Haben Sie den Datenschutz Ihrer Projektmanagement-Software geprüft?

Geschätzte Lesezeit: 5 Minuten

Die Weitergabe vertraulicher Informationen über Kundschaft, Prozesse, Mitarbeiter:innen, Lieferanten etc. - ist das in Ordnung für Sie?

Wenn Sie online arbeiten und zusammenarbeiten, egal ob es sich um einen Online-Kalender, einen Ablaufplaner oder eine Projektmanagement-Software handelt, sind Ihre Daten potenziell dem Softwareanbieter und dessen Datenschutzbestimmungen ausgesetzt. Seien Sie bedacht und beziehen Sie Datenschutz-Kriterien in den Entscheidungsprozess für eine Software mit ein.

Datenschutz Kriterien für Ihre Projektmanagement-Software

Wir möchten Sie dabei unterstützen, bei der Auswahl einer Projektmanagement-Software besonders auf den Datenschutz zu achten bzw. diesen in den Mittelpunkt zu stellen:

Evaluieren Sie On-Premises versus Cloud

On-Premises-Software ist eine intern gehostete Lösung, bei der die privaten Rechenzentren von Ihrer Organisation selbst betrieben und gewartet werden, und zwar hinter der eigenen Firewall. Daher verbleiben alle Daten bei Ihnen und nicht beim Software-Anbieter. Das gibt Ihnen die volle Kontrolle und Sie können entscheiden, wie Sie die Software nutzen wollen. Wenn Sie über die nötige Manpower und das technische Know-How verfügen, ist die On-Premises-Variante die datenschutzrechtlich beste Wahl. Lesen Sie hier über Vorteile und Voraussetzungen einer On-Premises-Lösung.

Mit einer Cloud-Lösung geben Sie dem Dienstleister Zugriff auf Ihre Daten. Und deshalb müssen Sie genau prüfen, wie der Anbieter mit Ihren Daten umgeht und sie verarbeitet.

Kennen Sie die Datenschutzregelungen in verschiedenen Ländern und Regionen

Machen Sie sich mit den Datenschutzbestimmungen der Herkunft des Softwareanbieters vertraut. Die Mehrheit der Softwareanbieter und Unterauftragnehmer hat ihren Sitz entweder in der EU oder in den USA. Machen Sie sich in Bezug auf die Rechtsgrundlage für die Datenverarbeitung mit den europäischen und US-amerikanischen Datenvorschriften vertraut, um zu wissen, an welche Gesetze sich Ihr Anbieter halten soll.

Insgesamt geht es in Europa seit langem um die grundlegenden Menschenrechte auf Privatsphäre und Schutz, während in den USA nicht derselbe “citizen first”-Ansatz für den Umgang mit Daten und deren Schutz gilt. Die EU hat die DSGVO als übergreifende Gesetzgebung eingeführt, um dem Datenschutz eine klare Priorität einzuräumen. Die USA versuchen immer noch, eine Top-Down-Lösung für alle Bundesstaaten zu finden.

Lesen Sie hier mehr Details über den Unterschied zwischen dem US- und dem EU-Datenschutzansatz.

Prüfen Sie die Transparenz über den Umgang mit Ihren Daten

Es ist nicht die spannendste Aufgabe, aber wenn Sie sich die Datenschutzerklärung sowie die Datenverarbeitungsvereinbarung des Softwareanbieters durchlesen, erfahren Sie viel über dessen Umgang mit Datenschutz.

Gehen Sie die folgenden Fragen durch und finden Sie in der Datenschutzerklärung und der Datenverarbeitungsvereinbarung Antworten, die Ihre Erwartungen erfüllen. Sie wollen Transparenz, zweckmäßige Datenverarbeitung, ein Rücktrittsrecht, einen durchdachten internen Prozess, wer Zugriff auf die Daten der Kund:innen hat usw. finden.

  • Auf welchen Plattformen sammelt der Softwareanbieter Daten von Ihnen? Neben der Softwareanwendung selbst können dies die Website, soziale Medien, Newsletter etc. sein.
  • Was ist die Rechtsgrundlage für die Verarbeitung dieser Daten?
  • Was ist der Zweck und Umfang der Datenverarbeitung?
  • Was ist Ihr Widerrufs- und Widerspruchsrecht?
  • Wie lange werden Daten gespeichert?
  • Wer ist für die Kontrolle und Prüfung der Datenverarbeitung verantwortlich?
  • Welche technischen und organisatorischen Maßnahmen werden ergriffen? Wie sind interne Prozesse organisiert, um den besonderen Anforderungen des Datenschutzes gerecht zu werden?
  • Wie wird mit Datenverletzungen umgegangen?
  • Software-Sicherheit: Keine Software ist perfekt und fehlerfrei. Prüfen Sie, wie der Anbieter mit Sicherheitslücken umgeht. Open-Source-Software hat den Vorteil, dass der Code verfügbar ist und von der Community überprüft werden kann, um mögliche Sicherheitslücken schnell zu identifizieren und zu beheben.

Überprüfen Sie die Unterauftragnehmer

Prüfen Sie in der Datenverarbeitungsvereinbarung insbesondere und sorgfältig die vom Softwareanbieter eingesetzten Unterauftragnehmer. Prüfen Sie, wo diese ihren Sitz haben, da die Gesetzgebung die Art der Datenverarbeitung bestimmt. Zum Beispiel sollte ein europäischer Dienstleister auch nur europäische Unterauftragnehmer haben, um die Anwendung der EU-Gesetzgebung (DSGVO) zu gewährleisten. Beachten Sie auch, dass Unterauftragnehmer wiederum Ihre Daten anderen Unterauftragnehmern anvertrauen können. Sie müssten also auch diese Auftragnehmer überprüfen.

Bewerten Sie Sicherheitsfunktionen

Schließlich sollten Sie auch untersuchen, was der Software-Anbieter Ihnen an zusätzlichen Sicherheitsfunktionen bietet. Die Zwei-Faktor-Authentifizierung zum Beispiel dient dazu, zu verhindern, dass jemand auf Ihr Konto zugreifen oder es benutzen kann, selbst wenn er Ihr Passwort kennt. Diese Methode fügt eine zusätzliche Sicherheitsebene für Ihre Projektorganisation hinzu. Bei der LDAP-Synchronisierung werden die Benutzer mit dem LDAP der Organisation abgeglichen. Dadurch wird sichergestellt, dass das ein Konto noch im LDAP vorhanden ist. Wenn also ein Konto im LDAP gesperrt oder gelöscht wird, wird das Konto automatisch in OpenProject gesperrt. Dies bedeutet, dass sich der:die Nutzer:in nicht mehr in OpenProject anmelden kann. Bei einer Gruppensynchronisation wird der Prozess stündlich ausgeführt, um die Gruppenmitgliedschaften basierend auf den LDAP-Gruppenmitgliedern automatisch zu aktualisieren. Informieren Sie sich auch, wie oft und wie der Anbieter ein Backup der Daten durchführt, um sicherzustellen, dass Sie keine Daten verlieren.

Was auch als zusätzliche Sicherheit dient, ist, wenn der Software-Anbieter regelmäßige Updates anbietet. Mit einem neuen Release können auch Sicherheitspatches ausgeliefert werden und die Software sicherer machen.

OpenProjects Bekenntnis zum Datenschutz

OpenProjects Gründer und CEO Niels Lindenthal sagt: “Datenschutz und Informationssicherheit haben einen zentralen Stellenwert in unserem Unternehmen und sind eine der Hauptmotive für die Entwicklung dieser Open-Source-Software. Wir sind sehr stolz auf die bisherigen Ergebnisse, aber auch wir müssen noch “Data Privacy Debt” abbauen. Wir werden hier viel Energie und Lebenszeit investieren. Unser Ziel ist es, OpenProject als Leuchtturmprojekt für „Datenschutz Made in Europe“ zur Perfektion zu bringen. Wir haben uns große Mühe gegeben, um diese Richtlinie möglichst klar und einfach zu formulieren. Wir möchten, dass Sie alles verstehen. Sie sollen sich nicht durch viele Seiten unverständlichen Rechtstext hindurchkämpfen müssen. Daher freuen wir uns sehr über Ihre Rückmeldung und vielleicht sogar einen Austausch zum Thema Datenschutz und Sicherheit. In diesem Sinne unterliegt auch diese Datenschutzerklärung konsequenterweise einer Open Source Lizenz.”

Die Systeme und Prozesse von OpenProject sind auf Ihre Privatsphäre und das Prinzip der Datenminimierung ausgelegt. Die OpenProject GmbH erfüllt alle Anforderungen der EU-Datenschutzgrundverordnung. Sie finden alle rechtlichen Informationen hier.