Zendesk – Rechtliche Hinweise

Servicedaten sind jegliche Informationen, einschließlich personenbezogener Daten, die durch unsere Kunden und ihre Endnutzer, bzw. in ihrem Auftrag, in Diensten von Zendesk gespeichert oder durch sie übertragen werden.

Datenschutzrechtlich gesehen ist der Kunde für die Servicedaten Datenverantwortlicher und Zendesk Datenverarbeiter. Das bedeutet, dass der Kunde während der gesamten Zeit, in der er Dienstleistungen von Zendesk abonniert, das Eigentum und die Kontrolle über die Servicedaten in seinem Konto behält.

Zendesk führt eine aktuelle Liste mit den Namen und Standorten aller mit dem Hosting und der sonstigen Verarbeitung von Servicedaten beauftragten Unterauftragsverarbeiter (einschließlich Mitglieder der Zendesk Group und Drittparteien). Sie finden die Liste hier. Die Liste bietet Kunden darüber hinaus die Möglichkeit sich anzumelden, um bei etwaigen Änderungen benachrichtigt zu werden. Sie können sich auch an privacy@zendesk.com wenden, um die Liste zu erhalten.

Wir verwenden Servicedaten zur Durchführung und Verbesserung unserer Dienstleistungen, um Kunden beim Zugriff auf Dienste und bei ihrer Nutzung zu helfen, Anfragen von Kunden zu beantworten und in Zusammenhang mit den Dienstleistungen Mitteilungen zu senden.

Zendesk gibt Datensicherheit höchste Priorität und kombiniert zur kommerziellen Nutzung vorgesehene Sicherheitsfunktionen mit umfassenden Überwachungsmaßnahmen der Anwendungen, Systeme und Netzwerke, damit Kunden- und Geschäftsdaten jederzeit geschützt bleiben.

So werden die Server von Zendesk beispielsweise in Einrichtungen gehostet, die mit Tier 4 oder 3+, SSAE-16, PCI DSS oder ISO 27001 konform sind. Darüber hinaus ziehen wir externe Sicherheitsexperten hinzu, die regelmäßige Penetrationstests durchführen, und unser Support-Team ist unter 24/7 erreichbar, um auf sicherheitsrelevante Warnmeldungen und Ereignisse zu reagieren.

Zendesk verfügt über Rechenzentren in drei Hauptregionen: USA, Asiatisch-pazifischer Raum und Europäische Union. Die Servicedaten können in jeder dieser Regionen gespeichert werden. Kunden können bestimmen, in welcher dieser Regionen bestimmte Servicedaten gespeichert werden, indem sie die Zusatzleistung „Standort des verwendeten Rechenzentrums“ buchen. Weitere Informationen erhalten Sie in der Regionen-Richtlinie für das Daten-Hosting.

Zendesk ist sich dessen bewusst, dass Datenschutz und Datensicherheit für die Kunden absoluten Vorrang haben.

• Zendesk legt niemals Servicedaten offen, wenn dies nicht zur Erbringung der Dienstleistungen für den Kunden oder zur Einhaltung geltender Gesetze notwendig ist. Näheres dazu finden Sie hier in unserer Datenschutzrichtlinie.

• Zendesk hat zum Zeichen der Konformität mit externen Bezugsrahmen für die Qualitätssicherung eine Reihe international anerkannter Zertifikate und Akkreditierungen erhalten.

• Wenn dies nötig ist, treten wir öffentlich für den Schutz unserer Kunden ein. Zendesk hat sich ausdrücklich für den US-amerikanischen Liberty Act ausgesprochen, der das Überwachungsprogramm unter Abschnitt 702 des Foreign Intelligence Surveillance Act („FISA“) reformieren soll.

In bestimmten Situationen werden wir gegebenenfalls dazu aufgefordert, als Antwort auf rechtmäßige Anträge durch öffentliche Behörden personenbezogene Informationen preiszugeben, um den Anforderungen der nationalen Sicherheit oder der Strafverfolgung genüge zu leisten. Wir geben personenbezogene Informationen als Reaktion auf Vorladungen, gerichtliche Verfügungen oder rechtliche Verfahren weiter oder um unsere Rechtsansprüche auszuüben bzw. zur Verteidigung gegen rechtliche Klagen. Wir geben solche Informationen ebenfalls an die betreffenden Strafverfolgungsbehörden bzw. staatlichen Behörden weiter, wenn wir davon ausgehen, dass dies notwendig ist, um im Fall von illegalen Tätigkeiten, Betrugsverdacht oder Situationen, die eine Bedrohung für die physische Sicherheit einer Person oder eine Verletzung unseres Rahmen-Abonnementvertrags darstellen, zu ermitteln oder diesen vorbeugen zu können, oder wann immer es das Gesetz erfordert.

Kunden von Zendesk, die personenbezogene Daten sammeln und speichern, gelten gemäß Richtlinie 95/46/EG als Datenverantwortliche. Datenverantwortliche tragen die primäre Verantwortung dafür, dass ihre Verarbeitung personenbezogener Daten der in der EU geltenden Gesetzgebung entspricht, unter anderem der Richtlinie 95/46/EG und, ab dem 25 Mai 2018, der DSGVO.

Zendesk bietet seinen Kunden eine umfassende Auftragsdatenverarbeitungsvereinbarung („ADV-Vereinbarung“), um die Beziehungen zwischen dem Kunden (in seiner Funktion als Datenverantwortlicher) und Zendesk (als Auftragsverarbeiter) zu regeln. Die ADV-Vereinbarung erleichtert es Kunden von Zendesk, ihren Verpflichtungen im Rahmen der EU-Datenschutzgesetzgebung nachzukommen. Unsere ADV-Vereinbarung enthält strenge Datenschutzvorschriften, wie sie nur wenige Softwareunternehmen anbieten, und wurde aktualisiert, um die Einhaltung der DSGVO zum und ab dem 25 Mai 2018 sicherzustellen. Unsere ADV-Vereinbarung legt Rahmenbedingungen für die Datenübertragung fest, mit deren Hilfe unsere Kunden personenbezogene Daten unter Einhaltung der gesetzlichen Vorschriften von der Europäischen Union aus an Zendesk übermitteln können, indem sie einen von drei möglichen Mechanismen verwenden: unsere Binding Corporate Rules, unsere Datenschutzschild-Zertifizierung oder unsere Standardvertragsklauseln.

Die Europäische Kommission hat eine Reihe als Standardvertragsklauseln („Modellklauseln“) bezeichneter Standardbestimmungen genehmigt, die Datenverantwortlichen eine Möglichkeit bieten, unter Einhaltung der gesetzlichen Bestimmungen personenbezogene Daten an einen Datenverarbeiter außerhalb des Europäischen Wirtschaftsraums („EWR“) zu übermitteln. Die Modellklauseln sind der ADV-Vereinbarung von Zendesk als Anhang beigefügt, damit Datenübertragungen aus dem Europäischen Wirtschaftsraum oder der Schweiz angemessen geschützt werden können.

Zendesk erstellt von Zeit zu Zeit zwecks Archivierung, Sicherung und Protokollierung der Überwachung Kopien der Daten. Wir nutzen Amazon Web Services (AWS) zur Speicherung mancher Sicherungsdaten wie beispielsweise Datenbankinformationen und angehängte Dateien. Weitere Informationen erhalten Sie in unserer Regionen-Richtlinie für das Daten-Hosting.

Kunden von Zendesk, welche die Zusatzleistung „Standort des verwendeten Rechenzentrums“ in Anspruch nehmen, können (unter den von Zendesk zur Auswahl gestellten Regionen) die Region auswählen, in der sich das Rechenzentrum befindet, in dem ihre Daten gehostet werden. Weitere Informationen erhalten Sie in unserer Regionen-Richtlinie für das Daten-Hosting. Andernfalls kann Zendesk ein Rechenzentrum in einer beliebigen Weltregion zur Aufbewahrung der Servicedaten auswählen.

Die Datenschutz-Grundverordnung („DSGVO“) ist eine neue europäische Datenschutzverordnung und ersetzt die derzeitige EU-Datenschutzrichtlinie („Richtlinie 95/46/EG“). Die DSGVO soll die Sicherheit und den Schutz personenbezogener Daten in der EU verbessern und das europäische Datenschutzrecht harmonisieren.

Die DSGVO gilt für alle in der EU tätigen Organisationen, die „personenbezogene Daten“ von EU-Bürgern verarbeiten. Personenbezogene Daten sind jegliche Informationen über eine bestimmte oder bestimmbare natürliche Person.

Einer der wichtigsten Aspekte der DSGVO besteht in der Einführung in allen EU-Staaten geltender Regeln für die Verarbeitung, Verwendung und Übertragung personenbezogener Daten. Organisationen müssen kontinuierlich die Sicherheit der von ihnen verarbeiteten Daten und ihre Einhaltung der DSGVO unter Beweis stellen, indem sie umfassende technische und organisatorische Maßnahmen sowie Konformitätsrichtlinien umsetzen und ihre Einhaltung regelmäßig überprüfen.

Zendesk wird die DSGVO einhalten, wenn diese am 2018 Mai in Kraft tritt. Unser Datenschutzteam arbeitet mit Kunden auf der ganzen Welt zusammen, um ihre Fragen zu beantworten und ihnen bei der Vorbereitung auf die Nutzung von Zendesk-Dienstleistungen nach Inkrafttreten der DSGVO zu helfen. Darüber hinaus überprüft unser Datenschutzteam die aktuellen Funktionen und Verwendungsmethoden der Produkte von Zendesk und stellt sicher, dass wir unsere Kunden bei der Einhaltung ihrer durch die DSGVO entstandenen Verpflichtungen unterstützen.

Zendesk rät seinen Kunden, in Vorbereitung auf die DSGVO ihre Verfahren und Richtlinien zu Datenschutz und Datensicherheit zu überprüfen, damit die Gesetzeskonformität zum 2018 Maisichergestellt ist. Datenverantwortliche tragen die primäre Verantwortung dafür, dass ihre Verarbeitung personenbezogener Daten der EU-Gesetzgebung entspricht. Es folgen einige wichtige Punkte, die Sie bei Ihren Überlegungen zur Einhaltung der DSGVO berücksichtigen sollten:

• Geografische Gültigkeit: Die DSGVO kann je nach Tätigkeitsfeld für in der EU gegründete und für bestimmte außerhalb der EU gegründete Organisationen, die aber personenbezogene Daten von EU-Bürgern verarbeiten, gelten.

• Rechte von Endnutzern: Organisationen müssen sich der Endnutzer, deren personenbezogene Daten sie möglicherweise verarbeiten, bewusst sein. Die DSGVO verstärkt die Rechte der Endnutzer, und Organisationen müssen in der Lage sein, diese Rechte zu erfüllen.

• Benachrichtigungen bei Datenschutzverstößen: Organisationen, die als Datenverantwortliche für personenbezogene Daten auftreten, müssen klare Verfahren zur Meldung von Datenschutzverstößen innerhalb der in der DSGVO festgelegten zeitlichen Fristen einführen, um die entsprechende DSGVO-Vorschrift einzuhalten. Zendesk wird betroffene Kunden unverzüglich informieren, wenn wir auf einen Datenschutzverstoß im Rahmen einer unserer Dienstleistungen aufmerksam werden sollten.

• Ernennung eines Datenschutzbeauftragten („DSB“): Unsere Kunden müssen möglicherweise DSB ernennen, die für Probleme in Zusammenhang mit der Verarbeitung personenbezogener Daten zuständig sind.

• Auftragsdatenverarbeitungsvereinbarung („ADV-Vereinbarung“): Wenn personenbezogene Daten aus dem Europäischen Wirtschaftsraum übertragen werden, müssen Kunden möglicherweise ADV-Vereinbarungen mit ihren Unterauftragsverarbeitern abschließen, um die zu übertragenden Daten auf angemessene Weise zu schützen. Die ADV-Vereinbarung von Zendesk erfüllt die Forderungen der DSGVO und ist per Anfrage an privacy@zendesk.com erhältlich.

• Datenschutz-Folgenabschätzung („DSFA“): DSFA beschreiben in der Regel die Verfahren einer Organisation zur Verarbeitung und zum Schutz von Daten, vor allem, wenn hierbei Risiken zu beachten sind. Für mit der Datenverarbeitung verbundene Aktivitäten müssen unsere Kunden eine DSFA führen und einreichen.

Kunden können mithilfe der externen ISO-Zertifizierung von Zendesk und der SOC-2-Prüfberichte ihre Risikoabschätzung durchführen und ermitteln, ob ausreichende technische und organisatorische Maßnahmen getroffen wurden. Weitere Informationen finden Sie auf der Sicherheits-Webseite von Zendesk.

Im Folgenden werden beispielhaft Produktfunktionen von Zendesk aufgeführt, die Kunden bei ihrem DSGVO-Konformitätsprogramm zu Hilfe nehmen können. Über unsere Zusatzleistung „Erweiterte Sicherheit“ können Kunden erweiterte Funktionen erwerben, z. B. erweiterte Notfallwiederherstellung und Verschlüsselung sowie die Möglichkeit einer Konfiguration für den US-amerikanischen Health Insurance Portability and Accountability Act („HIPAA“).

Die derzeit für bestimmte Produkte von Zendesk erhältlichen Funktionen finden Sie in den folgenden Fragen/Antworten.

Überprüfungsstandards:

• ISO27001:2013-zertifiziert

• ISO27018:2014-zertifiziert

Scans:

• Bug-Bounty-Programm

• Dynamische Scans von Live-Anwendungen

• Statische Scans von Code-Depots

Verschlüsselung:

• Verschlüsselung über öffentliche Netzwerke übertragener Daten

• Verschlüsselung bestimmter Daten bei der Speicherung mit AES256

More detailed information on how to use Zendesk products to stay compliant with GDPR can be found via our Help Center here.

Binding Corporate Rules („BCR“) sind unternehmensweit gültige und von europäischen Datenschutzbehörden genehmigte Datenschutzrichtlinien zur Vereinfachung der Übertragung personenbezogener Daten innerhalb der Unternehmensgruppe aus dem Europäischen Wirtschaftsraum („EWR“) in Länder außerhalb des EWR. Die BCR beruhen auf strengen, von Datenschutzbehörden der Europäischen Union festgelegten Datenschutzgrundsätzen und erfordern intensive Rücksprache mit diesen Behörden. Kunden finden die vollständige Liste genehmigter Körperschaften hier in der Liste genehmigter Binding Corporate Rules.

Ja, Zendesk hat für seine Binding Corporate Rules (BCR) das Genehmigungsverfahren der EU beim irischen Datenschutzbeauftragten („Data Protection Commissioner“ oder „DPC“) sowohl als Datenverarbeiter als auch als Datenbeauftragter durchlaufen (durch die Dienststelle des britischen Informationsbeauftragten und die niederländische Datenschutzbehörde geprüft und bestätigt). Diese wichtige behördliche Genehmigung bestätigt, dass Zendesk die höchstmöglichen Standards für den weltweiten Schutz personenbezogener Daten sowohl für seine Kunden als auch für seine Mitarbeiter umsetzt.

Zendesk ist eines von weltweit nur wenigen Softwareunternehmen, deren BCR genehmigt wurden, und überhaupt erst das zweite Unternehmen, das jemals eine Genehmigung vom irischen DPC erhalten hat.

Um auf die Zendesk BCR zuzugreifen, verwenden Sie bitte die folgenden Links:

– Zendesk Binding Corporate Rules für Datenverarbeiter (diese gelten, wenn Zendesk personenbezogene Daten im Auftrag von Kunden bearbeitet); und

– Globale Zendesk Binding Corporate Rules für Datenverantwortliche (diese gelten, wenn Zendesk personenbezogene Daten in der Eigenschaft eines Datenverantwortlichen bearbeitet).

Das US-amerikanische Handelsministerium („Department of Commerce“) hat gemeinsam mit der Europäischen Kommission und der Schweizer Regierung die Rahmenverträge für das EU-US-Datenschutzschild und das Schweiz-US-Datenschutzschild erstellt, um Unternehmen einen Mechanismus zur Übertragung personenbezogener Daten aus der Europäischen Union in die Vereinigten Staaten unter Aufrechterhaltung eines dem europäischen Datenschutzrechts angemessenen Sicherheitsniveaus anzubieten.

Zendesk hat beim US-Handelsministerium Zertifikate zur Einhaltung der Rahmenbedingungen des EU-US- und Schweiz-US-Datenschutzschildes eingereicht und wurde aufgrund dessen vom US-Handelsministerium zu seiner Liste der selbstzertifizierten Beteiligten des Datenschutzschildes hinzugefügt. Unsere Zertifizierungen bestätigen, dass wir die Grundsätze des Datenschutzschildes für die Übermittlung von persönlichen Daten aus Europa und der Schweiz in die Vereinigten Staaten beachten.

Das ist eine sehr gute Neuigkeit für unsere Kunden, die nunmehr einen noch besseren Mechanismus zur Übertragung von Daten als unter den früher zwischen der EU und den USA sowie der Schweiz und den USA geltenden Safe-Harbor-Bestimmungen nutzen können. Im Zuge unseres kontinuierlichen Engagements für den Datenschutz, insbesondere den Schutz der Daten unserer Kunden, hat sich Zendesk in kurzer Zeit die Grundsätze des Datenschutzschildes zu eigen gemacht.

• SOC-2-Bericht

• ISO 27001:2013 Zertifizierung

• ISO 27018:2014 Zertifizierung

• Liste genehmigter Binding Corporate Rules

• Genehmigungsliste unter dem Datenschutzschild

• TrustArc-Datenschutzsiegel

• Wie Zendesk personenbezogene Daten schützt

• Zendesk Adheres To Highest Standards Of Data Protection With European BCR Approval

• Zendesk Privacy Policy

• Zendesk Data Deletion Policy

• Zendesk Security Page

• Zendesk Security Best Practices

• SOC-2-Bericht

• ISO 27001:2013 Zertifizierung

• ISO 27018:2014 Zertifizierung

• Zendesk Master Subscription Agreement

• Webseite des US-amerikanischen Handelsministeriums zum Datenschutzschild: https://www.privacyshield.gov/welcome.

• Richtlinie 95/46/EG: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=LEGISSUM:l14012.

• Datenschutz-Grundverordnung (DSGVO): http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679.

• International Association of Privacy Professionals: https://iapp.org.

• „Vorbereitung auf die DSGVO“ („Preparing for the GDPR“) von der Behörde des britischen Informationsbeauftragten: https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf.