Was hat die DSGVO mit Trello zu tun?

Ich hatte mir ja geschworen, das Thema DSGVO hier im Blog nicht zu thematisieren. Aber da die Anfragen per Mail und PN im Zusammenhang mit Trello immer mehr werden, breche ich diesen Schwur natürlich gerne für dich …

Aber zuerst kommt noch der übliche Absatz:

Trello ist ein Anbieter in einem Drittland (also außerhalb der EU) und somit musst du dir bitte im ersten Schritt überlegen, ob du das überhaupt möchtest. Durch das Kippen des EU-US Privacy Shield 2020 wurde es leider nicht einfacher, ich bin aber davon überzeugt, dass es in Zukunft ein neues Abkommen geben wird. Möglich ist es auf jeden Fall dadurch, dass Trello bzw. Atlassian einen Auftragsverarbeitungsvertrag anbietet.

Die Firma, die hinter Trello steht, heißt übrigens Atlassian Network Services, Inc.

Die Podcast-Episode zum Artikel

Warum ich einen AVV mit Trello eingegangen bin

Mein erster Gedanke war: „Da führe ich ja nur meine ToDo-Liste, meinen Redaktionsplan und meine Projektpläne – das kann ja wohl egal sein.“

Allerdings gibt es ein paar Workflows, die extrem erschwert bzw. verkompliziert werden, wenn du darauf achtest, keine personenbezogenen Daten in Trello zu verwenden:

• Meine 1-Minuten ToDo-Liste

Um E-Mails, die eine Aufgabe beinhalten, aus meinem Posteingang in die ToDo-Liste zu bekommen, schicke ich diese E-Mails an mein Trello-Board. Und habe damit natürlich zumindest die E-Mail-Adresse dort gespeichert. In den letzten Monaten habe ich das vermieden und die ToDos händisch mit Vornamen und dem ersten Buchstaben des Nachnamens des betreffenden Kunden erfasst.

Mühsam …

Daher: wenn du auch diesen Weg gehst, musst du Trello unbedingt in deine Überlegungen hinsichtlich der DSGVO einbeziehen.

• Meine VIP-Liste

Da meine Workshops (wie z.B. der Workshop Content-Planung und Themen-Entwicklung) und mein Online-Programm Home-sweet-Office 2.0 immer nur zu bestimmten Zeitpunkten starten, bekomme ich zwischendurch immer wieder Mails oder PNs mit der Bitte, für den nächsten Start vorgemerkt zu werden. Diese Interessenten verwalte ich auch lieber in einem Trello-Board als im E-Mail-Programm.

Und natürlich habe ich auch hier personenbezogene Daten gespeichert – daher ist auch das ein Grund, die DSGVO umzusetzen.

• Privatnachrichten

Wenn ich unterwegs bin und auf eine Privatnachricht über irgendeinen Messenger-Dienst bekomme, sie aber nicht gleich beantworten kann, dann mache ich mir davon einen Print Screen, den ich dann wieder in meiner ToDo-Liste abspeichere.

Das ist zwar „nur“ ein Bild, allerdings mit dem Namen und dem Foto der betreffenden Person.

Und du wirst es schon erraten: Das sind personenbezogene Daten …

• Projekt-Planung

Auch in meinem Projekt-Board kommt es durchaus vor, dass ich personenbezogene Daten speichere, z.B. wenn ich mit einem Kursteilnehmer noch ein Interview führen möchte, oder Ähnliches.

Das könnte man zwar auch über Initialen oder den abgekürzten Familiennamen lösen, aber da es eine DSGVO-konforme Möglichkeit gibt, möchte ich diese auch wahrnehmen.

• CRM (Customer Relationship Management)

Ich sehe auch immer wieder (auch in meinem Trello-Kurs habe ich diese Anwendung beschrieben), dass Trello als komplettes CRM verwendet wird. Dann solltest du bitte zusätzlich speziell auf Löschfristen achten, damit nicht die Angebote, die nicht zum Auftrag wurden, zu lange gespeichert werden.

Speicherfristen

Auch das ist eine Frage, die ich oft gestellt bekomme: „Wie lange speichert Trello meine Daten?“

Die Antwort ist einfach: Solange, bis du sie löschst. Das bedeutet, dass du auch nur archivieren solltest, was du archivieren darfst, regelmäßig alles durchschaust, oder eben löscht, was du nicht mehr in den Boards benötigst.

Nachdem das Löschen der einzelnen Kärtchen leider immer noch ein bisserl mühsam ist, habe ich inzwischen für meine Erledigt-Listen folgenden Workflow entwickelt:

• Board namens „löschen“ anlegen
• Wenn eine Erledigt-Liste zu archivieren wäre, verschiebe ich sie auf dieses Löschen-Board
• Alle 3 Monate lösche ich das Board komplett – und damit sind auch alle darin enthaltene Kärtchen gelöscht!
• Und dann beginnt alles von vorne

So kommst du zu einem Auftragsverarbeitungsvertrag mit Trello

Update 2020: Inzwischen wurde das Prozedere geändert – bzw. vereinfacht.

(1) Lade dir hier den AVV als PDF herunter, öffne es im Acrobat Reader, fülle es aus und speichere es bei dir am PC ab.

(2) Danach schreibst du eine E-Mail an dpasubmission@atlassian.com – ich habe diesen Text geschickt:

Submission of DPA for Trello Business Class Account

Dear Sirs,

please find enclosed the signed document for my Trello Business Class Account. I would appreciate your confirmation upon receiving the above mentioned documentation. Thank you.

With kind regards…..

(3) Fertig!

Verarbeitungsverzeichnis

Für das Verarbeitungsverzeichnis kommt es natürlich darauf an, was du genau in Trello in welchem Workflow speicherst. Ich selbst habe zwei Verzeichnisse angelegt. Einmal für die Aufnahme der E-Mails in die Boards und einmal für das händische Erfassen von Interessenten.

Wichtig für dich ist vielleicht auch noch die Adresse und der Firmen-Name von Trello:

Atlassian PTY Ltd
Atlassian Inc. (San Francisco, Harrison Street Location)
1098 Harrison Street
San Francisco, California 94103

Ich hoffe, ich hab‘ dir dadurch ein klitzekleines Lichterl in den DSGVO-Dschungel gebracht!

PS: Und nicht vergessen: Bleib neugierig!

---