Projektmanagement-Software und DSGVO?!

Datenschutz – präsenter als je zuvor

Datenschutz – ein unglaublich wichtiges Thema. Präsent ist es gerade jetzt, seitdem im Mai 2018 die Datenschutzgrundverordnung (DSGVO) in allen EU-Staaten verbindlich ist.

Und trotzdem gibt es in diesem Bereich immer noch Unsicherheiten. Vor allem Unternehmen müssen sich mit großen Mengen personenbezogener Daten auseinandersetzen – ob von Kunden oder Mitarbeitern. Und diese müssen angemessen geschützt werden.

Datenschutz & DSGVO im Projektmanagement

Gerade im Projektmanagement müssen viele sensible, personenbezogene Daten gemanagt werden. Diese betreffen sowohl die eigene Organisation, interne Inhalte und Firmenwissen als auch Kunden bzw. externe Partner, Dienstleister oder Agenturen.

Im Tagesgeschäft wird Datensicherheit oft von einem Datenschutzbeauftragten “geregelt”. Doch auch Verantwortliche kommen nicht ganz herum, sich mit diesem Thema auseinanderzusetzen. Zum Beispiel dann, wenn es um die Auswahl eines Projektmanagement-Tools geht. Denn viele große Anbieter aus den USA hosten auf Servern außerhalb der EU. Sicherheit? Serverstandort? Datenschutz?

Datenerhebung und -verarbeitung: Wann ist’s ok?

„Grundsätzlich gilt nach den aktuellen Bestimmungen, dass die Erhebung und Verarbeitung personenbezogener Daten zulässig sind, wenn der Dateninhaber ausdrücklich hierin eingewilligt hat.“ – Alexander Kretschmar, Berufsverband der Rechtsjournalisten

Besonders entscheidend ist aber die Absicht dahinter. Denn personenbezogene Daten dürfen nur zu einem eindeutigen, rechtmäßigen und klar definierten Zweck erhoben werden.

Auch der Umfang der zu sammelden Daten ist damit begrenzt auf das Notwendigste. Ändert sich diese Situation und besteht der Zweck nicht mehr, müssen die Daten mit Blick auf die gesetzliche Aufbewahrungspflicht gelöscht werden.

Daher ist eine Datenerhebung und -verarbeitung auch zulässig, wenn sie für einen Vertrag oder eine rechtliche Verpflichtung notwendig ist, zum Beispiel bei Beschäftigungsverhältnissen.

Sie als Dateninhaber müssen umfassend über Zweck und Umfang informiert werden. Achten Sie daher bei Ihrer Recherche nach einem Projektmanagement-Tool auf die Datenschutzbestimmungen des Anbieters – auch wenn diese oft mühsam zu lesen sind. Übrigens steht Ihnen ein Auskunftsrecht sowie ein Widerrufsrecht zu, falls Sie etwas nicht nachvollziehen können oder nicht mehr einverstanden sind.

DSGVO vs. US-Server: “Ist es sicher da drüben?”

Diese Fragen kommt ganz bestimmt bei der Suche nach einer geeigneten Projektmanagement-Software auf: Sind meine Daten bei PM-Tools mit Server-Standorten außerhalb der EU – z.B. in den USA – sicher? Sind die großen amerikanischen Player DSGVO-konform?

Grundsätzlich kann man einen US-Server als Nachteil betrachten, da die Anbieter nicht unmittelbar den europäischen Bestimmungen unterliegen. Wenn es aber um EU-Bürger geht, kommt auch hier die Datenschutzverordnung zum Einsatz – auch wenn die Daten auf Servern außerhalb der Europa gespeichert werden.

Trotzdem können die Bestimmungen juristisch nicht auf der gleichen Ebene wie in der EU durchgesetzt werden.

„Bei der Auswahl Ihres Projektmanagement-Tool sollten Sie daher grundsätzlich darauf achten, dass die Standards hinsichtlich der Datensicherheit eingehalten werden.“ – Alexander Kretschmar, Berufsverband der Rechtsjournalisten

Deutsche Software-Hersteller unterliegen deutschen Rechtsnormen

Das bestätigt auch Capterra Expertin, Ines Bahr, im Rahmen einer Studie zur Nutzung von Projektmanagement-Software in kleinen und mittelständischen Unternehmen in Deutschland:

“Die Vorteile deutscher Softwareprodukte liegen jedoch in der Sprache, der Lokalisierung und der Datensicherheit. Nur die wenigsten internationalen Anbieter stellen ihre Software, Kundensupport und zusätzliche Services wie beispielsweise Schulungen und Kurse in deutscher Sprache bzw. in Deutschland bereit. Weiterhin unterliegen deutsche Softwarehersteller auch deutschen Rechtsnormen und die Rechenzentren befinden sich meist im Land oder in Europa.”

factro – PM-Software 100% made in Germany

Als Alternative zu US-Playern wie Asana und Trello gibt es aber auch einige Tools, die Ihre Daten in Deutschland und auf deutschen Servern hosten. Ein Beispiel dafür ist die Bochumer PM-Software factro.

„Ein Nachteil von PM-Tools wie Trello und Asana ist, dass diese die personenbezogenen Daten auf US-amerikanischen Servern hosten. Sie unterliegen damit nicht mittelbar der europäischen DSGVO. In den letzten Jahren haben sich daher Alternativen wie factro etabliert, die die Daten auf deutschen Servern speichern – und die Einhaltung der DSGVO als ihre Geschäftsbasis garantieren.“ – Alexander Kretschmar, Berufsverband der Rechtsjournalisten

DSGVO- und BDSG-neu-konform

Frei nach der Philosophie “Uns interessiert Ihr Erfolg, nicht Ihre Daten” findet bei factro ausnahmslos alles in Deutschland statt, sodass factro den strengen deutschen Datenschutzrichtlinien unterliegt und nicht nur DSGVO- sondern auch BDSG-neu-konform ist.

Falls Sie Hilfe benötigen oder technische Fragen zum Produkt haben, steht Ihnen ein umfassender (und kostenloser) Kundenservice zur Verfügung. Diese freundlichen Stimmen kommen – wie Design & Entwicklung – aus Bochum. Ihre Daten werden auf Servern in Frankfurt und Nürnberg (Backup) gehostet.

Ihre Daten gehören Ihnen

Fazit: Anbieter aus Deutschland mit deutschem Server-Standort sind ausnahmslos an die strengen Bestimmungen der DSGVO und des deutschen Datenschutzes gebunden. Es ist jedoch Ihre Entscheidung, welche Punkte für Sie und Ihre Organisation wichtig sind und als Showstopper eingeordnet werden.

Checkliste mit den wichtigsten Sicherheitskriterien

Die wichtigsten Sicherheitskriterien können vorab schnell mit einer einfachen Checkliste geprüft werden:

• Werden meine Daten via SSL-Zertifikat geschützt?
• Liegt der Serverstandort in Deutschland?
• Wird eine Sicherheitskopie (Backup) angelegt?
• Wie schließe ich den Vertrag zur Auftragsverarbeitung ab?
• Ist das Datenzentrum ISO und PCI DSS zertifiziert?
• Wie lade ich personenbezogenen Daten herunter?

Welche Punkte für Sie und Ihre Organisation relevant sind und als Showstopper eingeordnet werden, hängt selbstverständlich davon ab, wie strikt Ihre Sicherheitsmaßnahmen sind und wie wichtig Ihnen Datensicherheit ist.