Auf alles vorbereitet

Das brasilianische Datenschutzgesetz („Lei Geral de Proteção de Dados Pessoais“ oder „LGPD“) ist am 18. September 2020 in Kraft getreten. Das LGPD ist ein umfassendes Datenschutzgesetz, das die Tätigkeiten von Verantwortlichen und Auftragsverarbeitenden sowie die Rechte betroffener Personen regelt.

Zendesk-Abonnent:innen, die personenbezogene Daten in Zendesk-Diensten erheben und speichern, können gemäß dem brasilianischen Datenschutzgesetz (LGPD) als „Verantwortliche“ eingestuft werden. Die für die Verarbeitung Verantwortlichen tragen die Hauptverantwortung dafür, dass ihre Verarbeitung personenbezogener Daten mit den einschlägigen Datenschutzgesetzen, einschließlich des LGPD, übereinstimmt. Zendesk handelt als ein „Auftragsverarbeiter“ entsprechend der Definition dieses Begriffs im LGPD hinsichtlich der Verarbeitung personenbezogener Daten durch unsere Dienste.

Abonnent:innen können unsere Product Guides (Produktleitfäden) und unsere Service Data Deletion Policy (Richtlinie zur Löschung von Servicedaten) für ausführlichere Informationen in Hinblick auf die Nutzung von Zendesk-Produkten unter Beachtung von Compliance-Initiativen einsehen. Die brasilianische Datenschutzbehörde, die Autoridade Nacional de Proteção de Dados (ANPD), kann in der Zukunft zusätzliche Leitlinien zum LGPD erlassen. Zendesk wird die Entwicklung des Gesetzes weiterhin aktiv verfolgen. Wir werden unsere Abonnent:innen auch in Zukunft über die Funktionen auf dem Laufenden halten, die sie zur Unterstützung ihrer Compliance-Bemühungen nutzen können.

Der LGPD-Nachtrag von Zendesk wurde in das Zendesk-Datenverarbeitungsabkommen (Data Processing Agreement, DPA) integriert. Wenn Sie die Zendesk-Datenverarbeitungsvereinbarung einsehen und/oder ausführen wollen, klicken Sie bitte hier.

Der California Consumer Privacy Act, Cal. Civ. Code §§ 1798.100 et seq. („CCPA“), ist ein durch den Bundesstaat Kalifornien verabschiedetes US-Gesetz, das am 1. Januar 2020 in Kraft trat. Es regelt die bestimmten kalifornischen Verbraucher:innen zur Verfügung stehenden Datenschutzrechte und verlangt von bestimmten Unternehmen, dass jene verschiedene Datenschutzauflagen einhalten. Bitte lesen Sie dazu auch die CCPA Regulations in ihrer endgültigen Fassung und den California Privacy Rights Act („CPRA“). Einige CPRA-Bestimmungen traten am 16. Dezember 2020 in Kraft, die übrigen Bestimmungen des CPRA werden zum 1. Januar 2023 in Kraft treten.

Zendesk-Abonnent:innen, die personenbezogene Daten in Zendesk-Diensten erheben und speichern, können gemäß dem CCPA als „Unternehmen“ eingestuft werden. Unternehmen tragen die Hauptverantwortung dafür, dass ihre Verarbeitung personenbezogener Daten mit den einschlägigen Datenschutzgesetzen, einschließlich des CCPA, übereinstimmt. Zendesk handelt in Bezug auf die Verarbeitung personenbezogener Daten durch unsere Dienste als „Dienstanbieter“, wie dieser Begriff in der aktuellen Fassung des CCPA definiert ist. Daher erhebt, nutzt, verarbeitet und übermittelt Zendesk die personenbezogenen Daten unserer Abonnent:innen und der Endbenutzer:innen unserer Abonnent:innen, die über die Dienste verarbeitet werden, ausschließlich zum Zweck der Erfüllung unserer Verpflichtungen aus unseren bestehenden Verträgen mit unseren Abonnent:innen und zu keinem anderen kommerziellen Zweck als der Erfüllung dieser Verpflichtungen und der Verbesserung der von uns angebotenen Dienste.

Wir „verkaufen“ keinerlei personenbezogene Daten unserer Abonnent:innen, wie im Rahmen des CCPA definiert. Wir können gesammelte und/oder anonymisierte Informationen über die Nutzung des/der Dienste(s), die nicht als personenbezogene Daten im Sinne des CCPA gelten, an Dritte weitergeben, damit wir die Dienste weiterentwickeln und verbessern und unseren Abonnent:innen relevantere Inhalte und Dienstleistungsangebote zur Verfügung stellen können, wie in unseren Abonnentenvereinbarungen festgelegt.

Der CCPA-Nachtrag von Zendesk wurde in das Zendesk-Datenverarbeitungsabkommen (Data Processing Agreement, DPA) integriert. Wenn Sie die Zendesk-Datenverarbeitungsvereinbarung einsehen und/oder ausführen wollen, können Sie hier klicken.

Sie können den US-Bundesstaat-Nachtrag zur Hauptdienstleistungsvereinbarung von Zendesk einsehen und/oder ausfüllen, indem Sie hier klicken.

Der kanadische Personal Information Protection and Electronic Documents Act (PIPEDA) trat im Jahr 2000 in Kraft und ist auf Grundlage von zehn „Fair Information Principles“ strukturiert, aus denen sich die Regeln für die Erhebung, Nutzung von, den Zugriff auf sowie die Weitergabe bzw. Offenlegung personenbezogenen Daten ergeben. Im Oktober 2021 schlugen die International Technology Association of Canada und der Information Technology Industry Council Änderungen am PIPEDA vor, mit denen bessere Datenschutz- und Transparenzrechte für kanadische Bürger:innen erreicht werden sollen.

Sie können den AV-Vertrag von Zendesk hier ausführen und/oder einsehen. Der Zendesk-AVV deckt die konkreten Datenverarbeitungsprozesse und Sicherheitsmaßnahmen ab, die für unsere Dienstleistungen gelten, und enthält die neuen EU-Standardvertragsklauseln („EU SCCs“).

Abonnent:innen können sich unsere Product Guides (Produktleitfäden) und unsere Service Data Deletion Policy (Richtlinie zur Löschung von Servicedaten) für ausführlichere Informationen in Hinblick auf die Nutzung von Zendesk-Produkten als Hilfsmittel für die Einhaltung von Datenschutzgesetzen durchlesen.

Seit unserer Gründung ist der Ansatz von Zendesk von einem starken Engagement für Datenschutz, Sicherheit, Compliance und Transparenz geprägt. Dieser Ansatz umfasst die Unterstützung unserer Abonnent:innen in Hinblick auf die Einhaltung der EU-Datenschutzauflagen, wie sie etwa in der Datenschutz-Grundverordnung („DSGVO“) festgelegt sind.

Wenn Abonnent:innen personenbezogene Daten von EU-Bürger:innen erheben, übermitteln, hosten oder analysieren, verlangt die DSGVO, dass die Abonnent:innen externe Auftragsverarbeiter nutzen, die ihre Fähigkeit zur Implementierung der durch die DSGVO vorgesehenen technischen und organisatorischen Vorgaben garantieren können. Als weitere vertrauensbildende Maßnahme in Bezug auf die Abonnent:innen wurde unserer Vertrag über Auftragsverarbeitung („AV-Vertrag“) aktualisiert, sodass unsere Kund:innen vertragliche Zusicherungen in Hinblick auf das geltende EU-Datenschutzrecht und zur Implementierung zusätzlicher vertraglicher Bestimmungen erhalten, die durch die DSGVO verlangt werden.

Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR): Verbindliche interne Datenschutzvorschriften („BCR“) sind durch europäische Datenschutzbehörden genehmigte unternehmensweite Datenschutzrichtlinien für die Durchführung von Übermittlungen personenbezogener Daten innerhalb von Konzernen aus dem Europäischen Wirtschaftsraum („EWR“) in Länder außerhalb des EWR. Die BCR beruhen auf den strengen Datenschutzgrundsätzen, die durch die Datenschutzbehörden der Europäischen Union etabliert wurden, und erfordern eine intensive Konsultation mit diesen Behörden. Abonnent:innen können die vollständige Liste von Unternehmen mit entsprechenden Genehmigungen auf der Binding Corporate Rules Approved List hier abrufen. Im Jahr 2017 schloss Zendesk das EU-Genehmigungsverfahren in Bezug auf die durch den irischen Data Protection Commissioner („DPC“) geprüften BCR (mit Peer-Review durch das britische Information Commissioner’s Office und die niederländische Datenschutzbehörde) für die Rollen als Auftragsverarbeiter und als Verantwortlicher für die Verarbeitung ab. Diese wichtige behördliche Genehmigung bestätigt, dass Zendesk weltweit die höchstmöglichen Standards für den Schutz personenbezogener Daten implementiert hat, und zwar sowohl für die personenbezogenen Daten seiner Kund:innen als auch seiner Mitarbeiter:innen. Zendesk ist eines der ersten Softwareunternehmen weltweit, das eine Genehmigung für seine BCR erhalten hat, und war das zweite Unternehmen überhaupt, das eine Genehmigung von der irischen DPC erhielt.

Die EU-BCR und britischen Addenda von Zendesk finden Sie hier:

• Verbindliche interne Datenschutzvorschriften für Verantwortliche und Auftragsverarbeiter

Anfragen betroffener Personen: Eine Person, die ihre Datenschutzrechte in Bezug auf personenbezogene Daten ausüben möchte, die von uns im Namen eines unserer Abonnent:innen im Rahmen der Servicedaten der Abonnent:innen gespeichert oder verarbeitet werden (einschließlich der Beantragung von Zugriff, Berichtigung, Ergänzung, Löschung, Übertragung oder Einschränkung der Verarbeitung dieser personenbezogenen Daten), sollte diese Anfrage an unsere Abonnent:innen (die für die Datenverarbeitung Verantwortlichen) richten. Bei Eingang einer Anfrage eines/r unserer Abonnent:innen zur Löschung der personenbezogenen Daten aus Zendesk beantworten wir solch eine Anfrage innerhalb von dreißig (30) Tagen. Wir bewahren personenbezogene Daten, die wir im Auftrag unserer Abonnent:innen verarbeiten und speichern, so lange auf, wie es für die Erbringung der Dienste für unsere Abonnent:innen erforderlich ist.

Die Anfrageplattform von Zendesk für betroffene Personen ist über dieses Webformular verfügbar: https://www.zendesk.com/datasubjectrequest/

HDS ermöglicht Gesundheitsdienstleistern in Frankreich die Nutzung der Kundendienst- und Engagement-Plattform von Zendesk in der Gewissheit, dass unsere Plattform über angemessene technische und Governance-Maßnahmen verfügt, um personenbezogene Gesundheitsdaten (PHI) zu sichern und zu schützen. Weitere Informationen finden Sie hier.

Der New Zealand Privacy Act 2020 trat am 1. Dezember 2020 in Kraft und gilt für Agenturen und hält das prinzipienbasierte Rahmenwerk des Gesetzes von 1993 aufrecht. Das Gesetz von 2020 legt fest, dass Organisationen gewährleisten müssen, dass personenbezogene Daten, die außerhalb Neuseelands übermittelt werden, angemessen geschützt werden, und fügte neue verbindliche Meldepflichten im Falle von Sicherheitsverletzungen hinzu. https://www.zendesk.com/company/anz-privacy/

Der Singapore Personal Data Protection Act legt gesetzliche Bestimmungen fest, die die Erhebung, Nutzung und Weitergabe bzw. Offenlegung personenbezogener Daten mit Stand vom 2. Juli 2014 regeln. Zendesk ist ein durch die Infocomm Development Authority von Singapur (IDA) anerkannter Datenintermediär in seiner Eigenschaft als „Software-as-s-Service“-Dienstleister („SaaS“). Weitere Informationen finden Sie hier.

Das Vereinigte Königreich hat zum 31. Januar 2021 die Europäische Union verlassen. Am 28. Juni 2021 verabschiedete die Europäische Kommission Angemessenheitsentscheidungen für die Übermittlung personenbezogener Daten ins Vereinigte Königreich im Rahmen der DSGVO.

Um ein Konto mit HIPAA-Aktivierung (HIPAA-Enabled) zu erreichen, müssen Sie (1) den Advanced Security Deployed Associated Service oder das Advanced Compliance Deployed Associated Service Add-On kaufen; (2) eine Reihe von Sicherheitskonfigurationen, die durch Zendesk vorgegeben werden, aktivieren und (3) unsere Business Associate Agreement („BAA“ – Geschäftspartnervereinbarung) unterzeichnen. Weitere Einzelheiten, einschließlich einer Liste der Dienste, für die eine HIPAA-Aktivierung möglich ist, finden Sie unter Advanced Compliance.

Alle von Zendesk entwickelten Modelle sind Klassifizierungs- und Clustering-Modelle, d. h. sie werden darauf trainiert, Eingaben zu lesen und in eine der von Zendesk festgelegten Kategorien einzuordnen. Da diese Modelle nicht generativ sind, wird durch das Modell kein Inhalt erzeugt, und es ist nicht möglich, dass Daten durch das Modell reproduziert werden.

Nutzt Zendesk Kundenservice-Daten, um Modelle für maschinelles Lernen zu trainieren?

Zendesk bietet drei Arten von Funktionen für maschinelles Lernen:

1. Kundenspezifisches maschinelles Lernen: Zendesk erstellt Klassifizierungs- oder Clustering-Modelle für maschinelles Lernen, die auf die Konten einzelner Kund:innen zugeschnitten sind, und verwendet dabei nur Daten, die im Konto vorhanden sind. Kundenspezifische Modelle werden nicht von anderen Kund:innen verwendet.

2. Generisches maschinelles Lernen: Zendesk verwendet Servicedaten, um seine generischen, kontoübergreifenden maschinellen Lernmodelle so zu trainieren, dass sie für mehrere Zendesk-Kund:innen vorausschauend und nützlich sind. Dazu gehören globale und Branchenmodelle. Diese Modelle werden niemals die Servicedaten von Kund:innen an andere Kund:innen weitergeben, da sie nicht „generativ“ sind (d. h. sie erstellen keinen Text – siehe Abschnitt zur Modellsicherheit).

3. Generative KI-Funktionalität: Alle generativen KI-Funktionen werden von LLMs anderer Anbieter bereitgestellt. Diese Modelle sind vortrainiert, und Zendesk Kundendaten werden niemals von externen LLM-Anbietern verwendet, um ihr/ihre Modell(e) zu trainieren. Siehe Über Generative KI bei Zendesk.

Wie schützt Zendesk Servicedaten, die für Modelltraining verwendet werden? Bevor Servicedaten für das Training allgemeiner Funktionen für maschinelles Lernen verwendet werden, wendet Zendesk bei Bedarf Aggregations- und Datenbereinigungs-Prozesse an. Für das Modelltraining werden keine Felder verwendet, die personenbezogene Daten oder Ticketanhänge erfassen. Zendesk hat sich verpflichtet, sicherzustellen, dass keine Servicedaten durch das Modell reproduziert werden. Es besteht kein Risiko, dass die Daten von Kund:innen im Rahmen der Ausgaben des Modells anderen Kund:innen offengelegt werden. Siehe Informationen zur Nutzung von KI-Daten.

Nicht-generative Modelle für maschinelles Lernen werden anhand von Daten bewertet, die von Menschen kommentiert wurden. Dies ist der Goldstandard in puncto Labelling-Qualität und bietet Zendesk die zuverlässigste Methode zur Bewertung von Klassifizierungsmodellen.

Halluzinationen sind ein grundsätzliches Risiko für alle Funktionen, die auf generativer KI beruhen. Zendesk tut drei Dinge, um dieses Risiko zu mindern:

• Zendesk nutzt Retrieval Augmented Generation (RAG), um sicherzustellen, dass generierte Antworten oder Suchergebnisse auf bestimmten Inhalten von Wissensdatenbanken basieren

• Das Zendesk Entwicklungsteam prüft Antworten mit negativem Endbenutzer-Feedback regelmäßig auf Halluzinationen, um Tools zu entwickeln, die solche Szenarien automatisch erkennen und verhindern können.

• Zendesk hat eine Benchmarking-Plattform entwickelt, um LLMs mithilfe eines Referenzdatensatzes und menschlicher Anmerkungen systematisch zu bewerten. Das Untermauern unserer Auswertung anhand von realistischen Daten und menschlicher Aufsicht mindert das Risiko, dass das Modell nicht wie erwartet funktioniert.

Alle Servicedaten werden in den bestehenden AWS-Regionen von Zendesk gehostet. Bestimmte Funktionen, die durch Übernahmen wie „QA“ und „AI Agents – Advanced“ angeboten werden, können jedoch für einen bestimmten Zeitraum auf Google Cloud Platform-(GCP-)Hosting-Standorten in den USA und/oder Europa verbleiben, bis sie vollständig in Zendesk integriert sind. Die Hosting-Standorte von Unterauftragsverarbeitern finden Sie in der Unterauftragsverarbeiter-Richtlinie von Zendesk.

Die Nutzung von Zendesk-KI hat keine Auswirkungen auf die Verpflichtungen der Kund:innen in Bezug auf die Datenlokalisierung, einschließlich derer, die im Add-on „Standort des Rechenzentrums“ verfügbar sind. Servicedaten berechtigter Kund:innen werden weiterhin in der ausgewählten Region gehostet.

Alle Produkte und Funktionen von Zendesk werden unter Berücksichtigung des Datenschutzes entwickelt, und das gilt auch für die Zendesk-KI.

Kund:innen halten bei Verwendung von Zendesk, einschließlich der Zendesk-KI-Funktionen, verschiedene Datenschutzgesetze ein, einschließlich DSGVO und CCPA.

Funktionen zur Datenminimierung

Zendesk bietet sofort Löschzeitpläne für Ticket- und Endbenutzer-Daten, unabhängig vom Plan. Für Kund:innen mit erweitertem Datenschutz und Sicherheit, die komplexere Anforderungen an Datenlöschung haben, bietet Zendesk auch erweiterte Richtlinien zur Datenspeicherung an, mit denen Kund:innen bedingte Löschzeitpläne erstellen können.

Außerdem haben alle Zendesk Kund:innen Zugriff auf standardmäßige Schwärzungsfunktionen, damit sensible Ticketinhalte dauerhaft bearbeitet werden können. Kund:innen mit erweitertem Datenschutz und Sicherheit haben auch Zugriff auf unsere Funktion für KI-gestützte Schwärzungsvorschläge, die automatisch bestimmte Arten von Daten in Tickets hervorhebt, sodass Kundendienst-Mitarbeiter:innen sie schnell schwärzen können.

Hinweis- und Einwilligungsfunktionen

Die Datenschutzebene von Zendesk geht einen Schritt über die Datenminimierung hinaus – wir bieten auch native Optionen für Endbenutzer-Hinweise und/oder -Einwilligungen, die nahtlos in unsere Tools eingebettet sind.

Für Voice-Kund:innen bietet Zendesk erweiterte Optionen für die Bereitstellung von Hinweisen und/oder die Einholung von Einwilligungen von Kund:innen, die Serviceleitungen anrufen. Kund:innen können zwischen einer einfachen Begrüßung wählen oder zum Fortfahren eine proaktive Zustimmung anfordern – und alle Begrüßungen enthalten Standardskripte oder können an die Markenstimme eines Unternehmens angepasst werden.

Für Messaging-Kunden integriert Zendesk nahtlos eine native Datenschutzhinweis-Option, mit der Kund:innen ihren Endbenutzer:innen, die Chats senden, ihre rechtlichen Bedingungen anzeigen können. So können Chat-Benutzer:innen sofort über die Datenschutzpraktiken der Kund:innen informiert werden, wodurch sich häufige Datenschutzprobleme vermeiden lassen.

Die Zendesk-KI kann im Rahmen der Business Associate Agreement (Geschäftspartnervereinbarung, BAA) von Zendesk abgedeckt werden.

Kund:innen, die eine BAA mit Zendesk abschließen möchten, müssen Zugriff auf das Add-on für Erweiterte Compliance haben.

Weitere Zendesk-Richtlinien sind hier verfügbar.