AI-Dashboard — kuratierte KI-Bewertungen

Workflow-Automatisierung

Asana AI Studio (Advanced)

Asana, Inc. · Automatisierung

Bewertet: Asana AI Studio im Advanced-Tarif ($24,99/Nutzer/Monat jährlich), AI Studio Basic mit 75.000 AI-Credits/Monat

Zuletzt geprüft: 2026-07-01 · Aktuell

Website ↗

Verfügbare Tarife

Personal

Kostenloser Tarif für bis zu 2 Nutzer. Kein AI Studio enthalten. Self-Signup ohne Zahlungsmittel möglich.

Tarif-Seite ↗
Starter

Kostenpflichtiger Einstiegstarif ($10,99/Nutzer/Monat jährlich). AI Studio Basic mit 50.000 Credits/Monat enthalten.

Tarif-Seite ↗
Advancedbewerteter Tarif

$24,99/Nutzer/Monat jährlich. AI Studio Basic mit 75.000 Credits/Monat. DPA verfügbar. US-Standardspeicherung; EU-Residenz nicht in diesem Tarif enthalten.

Tarif-Seite ↗
Enterprise

Individuell bepreist. AI Studio Basic mit 200.000 Credits/Monat. EU-Datenresidenz als Add-on buchbar.

Tarif-Seite ↗
Enterprise+

Höchste Stufe, individuell bepreist. AI Studio Basic inklusive, EU-Datenresidenz inklusive.

Tarif-Seite ↗

4 Kernfragen

Training mit Nutzungsdaten

Standardmäßig ja, Opt-out möglich

Selbst prüfen

Für Asana AI Studio im Advanced-Tarif bestehen zwei Regime, die getrennt zu betrachten sind. Erstens: Asana-eigene ML-Modelle. Das Asana Privacy Statement (Stand 3. Dezember 2025, wirksam ab 1. Januar 2026) belegt: "Asana uses metadata related to your domain's use of Asana to train machine learning models." Admins können AI-Features über die Admin Console deaktivieren. Diese Formulierung ist opt-out-gerahmt; gemäß §5.1 Standing Rule wird opt-out gesetzt. Der genaue Scope der genutzten Metadaten (Nutzungsmuster, Task-Titel, Konfigurationsdaten) ist im Privacy Statement nicht vollständig spezifiziert (Beleglücke in unresolvedQuestions). Zweitens: Dritt-LLM-Provider (OpenAI, Anthropic). Das Privacy Statement belegt ausdrücklich: "Our third-party LLM service providers are contractually prohibited by us from using customer data to train their models." Für das Dritt-LLM-Regime würde no gelten. Da das Asana-eigene Metadaten-Training das schlechtere Regime darstellt, wird nach R1.1 (worst-case) opt-out für den Gesamteintrag gesetzt. Quelle: Asana Privacy Statement.

Speicherung ausschließlich EU

Nein

Für Asana AI Studio im Advanced-Tarif belegt das Asana Privacy Statement: "When you use Asana, some information about you will be stored in the United States." Die Primärspeicherung erfolgt in den USA. EU-Datenresidenz (Rechenzentrum Frankfurt) ist laut asana.com/inside-asana/eu-data-center und dem Asana Help Center (data-residency FAQ) ausschließlich für Enterprise-Kunden verfügbar (als Add-on) bzw. in Enterprise+ inklusive. Für den Advanced-Tarif ist EU-Residenz nicht buchbar; dataStorageEuOnly ist damit no. Quellen: Asana Privacy Statement, Asana EU data center.

Urheberrechtskonformität

vom Anbieter nicht transparent gemacht

Für Asana AI Studio im Advanced-Tarif wurden in den verfügbaren Primärquellen keine Aussagen zu Urheberrechts-Schutzmaßnahmen, lizenzierten Trainingsdaten, IP-Filtern oder einer Indemnification für Nutzer des Advanced-Tarifs gefunden. Geprüft: Asana Privacy Statement (Stand 3. Dezember 2025), Asana Subscriber Terms, Asana Trust Center, Asana AI - keine dieser Quellen enthält Aussagen zu Copyright-Schutzmaßnahmen oder IP-Indemnification für den Advanced-Tarif. Gemäß §5.3 wird unknown gesetzt (geprüft, aber keine Informationsbasis in den Primärquellen).

Öffentliche/unbefugte Einsehbarkeit

Nein (privat)

Für Asana AI Studio im Advanced-Tarif folgen Zugriffsrechte auf KI-generierte Inhalte und Workflow-Ergebnisse dem bestehenden Asana-Berechtigungsmodell (RBAC). Das Asana Privacy Statement und die Produktseite asana.com/product/ai belegen, dass Zugriffsrechte dem bestehenden Asana-Berechtigungsmodell folgen. Inhalte sind nicht öffentlich; Zugriff erfordert eine aktive Nutzerberechtigung im jeweiligen Asana-Workspace. Eine öffentliche Standardsichtbarkeit ist nicht dokumentiert. Quellen: Asana Privacy Statement, Asana AI.

Weitere Strukturfragen

Aufbewahrung beim Anbieter

Nutzergesteuert (löschbar)

Für Asana AI Studio im Advanced-Tarif belegt das DPA (asana.com/terms/data-processing): Löschung der Kundendaten erfolgt auf schriftlichen Antrag nach Vertragsende. Das EU Data Act Addendum (asana.com/terms/eu-data-act-addendum) ergänzt: Löschung innerhalb von 2 Monaten nach Antrag. Eine automatische Löschfrist ohne Nutzerlöschantrag ist in keiner Primärquelle dokumentiert. Das Privacy Statement nennt keine konkreten Aufbewahrungsfristen ("for the period necessary to fulfill the purposes"). Admin-Nutzer können Workspace-Daten exportieren und löschen; die Löschung entfernt die Daten beim Anbieter. user-controlled wird gesetzt. Hinweis: Gelöschte Workspace-Elemente sind nach sekundären Quellen für 30 Tage wiederherstellbar (Help Center, nicht direkt als Primärquelle abrufbar). Quellen: DPA Asana, EU Data Act Addendum.

Subprozessoren / zugrundeliegende Modelle

Vollständig offengelegt

Für Asana AI Studio im Advanced-Tarif listet die öffentliche Subprozessorliste (asana.com/terms/subprocessors) folgende KI-Subprozessoren explizit: Anthropic PBC (USA), OpenAI Inc/LLC (USA), AWS Bedrock (USA + EU) und Google LLC/Google Vertex (USA + EU). Das DPA sieht eine Vorabankündigung neuer Subprozessoren mit 10 Werktagen Vorlauf und 30 Tagen Widerspruchsfrist vor. Die Offenlegung umfasst sowohl die zugrundeliegenden LLM-Provider als auch die Cloud-Infrastruktur-Subprozessoren. fully-disclosed ist belegt. Quellen: Asana Subprocessors, Asana DPA.

Drittlandtransfer-Grundlage

EU-US Data Privacy Framework

Für Asana AI Studio im Advanced-Tarif findet ein Drittlandtransfer in die USA statt (Primärspeicherung USA, Anbieter Asana, Inc. in San Francisco). Als primäre Transfer-Rechtsgrundlage ist das EU-US Data Privacy Framework belegt: Das Asana Privacy Statement erklärt ausdrücklich die Zertifizierung unter EU-US DPF, UK Extension und Swiss-US DPF; das DPA bestätigt dies. Die DPF-Teilnahme von Asana, Inc. ist im offiziellen Register unter dataprivacyframework.gov als Participant #6372 gelistet (Verifizierung über Suchergebnisse, da JS-basiert). Als Fallback-Mechanismus sind SCC Module 2 (Controller-to-Processor) und Module 3 (Processor-to-Processor) im DPA dokumentiert. Gemäß R3.1 wird dpf als primäre Grundlage gesetzt; SCC sind ergänzend im Note vermerkt. Quellen: Asana Privacy Statement, Asana DPA, DPF-Register Asana #6372.

Schatten-IT-Gefährdungspotential

„Hoch" bedeutet „leicht unkontrolliert einsetzbar" — keine Wertung der Tool-Qualität.

Hoch

Produktfamilien-Eigenschaft (Familie asana): Maßgeblich ist der am leichtesten zugängliche Tarif der Asana-Familie. Asana bietet einen dauerhaft kostenlosen Personal-Tarif (bis 2 Nutzer) mit Self-Service-Anmeldung via E-Mail, Google oder Apple-SSO ohne Installation und ohne Zahlungsmittel. Die Nutzung erfolgt vollständig browserbasiert. Auf dem Personal-Free-Tier sind keine zentralen Admin-Kontrollen dokumentiert. AI Studio selbst ist erst ab Starter verfügbar, aber das Plattform-Zugangsmuster (und damit das Schatten-IT-Risiko) existiert ab Personal-Free. Gemäß R4.1 (riskantester Zugangspfad bestimmt die Stufe) wird high gesetzt. Quelle: Asana Pricing.

Quick-Facts

BetriebsmodellCloud-SaaS
HostingAnbieter-Cloud
DatenlokationUSA
Datenresidenz garantiertJa (nur Enterprise)
AVV/DPA verfügbarJa
SSOvom Anbieter nicht transparent gemacht
Audit-Logsvom Anbieter nicht transparent gemacht
ZertifizierungenISO 27001, ISO 27017, ISO 27018, ISO 27701, SOC 2 Type I, SOC 2 Type II, SOC 3, HIPAA
Art.-9-Daten möglichAbhängig vom Einsatz
EU-AI-Act-KlasseAbhängig vom Einsatz
Risikoprofilmittel

Zertifizierungen — Geltung

Das Asana Trust Center (trustcenter.asana.com) listet ISO/IEC 27001:2022, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019, SOC 2 Type I, SOC 2 Type II (Prüfzeitraum Feb 2025-Jan 2026), SOC 3 und HIPAA. CSA STAR Level 1 und GLBA sind dort ebenfalls gelistet, aber nicht im Schema-Enum enthalten und deshalb hier nicht aufgeführt. ISO 42001 ist im Trust Center nicht belegt und wird nicht aufgenommen. Nicht abschließend bewertbar: Das Trust Center weist keine tarif-spezifische Geltung aus; ob die Zertifikate explizit für den Advanced-Tarif gelten, ist aus öffentlichen Quellen nicht belegbar (R4.9 Split-Vorbehalt). Bitte aktuelle Geltung unter https://trustcenter.asana.com/ prüfen oder direkt bei Asana anfragen. Angabe ohne Gewähr.

Überblick

Kurzbeschreibung

Asana AI Studio ist die integrierte No-Code-Plattform von Asana zum Bauen KI-gesteuerter Workflows und Agenten innerhalb der Work-Management-Plattform. Im Advanced-Tarif enthalten mit 75.000 AI-Credits pro Monat. Vertragspartner für EWR-Kunden ist Asana, Inc. (Delaware, USA); zuständige Datenschutzaufsicht ist die irische Data Protection Commission (Irish DPC) gemäß DPA.

Verdichtetes Urteil

Asana AI Studio (Advanced) ermöglicht es Teams, KI-Agenten und Automationen ohne Programmierung zu konfigurieren, etwa für Intake, Routing und Eskalation. Für den Advanced-Tarif steht ein DPA bereit; Dritt-LLMs (OpenAI, Anthropic) trainieren vertraglich nicht mit Kundendaten. Asana nutzt jedoch Metadaten für eigene ML-Modelle mit Opt-out-Möglichkeit per Admin Console. Daten werden standardmäßig in den USA gespeichert; EU-Datenresidenz ist erst ab Enterprise verfügbar. Kein Beleg zu Urheberrechts-Schutzmaßnahmen oder Indemnification für den Advanced-Tarif gefunden.

Funktionsbeschreibung

Asana ist eine cloudbasierte Work-Management-Plattform (Aufgaben, Projekte, Portfolios, Ziele). AI Studio ist die integrierte No-Code-Plattform, mit der Admins und Power-User KI-gesteuerte Workflows konfigurieren: Intake-Formulare, Aufgaben-Routing, automatische Klassifikation, Eskalation und Status-Updates werden über natürlichsprachliche Anweisungen eingerichtet, ohne Programmierung. AI Studio nutzt Drittanbieter-LLMs von OpenAI und Anthropic via API. Zugriffsrechte innerhalb von AI Studio folgen dem bestehenden Asana-Berechtigungsmodell (RBAC).

Im Advanced-Tarif ist AI Studio Basic mit 75.000 AI-Credits pro Abrechnungskonto und Monat enthalten. Kostenpflichtige Erweiterungen (AI Studio Plus: 100.000 Credits/Monat; AI Studio Pro: 5 Mio. Credits/Quartal) sind als Add-on buchbar.

Asana verarbeitet zwei Kategorien von KI-bezogenen Daten: Nutzdaten (Aufgabeninhalte, Formulareingaben, Freitext-Prompts), die an Dritt-LLMs weitergeleitet werden, sowie Metadaten zur Nutzung der Plattform, die Asana für eigene ML-Modelle verwendet. Letzteres ist über die Admin Console deaktivierbar.

Vom bewerteten Scope klar abzugrenzen sind: die Tarife Personal, Starter, Enterprise und Enterprise+; Asana Intelligence-Einzelfeatures außerhalb von AI Studio mit abweichendem Datenregime; sowie die Asana-API als eigenständiger Entwicklervertrag.

Funktionen

  • No-Code-Workflow-Builder: KI-Agenten und Automationen per natürlichsprachlicher Konfiguration erstellen
  • AI Studio Basic mit 75.000 AI-Credits pro Monat im Advanced-Tarif
  • Automatisierung von Intake, Routing, Klassifikation, Eskalation und Status-Updates
  • LLM-Backends: OpenAI und Anthropic via API (Subprozessoren)
  • Admin-Steuerung über Admin Console: AI-Features aktivieren/deaktivieren, Credit-Monitoring
  • Berechtigungsmodell: Zugriffsrechte folgen dem bestehenden Asana-RBAC
  • Add-on-Optionen: AI Studio Plus (100.000 Credits/Monat) und AI Studio Pro (5 Mio. Credits/Quartal)

Einsatzszenarien

  • Automatisiertes Intake-Management: eingehende Anfragen (Formulare, E-Mails) werden durch einen KI-Agenten klassifiziert und dem zuständigen Team zugewiesen.
  • Projekt-Routing: neue Projekte werden anhand von Kriterien automatisch priorisiert, eskaliert oder weitergeleitet, ohne manuelle Einordnung.
  • Status-Updates und Berichterstattung: KI generiert regelmäßige Fortschrittsberichte auf Basis des Aufgabenstands.
  • Compliance-Workflows: strukturierte Genehmigungsprozesse mit automatischen Eskalationen bei Fristüberschreitung.

Zielgruppen

  • Operative Teams in KMU (Marketing, HR, IT-Service)
  • Projektmanagement-Teams in mittelgroßen Unternehmen
  • Admins und Process Owner, die Workflows ohne Programmierung konfigurieren
  • Unternehmen, die Asana bereits als Work-Management-Plattform nutzen

Typische Nutzung

  • Workflow-Automatisierung
  • KI-Agenten
  • Aufgaben-Routing
  • Prozess-Automatisierung
  • No-Code-Plattform

Preismodell

Abonnement-Modell. Advanced: $24,99/Nutzer/Monat (jährliche Abrechnung). AI Studio Basic mit 75.000 Credits/Monat im Tarif enthalten. Add-ons: AI Studio Plus ($135/Monat jährlich, 100.000 Credits), AI Studio Pro (individuell, 5 Mio. Credits/Quartal). Aktuelle Preise: https://asana.com/pricing (Stand 2026-07-01).

Risikobewertung

Begründung des Risikoprofils

  • DPA für den Advanced-Tarif ausdrücklich verfügbar (asana.com/privacy, Stufe-1-Quelle); Drittland-Transfer über DPF (Participant #6372) und SCC abgesichert; Subprozessoren (Anthropic, OpenAI, AWS Bedrock, Google Vertex) vollständig offengelegt.
  • Dritt-LLMs (OpenAI, Anthropic) trainieren vertraglich nicht mit Kundendaten (Privacy Statement, Stufe-1-Quelle); das Risiko eines Training-Einschlusses über Dritt-LLMs ist vertraglich ausgeschlossen.
  • Asana selbst nutzt Metadaten für eigene ML-Modelle (opt-out via Admin Console); der genaue Metadaten-Scope ist nicht vollständig dokumentiert (Beleglücke in unresolvedQuestions).
  • Daten werden standardmäßig in den USA gespeichert; EU-Datenresidenz ist für den Advanced-Tarif nicht verfügbar (nur Enterprise/Enterprise+). Kein Beleg zu Urheberrechts-Schutzmaßnahmen oder Indemnification für Advanced.
  • Schatten-IT-Risiko hoch (Produktfamilien-Eigenschaft): Asana bietet einen dauerhaft kostenlosen Personal-Tarif mit Self-Service-Anmeldung; AI Studio selbst ist erst ab Starter verfügbar, die Plattform (und das Zugangsmuster) aber ab Personal-Free.

Typische Risiken

  • Datenabfluss über Dritt-LLM-APIs: Aufgabeninhalte und Prompts werden an OpenAI/Anthropic (USA) übermittelt; LLM-Provider sind vertraglich zur Nicht-Nutzung für Training und zur Löschung nach Query verpflichtet, aber US-amerikanische Verarbeitung findet statt.
  • Metadaten-Training durch Asana: Plattform-Metadaten fließen in Asanas eigene ML-Modelle ein; Opt-out über Admin Console erforderlich, aber nicht standardmäßig aktiv (opt-out-Rahmung).
  • US-Datenspeicherung ohne EU-Residenz für den Advanced-Tarif: Daten werden primär in den USA gespeichert; EU-Residenz ist für Advanced nicht verfügbar.
  • Kein Beleg zu Urheberrechts-Schutzmaßnahmen für AI-generierte Outputs aus AI Studio (copyrightCompliance=unknown).
  • Schatten-IT über kostenlosen Personal-Tarif: Mitarbeitende können Asana ohne IT-Genehmigung nutzen; keine nativen Admin-Kontrollen auf dem Free-Tier.
  • Prompt-Injection-Risiko bei Agenten, die externe Eingaben (Formulare, E-Mails) verarbeiten und auf dieser Basis Aktionen auslösen; keine Asana-seitige Dokumentation zu Abwehrmaßnahmen gefunden.

Kritische Konstellationen

  • Verarbeitung personenbezogener Daten Dritter (Kundendaten, Bewerber, Patienten) über AI-Studio-Prompts und Agenten: DPA ist verfügbar; Unternehmen müssen sicherstellen, dass das DPA abgeschlossen ist und die Datenarten im DPA-Scope liegen.
  • Einsatz von AI-Studio-Agenten für automatisierte Entscheidungen über Personen (HR-Screening, Kreditvergabe): potenziell Hochrisiko nach EU AI Act Anhang III; Deployer-Pflichten nach Art. 26 gesondert prüfen (gilt ab 12/2027).
  • Eingabe von Art.-9-DSGVO-Daten (Gesundheits-, biometrische oder politische Daten) in AI-Studio-Prompts: diese fließen in Dritt-LLM-APIs (OpenAI, Anthropic, USA); explizite Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO und DSFA nach Art. 35 DSGVO erforderlich.
  • Nutzung über unverwaltete persönliche Asana-Konten (Schatten-IT): kein Admin-Zugriff für die Organisation; keine Kontrolle über AI-Feature-Nutzung oder Datenweitergabe an LLMs.
  • Dialogische KI-Agenten, die mit Dritten (Kunden, Lieferanten) interagieren: Transparenzpflicht nach Art. 50 Abs. 1 EU AI Act (Informationspflicht über KI-Interaktion) gilt ab 02.08.2026.

Organisatorische Anforderungen

  • DPA abschließen: Das DPA ist für den Advanced-Tarif verfügbar (asana.com/privacy bestätigt dies explizit). Vor dem Einsatz zur Verarbeitung personenbezogener Daten ist das DPA zu unterzeichnen. Quellen: [Asana DPA](https://asana.com/terms/data-processing), [Asanas commitment to privacy](https://asana.com/privacy).
  • Metadaten-Training-Opt-out aktivieren: In der Admin Console unter den AI/Intelligence-Einstellungen AI-Features deaktivieren, um die Nutzung von Plattform-Metadaten für Asanas eigene ML-Modelle zu unterbinden. Der genaue Pfad: Admin Console > Settings > AI/Intelligence. Quellen: [Asana Privacy Statement](https://asana.com/terms/privacy-statement), [Asana AI features and admin controls](https://help.asana.com/s/article/asana-ai-features-and-admin-controls?language=en_US).
  • Nutzungsrichtlinie für AI Studio: Festlegen, welche Datenkategorien in AI-Studio-Prompts und -Agenten eingesetzt werden dürfen. Art.-9-DSGVO-Daten und hochvertrauliche Geschäftsinformationen aus Prompts fernhalten, da diese in Dritt-LLM-APIs (USA) übermittelt werden. Quelle: [Asana Subprocessors](https://asana.com/terms/subprocessors).
  • EU-Residenz: Für den Advanced-Tarif ist EU-Datenresidenz nicht verfügbar. Ist EU-Residenz eine Anforderung, ist ein Upgrade auf Enterprise (Add-on) oder Enterprise+ erforderlich. Quelle: [Asana EU data center](https://asana.com/inside-asana/eu-data-center).
  • KI-Kompetenz (Art. 4 EU AI Act, gilt seit 02.02.2025): Mitarbeitende, die AI Studio einsetzen oder konfigurieren, müssen eine angemessene KI-Kompetenz nachweisen. Dokumentation der Schulungsmaßnahmen empfohlen. Quelle: [Art. 4 EU AI Act](https://artificialintelligenceact.eu/article/4/).
  • Interaktions-Transparenz (Art. 50 Abs. 1 EU AI Act, gilt ab 02.08.2026): Werden AI-Studio-Agenten so eingesetzt, dass sie dialogisch mit natürlichen Personen interagieren (z.B. Kunden-Chatbot, internes Q&A), müssen diese Personen darüber informiert werden, dass sie mit einem KI-System interagieren. Quelle: [Art. 50 EU AI Act](https://artificialintelligenceact.eu/article/50/).
  • Kennzeichnung synthetischer Inhalte (Art. 50 Abs. 4 EU AI Act, gilt ab 02.08.2026): KI-generierte Texte, die im Rahmen von AI-Studio-Agenten nach außen kommuniziert werden, sind als KI-erzeugt zu kennzeichnen. Quelle: [Art. 50 EU AI Act](https://artificialintelligenceact.eu/article/50/).

IT- & Informationssicherheit

IT-Sicherheit

  • Verschlüsselung: Das Asana Security Standards-Dokument (asana.com/terms/security-standards) belegt TLS 1.2 für Daten in Transit und AES-256 für Daten at rest. Die Standards gelten plattformweit ohne Plan-Differenzierung. Hosting-Infrastruktur ist AWS (belegt durch asana.com/trust und das DPA). Quelle: [Asana Data Security Standards](https://asana.com/terms/security-standards).
  • Prüfungen und Bug Bounty: Asana führt laut Security Standards-Dokument jährliche Drittprüfungen durch und betreibt ein Bug-Bounty-Programm. SOC 2 Type II (Prüfzeitraum Feb 2025-Jan 2026) ist im Trust Center dokumentiert. Quellen: [Asana Trust Center](https://trustcenter.asana.com/), [Asana Data Security Standards](https://asana.com/terms/security-standards).
  • Authentifizierung und Zugriffskontrolle: Zugriffsrechte innerhalb von AI Studio folgen dem Asana-RBAC-Berechtigungsmodell. Admin-Steuerung über Admin Console: AI-Features können gesamt aktiviert/deaktiviert werden; Credit-Monitoring ist verfügbar. SSO (SAML) für den Advanced-Tarif ist aus den verfügbaren Primärquellen nicht plan-spezifisch belegt (hasSSO=unknown). Quelle: [Asana AI features and admin controls](https://help.asana.com/s/article/asana-ai-features-and-admin-controls?language=en_US).

Informationssicherheit

  • Dritt-LLM-Datenfluss: Asana leitet Freitext-Prompts und Aufgabeninhalte an Dritt-LLMs (Anthropic, OpenAI) weiter. Laut Privacy Statement und Produktseite sind diese LLM-Provider vertraglich verpflichtet, Kundendaten nach jeder Query zu löschen und sie nicht zum Training zu nutzen. Dennoch fließen sensitive Inhalte (Aufgabentitel, Kommentare, Formulareingaben) in den Verarbeitungskontext dieser US-amerikanischen Drittanbieter ein. Organisationen sollten prüfen, welche Datenkategorien über AI Studio-Prompts verarbeitet werden dürfen.
  • Metadaten-Training durch Asana: Asana nutzt Metadaten zur Nutzung der Plattform für eigene ML-Modelle. Der genaue Scope dieser Metadaten ist im Privacy Statement nicht vollständig spezifiziert. Admins können AI-Features über die Admin Console deaktivieren, was nach Quellenlage auch das Metadaten-Training stoppt; ob der Toggle nur AI-Features oder auch das Metadaten-Training separat steuert, ist nicht eindeutig dokumentiert.
  • Schatten-IT: Asana ist über einen kostenlosen Personal-Tarif ohne IT-Genehmigung zugänglich. Mitarbeitende können Asana-Konten ohne Unternehmens-Kontrolle anlegen. Die Steuerung über die Admin Console greift nur, wenn eine Organisation einen verwalteten Unternehmens-Workspace betreibt. Für unverwaltete persönliche Konten gibt es keine zentrale Kontrolle.
  • Prompt-Injection: Bei KI-Agenten, die externe Eingaben (Formulare, E-Mails) verarbeiten und darauf basierend Aktionen auslösen, besteht ein Prompt-Injection-Risiko: manipulierte Eingaben könnten den Agenten zu unbeabsichtigten Aktionen verleiten. Asana-Primärquellen enthalten keine spezifische Dokumentation zu Prompt-Injection-Abwehrmaßnahmen für AI Studio.

Datenschutz (DSGVO)

Verarbeitete Daten

  • Freitext-Prompts an LLMs über AI Studio (Aufgabenanweisungen, Agenten-Konfiguration)
  • Aufgabentitel und -beschreibungen, Projektmetadaten, Kommentare
  • Formulareingaben und Workflow-Trigger-Daten
  • Anhänge (Dateien, Bilder), soweit in Asana-Aufgaben verknüpft
  • Nutzungsmetadaten der Plattform (für Asana-eigene ML-Modelle, opt-out via Admin Console)
  • Account-Daten (E-Mail, Nutzerrollen, Workspace-Konfiguration)

Datenschutzrechtliche Einordnung

Für Asana AI Studio im Advanced-Tarif ist Asana, Inc. (Delaware, USA) Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Ein DPA steht ausdrücklich für den Advanced-Tarif bereit (asana.com/privacy: "Asana offers our Starter, Advanced, Enterprise, and Enterprise+ customers a Data Processing Addendum"). Contracting entity ist Asana, Inc.; eine separate EWR-Vertragseinheit ist nicht belegt. Für Datenschutz-Streitigkeiten gilt irisches Recht; die Irish DPC ist zuständige Aufsichtsbehörde gemäß DPA.

Drittlandtransfers in die USA finden statt (Primärspeicherung USA); die Transfergrundlage ist das EU-US Data Privacy Framework (thirdCountryTransferBasis=dpf) mit SCC als Fallback. EU-Datenresidenz ist für den Advanced-Tarif nicht verfügbar.

Asana nutzt Metadaten für eigene ML-Modelle (opt-out möglich). Dritt-LLM-Provider (OpenAI, Anthropic) trainieren vertraglich nicht mit Kundendaten und müssen diese nach jeder Query löschen. Subprozessoren sind vollständig offengelegt.

Art.-9-DSGVO-Daten (Gesundheits-, biometrische oder politische Daten) können technisch in AI-Studio-Prompts und Aufgabeninhalten vorkommen; dies hängt vom konkreten Einsatz ab. Eine strukturelle Nutzung für Art.-9-Szenarien ist nicht dokumentiert, aber auch nicht ausgeschlossen.

Art. 5 DSGVO (Grundsätze)

Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Asana verarbeitet Kundendaten zur Diensterbringung (DPA) und Nutzungsmetadaten für eigene ML-Modelle (Privacy Statement). Beide Zwecke sind dokumentiert. Die LLM-Provider verarbeiten Daten nur zur Abfragebearbeitung (Query-Scope) und löschen danach; der Zweck ist vertraglich eng begrenzt. Für KI-Agent-Workflows sollten Unternehmen die verarbeiteten Datenarten und Zwecke in einer DSFA (Art. 35 DSGVO) dokumentieren, wenn sensible Daten betroffen sind.

Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): AI-Studio-Prompts enthalten typischerweise Aufgabeninhalte, Formulardaten und Prozesskontext. Unternehmen sollten die Prompts auf das zur Automatisierung notwendige Minimum beschränken und keine personenbezogenen Drittdaten (Kundendaten, HR-Daten) einbeziehen, die nicht zwingend erforderlich sind.

Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO): Verschlüsselung (TLS 1.2 / AES-256) ist für die Asana-Infrastruktur (AWS) belegt. Subprozessoren (Anthropic, OpenAI, AWS Bedrock, Google Vertex) sind vollständig offengelegt; das DPA enthält entsprechende Auftragsverarbeiter-Regelungen für Dritte.

Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO): DPA verfügbar, ISO 27001 / SOC 2 Type II belegt. Zertifikats-Geltung für den Advanced-Tarif ist aus öffentlichen Quellen nicht explizit bestätigt (Vorbehalt in certificationsNote).

Art. 6 DSGVO (Rechtsgrundlagen)

Rechtsgrundlage im B2B-Kontext (Art. 6 Abs. 1 lit. b DSGVO): Asana verarbeitet Kundendaten auf Basis des Subscriber Agreement (Vertragserfüllung) und des DPA (Auftragsverarbeitung). Für die Nutzung durch eine Organisation zur Verarbeitung eigener Geschäftsprozess-Daten trägt der Subscriber Agreement die Verarbeitung.

Metadaten-Training durch Asana (Art. 6 Abs. 1 lit. f DSGVO): Asana stützt die Nutzung von Plattform-Metadaten für eigene ML-Modelle auf berechtigtes Interesse; ein Opt-out ist über die Admin Console möglich. Unternehmen sollten den Opt-out aktivieren, wenn keine Rechtsgrundlage für diese Verarbeitung besteht.

Drittlandtransfer (Art. 44 ff. DSGVO): Transfer in die USA auf Basis des EU-US Data Privacy Framework (Art. 45 DSGVO, Angemessenheitsbeschluss) und ergänzend SCC Module 2 und 3 (Art. 46 DSGVO). Die DPF-Zertifizierung ist im offiziellen Register bestätigt (Participant #6372).

Einsatz mit Art.-9-DSGVO-Daten: Falls AI-Studio-Workflows Art.-9-Daten verarbeiten (z.B. Gesundheitsdaten in HR-Workflows), ist eine explizite Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO erforderlich; eine DSFA nach Art. 35 DSGVO ist zu prüfen.

EU AI Act

Art. 5 (verbotene Praktiken)

Asana AI Studio ist eine No-Code-Plattform zur Konfiguration von KI-Agenten und Automationen und ist in der Standardnutzung nicht auf verbotene Praktiken nach Art. 5 EU AI Act ausgerichtet. Für die normale Nutzung (Intake-Routing, Eskalation, Status-Updates) greift kein Verbotstatbestand.

Folgende Konstellationen erfordern Prüfung durch den Deployer: Wenn mit AI Studio Agenten gebaut werden, die Entscheidungen über Personen treffen (z.B. automatisiertes Scoring von Bewerbungen) und dabei manipulative oder diskriminierende Techniken einsetzen, können Art. 5 Abs. 1 lit. a (unterschwellige Beeinflussung) oder Art. 5 Abs. 1 lit. c (biometrische Kategorisierung) einschlägig sein. Die Einordnung hängt vom konkreten Einsatz des konfigurierten Agenten ab, nicht von AI Studio als Plattform.

Keine Asana-Primärquelle zur eigenen EU-AI-Act-Einordnung von AI Studio gefunden; Einordnung basiert auf dem Verordnungstext. Quelle: Regulation (EU) 2024/1689.

Art. 6 (Hochrisiko)

Asana AI Studio ist kein per-se Hochrisiko-System nach Art. 6 EU AI Act in Verbindung mit Anhang III. Die Risikoklasse der über AI Studio konfigurierten Agenten hängt vom konkreten Einsatzbereich ab (euAiActRiskClass=depends-on-use). Asana-Kunden sind Deployer im Sinne des EU AI Acts; die Dritt-LLMs (OpenAI, Anthropic) sind als GPAI-Systeme einzuordnen, deren Anbieter eigene Pflichten tragen.

Falls ein mit AI Studio konfigurierter Agent in einem Bereich nach Anhang III eingesetzt wird (z.B. Beschäftigungs-/HR-Entscheidungen, Bildung, kritische Infrastruktur), treffen den Deployer die Hochrisiko-Betreiberpflichten nach Art. 26 EU AI Act. Geltung für Hochrisiko-Systeme ab 12/2027 (Omnibus-Verschiebung).

Quelle: Regulation (EU) 2024/1689.

Nachvollziehbarkeit

Reviewer

ai-research / claude-sonnet-4-6

Quellen

Offene Fragen

  • trainsOnUserData - Metadaten-Scope: Das Asana Privacy Statement beschreibt "metadata related to your domain's use of Asana" ohne vollständige Spezifizierung. Unklar: ob nur Nutzungsmuster (Klickpfade, Feature-Nutzung) oder auch Aufgabentitel und Inhalte eingeschlossen sind.
  • trainsOnUserData - Admin-Console-Toggle-Scope: Das Privacy Statement beschreibt Admins können AI-Features deaktivieren, aber es ist nicht explizit dokumentiert, ob dieser Toggle das Metadaten-Training separat steuert oder nur AI-Features gesamt abschaltet.
  • hasSSO - Plan-Verfügbarkeit für Advanced: SAML/SCIM-SSO ist aus den verfügbaren Primärquellen für den Advanced-Tarif nicht plan-spezifisch belegt; Enterprise-Geltung ist wahrscheinlich, aber nicht durch eine Primärquelle für Advanced bestätigt.
  • hasAuditLogs - Plan-Verfügbarkeit für Advanced: Audit Logs sind im Trust Center erwähnt, aber die Verfügbarkeit für den Advanced-Tarif (vs. Enterprise+) ist nicht aus Primärquellen belegt.
  • copyrightCompliance: Keine Primärquelle zu Urheberrechts-Schutzmaßnahmen, lizenzierten Trainingsdaten oder IP-Indemnification für den Advanced-Tarif gefunden. Kein Beleg in Trust Center, DPA oder Privacy Statement.
  • retention - 30-Tage-Recovery: Die sekundär belegte 30-Tage-Wiederherstellbarkeit gelöschter Workspace-Elemente (Help Center) konnte nicht als Primärquelle abgerufen werden (JS-blockiert); sie wird im Eintrag nicht als Hauptaussage verwendet.
  • Zertifikats-Geltung für Advanced-Tarif: Das Trust Center weist keine tarif-spezifische Einschränkung aus; ob die Zertifikate (ISO 27001 etc.) explizit für den Advanced-Tarif gelten, ist aus öffentlichen Primärquellen nicht belegbar.