Sicherheit, Datenschutz und Compliance bei Todoist


In diesem Artikel möchten wir alle deine Fragen darüber beantworten, wie wir mit deinen personenbezogenen Daten umgehen, welche Sicherheitsmaßnahmen wir ergreifen und wie wir globale Verordnungen wie die DSGVO einhalten.

Kleiner Tipp

Schau dir unsere umfassende Datenschutzrichtlinie und Sicherheitsrichtlinie, in der die Maßnahmen zum Schutz deiner Daten im Detail beschrieben sind.

Sicherheit

Sicherheit umfasst die Maßnahmen und Protokolle, die wir einsetzen, um deine Daten vor unbefugtem Zugriff, Verstößen und anderen Risiken zu schützen. Dazu gehören sowohl technische als auch verfahrensspezifische Sicherheitsvorkehrungen, die sicherstellen, dass deine Daten vertraulich, intakt und jederzeit für dich verfügbar bleiben.

Wir beschränken den Zugriff auf personenbezogene Daten auf eine sehr kleine Anzahl von Mitarbeitenden, wenn sie aus konkreten Gründen zur Verbesserung von Todoist und Twist Zugang benötigen.

Wir prüfen, beurteilen und bewerten regelmäßig die Wirksamkeit unserer Prozesse und Technologien.

Zum Schutz der Daten nutzen wir Verschlüsselungsmethoden.

Wenn Userdaten auf Servern und in Datenbanken gespeichert werden, verwendet Doist eine AES 256-Verschlüsselung. Wenn die Daten gesendet oder empfangen werden, werden sie mit TLS 1.1 oder höher verschlüsselt. Datensicherungen auf unseren Servern werden mit AES256 verschlüsselt und von RSA mit einer Schlüssellänge von 2048 signiert.

Für Pro- und Business-User erstellt Todoist außerdem täglich automatische Backups innerhalb der App. Wir treffen die notwendigen Vorkehrungen, um sicherzustellen, dass diese Backups durch ein Sicherheitssystem, das unbefugten Zugriff verhindert, gut geschützt sind.

Da die DSGVO verschiedene Vorschriften enthält, hängt dein Compliance-Bedarf von deinen genauen Umständen ab. Wenn du bestimmte Fragen oder Bedürfnisse hast, kontaktiere uns.

Wenn du Todoist über einen individuellen Plan mit einem standardmäßigen persönlichen Workspace verwendest, wird Doist als Datenverarbeiter betrachtet. Dies bedeutet, dass wir kontrollieren, wie deine Userdaten verarbeitet werden, und dass wir für die Daten verantwortlich sind, die im Rahmen der DSGVO verarbeitet werden. Durch die Nutzung unseres Dienstes gewährst du Doist das Recht, deine Inhalte mit anderen autorisierten Usern im Rahmen unserer Teamarbeits-Funktionen zu teilen.

Indem du deine Inhalte mit anderen Todoist-Usern teilst (einschließlich in Team-Workspaces oder in geteilten Projekten innerhalb eines persönlichen Workspace), gewährst du jedem dieser User das Recht, über unseren Dienst auf deine Inhalte zuzugreifen und diese zu nutzen, zu vervielfältigen, zu verteilen, anzuzeigen, zu bearbeiten, aufzuführen und anderweitig mit diesen Inhalten zu interagieren. Wenn du einen Team-Workspace erstellst oder einem solchen beitrittst (er wird in diesem Fall als Organisations-Workspace betrachtet), erklärst du dich damit einverstanden, die Richtlinien der betreffenden Organisation und alle Vereinbarungen zwischen dir und dieser Organisation einzuhalten. Das bedeutet, dass die Organisation die Eigentümerin aller User-Inhalte im jeweiligen Workspace ist. Alle User-Inhalte im Organisations-Workspace können mit der Organisation geteilt werden und können von der Organisation geändert, gelöscht oder aufgerufen werden. Die Organisation kann deinen Zugriff auf den Organisations-Workspace jederzeit sperren, sodass du möglicherweise nicht mehr auf deine Inhalte in diesem Workspace zugreifen kannst. Durch die Übertragung von Inhalten in den Organisations-Workspace gewährst du der Organisation umfassende Rechte an deinen User-Inhalten.

Wir bieten vollen Zugriff auf Daten über unsere API. So können wir auf deinen Wunsch die von dir vermittelten personenbezogenen Daten bereitstellen bzw. diese Daten an eine andere Organisation übertragen. Unsere API für Twist und Todoist findest du hier:

https://developer.todoist.com/sync/v7/#getting-started

https://developer.twistapp.com/v2/

Bitte beachte, dass Zahlungsinformationen und Integrationen nicht über unsere API verfügbar sind. Wenn du Informationen dazu haben möchtest oder Hilfe beim Export deiner Daten benötigst, kontaktiere uns.

Inhalte von Usern wie Aufgaben und Kommentare befinden sich in unseren Datenspeichern, die vom Datenverkehr im Internet abgeschirmt sind und für die innerhalb des Unternehmens strenge Zugriffsregeln gelten.

Der Zugriff darauf wird geprüft, erfordert mehrere Authentifizierungsebenen und ist nur gestattet, wenn es einem legitimen betrieblichen Zweck dient. Mit anderen Worten: Befugte interne Mitarbeitende haben keine Möglichkeit, auf diese Daten zuzugreifen, ohne dass andere davon wissen. Es besteht selten die Notwendigkeit, auf User-Inhalte zuzugreifen.

Ja, nach einer gewissen Zeit. Das System kennzeichnet die Datensätze zunächst als gelöscht, bevor es sie tatsächlich löscht. Wiederherstellbare Löschungen (Soft Deletions) stellen sicher, dass die Inhalte für Client-Anwendungen unzugänglich sind. Das Verhalten des Systems unterstützt unsere geräteübergreifenden Synchronisierungsmechanismen. Als gelöscht gekennzeichnete Datensätze helfen den Synchronisationsalgorithmen bei der Lösung von Konflikten im Datenzustand.

Die Inhalte der User befinden sich auch in Datenbank-Backups. Sie dienen der Aufrechterhaltung des Geschäftsbetriebs, für den Fall, dass es zu einem schwerwiegenden Datenverlust, einem längeren Zeitraum ohne Datenverfügbarkeit oder einer Datenbeschädigung kommt. Alle Daten, einschließlich der Backups, werden im Ruhezustand verschlüsselt aufbewahrt. Bislang mussten wir noch nie Datenbank-Backups verwenden.

Datenbank-Backups erlauben keinen Zugriff auf die Daten der einzelnen User. Stattdessen können wir sie in einer Live-Datenbank wiederherstellen, wo die üblichen Datenzugriffskontrollen gelten. Die Backups werden automatisch rotiert und sind nicht länger als 94 Tage gültig.

Datenschutz

Datenschutz bezieht sich auf die Art und Weise, wie wir deine personenbezogenen Daten erfassen, verwenden, weitergeben und verwalten. Es geht darum sicherzustellen, dass deine personenbezogenen Daten in einer Weise behandelt werden, die deine Rechte und Erwartungen respektiert.

Die von uns erfassten Daten sind erforderlich, damit wir dir unsere Dienste zur Verfügung stellen können, und werden zur Verbesserung von Twist und Todoist verwendet.

Wenn du dich für Todoist und/oder Twist registrierst, gibst du uns freiwillig Informationen wie deinen Namen und deine E-Mail-Adresse. Du kannst diese Informationen jederzeit in deinen persönlichen Kontoeinstellungen abrufen und aktualisieren.

Bei Verwendung unserer Dienste gibst du uns außerdem die Zustimmung, die folgenden Daten zu verwenden:

  • E-Mail-Adresse
  • IP-Adresse
  • Geräte-ID
  • Name und Nachname (optional, wird nicht verarbeitet)
  • Job (optional, wird nicht verarbeitet)
  • Telefonnummer (optional, wird nicht verarbeitet)
  • USt-IdNr. (optional)
  • Rechnungsadresse (für Pro- und Business-Konten)

Um deine personenbezogenen Daten zu exportieren, kontaktiere uns.

Wir bieten vollen Zugriff auf Daten über unsere API. So können wir auf deinen Wunsch die von dir vermittelten personenbezogenen Daten bereitstellen bzw. diese Daten an eine andere Organisation übertragen. Unsere API für Twist und Todoist findest du hier:

Beachte, dass Zahlungsinformationen und Integrationen nicht über unsere API verfügbar sind. Wenn du Informationen dazu haben möchtest, kontaktiere uns.

Nein, wir verkaufen niemals Daten.

Nach der Löschung deines Kontos werden alle deine personenbezogenen Daten aus unseren Produktionssystemen entfernt. Nur eine verschlüsselte Kopie deiner Daten verbleibt 90 Tage lang in unserem Backup-Archiv. Nach diesem Zeitraum werden alle Daten, die mit deinem Konto verbunden sind, dauerhaft gelöscht. Bitte beachte, dass wir die verschlüsselte Kopie aus unseren Backup-Archiven auf Anfrage nicht zur Verfügung stellen.

Wir verwenden Cookies, um Informationen über dein Browserverhalten zu sammeln und dich von anderen Todoist-Usern zu unterscheiden. Dies bietet dir ein optimales Nutzungserlebnis mit unserer App und ermöglicht es uns, die Funktionalität der App zu verbessern.

Wir nutzen die folgenden Cookies:

  • Unbedingt notwendige Cookies: Sie sind erforderlich, um deine Anmeldefunktionen, die User-Authentifizierung und die Sicherheitsmaßnahmen durchzuführen;
  • Funktionale Cookies: Sie werden verwendet, um dich zu erkennen, wenn du auf unsere Website zurückkehrst, und um unsere Inhalte für dich zu personalisieren, dich mit deinem Namen zu begrüßen und deine Einstellungen zu speichern;
  • Analyse- und Werbe-Cookies: Sie dienen dazu, dass wir verstehen, wie User mit unserem Produkt umgehen. Wir verwenden einige Cookies von Drittanbietern: Google Analytics (zur Analyse des Nutzungsaufkommens auf der Website und des Nutzungsverhaltens), Datadog (zur Überwachung der Web-Performance und des Nutzungserlebnisses), Stripe (zur Abwicklung von Zahlungen und für die Preis-/Upgrade-Seite), Zendesk (zum Laden von Bildern, zur Bereitstellung von Support und für das Help Center), YouTube (zur Anzeige von Videos auf den Help Center-Seiten), Cloudinary (zum Laden und Optimieren von Bildern).

Wir nutzen Drittanbieter-Dienste und Hosting-Partner wie Stripe, AWS und Google Workspace, die DSGVO-konform sind. In diesen Fällen ergreifen wir die notwendigen Schutzmaßnahmen, um sicherzustellen, dass wir DSGVO-konform handeln, wenn wir Daten von einem Drittanbieter senden und empfangen. Weitere Informationen findest du in den Sicherheits- und Datenschutzrichtlinien von Todoist und den Sicherheits- und Datenschutzrichtlinien von Twist.

Bei Bedarf verwenden wir folgende DSGVO-konforme Drittanbieter-Dienste:

  • Amazon Web Services
  • ChartMogul
  • CloudBees Rollout
  • Datadog
  • Dosu
  • Meta (Facebook)
  • Firebase
  • Google Analytics
  • MailChimp
  • Mailgun
  • Microsoft Azure
  • Visual Studio App Center von Microsoft
  • PartnerStack
  • ProfitWell
  • Qualaroo
  • RequestMetrics
  • SendGrid
  • Sentry
  • Stripe
  • Zendesk

Ja. Mit Amazon Web Services (AWS) verarbeiten wir Daten in Nord-Virginia, USA. Wir erfassen nur so wenige Daten wie möglich und alle Daten werden mit einer AES 256-Verschlüsselung geschützt.

Compliance

Compliance bezieht sich auf die Einhaltung von Gesetzen, Vorschriften und Standards, die unseren Umgang mit deinen Daten regeln. Sie stellt sicher, dass unsere Praktiken mit den gesetzlichen und behördlichen Anforderungen übereinstimmen, um deine Rechte als User zu schützen. Compliance beinhaltet auch den Nachweis, dass wir diese Regeln befolgen, und dass wir für ihre Einhaltung zur Rechenschaft gezogen werden können.

DSGVO

Doist ist seit dem 25. Mai 2018 vollständig DSGVO-konform. Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung, die Menschen mit Wohnsitz in der Europäischen Union (EU) hilft, ihre personenbezogenen Daten zu schützen, indem sie festlegt, wie diese Daten erhoben, verarbeitet und gespeichert werden dürfen.

Von unserer Seite aus, ja. Wenn sich eure Kundschaft an einem Ort befindet, an dem die DSGVO gilt, muss sie selbstverständlich sicherstellen, dass ihr Geschäftsbetrieb an sich DSGVO-konform ist.

Ja, wir bieten eine DPA an, die bereits im Auftrag von Doist unterzeichnet wurde. Du kannst hier deine Informationen eingeben und die DPA unterzeichnen.

SOC 2 und HIPAA

Derzeit verfügen wir noch nicht über eine SOC2- oder HIPAA-Zertifizierung. Trotzdem würden wir gerne mehr über die Zertifizierungen erfahren, die du und dein Team benötigen, um Todoist einzusetzen. Erzähl’s uns!

Kontaktiere uns

Gibt es noch offene Fragen? Kontaktiere uns. Wir – Pierre, Marco, Summer oder ein anderes unserer 14 Teammitglieder – helfen dir gern weiter!