Ungültigkeitserklärung des Datenschutzschildes und die Praxis von Zendesk

Von Rachel Tobin, AGC EMEA (Globaler Datenschutzbeauftragter)

Veröffentlicht 17. Juli 2020
Zuletzt aktualisiert: 29. Oktober 2020

Am 16. Juli 2020 fällte der Gerichtshof der Europäischen Union („EuGH“) seine Entscheidung in der Rechtssache C-311/18, auch bekannt als Schrems II. Die Entscheidung des EuGH bestätigte die Gültigkeit der Standardvertragsklauseln („SCCs“) der Europäischen Kommission für die Verarbeitung von Daten, während die Rahmenbedingungen des EU-US-Datenschutzschilds als Mechanismus zur Übermittlung personenbezogener Daten von der EU in die USA für ungültig erklärt wurde. Der Beschluss verlangt von Unternehmen, die mit der Übermittlung personenbezogener Daten in ein Drittland befasst sind, dass sie vor einer Übermittlung im Rahmen der SCCs eine Bewertung durchführen, um sicherzustellen, dass den betroffenen Personen ein Schutzniveau gewährt wird, das „im Wesentlichen gleichwertig“ ist mit dem in der Europäischen Union („EU“) durch die DSGVO garantierten Schutzniveau. Wenn dieses Schutzniveau nicht allein durch den Rückgriff auf die SCCs erreicht werden kann, muss der Exporteur „ergänzende Maßnahmen“ ergreifen, um die exportierten personenbezogenen Daten nach einem „im Wesentlichen gleichwertigen“ Standard zu schützen.

1. Wie wirkt sich die Entscheidung auf die Nutzung der Dienste durch den Kunden von Zendesk aus?

Zendesk bietet unseren Kunden Auswahlmöglichkeiten, wenn es um den Datenschutz geht. Als Auftragsverarbeiter der Daten seiner Kunden hat Zendesk die Genehmigung für seine verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules, BCR) eingeholt. Damit erhalten unsere Kunden bei der Nutzung unserer Dienste einen robusten Mechanismus zur Übertragung von personenbezogenen Daten aus dem EWR an Mitglieder der Zendesk-Unternehmensfamilie. Weitere Informationen finden Sie in unserer Pressemitteilung, die Sie hier abrufen können, und auf unserer Website zum Thema Privatsphäre und Datenschutz, die Sie hier finden. Sowohl die verbindlichen internen Datenschutzvorschriften als auch die Standardvertragsklauseln sind in unser Datenverarbeitungsabkommen (Data Processing Agreement, DPA) integriert.

Vor dem Hintergrund der Entscheidung des EuGH und der sich abzeichnenden und erwarteten Leitlinien des Europäischen Datenschutzausschusses und der EU-Kommission haben wir unsere Datenübermittlungsvereinbarungen mit unseren Unterauftragsverarbeitern überprüft und bestätigen, dass gültige Übermittlungsmechanismen vorhanden sind. Eine aktuelle Liste unserer Unterauftragsverarbeiter finden Sie hier.

Wenn Sie derzeit eine ADV-Vereinbarung mit Zendesk haben, können Sie den Zendesk-Dienst in Übereinstimmung mit dem europäischen Recht weiterhin nutzen. Die Gerichtsentscheidung „Schrems II“ ändert nichts an Ihrer Fähigkeit, innerhalb des Dienstes Daten zwischen der EU und den Vereinigten Staaten zu übermitteln. Bitte beachten Sie auch, dass Sie weder nach dem EuGH-Urteil noch nach der DSGVO verpflichtet sind, personenbezogene Daten in der EU zu hosten.

Wenn Sie ein aktueller Kunde sind und ein Datenverarbeitungsabkommen (DPA) benötigen, können Sie das Formular je nach Bedarf in Ihrer Kundenverwaltungskonsole aufrufen oder hier klicken, um zu unserem Datenverarbeitungsabkommen zu gelangen.

2. Zugang der Regierung zu personenbezogenen Daten innerhalb von Kundenkonten

In seiner Entscheidung legte der EuGH fest, dass Unternehmen, die sich auf die SCCs und/oder BCR stützen, sicherstellen sollten, dass betroffene Personen, deren personenbezogene Daten gemäß Standardvertragsklauseln in ein Drittland übermittelt werden, ein Schutzniveau erhalten müssen, das im Wesentlichen dem in der EU durch das DSGVO garantierten Schutzniveau entspricht. Das Gericht legte fest, dass Organisationen beurteilen sollten, ob sie personenbezogene Daten auf der Grundlage der SCCs und/oder der BCR übermitteln können oder nicht, wobei die Umstände der Übermittlung und alle zusätzlichen Maßnahmen, die eine Organisation ergreifen könnte, zu berücksichtigen sind.

Zendesk verfügt über eine klar definierte interne Richtlinie und einen Prozess für Anfragen der Regierung nach Informationen über unsere Kunden, der mit den Regeln 12A und 12B unserer verbindlichen internen Datenschutzvorschriften (BCR) für Auftragsverarbeiter übereinstimmt. Zendesk benachrichtigt den betroffenen Kunden über die Anfrage, es sei denn, dies ist gesetzlich verboten oder es gibt einen klaren und offensichtlichen Hinweis auf illegales Verhalten oder Schadensrisiko. Wir bestätigen ferner, dass wir keine Hintertüren oder andere Methoden in unsere Dienstleistungen eingebaut haben, die es Regierungsbehörden ermöglichen, unsere Sicherheitsmaßnahmen zu umgehen und Zugang zu persönlichen Daten in Kundenkonten zu erhalten.

3. Ergänzende Maßnahmen – Verschlüsselung von Kundendaten

Zendesk verfügt über strenge Datensicherheitspraktiken zum Schutz der Daten seiner Kunden, wie auf unserer Zendesk Security-Website ausführlich beschrieben, einschließlich Verschlüsselung:

  • (i) Verschlüsselung im Transit. Servicedaten, zu denen auch personenbezogene Daten gehören können, werden bei der Kommunikation mit Zendesk-Benutzerschnittstellen (UIs) und Anwendungsprogrammierschnittstellen (APIs) über den Industriestandard HTTPS/TLS (TLS 1.2 oder höher) bei der Übertragung über öffentliche Netzwerke verschlüsselt. Ausnahmen von der Verschlüsselung bei der Übertragung (z. B. bei der Nutzung eines Drittanbieterdienstes, der keine Verschlüsselung unterstützt) sind auf unserer Sicherheitswebsite hierdetailliert aufgeführt;
  • (ii) Verschlüsselung im Ruhezustand. Betriebsdaten, zu denen auch personenbezogene Daten gehören können, werden im Ruhezustand von Unterauftragsverarbeitern von Zendesk und Managed Services/Hosting-Anbieter Amazon Web Services Inc. über AES-256 verschlüsselt.
  • (iii) Zendesk ermöglicht auch kundengenerierte Zertifikate für Daten, die sich im Transit befinden, indem die Host-Mapping-Funktion in ihrem Konto verwendet wird; weitere Informationen finden Sie hier.

Seit unserer Gründung ist unsere Arbeitsweise fest in einem starken Engagement für Datenschutz, Sicherheit, Gesetzeskonformität und Transparenz verankert. Datenschutz ist ein kontinuierlicher Prozess, und wir bei Zendesk bleiben dem Schutz und der Sicherung der Daten unserer Kunden verpflichtet. Wenn Sie weitere Fragen haben, wenden Sie sich bitte an Ihren Kundenbetreuer.