Effizientes Projektmanagement ist in der modernen Arbeitswelt kein Luxus, sondern ein Muss. Kollaborations- und Projektmanagementsoftware wie Stackfield hilft Dir, Aufgaben und Projekte schnell und übersichtlich zu organisieren. Doch Funktionalität allein reicht nicht – gerade in Europa spielt der Datenschutz eine entscheidende Rolle. Die DSGVO (Datenschutz-Grundverordnung) setzt hier klare Regeln für den Umgang mit personenbezogenen Daten.
Aber wie sicher sind die einzelnen Tools wirklich? Werden Deine Daten tatsächlich komplett gesetzeskonform geschützt und verarbeitet? Oder gibt es Lücken im scheinbar dicht gewebten Datenschutzteppich? Sobald personenbezogene Daten im Spiel sind, muss mit größter Sorgfalt vorgegangen werden. Fehler kommen Unternehmen unter Umständen teuer zu stehen – nicht nur beim Diebstahl sensibler Daten, sondern auch durch hohe Strafen bei Datenschutzvergehen.
Das Label "DSGVO konform" soll in diesem Kontext eigentlich Vertrauen schaffen – doch ist das immer der Fall? Oder ist es nur ein wohlklingendes Marketingversprechen, ein Aushängeschild ohne Aussage? Diese und weitere Fragen werden in diesem Artikel beantwortet.
Was bedeutet "DSGVO konform" überhaupt?
Das Label "DSGVO konform" bedeutet, dass Unternehmen die Vorgaben der Datenschutz-Grundverordnung der EU rechtskonform einhalten, insbesondere beim Umgang mit den besonders sensiblen personenbezogenen Daten. Die zentralen Prinzipien der DSGVO umfassen dabei Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Vertraulichkeit und Integrität der Daten. Ein wesentlicher Aspekt ist hierbei, dass die Daten vor unrechtmäßigem Zugriff durch Dritte geschützt werden.
Zur Einhaltung der DSGVO müssen Software-Anbieter, zu denen die Anbieter von Kollaborationssoftware zählen, klare Informationen zur Datenspeicherung, -verarbeitung und -übermittlung bieten. Zudem sind ein Vertrag zur Auftragsdatenverarbeitung inklusive der entsprechenden technischen und organisatorischen Maßnahmen, wie beispielsweise einer sicheren und verschlüsselten Datenübertragung, erforderlich.
DSGVO vs. CLOUD Act: Der unsichtbare Zugriff auf Daten aus der EU
Im internationalen Kontext ergeben sich allerdings Herausforderungen. Denn auch Nicht-EU-Unternehmen, die die Daten und Informationen von EU-Bürgern verarbeiten, müssen sich an die Vorgaben der DSGVO halten. Dennoch schützt diese Vorgabe nicht komplett vor fremden Zugriffen – beispielsweise von Regierungen, die durch nationale Gesetze Datenzugriff erzwingen können.
Besonders kritisch ist in diesem Zusammenhang das internationale "EU-US Data Privacy Framework"-Abkommen zwischen der EU und den USA. Mit diesem soll formell der Datenschutz bei der Verarbeitung von Daten in den USA beziehungsweise durch US-Unternehmen garantiert werden. Unterstützt wird dieses Abkommen durch Standardvertragsklauseln zum Abschluss zwischen Auftraggeber und Auftragnehmer.
Dieses Abkommen ist in die Kritik geraten, da sich die US-Regierung durch Gesetze wie dem CLOUD Act eine gesetzliche Hintertür offengelassen hat. Durch dieses Gesetz kann die US-Regierung den Zugriff auf alle Daten eines US-Unternehmens erzwingen – inklusive aller Kundendaten, selbst wenn diese in Europa verarbeitet und gespeichert werden. Hierbei ist es unerheblich, ob das US-Unternehmen eine lokale Gesellschaft / Firmierung nutzt oder nicht.
Warum eine europäische Serverinfrastruktur allein nicht ausreicht
Viele US- und Nicht-EU-Anbieter werben damit, die Daten von EU-Unternehmen in Europa zu speichern, um den Sicherheitsanforderungen ihrer EU-Kunden gerecht zu werden. Abgesehen davon, dass es dieses Angebot oft nur in teureren Abonnements gibt, hat eine solche Behauptung einen weiteren Haken. Denn in den meisten Fällen bleiben die Daten auf Servern großer US-Anbieter und sind damit weiterhin potenziell zugänglich für die US-Regierung.
Selbst, wenn diese Hosting-Anbieter eine Datenspeicherung innerhalb der EU anbieten, schützt das nicht vor außereuropäischen Zugriffen. So verpflichtet beispielsweise der CLOUD Act US-Unternehmen und deren Tochtergesellschaften, auf Anordnung der Regierung Daten offenzulegen – unabhängig vom Speicherort und selbst dann, wenn dies gegen Datenschutzgesetze vor Ort verstoßen würde.
Dieses Risiko der unrechtmäßigen Datenverarbeitung betrifft damit sogar EU-Unternehmen, die auf ein Hosting amerikanischer Unternehmen setzen. Denn selbst Subunternehmen, die ihren Firmensitz – wie die meisten Hosting-Anbieter – in den USA haben, können zur Herausgabe von Kundendaten gezwungen werden. Eine rein europäische Serverinfrastruktur bietet also nur dann echten Schutz, wenn sie vollständig unabhängig von Nicht-EU-Anbietern betrieben wird.
Sind Deine Daten bei einem DSGVO konformen Unternehmen maximal geschützt?
Gerade bei der Arbeit mit sensiblen und personenbezogenen Informationen ist das die Kernfrage, die sich jede Organisation stellen sollte, bevor neue Software angeschafft wird. Durch die Unsicherheit, die im Zuge der Diskussion um das "EU-US Data Privacy Framework"-Abkommen und den CLOUD Act entstanden ist, ist eine Versicherung der DSGVO-Konformität allein als Nachweis der Sicherheit nicht ausreichend. Die DSGVO sieht zwar Datenschutzzertifizierungen vor, letztlich kann aber kein Zertifikat garantieren, dass ein US-Unternehmen vor der Anwendung des CLOUD-Act geschützt ist. Entsprechend gibt es immer ein Restrisiko.
Vermeiden kann man dieses Risiko, indem man auf Anbieter setzt, die neben ihrer DSGVO-Konformität ihren Sitz in der EU haben und selbst nur Subunternehmen aus der Europäischen Union einsetzen. Werden diese Kriterien beachtet, kann man sicher sein, dass sensible Daten komplett vor Zugriffen aus Drittstaaten geschützt sind. Zusätzliche Sicherheit gibt es durch eine echte Ende-zu-Ende-Verschlüsselung, bei welcher selbst die Mitarbeiter des Software-Anbieters keinen Zugriff auf die Daten der Kunden haben.
5 Kollaborationstools im DSGVO-Check
Wie DSGVO konform ist Stackfield?
Im Gegensatz zu vielen anderen Anbietern von Kollaborationssoftware ist Stackfield ein deutsches Unternehmen, das besonderen Wert auf Datenschutz und Informationssicherheit legt. Stackfield speichert und verarbeitet alle Daten in Deutschland und erfüllt die strengen Vorgaben der DSGVO vollumfänglich. Das Unternehmen bietet eine umfassende Ende-zu-Ende-Verschlüsselung, was bedeutet, dass die relevanten Daten selbst von Stackfield-Mitarbeitern nicht eingesehen werden können.
In Stackfield ist eine clientseitige Ende-zu-Ende-Verschlüsselung implementiert
Stackfield sieht seinen Auftrag darin, seinen Nutzerinnen und Nutzern das höchstmögliche Maß an Datenschutz und Informationssicherheit zu gewährleisten. Dazu gehören – unter anderem – die folgenden Punkte:
- Stackfield unterliegt ausschließlich deutschem und EU-Recht: Stackfield steht als deutsches Unternehmen unter dem Schutz und der Regulierung des deutschen und europäischen Rechtsrahmens.
- Ausschließlich deutsche Unterauftragnehmer: Für Dienstleistungen wie das Hosting oder den E-Mail-Verkehr greift Stackfield allein auf deutsche Partner und Standorte zurück.
- ISO-zertifizierte Sicherheitsstandards: Stackfield ist nach international anerkannten ISO-Standards wie ISO 27001, ISO 27017 und ISO 27018 zertifiziert und hat auch das BSI C5-Testat erhalten.
- Echte Ende-zu-Ende-Verschlüsselung: Mit einer echten Ende-zu-Ende-Verschlüsselung sind Deine Daten bei Stackfield zu jedem Zeitpunkt geschützt.
Wie DSGVO konform ist Asana?
Asana, ein US-amerikanischer Anbieter für Projektmanagementsoftware, erklärt sich offiziell DSGVO konform und hat verschiedene Maßnahmen zur Verarbeitung sensibler Daten implementiert. Doch trotz dieser Bemühungen bleibt ein grundlegendes Problem bestehen: Als Unternehmen mit Sitz in den USA unterliegt Asana dem CLOUD Act.
Das bedeutet, dass US-Behörden – wie bereits erläutert – potenziell Zugriff auf Nutzerdaten fordern können. Dieser Zugriff besteht unabhängig davon, wo die Daten gespeichert sind. Für Unternehmen, die ein DSGVO konformes Kollaborationstool mit maximaler Datensicherheit suchen, ist das ein entscheidender Risikofaktor.
Wie DSGVO konform ist Microsoft?
Das US-Unternehmen Microsoft spielt mit Blick auf die Sicherheit personenbezogener Daten von EU-Bürgern in mehrfacher Hinsicht eine zentrale Rolle, sowohl als Anbieter der Microsoft-365-Suite (mit Software wie MS Teams, MS Project und MS Planner) als auch als Betreiber der Cloud-Plattform Azure, die – ähnlich wie Google oder Amazon – weltweites Datenhosting ermöglicht.
Das Unternehmen betont seine Bemühungen um DSGVO-Konformität und stellt unter anderem Auftragsverarbeitungsverträge bereit, die den Anforderungen der Verordnung entsprechen sollen. Dennoch gibt es seit Jahren Kritik und Zweifel an den Datenschutzpraktiken des Tech-Giganten. Wie andere US-Unternehmen unterliegt Microsoft dem CLOUD Act, der US-Behörden potenziell Zugriff auf gespeicherte Daten ermöglicht.
Zusätzlich steht Microsoft wegen mangelnder Transparenz in der Kritik. So stellte beispielsweise die Datenschutzkonferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden 2022 fest, dass das Unternehmen keine ausreichende Klarheit über die Verarbeitung personenbezogener Daten schaffe. Damit bleibt ein grundlegendes Problem bestehen: Selbst wenn Microsoft-Tools formal als DSGVO konform gelten, kann eine vollumfänglicher Datenschutz nicht garantiert werden – weder für Microsoft 365 noch für Azure.
Wie DSGVO konform ist Trello?
Trello, eine Aufgabenverwaltungssoftware des australischen Unternehmens Atlassian, betont seine Einhaltung der DSGVO und verpflichtet sich nach eigenen Angaben, die Rechte seiner Nutzer zu respektieren. Anders als bei US-Anbietern ergibt sich hier ein anderes Risiko: Es gibt keinen Angemessenheitsbeschluss der EU für Australien. Das bedeutet, dass die EU-Kommission diesem Land kein angemessenes Datenschutzniveau bescheinigt hat, was den sicheren Datentransfer bereits erschwert und zur Einhaltung der DSGVO einen hohen Aufwand auf Kundenseite mit sich bringt. Zudem erlaubt das australische Gesetz "Telecommunications and Other Legislation Amendment" (TOLA) von 2018 den Behörden, Unternehmen zur Herausgabe von Daten zu verpflichten.
Für EU-Unternehmen bedeutet das: Selbst, wenn man als Kunde durch ein umfangreiches und mit viel Aufwand verbundenem vertraglichen und technischen Framework DSGVO konform arbeiten kann, besteht die potenzielle Gefahr, dass australische Behörden Zugriff auf sensible Daten erhalten können – ein Risiko, das in seiner Tragweite dem des CLOUD Act ähnelt.
Wie DSGVO konform ist Meistertask?
Der deutsche Anbieter Meistertask hebt auf seiner Website die Bedeutung des Datenschutzes für seine Projektmanagementsoftware deutlich hervor. Neben einem Hosting-Standort in Deutschland betont das Unternehmen unter anderem seine vollständige DSGVO-Konformität. Und als deutsches Unternehmen sollte Meistertask doch auch problemlos DSGVO konform sein – oder nicht?
Die Ausgangslage wirkt vielversprechend, doch entscheidend ist nicht nur der Hauptsitz, sondern auch die Wahl der Subunternehmen. Meistertask speichert seine Daten in Deutschland, nutzt dafür aber die Infrastruktur von Google – einem US-Konzern, der dem CLOUD Act unterliegt. Das bedeutet: Auch wenn die Server in Deutschland stehen, kann Google auf Anordnung der US-Regierung gezwungen werden, Daten herauszugeben. Das kann auch die Daten der Google-Kunden wie Meistertask betreffen. Zusätzlich zu Google kommen weitere US-Subunternehmer wie Cloudflare Inc. und Mailgun Technologies Inc. beziehungsweise auch europäische Anbieter mit einer Datenverarbeitung in den USA zum Einsatz.
Das bedeutet: Auch wenn Meistertask selbst DSGVO konform arbeitet, bleibt durch die Wahl mehrerer US-Subunternehmens ein Restrisiko bestehen. Solange ein Anbieter unter die US-Rechtsprechung fällt, kann nicht ausgeschlossen werden, dass Dritte Zugriff auf die Daten erzwingen können. Wer absolute Datensicherheit will, sollte daher auf Unternehmen mit rein europäischer Infrastruktur setzen.
Fazit: Die größte Sicherheit findet man bei EU-Unternehmen
Der Vergleich macht die Unterschiede klar: Selbst, wenn Nicht-EU-Unternehmen als DSGVO konform gelten, können sie keine vollständige Datensicherheit ohne Restrisiko bieten. Besonders das unsichere Verhältnis zwischen der EU und den USA macht deutlich, dass DSGVO-Konformität nicht gleichbedeutend mit einem sorgenfreien Umgang mit sensiblen Daten ist. Durch den CLOUD Act hat die US-Regierung weiterhin Zugriffsmöglichkeiten auf Daten von US-Unternehmen mit EU-Kunden, selbst wenn diese Daten auf Servern in der Europäischen Union gespeichert werden.
Trotz aller Datenschutzbemühungen von US- sowie Nicht-EU-Unternehmen bleibt das Risiko bestehen, dass Behörden unberechtigt auf Nutzerdaten zugreifen könnten – ein Szenario, das mit Blick auf die aktuellen geopolitischen Entwicklungen keineswegs unwahrscheinlich ist. EU-Unternehmen sollten sich daher die ehrliche Frage stellen, ob sie dieses Risiko eingehen wollen.
Stackfield hingegen bietet eine sichere EU-Alternative: Neben den vielen Funktionen für effizientes Projektmanagement steht hier der kompromisslose Schutz der Nutzerdaten an oberster Stelle.