs. US-Server: „Ist es sicher da drüben?“

Diese Fragen kommt ganz bestimmt bei der Suche nach einer geeigneten Projektmanagement-Software auf: Sind meine Daten bei PM-Tools mit Server-Standorten außerhalb der EU – z.B. in den USA – sicher? Sind die großen amerikanischen Player DSGVO-konform?

Grundsätzlich kann man einen US-Server als Nachteil betrachten, da die Anbieter nicht unmittelbar den europäischen Bestimmungen unterliegen. Wenn es aber um EU-Bürger geht, kommt auch hier die Datenschutzverordnung zum Einsatz – auch wenn die Daten auf Servern außerhalb der Europa gespeichert werden.

Trotzdem können die Bestimmungen juristisch nicht auf der gleichen Ebene wie in der EU durchgesetzt werden.

„Bei der Auswahl Ihres Projektmanagement-Tool sollten Sie daher grundsätzlich darauf achten, dass die Standards hinsichtlich der Datensicherheit eingehalten werden.“ – Alexander Kretschmar, Berufsverband der Rechtsjournalisten

Bei der Auswahl eines PM-Tools solltest Du Dir die Datenschutzbestimmungen gut durchlesen

Deutsche Software-Hersteller unterliegen deutschen Rechtsnormen

Das bestätigt auch Capterra Expertin, Ines Bahr, im Rahmen einer Studie zur Nutzung von Projektmanagement-Software in kleinen und mittelständischen Unternehmen in Deutschland:

„Die Vorteile deutscher Softwareprodukte liegen jedoch in der Sprache, der Lokalisierung und der Datensicherheit. Nur die wenigsten internationalen Anbieter stellen ihre Software, Kundensupport und zusätzliche Services wie beispielsweise Schulungen und Kurse in deutscher Sprache bzw. in Deutschland bereit. Weiterhin unterliegen deutsche Softwarehersteller auch deutschen Rechtsnormen und die Rechenzentren befinden sich meist im Land oder in Europa.“

factro – PM-Software 100% made in Germany

Als Alternative zu US-Playern wie Asana und Trello gibt es aber auch einige Tools, die ihre Daten in Deutschland und auf deutschen Servern hosten. Ein Beispiel dafür ist die Bochumer PM-Software factro.

„Ein Nachteil von PM-Tools wie Trello und Asana ist, dass diese die personenbezogenen Daten auf US-amerikanischen Servern hosten. Sie unterliegen damit nicht mittelbar der europäischen DSGVO. In den letzten Jahren haben sich daher Alternativen wie factro etabliert, die die Daten auf deutschen Servern speichern – und die Einhaltung der DSGVO als ihre Geschäftsbasis garantieren.“ – Alexander Kretschmar, Berufsverband der Rechtsjournalisten

DSGVO- und BDSG-neu-konform

Frei nach der Philosophie „Uns interessiert Dein Erfolg, nicht Deine Daten“ findet bei factro ausnahmslos alles in Deutschland statt, sodass factro den strengen deutschen Datenschutzrichtlinien unterliegt und nicht nur DSGVO- sondern auch BDSG-neu-konform ist.

Falls Du Hilfe benötigst oder technische Fragen zum Produkt hast, steht Dir ein umfassender (und kostenloser) Kundenservice zur Verfügung. Diese freundlichen Stimmen kommen – wie Design & Entwicklung – aus Bochum. Deine Daten werden auf Servern in Frankfurt und Nürnberg (Backup) gehostet.

Fazit: Deine Daten gehören Dir

Anbieter aus Deutschland mit deutschem Server-Standort sind ausnahmslos an die strengen Bestimmungen der DSGVO und des deutschen Datenschutzes gebunden. Es ist jedoch Deine Entscheidung, welche Punkte für Dich und Deine Organisation wichtig sind und als Showstopper eingeordnet werden.

Checkliste mit den wichtigsten Sicherheitskriterien

Die wichtigsten Sicherheitskriterien können vorab schnell mit einer einfachen Checkliste geprüft werden:

• Werden meine Daten via SSL-Zertifikat geschützt?
• Liegt der Serverstandort in Deutschland?
• Wird eine Sicherheitskopie (Backup) angelegt?
• Wie schließe ich den Vertrag zur Auftragsverarbeitung ab?
• Ist das Datenzentrum ISO und PCI DSS zertifiziert?
• Wie lade ich personenbezogenen Daten herunter?

Welche Punkte für Dich und Dein Team relevant sind und als Showstopper eingeordnet werden, hängt selbstverständlich davon ab, wie strikt die Sicherheitsmaßnahmen sind und wie wichtig Datensicherheit ist.