Diese Datenverarbeitungsvereinbarung (Data Processing Addendum, „DPA“), einschließlich der Standardvertragsklauseln, falls anwendbar, wird zwischen Asana, Inc. („Asana“) und dem in der Vereinbarung genannten Unternehmen („Kunde“) geschlossen (jeweils als „Partei“ und gemeinsam als die „Parteien“ bezeichnet). Diese DPA wird durch Verweis in die geltende Abonnementvereinbarung über die Nutzung des Dienstes (die „Vereinbarung“) zwischen den Parteien aufgenommen. Alle in dieser DPA verwendeten, aber nicht definierten großgeschriebenen Begriffe haben die in der Vereinbarung festgelegte Bedeutung. Im Falle eines Konflikts oder einer Unstimmigkeit zwischen dieser DPA, einer zuvor abgeschlossenen Datenverarbeitungsvereinbarung und den übrigen Bestimmungen der Vereinbarung gilt diese DPA.
Diese DPA legt die Bedingungen fest, die gelten, wenn personenbezogene Daten von Asana im Rahmen der Vereinbarung verarbeitet werden. Der Zweck der DPA ist es, sicherzustellen, dass diese Verarbeitung in Übereinstimmung mit geltendem Recht erfolgt und die Rechte von Personen, deren personenbezogene Daten im Rahmen der Vereinbarung verarbeitet werden, respektiert.
„Anwendbares Recht“ bezeichnet alle anwendbaren Gesetze, Verordnungen und sonstigen Rechts- oder Regulierungsvorschriften in allen Rechtsordnungen, die sich auf den Schutz der Privatsphäre, den Datenschutz, die Sicherheit oder die Verarbeitung personenbezogener Daten beziehen, insbesondere (i) den California Consumer Privacy Act, Cal. Civ. Code § 1798.100 ff. („CCPA“ und der anschließende California Privacy Rights Act of 2020 „CPRA“), (ii) die Datenschutz-Grundverordnung, Verordnung (EU) 2016/679 („DS-GVO“), (iii) in Bezug auf das Vereinigte Königreich den Data Protection Act 2018 („UK DPA 2018“) und die DS-GVO, wie sie aufgrund von Abschnitt 3 des European Union (Withdrawal) Act 2018 des Vereinigten Königreichs in das Recht des Vereinigten Königreichs übernommen wurde (die „UK GDPR“), (iv) das Schweizer Bundesdatenschutzgesetz („Schweizer DSG“) und (v) den Act on the Protection of Personal Information („APPI“). Zur Vermeidung von Zweifeln: Wenn die Verarbeitungstätigkeiten von Asana in Bezug auf personenbezogene Daten nicht in den Anwendungsbereich eines anwendbaren Gesetzes fallen, ist ein solches Gesetz für die Zwecke dieses DPA nicht anwendbar.
„Asana“ bezeichnet Asana, Inc., ein Unternehmen mit Sitz in Delaware, sowie seine verbundenen Unternehmen.
„Verantwortlicher“, „Unternehmer“, „personenbezogene Daten“, „Verarbeitung“, „verarbeiten“, „Auftragsverarbeiter“ und „betroffene Person“ haben die gleichen Bedeutungen, wie sie im anwendbaren Recht definiert sind. Andere relevante Begriffe wie „Business“, „Geschäftszweck“, „Verbraucher“, „Personal Information“, „Verkauf“ (einschließlich der Begriffe „verkaufen“, „verkauft“ und anderer Variationen davon), „Dienstleister“, „weitergeben“ oder „Teilen“ zum Zwecke der „kontextübergreifenden verhaltensorientierten Werbung“ und „Dritte“ haben die diesen Begriffen nach geltendem Recht zugewiesene Bedeutung.
„Personenbezogene Daten des Kunden“ bezeichnet personenbezogene Daten, persönliche Informationen oder persönlich identifizierbare Informationen, die der Kunde in den Dienst hochlädt oder anderweitig in den Dienst eingibt und die im Zusammenhang mit der Bereitstellung des Dienstes im Rahmen der Vereinbarung von Asana im Namen des Kunden verarbeitet werden. Sofern nicht schriftlich anders vereinbart, schließen die gemäß der Vereinbarung verarbeiteten personenbezogenen Daten des Kunden ausdrücklich eingeschränkte Daten aus.
„Datenschutzgrundsätze“ bezeichnet die Grundsätze des Data Privacy Framework (ergänzt durch die Zusatzgrundsätze).
„Data Privacy Frameworks“ bezeichnet das EU-U.S. Data Privacy Framework („EU-U.S. DPF“), das Swiss-U.S. Data Privacy Framework („Swiss DPF“) und die UK Extension to the EU-U.S. DPF („UK Extension“), wie vom US Department of Commerce verwaltet.
„EWR“ bezeichnet den Europäischen Wirtschaftsraum, der die Mitgliedstaaten der Europäischen Union und Norwegen, Island und Liechtenstein umfasst.
„Eingeschränkte Daten“ bezeichnet personenbezogene Daten, die nach geltendem Recht als „besondere Kategorien personenbezogener Daten“ eingestuft werden können, einschließlich, aber nicht beschränkt auf Sozialversicherungsnummern, Bankkontonummern, Kreditkartendaten oder Gesundheitsdaten.
„Eingeschränkte Übermittlung“ bedeutet: (i) wenn die DSGVO Anwendung findet, eine Übermittlung personenbezogener Daten aus dem EWR in ein Land außerhalb des EWR, das nicht Gegenstand einer Angemessenheitsbestimmung der Europäischen Kommission ist; (ii) wenn die UK GDPR Anwendung findet, eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in ein anderes Land, das nicht Gegenstand von Angemessenheitsregelungen ist, die gemäß Abschnitt 17A der UK GDPR 2018 erlassen wurden; und (iii) im Falle der Anwendbarkeit des Schweizer DSG eine Übermittlung personenbezogener Daten in ein Land außerhalb der Schweiz, das nicht auf der vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten veröffentlichten Liste der angemessenen Gerichtsbarkeiten steht.
„Sicherheitsvorfall“ bezeichnet jede bestätigte Sicherheitsverletzung, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten des Kunden führt, die von Asana und/oder seinen Unterauftragsverarbeitern im Zusammenhang mit der Bereitstellung des Dienstes verarbeitet werden.
„Standardvertragsklauseln“ bedeutet (i) wenn die DSGVO Anwendung findet, die Standardvertragsklauseln, die dem Durchführungsbeschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Europäischen Rates beigefügt sind (verfügbar ab Juni 2021 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj), (die „EU-SCCs“); (ii) wenn die UK GDPR Anwendung findet, die anwendbaren Standard-Datenschutzklauseln, die gemäß Artikel 46(2)(c) oder (d) der UK GDPR erlassen wurden, einschließlich der Standard-Datenschutzklauseln, die vom Beauftragten gemäß s119A(1) der UK DPA 2018 in der jeweils gültigen Fassung herausgegeben wurden („UK Addendum“); und (iii) wenn das Schweizer DSG Anwendung findet, die anwendbaren Standard-Datenschutzklauseln, die vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten herausgegeben, genehmigt oder anerkannt wurden (die „Schweizer SCCs“), jeweils wie in Abschnitt 9 (Datenübermittlungen) unten beschrieben erledigt.
2.1 Asana als Auftragsverarbeiter und Service-Anbieter. Die Parteien erkennen an und vereinbaren, dass in Bezug auf personenbezogene Daten des Kunden der Kunde ein Verantwortlicher und Unternehmer ist und Asana ein Auftragsverarbeiter und Dienstleister ist, wie im anwendbaren Recht definiert.
2.2 Asana als Unterauftragsverarbeiter. In Fällen, in denen der Kunde ein Auftragsverarbeiter sein kann, ernennt der Kunde Asana zum Unterauftragsverarbeiter des Kunden, was weder die Verpflichtungen des Kunden noch die von Asana im Rahmen dieser DPA ändert.
3.1 Zweckbindung. Asana verarbeitet personenbezogene Daten des Kunden (a) zur Erbringung des Dienstes gemäß der Vereinbarung; (b) gemäß den rechtmäßigen Anweisungen des Kunden, wie in Abschnitt 3.3 dargelegt; (c) soweit dies zur Einhaltung des anwendbaren Rechts erforderlich ist; und (d) wie anderweitig schriftlich vereinbart. Der Kunde erkennt als Verantwortlicher an, dass der bereitgestellte Dienst nicht für die Speicherung oder Verwendung von eingeschränkten Daten bestimmt ist. Der Kunde bestimmt nach eigenem Ermessen alle Kategorien und Arten von personenbezogenen Kundendaten, die er über den Dienst an Asana übermitteln und übertragen kann. Der Kunde ist für die sichere und angemessene Nutzung des Dienstes verantwortlich, um ein dem Risiko in Bezug auf die personenbezogenen Daten des Kunden angemessenes Sicherheitsniveau zu gewährleisten, und stimmt zu, dass die in der Vereinbarung und dieser DPA dargelegten Compliance- und Sicherheitsmaßnahmen als ausreichende Schutzmaßnahmen für die Verarbeitung solcher eingeschränkter Daten gelten, die der Kunde dem Dienst zur Verfügung stellt.
3.2 Kein Verkauf von personenbezogenen Daten/keine Weitergabe für gezielte Werbung. Asana wird keine personenbezogenen Daten des Kunden verkaufen (wie im anwendbaren Recht definiert), keine personenbezogenen Daten des Kunden zum Zwecke der kontextübergreifenden verhaltensorientierten Werbung weitergeben oder personenbezogene Daten des Kunden anderweitig für einen anderen als den in der Vereinbarung dargelegten Zweck verarbeiten, es sei denn, Asana ist nach anwendbarem Recht dazu verpflichtet. In diesem Fall wird Asana den Kunden vor einer solchen Verarbeitung über diese gesetzliche Anforderung informieren, es sei denn, dies ist gesetzlich untersagt. Asana wird die personenbezogenen Daten des Kunden nicht für kommerzielle Zwecke (wie im anwendbaren Recht definiert) speichern, verwenden oder offenlegen, außer für die Bereitstellung des Dienstes. Asana versteht seine Verpflichtungen gemäß diesem Abschnitt und wird diese einhalten. Weitere Details zu den Verarbeitungsvorgängen von Asana sind in Anhang A aufgeführt.
3.3 Rechtmäßige Anweisungen. Der Kunde ernennt Asana zum Auftragsverarbeiter (oder Unterauftragsverarbeiter) für die Verarbeitung personenbezogener Daten des Kunden im Auftrag des Kunden und in Übereinstimmung mit den Anweisungen des Kunden. Der Kunde wird Asana nicht anweisen, personenbezogene Kundendaten unter Verstoß gegen das anwendbare Recht zu verarbeiten. Asana wird den Kunden unverzüglich informieren, wenn nach Ansicht von Asana eine Anweisung des Kunden gegen geltendes Recht verstößt. Die Vereinbarung, einschließlich dieses DPA, stellt zusammen mit der Konfiguration des Dienstes durch den Kunden (die der Kunde von Zeit zu Zeit ändern kann) die vollständigen und endgültigen Anweisungen des Kunden an Asana in Bezug auf die Verarbeitung personenbezogener Kundendaten dar, sofern nicht schriftlich etwas anderes vereinbart wurde.
4.1 Unterauftragsverarbeiter. Der Kunde erkennt an und stimmt zu, dass die verbundenen Unternehmen von Asana und bestimmte Dritte als Unterauftragsverarbeiter („Unterauftragsverarbeiter“) beauftragt werden können, um personenbezogene Kundendaten im Namen von Asana zu verarbeiten, damit der Dienst bereitgestellt werden kann. Die Unterauftragsverarbeiter von Asana sind auf der Unterauftragsverarbeiter-Seite von Asana aufgeführt. Asana wird jedem von Asana beauftragten Unterauftragsverarbeiter vertragliche Verpflichtungen auferlegen, die ihn verpflichten, die personenbezogenen Daten des Kunden nach Standards zu schützen, die nicht weniger schützend sind als die in dieser DPA dargelegten. Asana bleibt für die Leistung seiner Unterauftragsverarbeiter im Rahmen dieser DPA in demselben Umfang haftbar, in dem Asana für seine eigene Leistung haftbar ist. Wenn der Kunde sich für den Erhalt von Updates auf der Unterauftragsverarbeiter-Seite von Asana anmeldet, wird der Kunde automatisch zehn (10) Werktage, bevor Asana diesen Unterauftragsverarbeiter zur Verarbeitung personenbezogener Kundendaten autorisiert, über neue Unterauftragsverarbeiter benachrichtigt (oder im Notfall, sobald dies vernünftigerweise möglich ist). In den gemäß Klausel 9 der Standardvertragsklauseln bereitzustellenden Unterauftragsverarbeiter-Vereinbarungen können alle kommerziellen Informationen oder Bestimmungen, die nicht mit den Standardvertragsklauseln in Zusammenhang stehen, vor der Weitergabe an den Kunden unkenntlich gemacht werden, und der Kunde erklärt sich damit einverstanden, dass solche Kopien nur auf schriftliche Anfrage des Kunden bereitgestellt werden.
4.2 Recht auf Widerspruch. Der Kunde kann der Verwendung eines neuen Unterauftragsverarbeiters durch Asana (aus triftigen datenschutzrechtlichen Gründen) widersprechen, indem er Asana innerhalb von dreißig (30) Tagen nach Erhalt der in Abschnitt 4.1 beschriebenen Mitteilung von Asana unverzüglich schriftlich unter dpa@asana.com benachrichtigt. Für den Fall, dass der Kunde einem neuen Unterauftragsverarbeiter widerspricht, unternimmt Asana alle wirtschaftlich vertretbaren Anstrengungen, um dem Kunden eine Änderung des Dienstes oder der Konfiguration oder Nutzung des Dienstes durch den Kunden zur Verfügung zu stellen, um die Verarbeitung personenbezogener Kundendaten durch den neuen Unterauftragsverarbeiter, gegen den Widerspruch eingelegt wurde, zu vermeiden. Wenn Asana nicht in der Lage ist, eine solche Änderung innerhalb eines angemessenen Zeitraums, der dreißig (30) Tage nicht überschreiten darf, zur Verfügung zu stellen, kann jede Partei nach schriftlicher Benachrichtigung das/die entsprechende(n) Bestellformular(e) oder die Vereinbarung ohne Vertragsstrafe kündigen.
5.1 Sicherheit Asana wird geeignete technische und organisatorische Maßnahmen ergreifen, um die von Asana verarbeiteten personenbezogenen Daten des Kunden zu schützen. Diese Maßnahmen berücksichtigen den Stand der Technik, die Implementierungskosten und die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie das unterschiedlich wahrscheinliche und schwerwiegende Risiko für die Rechte und Freiheiten natürlicher Personen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Asana stellt sicher, dass die Personen, die Asana zur Verarbeitung der personenbezogenen Daten des Kunden ermächtigt, schriftlichen Vertraulichkeitsvereinbarungen oder einer gesetzlichen Geheimhaltungspflicht unterliegen, die nicht weniger schützend sind als die in der Vereinbarung dargelegten Vertraulichkeitsverpflichtungen.
5.2 Benachrichtigung über Sicherheitsvorfälle und Reaktion darauf Soweit dies nach anwendbarem Recht erforderlich ist und unter Berücksichtigung der Art der Verarbeitung und der Asana zur Verfügung stehenden Informationen, wird Asana den Kunden unterstützen, indem es ihn unverzüglich oder innerhalb der nach anwendbarem Recht vorgeschriebenen Frist über einen Sicherheitsvorfall informiert. Soweit verfügbar, enthält diese Benachrichtigung die jeweils aktuelle Einschätzung von Asana zu Folgendem:
(a) die Art des Sicherheitsvorfalls, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze;
(b) die wahrscheinlichen Folgen des Sicherheitsvorfalls; und
(c) Maßnahmen, die von Asana ergriffen wurden oder vorgeschlagen werden, um den Sicherheitsvorfall zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen.
Asana wird den Kunden zeitnah und regelmäßig auf dem Laufenden halten, sobald zusätzliche Informationen zum Sicherheitsvorfall verfügbar werden. Der Kunde erkennt an, dass alle Aktualisierungen auf unvollständigen Informationen basieren können. Asana wird den Inhalt von Kundendaten nicht bewerten, um festzustellen, ob diese Kundendaten den Anforderungen des anwendbaren Rechts unterliegen. Nichts in dieser DPA oder in den Standardvertragsklauseln ist so auszulegen, dass Asana verpflichtet ist, gegen eine rechtliche Verpflichtung zu verstoßen oder die Einhaltung einer rechtlichen Verpflichtung zu verzögern, die Asana in Bezug auf einen Sicherheitsvorfall oder andere Sicherheitsvorfälle im Allgemeinen haben könnte.
Soweit gesetzlich zulässig, wird Asana die Person an den Kunden zurückverweisen, wenn Asana Anträge von einer Person erhält, die Rechte ausüben möchte, die ihr nach anwendbarem Recht in Bezug auf ihre personenbezogenen Daten zustehen, wozu gehören können: Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung („Recht auf Vergessenwerden“), Datenübertragbarkeit, Widerspruch gegen die Verarbeitung oder das Recht, nicht einer automatisierten individuellen Entscheidungsfindung unterworfen zu werden (jeweils ein „Antrag einer betroffenen Person“). Für den Fall, dass der Kunde nicht in der Lage ist, eine Anfrage einer betroffenen Person bei der Nutzung des Dienstes zu bearbeiten, unternimmt Asana auf Anfrage des Kunden alle wirtschaftlich vertretbaren Anstrengungen, um den Kunden bei der Beantwortung einer solchen Anfrage einer betroffenen Person zu unterstützen, soweit dies Asana gesetzlich gestattet ist und die Beantwortung einer solchen Anfrage einer betroffenen Person nach anwendbarem Recht erforderlich ist. Soweit gesetzlich zulässig, ist der Kunde für alle Kosten verantwortlich, die sich aus der Bereitstellung zusätzlicher Funktionen durch Asana ergeben, die der Kunde zur Unterstützung bei einer Anfrage einer betroffenen Person angefordert hat.
Unter Berücksichtigung der Art der Verarbeitung und der Asana zur Verfügung stehenden Informationen wird Asana den Kunden in angemessener Weise bei der Durchführung einer gesetzlich vorgeschriebenen Datenschutz-Folgenabschätzung für die Verarbeitung oder geplante Verarbeitung personenbezogener Kundendaten, an der Asana beteiligt ist, unterstützen und mit dem Kunden zusammenarbeiten, und zwar in Absprache mit Aufsichtsbehörden oder anderen Regulierungsbehörden, soweit erforderlich, indem Asana dem Kunden alle öffentlich zugänglichen Unterlagen für den Dienst zur Verfügung stellt oder indem Asana Abschnitt 10 (Audits) unten einhält. Zusätzlicher Support für Datenschutz-Folgenabschätzungen oder für die Beziehungen zu Aufsichtsbehörden kann verfügbar sein und würde eine gegenseitige Vereinbarung über Gebühren, den Umfang der Beteiligung von Asana und alle anderen Bedingungen erfordern, die die Parteien für angemessen halten.
Soweit gesetzlich zulässig, wird Asana auf Anfragen nach Daten oder Aufzeichnungen von Strafverfolgungsbehörden oder einer Regierungsbehörde in Übereinstimmung mit den in den Richtlinien zur Strafverfolgung von Asana festgelegten Richtlinien reagieren. Asana reagiert nur auf Anfragen von Strafverfolgungsbehörden, die sich an die etablierten rechtlichen Verfahren und das geltende Recht halten.
9.1 Der Kunde ermächtigt Asana und seine Unterauftragsverarbeiter, internationale Übermittlungen personenbezogener Kundendaten in Übereinstimmung mit dieser Datenschutzvereinbarung und dem anwendbaren Recht vorzunehmen.
9.2 Der Kunde erkennt an und stimmt zu, dass Asana, vorbehaltlich der Einhaltung der geltenden Gesetze, personenbezogene Daten des Kunden verarbeiten kann, wenn Asana, seine verbundenen Unternehmen oder seine Unterauftragsverarbeiter Datenverarbeitungsvorgänge durchführen. Die Parteien vereinbaren, dass, wenn die Übermittlung personenbezogener Kundendaten vom Kunden (als „Datenübermittler“) an Asana (als „Datenempfänger“) die Einführung bestimmter angemessener Schutzmaßnahmen („Übermittlungsmechanismus/Übermittlungsmechanismen“) erfordert, die Parteien den folgenden Frameworks und Übermittlungsmechanismen unterliegen, die wie folgt als Bestandteil dieser DPA gelten:
(a) Rangfolge. Für den Fall, dass der Dienst von mehr als einem Übertragungsmechanismus abgedeckt wird, unterliegt die Übertragung personenbezogener Daten gegebenenfalls einem einzigen Übertragungsmechanismus und zwar in Übereinstimmung mit der folgenden Rangfolge: (a) die Data Privacy Frameworks; (b) die Standardvertragsklauseln gemäß Abschnitt 9.2(c)-(e); und, falls keine der vorgenannten Bestimmungen anwendbar ist, dann (c) gelten andere alternative Datenübertragungsmechanismen, die nach geltendem Recht zulässig sind.
(b) Data Privacy Frameworks. Soweit Asana personenbezogene Daten des Kunden aus dem EWR, dem Vereinigten Königreich oder der Schweiz verarbeitet, versichert Asana, dass Asana nach den Data Privacy Frameworks freiwillig zertifiziert ist und die Data Privacy Principles einhalten wird.
(c) EU-konforme Standardvertragsklauseln. Die EU-SCCs gelten für die eingeschränkte Übermittlung personenbezogener Kundendaten, die durch die DS-GVO geschützt sind, und werden wie folgt vervollständigt:
(i) Die in Modul zwei (Datenverantwortlicher an Auftragsverarbeiter) dargelegten Klauseln gelten nur, soweit der Kunde ein Datenverantwortlicher und Asana ein Auftragsverarbeiter ist;
(ii) Die in Modul drei (Auftragsverarbeiter an Auftragsverarbeiter) dargelegten Klauseln gelten nur, soweit der Kunde ein Auftragsverarbeiter und Asana ein Unterauftragsverarbeiter ist;
(iii) Der „Datenexporteur“ ist der Kunde, und die Kontaktinformationen des Exporteurs sind unten aufgeführt;
(iv) Der „Datenimporteur“ ist Asana, und die Kontaktinformationen von Asana sind unten angegeben;
(v) In Klausel 7 wird die optionale Andockklausel angewendet;
(vi) In Klausel 9 gilt Option 2, und die Frist für die vorherige Mitteilung von Änderungen des Unterauftragsverarbeiters ist in Abschnitt 4.1 dieser DPA festgelegt;
(vii) In Klausel 11 wird die optionale Sprache nicht angewendet;
(viii) In Klausel 17 gilt Option 1, und die EU-SCCs unterliegen dem irischen Recht;
(ix) In Klausel 18(b) werden Streitigkeiten vor den irischen Gerichten ausgetragen; und
(x) Anlage I und II des Appendix sind in Anhang A unten aufgeführt.
(d) Nachtrag zur internationalen Datenübertragung im Vereinigten Königreich. Das UK Addendum gilt für eingeschränkte Übermittlungen personenbezogener Kundendaten, die durch die UK-DS-GVO geschützt sind, und wird wie folgt vervollständigt:
(i) Tabelle 1 wird mit den in Anlage A aufgeführten relevanten Informationen von Anhang I ergänzt;
(ii) Tabelle 2 wird mit den ausgewählten Modulen und Klauseln aus den EU-SCCs gemäß Abschnitt 9.2(c) dieser DPA ergänzt;
(iii) Tabelle 3 wird mit den relevanten Informationen aus den Anlagen I und II in Anhang A und Abschnitt 4.1 dieser DPA ergänzt; und
(iv) In Tabelle 4 kann der Empfänger das UK Addendum gemäß den Bedingungen des UK Addendums beenden.
(e) Schweizer Standardvertragsklauseln. In Bezug auf die eingeschränkte Übermittlung personenbezogener Kundendaten, die durch das Schweizer DSG geschützt sind, gelten die EU-SCCs auch für solche Übermittlungen gemäß Buchstabe c, vorbehaltlich der folgenden Bestimmungen:
(i) Alle Verweise in den EU-SCCs auf die „Richtlinie 95/46/EC“ oder die „Verordnung (EU) 2016/679“ sind als Verweise auf das Schweizer DSG zu verstehen;
(ii) Alle Verweise auf „EU“ -, „Unions“ - und „mitgliedstaatliches Recht“ sind als Verweise auf das schweizerische Recht zu verstehen; und
(iii) Alle Verweise auf die „zuständige Aufsichtsbehörde“ und die „zuständigen Gerichte“ sind als Verweise auf die entsprechenden Datenschutzbehörden und Gerichte in der Schweiz zu verstehen;
es sei denn, die oben umgesetzten EU-SCCs können nicht verwendet werden, um solche personenbezogenen Kundendaten in Übereinstimmung mit dem Schweizer DSG rechtmäßig zu übermitteln; in diesem Fall werden stattdessen die Schweizer SCCs durch Verweis einbezogen und bilden einen integralen Bestandteil dieses DPA und gelten für solche Übermittlungen. In diesem Fall werden die entsprechenden Anlagen oder Anhänge der Schweizer SCCs unter Verwendung der in Anlage A dieser DPA enthaltenen Informationen (soweit zutreffend) ausgefüllt.
9.3 Es ist nicht die Absicht einer Partei, den Bestimmungen der Standardvertragsklauseln zu widersprechen oder sie einzuschränken, und wenn und soweit die Standardvertragsklauseln mit einer Bestimmung der Vereinbarung (einschließlich dieser DPA) in Konflikt stehen, haben die Standardvertragsklauseln in dem Maße Vorrang, in dem der Konflikt besteht.
9.4 Mit dem Abschluss dieser DPA gelten die anwendbaren Standardvertragsklauseln und ihre Anhänge und Anlagen als von den Parteien unterzeichnet.
10.1 Audit. Asana wird Audits zulassen und dazu beitragen, die vom Kunden (oder einem von beiden Parteien einvernehmlich vereinbarten externen Prüfer („Prüfer“)) in Bezug auf Dokumentation, Daten, Zertifizierungen, Berichte und Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Kundendaten durch Asana („Aufzeichnungen“) durchgeführt werden, und zwar ausschließlich zu dem Zweck, die Einhaltung dieser Datenschutzvereinbarung durch Asana gemäß den Bestimmungen dieses Abschnitts 10 zu überprüfen, vorausgesetzt, die Vereinbarung bleibt in Kraft und ein solches Audit erfolgt ausschließlich auf Kosten des Kunden (ein „Audit“).
10.2 Schriftliche Mitteilung. Der Kunde kann höchstens einmal jährlich eine Prüfung beantragen, indem er Asana vierzehn (14) Tage im Voraus schriftlich benachrichtigt, außer im Falle eines Sicherheitsvorfalls in den Systemen von Asana. In diesem Fall kann der Kunde innerhalb eines angemessenen Zeitraums nach einem solchen Sicherheitsvorfall eine Prüfung beantragen.
10.3 Weitere schriftliche Anfragen und Inspektionen. Soweit die Bereitstellung von Aufzeichnungen nicht genügend Informationen liefert, um dem Kunden zu ermöglichen, die Einhaltung der Bedingungen dieses DPA durch Asana zu bestimmen, kann der Kunde bei Bedarf: (i) zusätzliche Informationen von Asana schriftlich anfordern, und Asana wird auf solche schriftlichen Anfragen innerhalb einer angemessenen Frist antworten („schriftliche Anfragen“); und (ii) nur wenn die Antworten von Asana auf solche schriftlichen Anfragen nicht das erforderliche Maß an Informationen liefern, das vom Kunden benötigt wird, Zugang zu den Räumlichkeiten, Systemen und Mitarbeitern von Asana beantragen, und zwar nach schriftlicher Benachrichtigung von Asana einundzwanzig (21) Tage im Voraus (eine „Inspektion“), vorausgesetzt, die Parteien haben sich einvernehmlich auf (a) den Umfang, den Zeitpunkt und die Dauer der Inspektion, (b) den Einsatz eines Prüfers zur Durchführung der Inspektion, (c) die Durchführung der Inspektion nur während der regulären Geschäftszeiten von Asana mit minimaler Unterbrechung des Geschäftsbetriebs von Asana und (d) alle mit der Inspektion verbundenen Kosten, die vom Kunden zu tragen sind (einschließlich der Zeit von Asana im Zusammenhang mit der Ermöglichung der Inspektion, die zu den jeweils aktuellen Preisen von Asana berechnet wird), geeinigt. Inspektionen sind höchstens einmal jährlich zulässig, außer im Falle eines Sicherheitsvorfalls.
10.4 Vertraulichkeit. Im Zusammenhang mit einem Audit oder einer Inspektion, die gemäß diesem Abschnitt 10 durchgeführt wird, muss der Auditor an Geheimhaltungsverpflichtungen gebunden sein, die nicht weniger schützend sind als die in der Vereinbarung enthaltenen. Auditoren sind nicht berechtigt, Daten oder Informationen zu erhalten, die sich auf andere Kunden von Asana beziehen, oder andere vertrauliche Informationen von Asana, die nicht direkt für die genehmigten Zwecke des Audits oder der Inspektion relevant sind.
10.5 Korrekturmaßnahme. Wenn bei einem Audit oder einer Inspektion eine wesentliche Nichteinhaltung festgestellt wird, wird Asana unverzüglich Maßnahmen ergreifen, um diese Nichteinhaltung zu korrigieren.
Nach Beendigung der Vereinbarung und auf schriftliche, verifizierte Anfrage des Bevollmächtigten des Kunden (der für die Zwecke dieses Abschnitts entweder eine rechnungsverantwortliche Person oder ein Administrator des Dienstes oder ein Mitarbeiter des Kunden ist, der schriftlich bestätigt hat, dass er befugt ist, Entscheidungen im Namen des Kunden zu treffen) löscht Asana die personenbezogenen Daten des Kunden, es sei denn, dies ist nach anwendbarem Recht verboten. Wenn Asana nach der Kündigung keine solche Anfrage erhält, kann Asana die personenbezogenen Daten des Kunden in Übereinstimmung mit seinen Verpflichtungen nach anwendbarem Recht löschen.
ANHANG A
Anlage I zu den Standardvertragsklauseln
A. LISTE DER PARTEIEN
MODUL ZWEI: Übermittlung Datenverantwortlicher an Auftragsverarbeiter
MODUL DREI: Übermittlung Auftragsverarbeiter an Auftragsverarbeiter
Datenexporteur(en): | Details/Beschreibungen |
|---|---|
Name: | Kunde, ein Nutzer des Dienstes |
Adresse: | Adresse wie in der Vereinbarung angegeben |
Name, Position und Kontaktdaten der Kontaktperson: | Kontaktinformationen wie in der Vereinbarung aufgeführt |
Tätigkeiten im Zusammenhang mit den gemäß diesen Klauseln übermittelten Daten: | Die entsprechenden Tätigkeiten werden im nachfolgenden Abschnitt B beschrieben |
Unterschrift und Datum: | Siehe Abschnitt 9.4 der DPA |
Rolle (Datenverantwortlicher/Auftragsverarbeiter): | Datenverantwortlicher und/oder Auftragsverarbeiter |
Datenimporteur(e): | Details/Beschreibungen |
|---|---|
Name: | Asana, Inc., Anbieter des Dienstes |
Adresse: | 633 Folsom Street, Suite 100, San Francisco, CA 94107, USA |
Name, Position und Kontaktdaten der Kontaktperson: | |
Tätigkeiten im Zusammenhang mit den gemäß diesen Klauseln übermittelten Daten: | Die entsprechenden Tätigkeiten werden im nachfolgenden Abschnitt B beschrieben |
Unterschriften mit Datum: | Siehe Abschnitt 9.4 der DPA |
Rolle (Datenverantwortlicher/Auftragsverarbeiter): | Auftragsverarbeiter |
B. BESCHREIBUNG DER ÜBERMITTLUNG
MODUL ZWEI: Übermittlung Datenverantwortlicher an Auftragsverarbeiter
MODUL DREI: Übermittlung Auftragsverarbeiter an Auftragsverarbeiter
Kategorien der betroffenen Personen, deren personenbezogene Daten übermittelt werden
Die Kategorien der betroffenen Personen, deren personenbezogene Daten übermittelt werden, werden ausschließlich vom Datenexporteur festgelegt. Im normalen Rahmen der Dienstleistung des Datenimporteurs können zu den Kategorien betroffener Personen unter anderem gehören: Mitarbeiter, Kunden, Dienstleister, Geschäftspartner, verbundene Unternehmen und andere Endnutzer des Datenexporteurs.
Kategorien der übermittelten personenbezogenen Daten
Die Kategorien der übermittelten personenbezogenen Daten werden ausschließlich vom Datenexporteur festgelegt. Im normalen Verlauf des Dienstes des Datenimporteurs können die Kategorien der übertragenen personenbezogenen Daten unter anderem Folgendes umfassen: Name, E-Mail-Adresse, Telefonnummer, Titel, Freitextprojekte und Aufgabenlisten, die vom Datenexporteur oder seinen Endnutzern eingegeben wurden.
Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z. B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weiterübermittlung oder zusätzliche Sicherheitsmaßnahmen.
Der Kunde bestimmt nach eigenem Ermessen alle Kategorien und Arten von personenbezogenen Kundendaten, die er über den Dienst an Asana übermitteln und übertragen kann. Der Kunde ist für die sichere und angemessene Nutzung des Dienstes verantwortlich, um ein dem Risiko in Bezug auf die personenbezogenen Daten des Kunden angemessenes Sicherheitsniveau zu gewährleisten, und stimmt zu, dass die in der Vereinbarung und dieser DPA dargelegten Compliance- und Sicherheitsmaßnahmen als ausreichende Schutzmaßnahmen für die Verarbeitung solcher Daten gelten, die der Kunde dem Dienst zur Verfügung stellt.
Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden).
Kontinuierlich mit der Nutzung des Dienstes.
Art der Verarbeitung
Die Erbringung der Dienstleistung für den Kunden gemäß der Vereinbarung.
Zweck(e) der Datenübermittlung und Weiterverarbeitung
Um den in der Vereinbarung beschriebenen Dienst für den Kunden zu erbringen.
Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, Kriterien, nach denen dieser Zeitraum festgelegt wird
So lange, wie es für die Erbringung der in der Vereinbarung beschriebenen Dienstleistung erforderlich ist, wie es gesetzlich oder vertraglich vorgeschrieben ist, oder bis zum Erhalt einer schriftlichen Löschungsanfrage des Kunden.
Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben Der Gegenstand, die Art und die Dauer der Verarbeitung sind oben und in der Vereinbarung angegeben.
C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
MODUL ZWEI: Übermittlung Datenverantwortlicher an Auftragsverarbeiter
MODUL DREI: Übermittlung Auftragsverarbeiter an Auftragsverarbeiter
Angabe der zuständigen Aufsichtsbehörde(n) gemäß Klausel 13
Der Kunde erklärt sich damit einverstanden, dass die zuständige Aufsichtsbehörde die irische Datenschutzkommission (The Data Protection Commission (DPC) of Ireland) ist.
Anlage II zu den Standardvertragsklauseln
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN
MODUL ZWEI: Übermittlung Datenverantwortlicher an Auftragsverarbeiter
MODUL DREI: Übermittlung Auftragsverarbeiter an Auftragsverarbeiter
Beschreibung der von dem/den Datenempfänger(n) getroffenen technischen und organisatorischen Maßnahmen (einschließlich etwaiger einschlägiger Zertifizierungen) zur Gewährleistung eines angemessenen Sicherheitsniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.
Asana verfolgt bei der Gestaltung und Umsetzung des eigenen Sicherheitsprogramms und der Sicherheitspraktiken die folgenden Grundsätze: (a) Physische und Umgebungssicherheit zum Schutz des Dienstes vor unbefugtem Zugriff, unerlaubter Nutzung oder Modifikationen; (b) Gewährleistung der Verfügbarkeit für den Dienst und dessen Benutzung; (c) Datenschutz zum Schutz von Kundendaten; und (d) Integrität zur Gewährleistung der Richtigkeit und Konsistenz der Daten während deren Lebenszyklus.
Eine Beschreibung der aktuellen technischen und organisatorischen Sicherheitsmaßnahmen von Asana finden Sie in Asanas Standards für Datensicherheit.
Spezifische Maßnahmen:
Maßnahme | Beschreibung |
|---|---|
Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten | Asana verschlüsselt Kundendaten bei der Übertragung und im Ruhezustand mit dem Industriestandard entsprechenden Verschlüsselungsalgorithmen, die für den Übertragungsmechanismus geeignet sind (z. B. TLS 1.2, AES-256). |
Maßnahmen zur Gewährleistung der ständigen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste | Asana implementiert und pflegt ein risikobasiertes Informationssicherheitsprogramm, das administrative, technische und organisatorische Sicherheitsmaßnahmen umfasst, um die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten zu schützen. Asana führt regelmäßige Bewertungen durch, um sein Informationssicherheitsprogramm zu überwachen, Risiken zu identifizieren und sicherzustellen, dass die Kontrollen effektiv funktionieren, indem Penetrationstests, interne Audits und Risikobewertungen durchgeführt werden. Asana unterhält ein Risikomanagementprogramm zur Identifizierung, Überwachung und Verwaltung von Risiken, die sich auf die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten auswirken können. |
Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls rechtzeitig wiederherzustellen | Asana pflegt und implementiert eine Reihe von Richtlinien und Verfahren zur Wiederherstellung im Katastrophenfall, um die Wiederherstellung oder Fortsetzung wichtiger technologischer Infrastrukturen und Systeme nach einer Katastrophe zu ermöglichen. Darüber hinaus wird Asana jährliche Tests des Notfallwiederherstellungsplans durchführen und den Kunden eine Zusammenfassung der Ergebnisse zur Verfügung stellen. Asana führt regelmäßige Backups von Kundendaten durch und stellt sicher, dass Backups den gleichen Schutz wie „In-Production”-Datenbanken haben. |
Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung | Asana führt regelmäßige Bewertungen durch, um sein Informationssicherheitsprogramm zu überwachen, Risiken zu identifizieren und sicherzustellen, dass die Kontrollen effektiv funktionieren, indem Penetrationstests, interne Audits und Risikobewertungen durchgeführt werden. Asana beauftragt qualifizierte externe Auditoren mit der Durchführung von Bewertungen seines Informationssicherheitsprogramms anhand der SOC 2 AICPA Trust Services Criteria for Security, Availability, and Confidentiality sowie der folgenden Standards: ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019. Die Bewertungen werden jährlich durchgeführt und resultieren in einem SOC 2 Typ 2-Bericht und Nachweisen der oben genannten ISO-Zertifizierungen, die dem Kunden gemäß seiner jeweiligen Vereinbarung zur Verfügung gestellt werden. |
Maßnahmen zur Identifizierung und Autorisierung von Nutzer*innen | Der Zugriff auf Kundendaten ist auf autorisiertes Asana-Personal beschränkt, das auf Kundendaten zugreifen muss, um die Erbringung von Dienstleistungen sicherzustellen. Der Zugriff auf Kundendaten muss über eindeutige Benutzernamen und Passwörter erfolgen und die Multi-Faktor-Authentifizierung muss aktiviert sein. Der Zugang ist innerhalb eines Werktages nach der Kündigung eines Angestellten gesperrt |
Maßnahmen zum Schutz von Daten während der Übertragung | Asana verschlüsselt Kundendaten bei der Übertragung und im Ruhezustand mit dem Industriestandard entsprechenden Verschlüsselungsalgorithmen, die für den Übertragungsmechanismus geeignet sind (z. B. TLS 1.2, AES-256). |
Maßnahmen zum Schutz von Daten während der Speicherung | Kundendaten werden überregional mit AWS gespeichert. Daten-Backups werden verschlüsselt. Kundendaten werden bei der Übertragung und im Ruhezustand mit dem Industriestandard entsprechenden Verschlüsselungsalgorithmen verschlüsselt, die für den Übertragungsmechanismus geeignet sind (z. B. TLS 1.2, AES-256). |
Maßnahmen zur Gewährleistung der physischen Sicherheit von Standorten, an denen personenbezogene Daten verarbeitet werden | Asana stellt sicher, dass sich alle physischen Standorte, an denen Kundendaten verarbeitet, gespeichert oder übertragen werden, in einer sicheren physischen Einrichtung befinden. Asana wird die Sicherheitszertifizierungen von Drittanbietern (z. B. SOC 2 Type 2) seiner externen Cloud-Hosting-Anbieter mindestens einmal jährlich überprüfen, um sicherzustellen, dass angemessene physische Sicherheitskontrollen vorhanden sind. |
Maßnahmen zur Sicherstellung der Ereignisprotokollierung | Jeder Zugriff auf Informationssicherheits-Managementsysteme bei Asana wird eingeschränkt, überwacht und protokolliert. Protokolleinträge enthalten mindestens das Datum, den Zeitstempel, die durchgeführte Aktion sowie die Nutzer- oder Geräte-ID der durchgeführten Aktion. Der zusätzliche Detaillierungsgrad, der von jedem Auditprotokoll aufgezeichnet werden muss, wird proportional zur Menge und Sensibilität der in diesem System gespeicherten und/oder verarbeiteten Informationen sein. Alle Protokolle sind vor Änderungen geschützt. |
Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration | Um potenzielle Bedrohungen für die Systeme von Asana zu verhindern und zu minimieren, sind vor der Bereitstellung von Nutzer-, Netzwerk- oder Produktionsgeräten Basiskonfigurationen erforderlich. Für die Sicherheitseinstellungen für drahtlose Verbindungen sind Basiskonfigurationen vorhanden, um eine starke Verschlüsselung zu gewährleisten und die Standard-Einstellungen des Anbieters im Rahmen der Bereitstellung von Netzwerkgeräten zu ersetzen. Die Systeme werden zentral verwaltet und so konfiguriert, dass sie verdächtige Aktivitäten erkennen und Benachrichtigungen darüber senden. |
Maßnahmen für die interne IT- und IT-Sicherheits-Governance und -Verwaltung | Die Strukturen und Prozesse der IT-Sicherheits-Governance und des IT-Sicherheitsmanagements sind darauf ausgelegt, die Einhaltung der Datenschutzgrundsätze bei ihrer effektiven Umsetzung zu gewährleisten. Asana verfügt über ein spezielles Sicherheitsteam, das für die Implementierung, Pflege, Überwachung und Durchsetzung von Sicherheitsvorkehrungen verantwortlich ist, die mit dem Informationssicherheitsmanagementsystem im Einklang stehen. |
Maßnahmen zur Zertifizierung/Sicherung von Prozessen und Produkten | Das Informationssicherheits-Framework von Asana basiert auf dem Informationssicherheits-Managementsystem ISO 27001 und umfasst die folgenden Bereiche: Sicherheitsrisikomanagement, Richtlinien und Verfahren, Sicherheitsvorfallmanagement, Zugriffskontrollen, Schwachstellenmanagement, physische Sicherheit, operative Sicherheit, Unternehmenssicherheit, Infrastruktursicherheit, Produktsicherheit, Notfallwiederherstellung und Aufrechterhaltung des Geschäftsbetriebs, Personalsicherheit, Sicherheits-Compliance und Anbietersicherheit. Asana beauftragt qualifizierte externe Auditoren mit der Durchführung von Bewertungen seines Informationssicherheitsprogramms anhand der SOC 2 AICPA Trust Services Criteria for Security, Availability, and Confidentiality sowie der folgenden Standards: ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019. Die Bewertungen werden jährlich durchgeführt und resultieren in einem SOC 2 Typ 2-Bericht und Nachweisen der oben genannten ISO-Zertifizierungen, die dem Kunden gemäß seiner jeweiligen Vereinbarung zur Verfügung gestellt werden. |
Maßnahmen zur Gewährleistung der Datenminimierung | Asana erhebt nur Daten, die für die Erbringung der in unseren Nutzungsbedingungen, unserer Datenschutzerklärung und im Kundenvertrag beschriebenen Dienstleistungen erforderlich sind. Unsere Angestellten werden angewiesen, nur auf ein Minimum an Informationen zuzugreifen, die zur Erfüllung der jeweiligen Aufgabe erforderlich sind. |
Maßnahmen zur Sicherstellung der Datenqualität | Asana verwaltet Webserver- und Anwendungsprotokolldetails, die alle Änderungen an sensiblen Konfigurationseinstellungen und Dateien enthalten. Protokolleinträge enthalten mindestens das Datum, den Zeitstempel, die durchgeführte Aktion sowie die Nutzer- oder Geräte-ID der durchgeführten Aktion. Protokolle sind vor Änderungen geschützt. Nutzer, die ihre Rechte nach geltendem Gesetz ausüben möchten, um veraltete oder fälschliche Informationen zu aktualisieren, können dies jederzeit über dieses Formular tun. Weitere Informationen zu den Rechten betroffener Personen finden Sie in unserer Datenschutzerklärung. |
Maßnahmen zur Gewährleistung einer begrenzten Datenaufbewahrung | Asana speichert Daten für den Zeitraum, der zur Erfüllung der in unserer Datenschutzerklärung genannten Zwecke erforderlich ist, es sei denn, eine längere Aufbewahrungsfrist ist gesetzlich vorgeschrieben oder zulässig, oder die Kundenvereinbarung schreibt bestimmte Aufbewahrungs- oder Löschungsfristen vor oder lässt diese zu. Der Kunde kann jederzeit die Löschung von Daten verlangen, und die personenbezogenen Daten des Kunden werden bei Beendigung der Vereinbarung gelöscht oder anonymisiert. |
Maßnahmen zur Sicherstellung der Verantwortlichkeit | Asana hat ein umfassendes Programm zur DS-GVO-Konformität eingerichtet und ist bestrebt, mit seinen Kunden und Anbietern bei den Bemühungen zur DS-GVO-Konformität zusammenzuarbeiten. Asana hat folgende wichtige Schritte zur Anpassung seiner Tätigkeiten an die DS-GVO umgesetzt: Asana hat folgende wichtige Schritte zur Anpassung seiner Tätigkeiten an die DS-GVO umgesetzt: Überarbeitung unserer Richtlinien und Verträge mit unseren Partnern, Anbietern und Nutzern; Verbesserung unserer Sicherheitspraktiken und -verfahren; Genaue Überprüfung und Zuordnung der Daten, die wir erheben, verwenden und weitergeben; Erstellung einer soliden internen Datenschutz- und Sicherheitsdokumentation; Schulung der Mitarbeiter in Bezug auf die DS-GVO-Anforderungen und optimale Vorgehensweisen für Datenschutz und Sicherheit im Allgemeinen; sowie sorgfältige Bewertung und Aufbau der Richtlinien und des Reaktionsprozesses bezüglich der Rechte von betroffenen Personen. Nachfolgend finden Sie weitere Details zu den Kernbereichen des DS-GVO-Konformitäts-Programms von Asana und wie Kunden Asana zur Unterstützung ihrer eigenen Initiativen zur DS-GVO-Konformität nutzen können. Ernennung eines Datenschutzbeauftragten, der unter dpo@asana.com erreichbar ist. Asana bietet seinen Kunden, die für die Verarbeitung personenbezogener Daten aus der EU verantwortlich sind, die Möglichkeit, eine solide Datenverarbeitungsvereinbarung zu schließen, in der sich Asana verpflichtet, personenbezogene Daten gemäß den Anforderungen der DS-GVO zu verarbeiten und zu schützen. Dazu gehören auch die Standard-Vertragsklauseln sowie die Verpflichtung von Asana, personenbezogene Daten in Übereinstimmung mit den Anweisungen des Datenverantwortlichen zu verarbeiten. |
Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung | Asana bietet Einzelpersonen einen Mechanismus, um gemäß den geltenden Gesetzen von ihren Datenschutzrechten Gebrauch zu machen. Einzelpersonen können Asana jederzeit über dieses Formular kontaktieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung. |
Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch die spezifischen technischen und organisatorischen Maßnahmen zu beschreiben, die der (Unter-)Auftragsverarbeiter ergreifen muss, um den Verantwortlichen und – bei Übermittlungen von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter – den Datenexporteur unterstützen zu können
Wie in der DPA beschrieben, verfügt Asana über Maßnahmen, um den Verantwortlichen bei Bedarf Unterstützung zu bieten. Zu diesen Maßnahmen gehören unter anderem die Möglichkeit, alle mit einer Domain verknüpften personenbezogenen Daten von Kunden zu löschen, und die Bereitstellung von APIs, die es den Verantwortlichen ermöglichen, ihre Daten besser zu verwalten und zu kontrollieren. In Bezug auf Anfragen betroffener Personen unternimmt Asana, falls der Verantwortliche nicht in der Lage ist, eine Anfrage einer betroffenen Person bei der Nutzung des Dienstes zu bearbeiten, auf Anfrage alle wirtschaftlich vertretbaren Anstrengungen, um den Verantwortlichen bei der Beantwortung einer solchen Anfrage einer betroffenen Person zu unterstützen, soweit dies Asana gesetzlich gestattet ist und die Beantwortung einer solchen Anfrage einer betroffenen Person nach anwendbarem Recht erforderlich ist. Betroffene Personen können ihre Rechte auch ausüben, indem sie Asana jederzeit über dieses Formular kontaktieren.