Anleitung

EU-US-Datenübermittlung nach Schrems II

Von Shanti Ariker, SVP, General Counsel and Maarten Van Horenbeeck, SVP & Chief Information Security Officer

Veröffentlicht 8. Februar 2022
Zuletzt aktualisiert: 8. Februar 2022

Hier bei Zendesk bauen wir auf das Vertrauen als Grundstein all unserer Interaktionen mit unseren Kunden. Wir sind uns bewusst, wie wichtig das Vertrauen der Kunden, der Schutz der Privatsphäre der Kunden und die Sicherheit ihrer Daten ist. Datenschutzvorschriften entwickeln sich auf globaler Ebene in rasantem Tempo und wir konzentrieren uns darauf, unseren Kunden die Mittel bereitzustellen, die sie benötigen, um mit dieser Entwicklung Schritt zu halten und die Vorschriften einzuhalten. Als Kunde ist es wichtig zu verstehen, wie Anbieter Ihre Daten verwenden und sichern. Daher ist es unser Bestreben, in Bezug auf die Servicedaten, die von unseren Produkten und im Rahmen unserer Dienstleistungen verarbeitet werden, transparent zu sein. Dies gilt unabhängig davon, ob es eine internationale Übermittlung von Daten beinhaltet und welche Risiken mit der Art der Daten oder der betreffenden Verarbeitung verbunden sind. Seit der Schrems II-Entscheidung im Juli 2020 hinsichtlich der Legalität transatlantischer Übermittlungen haben wir die folgenden Schritte ergriffen, um die grenzüberschreitende Übermittlung von personenbezogenen Daten im Einklang mit den EU-Datenschutzbestimmungen zu ermöglichen:

Verbindliche Unternehmensregeln und Standardvertragsregeln

Wir stellen Regeln für den Datenverantwortlichen und den Datenverarbeiter auf, die als der „Gold-Standard“ für internationale Datenübermittlungen gelten. BCR sind unternehmensweite Datenschutzrichtlinien, die von unserer Datenschutzbehörde für die Übermittlung von Daten genehmigt worden sind. Wir stellen einen Auftragsverarbeitungsvertrag (AVV), der unsere EU BCRs und die neuen Standardvertragsklauseln vom Juni 2021 (SCC) einbezieht. Unser AVV sieht zudem auch zusätzliche Schutzmaßnahmen unter Berücksichtigung von Anhang II des/der neuen DPA/SSC vor und stellt Einzelheiten zu unseren Systemzugangskontrollen, Datenzugangskontrollen, Übermittlungskontrollen und der Netzwerkarchitektur und Sicherheit zur Verfügung.

Leitfaden für die Folgenabschätzung von Datenübermittlungen

Wir stellen auch einen Leitfaden für die Folgenabschätzung von Datenübermittlungen zur Verfügung, um Sie dabei zu unterstützen, mit Ihren Übermittlungen vertraut zu sein und Sie in die Lage zu versetzen, die erforderliche Datenschutz-Folgenabschätzung und -analyse im Einzelfall (auf Anfrage) durchzuführen.

Transparenzbericht

Was die Überwachung durch die Regierung anbelangt, sind wir der Meinung, dass die Strafverfolgungsbehörden und die Nationalen Sicherheitsbehörden zuerst die Kunden und nicht die Dienstanbieter in ihre Überprüfungen einbeziehen sollten. Wir haben im Laufe der Jahre einige Anfragen von Strafverfolgungsbehörden erhalten, wie Sie aus unserem Transparenzbericht, den wir alle sechs Monate aktualisieren, näher ersehen können. Wir haben weder in der Vergangenheit Hintertüren eingebaut, um den Regierungsstellen eine Möglichkeit zu geben, unsere Sicherheitsmaßnahmen zu umgehen, noch werden wir das jemals tun.

Zertifizierungen

Wir unterziehen uns regelmäßig einer Selbsteinschätzung und einer Überprüfung und Zertifizierung durch unabhängige externe Prüf- und Zertifizierungsorganisationen. Unsere Sicherheitszertifizierungen von Drittauditoren umfassen SOC 2 Typ II, ISO 27001:2013, und ISO 27018:2014.

Regionale Datenhosting-Optionen

Wir bieten Ihnen auch die Möglichkeit, Ihre Daten regional zu speichern. Sie haben die Möglichkeit, Ihre Servicedaten für ausgewählt abgedeckte Funktionen in den Vereinigten Staaten, im Europäischen Wirtschaftsraum (EWR), in Japan (JP) oder in Australien (AU) hosten zu lassen. Eine vollständige Beschreibung, welche Leistungen in Ihrer ausgewählten Region gehostet werden können, finden Sie auf unserer Seite Regionale Daten-Hosting-Richtlinie.

Vorausschau: Zendesks Fahrplan für zukünftige Vertrauensfunktionen

In diesem sich schnell ändernden Umfeld voller Regeln engagieren wir uns dafür, zusätzliche Funktionen zu entwickeln, um unseren Kunden ein erhöhtes Schutzniveau zu bieten. 2022 arbeitet Zendesk an den nachfolgend aufgeführten Funktionen zum Schutz der Privatsphäre und der Daten zur Unterstützung der Kunden:

  • “Bring your own key“-Verschlüsselung (BYOK, etwa: bringen Sie Ihren eigenen Schlüssel mit), die den Kunden die Möglichkeit einräumt, Ihre Servicedaten unter Verwendung des firmeneigenen Schlüsselverwaltungssystems zu verschlüsseln
  • Unterstützung des Rechenzentrumsstandorts für alle Agent Workspace-Funktionen
  • Verbesserte Datenlöschung, Zugangskontrolle und Auditing-Funktionen für Kundendaten
  • Ein Angebot, Kundenbetreuung nur in der EU bereitzustellen, um den Standort der Kundenbetreuer mit Zugang zu Ihren Servicedaten zu begrenzen

Wir bei Zendesk engagieren uns, unsere Kunden bei der Navigation durch neue Vorschriften zum Schutz der Privatsphäre und der Daten zu unterstützen. Die laufenden Gespräche zwischen der Europäischen Kommission und der Regierung der Vereinigten Staaten zum Aufbau eines neuen Rahmenwerks für personenbezogene Daten, die in die Vereinigten Staaten übermittelt werden, bestärkt uns dabei. Haben Sie Fragen? Bitte wenden Sie sich an Ihren Zendesk-Kundenbetreuer oder unser Datenschutz-Team unter euprivacy@zendesk.com. Mehr Informationen zu unserem Datenschutz- und Sicherheitsprogramm finden Sie unter den nachfolgend genannten Ressourcen: Schrems II – Leitfaden zu häufig gestellten Fragen (FAQ) Datenverarbeitungsnachtrag mit neuen SCC Richtlinie zum regionalen Daten-Hosting Transparenzbericht So schütze wir Ihre Servicedaten Informationen zu den US-Datenschutzbestimmungen Weißbuch des US-Handelsministeriums