Zum Hauptinhalt springen

Vereinbarungen und Bedingungen

Richtlinien und Verfahren

Marken und geistiges Eigentum

Beschaffung und Lieferanten

Datensicherheit und Datenschutz

AUFTRAGSVERARBEITUNGSVERTRAG

Dieser Auftragsverarbeitungsvertrag („AVV“) wird zwischen Kund:in und Zendesk, Inc. („Zendesk“) abgeschlossen. Beide gelten jeweils als „Partei“ und zusammen als „Parteien“.

Kund:in und Zendesk haben den Vertrag abgeschlossen, der der Kund:in während der Abonnementlaufzeit Zugang zu den Diensten und deren Nutzung gewährt. Dieser AVV ist Bestandteil des Vertrags und darin enthalten. Wenn Sie den AVV elektronisch unterzeichnen möchten, klicken Sie bitte hier.

1 GLOBALE DATENSCHUTZVERPFLICHTUNGEN DER PARTEIEN

  1. Eigentum an Dienstleistungsdaten. Zendesk macht kein Eigentumsrecht oder Interesse an den im Rahmen dieses DPA verarbeiteten Servicedaten geltend, und zwischen den Parteien bleiben Servicedaten im Besitz des Kunden Eigentum des Kunden.
  2. Persönliche Daten. Die Parteien stimmen zu, dass die Art, Zwecke, der Betreff, die Dauer der Verarbeitung, Kategorien von Persönlichen Daten oder betroffenen Personen und die anwendbaren Aufbewahrungsfristen wie in Anhang I beschrieben sind.
  3. Geltendes Datenschutzrecht. Zendesk und Kund:in stimmen zu, ihren jeweiligen Verpflichtungen des anwendbaren Datenschutzrechts nachzukommen.
  4. Zendesks Verpflichtungen. Zendesk stimmt zu:

    1. verarbeiten Persönliche Daten gemäß den dokumentierten Anweisungen der Kund:in, es sei denn, dies ist anderweitig durch geltendes Recht gestattet oder erforderlich. Zendesk wird Kund:in unverzüglich informieren, wenn seine Verarbeitungsanweisungen gegen das geltende Datenschutzrecht verstoßen;

    2. not Sell or share Persönlich Data;

    3. stellen Sie sicher, dass alle Mitarbeiter und Auftragnehmer sich ihrer Verantwortung zum Schutz Persönlicher Daten gemäß dieser DPA voll bewusst sind und sich zu einer angemessenen vertraglichen oder gesetzlichen Geheimhaltungspflicht verpflichtet haben;

    4. benachrichtigen Sie die Kund:in, wenn es seinen Verpflichtungen gemäß dem geltenden Datenschutzrecht nicht mehr nachkommen kann, und ermöglichen Sie der Kund:in, angemessene und geeignete Schritte zu unternehmen, um die unbefugte Verarbeitung personenbezogener Daten zu beheben;

    5. implementieren und aufrechterhalten geeigneter technischer und organisatorischer Maßnahmen, die zum Schutz Persönlicher Daten vor zufälliger oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder Zugriff entwickelt wurden, wobei die Wahrscheinlichkeit und Schwere der Risiken für die Datenschutzrechte der Betroffenen berücksichtigt werden, einschließlich der Maßnahmen in Anhang II;

    6. Kund:in über eine bestätigte persönliche Datenschutzverletzung unverzüglich und innerhalb von 48 Stunden zu benachrichtigen, es sei denn, dies ist durch Gesetz oder Regierungsbehörde untersagt; geeignete Maßnahmen zu ergreifen, die darauf abzielen, die Ursache(n) der persönlichen Datenschutzverletzung zu mindern; und Kund:in alle notwendigen Informationen bereitzustellen, wie es das anwendbare Datenschutzrecht erfordert;

    7. Kund:in angemessen bei der Erfüllung seiner Verpflichtung zur Beantwortung von Anfragen von Betroffenen unterstützen und, wenn Zendesk eine Anfrage direkt von der betroffenen Person der Kund:in erhält, die betroffene Person an die Kund:in verweisen, es sei denn, dies ist gesetzlich untersagt; und

    8. stellen Sie kommerziell angemessene Informationen und Unterstützung zur Verfügung, um Kund:in zu aktivieren, jede Datenschutz-Folgenabschätzung oder Konsultation der Aufsichtsbehörde durchzuführen, wie es das geltende Datenschutzrecht erfordert.

  5. Pflichten der Kund:in. Kunde, als Datenverantwortlicher, bestimmt, welche personenbezogenen Daten von den Diensten verarbeitet werden. Der Kunde ist für die Bewertung der technischen und organisatorischen Maßnahmen von Zendesk verantwortlich, die für die Arten von personenbezogenen Daten angemessen sind, die der Kunde durch seine Nutzung der Dienste verarbeiten möchte.

2. VERWENDUNG VON UNTERVERARBEITERN

  1. Unterauftragsverarbeiter. Kund:in erteilt seine allgemeine schriftliche Genehmigung für Zendesk, Unterauftragsverarbeiter zu verwenden, vorausgesetzt, dass:

    1. Zendesk bleibt gegenüber der Kund:in für die Handlungen oder Unterlassungen seiner Unterauftragsverarbeiter in Bezug auf deren Verarbeitung Persönlicher Daten haftbar; und

    2. jeder Unterauftragsverarbeiter verpflichtet sich, die Persönlichen Daten in Übereinstimmung mit den Anforderungen dieser DPA zu schützen.

  2. Aktualisierungen der Richtlinie für Unterauftragsverarbeiter. Zendesk wird die Richtlinie für Unterauftragsverarbeiter mit allen neu ernannten Unterauftragsverarbeitern mindestens 30 Tage vor einer solchen Änderung aktualisieren. Kund:in kann sich anmelden, um E-Mail-Benachrichtigungen über solche Änderungen zu erhalten.
  3. Einwände gegen die Sub-Prozessor-Richtlinie. Kund:in kann aus berechtigten Gründen im Zusammenhang mit dem Datenschutz gegen jeden neu ernannten Sub-Prozessor Einspruch erheben. Wenn die Kund:in widerspricht, wird sie Zendesk schriftlich informieren, indem sie innerhalb von 30 Tagen nach der Aktualisierung der Sub-Prozessor-Richtlinie eine E-Mail an privacy@zendesk.com sendet. In einem solchen Event werden die Parteien nach Treu und Glauben eine Lösung für das Objekt der Kund:in verhandeln. Wenn die Parteien innerhalb von 60 Tagen nach dem Erhalt von Kund:ins Einwand durch Zendesk keine Lösung erreichen können, wird Zendesk nach eigenem Ermessen entweder:

    1. weise den Unterauftragsverarbeiter an, die Persönlichen Daten der Kund:in nicht zu verarbeiten, und die DPA wird weiterhin unberührt bleiben, oder

    2. dem Kunden die Kündigung eines betroffenen Teils der Dienstleistungen zu ermöglichen und dem Kunden eine anteilige Rückerstattung der Abonnementgebühren zu gewähren, die im Voraus für den betroffenen Teil der Dienstleistungen gezahlt wurden, die zum Zeitpunkt des Inkrafttretens der Kündigung noch nicht erhalten wurden.

3. PRÜFUNG

  1. Externe Prüfer. Zendesk verwendet unabhängige und qualifizierte externe Prüfer, um die Angemessenheit seiner Datenschutzmaßnahmen und die Einhaltung seiner Verpflichtungen in dieser DPA zu überprüfen (z. B. SOC 2 Typ II oder ISO 27001).
  2. Prüfungsbericht. Auf schriftliche Anfrage der Kund:in wird Zendesk der Kund:in einen Prüfbericht zur Verfügung stellen, vorbehaltlich der Vertraulichkeitsbestimmungen des Vertrags.
  3. Hilfe. Soweit die Prüfungsanforderungen der Kund:in gemäß dem anwendbaren Datenschutzrecht nicht angemessen durch den Prüfungsbericht oder andere Dokumentationen erfüllt werden, die Zendesk seinen Kund:innen allgemein zur Verfügung stellt, und die Kund:in anderweitig keinen Zugang zu den relevanten Informationen hat, wird Zendesk die Kund:in angemessen unterstützen.
  4. Audit. Wenn die Kund:in ihre Prüfpflichten gemäß dem geltenden Datenschutzrecht nicht mit der in Abschnitt 3.3 von Zendesk bereitgestellten Unterstützung erfüllen kann und die Kund:in nach geltendem Datenschutzrecht das Recht hat, eine Prüfung durchzuführen, kann die Kund:in eine solche Prüfung beantragen, indem sie mindestens 30 Tage im Voraus eine schriftliche Mitteilung an privacy@zendesk.com sendet. Eine solche Prüfung darf nicht mehr als einmal jährlich durchgeführt werden, muss während der normalen Geschäftsstunden mit angemessener Dauer durchgeführt werden, darf den Betrieb von Zendesk nicht stören und darf nur am Hauptsitz von Zendesk oder in einem vereinbarten Geschäftsgebäude durchgeführt werden. Eine solche Prüfung wird keinen Zugriff auf Daten in Bezug auf andere Zendesk-Kunden oder auf gesicherte Einrichtungen oder Systeme in einer Weise beinhalten, die die Schutzkontrollen von Zendesk verletzen oder Zendesk dazu veranlassen würde, seine Vertraulichkeitsverpflichtungen gegenüber Dritten zu verletzen. Alle Informationen, die in Verbindung mit einer solchen Prüfung generiert werden, sind vertrauliche Informationen von Zendesk und werden umgehend an Zendesk bereitgestellt. Kund:in ist verantwortlich für Kosten und Ausgaben im Zusammenhang mit jeder Prüfung, die über den Prüfungsbericht hinaus angefordert wird.

4. INTERNATIONALE DATENWEITERLEITUNGEN

  1. Internationale Datenweiterleitungen. Der Kunde erkennt an, dass es für die Erbringung der Dienstleistungen notwendig ist, dass Zendesk Servicedaten auf globaler Basis in Übereinstimmung mit dem geltenden Datenschutzrecht verarbeiten kann. Wenn Zendesk Persönliche Daten von einem Ursprungsland in ein Land weiterleitet, das keine Angemessenheitsentscheidung vom Ursprungsland erhalten hat, werden die Weiterleitungen einem oder mehreren der folgenden Weiterleitungsmechanismen folgen, die auf alle Persönlichen Daten anwendbar sind, und zwar in der folgenden Reihenfolge:

    1. einen gültigen Zertifizierungsmechanismus;

    2. Verbindliche Unternehmensregeln;

    3. SCCs.

  2. Weiterleitungsmechanismen. Weiterleitungsmechanismen, Klauselauswahlen und spezifische Länderanforderungen, falls zutreffend, sind im Anhang III ausführlich beschrieben und durch Verweis einbezogen.
  3. Datenweiterleitungsbewertung. Kund:in erkennt an, dass es verpflichtet sein kann, zusätzlich zur Weiterleitung auf Weiterleitungsmechanismen eine Datenweiterleitungsbewertung durchzuführen. Zendesk wird auf Anfrage angemessene Unterstützung bei dieser Bewertung leisten.
  4. Verbindliche Signatur. Kund:in erkennt an, dass die Signatur des Vertrags eine verbindliche Signatur der SCCs und anderer Signaturanforderungen darstellt, die in den regionsspezifischen Bedingungen angegeben sind.

5. EINGABETASTE UND ZERSTÖRUNG VON PERSÖNLICHEN DATEN

Auf schriftliche Anfrage der Kund:in wird Zendesk die Servicedaten der Kund:in zur Verfügung stellen, um sie gemäß der Vereinbarung zu exportieren oder herunterzuladen. Zendesk wird Servicedaten gemäß der Löschungsrichtlinie für Servicedaten von Zendesk löschen.

6. INNOVATIONSSERVICES

Alle Abschnitte dieser DPA gelten für Innovation Services, mit Ausnahme von Abschnitt 3 (Audit), Anhang II (Zendesk Technische und organisatorische Sicherheitsmaßnahmen – Großunternehmen-Services) und Anhang III, Abschnitte 1 und 2 (Verbindliche Unternehmensregeln und Datenschutzrahmen).

7. KONFLIKTE

Sofern nicht anders vereinbart, haben die Bedingungen dieses DPA Vorrang vor allen widersprüchlichen Bedingungen in der Vereinbarung.

8. DEFINITIONEN

Alle in diesem DPA verwendeten Begriffe haben die ihnen unten gegebene Bedeutung. Wo in dieser DPA nicht definiert, haben die Begriffe „Sell“, „teilen“, „Verarbeitung“, „verarbeiten“, „Auftragsverarbeiter“, „Verantwortlicher“, „Datenexporteur“, „Datenimportprogramm“, „Betreff“, „Persönlich Datenverletzung“ (und ähnliche Begriffe) und „Aufsichtsbehörde“ die gleiche Bedeutung wie im anwendbaren Datenschutzrecht. Alle großgeschriebenen Begriffe, die nicht anderweitig in diesem DPA definiert sind, entsprechen der Definition in der Vereinbarung.

„Anwendbares Datenschutzrecht“ bezeichnet alle Datenschutzgesetze und -vorschriften, die für jede Partei in Verbindung mit ihrer jeweiligen Verarbeitung von Persönlichen Daten im Rahmen dieser Vereinbarung gelten.

„Audit-Bericht“ bezeichnet eine vertrauliche Übersicht eines solchen Zertifizierungs- oder Audit-Berichts für Großunternehmen-Services.

„Verbindliche Unternehmensregeln“ bedeutet (a) EU-Verbindliche Unternehmensregeln – Auftragsverarbeiter für Weiterleitungen von Persönlichen Daten, die der DSGVO unterliegen, oder (b) UK-Verbindliche Unternehmensregeln – Auftragsverarbeiter für Weiterleitungen von UK Persönlichen Daten.

„Bug-Bounty-Programm“ bezeichnet die Bedingungen unter: https://support.zendesk.com/hc/en-us/articles/115002853607-Zendesk-Bug-Bounty-Program.

Beitrag zur Geschäftskontinuität https://support.zendesk.com/hc/en-us/articles/360022191434-Business-Continuity-and-Disaster-recovery.

„Persönliche Daten“ bezeichnet alle persönlichen Daten, die sich direkt oder indirekt auf eine identifizierte oder identifizierbare natürliche Person beziehen und in Servicedaten enthalten sind.

„Status-Webseite“ https://status.zendesk.com/.

„SCCs“ bezeichnet Standardvertragsklauseln, die von einer Aufsichtsbehörde als Weiterleitungsmechanismus genehmigt wurden.

„Unterauftragsverarbeiter“ bezeichnet jeden von Zendesk beauftragten externen Datenverarbeiter, der Servicedaten gemäß den Anweisungen des Kunden (wie von Zendesk kommuniziert) und den Bedingungen seines schriftlichen Untervertrags mit Zendesk empfängt und verarbeitet, wie in der Richtlinie für Unterauftragsverarbeiter aufgeführt.

„Subunternehmer-Richtlinie“ bezeichnet die Richtlinie unter: https://support.zendesk.com/hc/en-us/articles/4408883061530-Sub-processor-Policy.

„Weiterleitungsmechanismus“ bezeichnet das/die Rahmenwerk(e), das/die die internationale Verarbeitung von Persönlich Daten gemäß Anhang III regelt/regeln.

ANHANG I

Details der Verarbeitung

Datenexporteur: Kund:in

Kontaktdetails: In der DPA-Signaturblock bereitgestellt.

Rolle des Datenexporteurs: Kund:in ist ein:e Controller:in (in Bezug auf Zendesk)

Datenimportprogramm: Zendesk, Inc.

Kontaktdetails: Bereitgestellt im Signaturblock der DPA

Rolle des Datenimportprogramms: Zendesk ist ein Prozessor

  1. Art und Zweck der Verarbeitung: Zendesk wird Persönliche Daten gemäß der Vereinbarung und für die von der Kund:in festgelegten Zwecke verarbeiten.
  2. Verarbeitungstätigkeiten: Verarbeitungstätigkeiten umfassen das Hosting und die Verarbeitung von Persönlichen Daten, wie ausdrücklich von dem/der Kund:in programmatisch oder in der Vereinbarung angewiesen.
  3. Dauer der Verarbeitung und Aufbewahrung: Zendesk wird Persönliche Daten kontinuierlich für die Abonnementlaufzeit verarbeiten und speichern. Zendesk löscht Persönliche Daten gemäß der Zendesk-Richtlinie zur Löschung von Servicedaten.
  4. Betroffene Personen: Kund:in kann nach eigenem Ermessen personenbezogene Daten an die Dienste übermitteln, die unter anderem Folgendes umfassen können: Mitarbeiter:innen (einschließlich Auftragnehmer:innen und Zeitarbeiter:innen), Angehörige von Mitarbeiter:innen, Kund:innen, potenzielle Kund:innen, Dienstleister:innen, Geschäftspartner:innen, Anbieter:innen, Endbenutzer:innen, Berater:innen (alle natürliche Personen) von Kund:in und alle natürlichen Personen, die von Kund:in zur Nutzung der Dienste autorisiert sind.
  5. Kategorien Persönlicher Daten: Der Kunde kann nach eigenem Ermessen mit den Diensten jede Kategorie von personenbezogenen Daten verarbeiten, die unter anderem folgende Kategorien von personenbezogenen Daten umfassen können: Vor- und Nachname, E-Mail-Adresse, Titel, Position, Arbeitgeber, Kontaktdaten (Firma, E-Mail, Telefonnummern, physische Adresse), Geburtsdatum, Geschlecht, Kommunikation (Telefonaufzeichnungen, Voicemail, Metadaten) und Kundenservice-Informationen.
  6. Besondere Datenkategorien (falls zutreffend): Sensitive Kategorien von Daten, die eine besondere Behandlung gemäß dem anwendbaren Datenschutzgesetz erfordern, können nach Ermessen der Kund:in in Persönliche Daten eingeschlossen werden.

ANHANG II

Zendesk Technische und organisatorische Schutzmaßnahmen – Großunternehmen-Dienste

Die technischen und organisatorischen Maßnahmen zum Schutz von Servicedaten für Großunternehmensdienste sind in den Enterprise-Sicherheitsmaßnahmen von Zendesk enthalten.

Zendesk behält sich das Recht vor, sein Schutzprogramm von Zeit zu Zeit zu aktualisieren; vorausgesetzt jedoch, dass keine Aktualisierung die allgemeinen Schutzmaßnahmen in diesem Anhang II wesentlich verringert.

  1. Informationsschutzprogramm und Team: Das Zendesk-Schutzprogramm umfasst dokumentierte Richtlinien und Standards für administrative, technische, physische und organisatorische Schutzmaßnahmen, die den Umgang mit Servicedaten in Übereinstimmung mit geltendem Recht regeln. Das Schutzprogramm ist darauf ausgelegt, die Vertraulichkeit und Integrität der Servicedaten zu schützen, entsprechend der Art, dem Umfang, dem Kontext und den Zwecken der Verarbeitung sowie den Risiken, die mit der Verarbeitung für die Betroffenen verbunden sind. Zendesk unterhält ein weltweit tätiges Schutzteam, das rund um die Uhr am Telefon ist, um auf Schutzwarnungen und -events zu reagieren.
  2. Schutz-Zertifizierungen: Zendesk besitzt die Schutz-bezogenen Zertifizierungen von unabhängigen Drittprüfern, denen ich folge: SOC 2 Typ II, ISO 27001:2013 oder ISO 27018:2014.
  3. Physische Zugangskontrollen: Zendesk ergreift angemessene Maßnahmen, wie Schutzpersonal und gesicherte Gebäude, um zu verhindern, dass unbefugte Personen physischen Zugang zu Servicedaten erhalten, und überprüft, ob Dritte, die Rechenzentren im Auftrag von Zendesk betreiben, solche Kontrollen einhalten.
  4. Systemzugriffskontrollen: Zendesk ergreift angemessene Maßnahmen, um zu verhindern, dass Servicedaten ohne Genehmigung verwendet werden. Diese Kontrollen variieren je nach Art der durchgeführten Verarbeitung und können unter anderem die Authentifizierung über Passwörter und/oder Zwei-Faktor-Authentifizierung, dokumentierte Autorisierungsprozesse, dokumentierte Change Management-Prozesse und/oder die Protokollierung des Zugriffs auf mehreren Ebenen umfassen.
  5. Datenzugriffskontrollen: Zendesk ergreift angemessene Maßnahmen, um sicherzustellen, dass Servicedaten nur für ordnungsgemäß autorisiertes Personal zugänglich und verwaltbar sind, der direkte Zugriff auf Datenbankabfragen eingeschränkt ist und Anwendungszugriffsrechte eingerichtet und durchgesetzt werden, um sicherzustellen, dass Personen, die berechtigt sind, ein Datenverarbeitungssystem zu verwenden, nur Zugriff auf die Servicedaten haben, auf die sie Zugriffsrecht haben, und dass Servicedaten im Laufe der Verarbeitung nicht ohne Genehmigung gelesen, kopiert, geändert oder entfernt werden können.
  6. Übertragungssteuerung: Zendesk ergreift angemessene Maßnahmen, um sicherzustellen, dass überprüft und festgestellt werden kann, welche Entitäten über Datenübertragungseinrichtungen Servicedaten übertragen, sodass Servicedaten während der elektronischen Übertragung oder des Transports nicht unbefugt gelesen, kopiert, geändert oder entfernt werden können. Service-Daten werden bei der Übertragung über öffentliche Netzwerke verschlüsselt, wenn sie mit Zendesk-Benutzeroberflächen (UIs) und Anwendungsprogrammierschnittstellen (APIs) über den Industriestandard HTTPS/TLS (TLS 1.2 oder höher) kommunizieren. Ausnahmen von der Verschlüsselung während der Übertragung können jedes Drittanbieter-Produkt umfassen, das keine Verschlüsselung unterstützt, zu dem der Datenverantwortliche nach eigenem Ermessen über die Großunternehmensdienste verknüpfen kann. Betriebsdaten werden im Ruhezustand von Unterauftragsverarbeitern von Zendesk und Managed Services-Anbieter, Amazon Web Services Inc., über AES-256 verschlüsselt.
  7. Eingabesteuerungen: Zendesk ergreift angemessene Maßnahmen, um die Möglichkeit zu bieten, zu prüfen und festzustellen, ob und von wem Dienstdaten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden, und dass jede Übertragung von Dienstdaten an einen externen Dienstanbieter über eine sichere Übertragung erfolgt.
  8. Logische Trennung: Daten aus verschiedenen Zendesk-Kundenumgebungen werden auf Systemen, die von Zendesk verwaltet werden, logisch getrennt, um sicherzustellen, dass Servicedaten, die von verschiedenen Controllern gesammelt werden, voneinander getrennt werden.
  9. Keine Hintertüren: Zendesk hat keine Hintertüren oder andere Methoden in die Dienste integriert, um es Regierungsbehörden zu ermöglichen, ihre Sicherheitsmaßnahmen zu umgehen, um Zugriff auf Dienstdaten zu erhalten.
  10. Rechenzentrumsarchitektur und Schutz: Zendesk hostet Servicedaten hauptsächlich in AWS-Rechenzentren, die als ISO 27001, PCI DSS Service Provider Level 1 und/oder SOC2 konform zertifiziert sind. Die Server in der AWS-Infrastruktur – und damit die Daten des Kunden – sind durch Reservestrom-, HLK-Systeme und Brandbekämpfungsanlagen geschützt. AWS-Website-Schutz umfasst eine Reihe von zu den angesagten Posts hinzufügen, wie Sicherheitspersonal, Umzäunung, Sicherungs-Feeds, Einbruchserkennungstechnologie und andere Sicherheitsmaßnahmen. Weitere Details zu AWS-Kontrollen finden Sie unter: https://aws.amazon.com/security.
  11. Netzwerkarchitektur und Schutz: Zendesk-Systeme werden in Zonen gehostet, die ihrem Schutz entsprechen, je nach Funktion, Informationsklassifizierung und Risiko. Die Netzwerkschutzarchitektur von Zendesk besteht aus mehreren Zonen, wobei sensiblere Systeme, wie Datenbankserver, in den vertrauenswürdigsten Zonen von Zendesk untergebracht sind. Je nach Zone finden zusätzliche Schutzüberwachungen und Zugangskontrollen Anwendung. DMZs werden zwischen dem Internet und intern zwischen den unterschiedlichen Zonen des Vertrauens eingesetzt. Das Netzwerk von Zendesk ist durch die Nutzung von Schlüssel-AWS-Sicherheitsdiensten, regelmäßige Audits und Netzwerk-Intelligenz-Technologien geschützt, die bekannte bösartige Datenübertragung und Netzwerkattacken überwachen und/oder blockieren. Zendesk nutzt Netzwerkschutz-Scans, um eine schnelle Identifizierung potenziell anfälliger Systeme zu ermöglichen, zusätzlich zu Zendesks umfangreichem internem Scan- und Testprogramm. Zendesk nimmt auch an mehreren Programmen zum Austausch von Bedrohungsintelligenz teil, um Bedrohungen zu überwachen, die in diesen Bedrohungsintelligenz-Netzwerken gepostet werden, und Maßnahmen basierend auf dem Risiko zu ergreifen. Zendesk verfolgt einen mehrschichtigen Ansatz zur DDoS-Abwehr, der Netzwerk-Edge-Abwehr sowie Skalierungs- und Schutztools nutzt.
  12. Testen, Überwachen und Protokollieren: Jedes Jahr beauftragt Zendesk externe Schutzexperten, um einen umfassenden Penetrationstest über die Zendesk Production- und Unternehmensnetzwerke durchzuführen. Zendesk verwendet ein Security Incident Event Management (SIEM)-System, das Protokolle von wichtigen Netzwerkgeräten und Hostsystemen Gather. Das SIEM löst Warnungen bei Auslösern aus, die das Schutzteam basierend auf korrelierten Events zur Untersuchung und Antwort benachrichtigen. Die wichtigsten Ein- und Ausgangspunkte sind instrumentiert und werden auf Verhaltensanomalien hin überwacht, einschließlich 24/7-Systemüberwachung.
  13. Datenhosting-Standort: Zendesk bietet Kunden die Möglichkeit zu wählen, wo Servicedaten gehostet werden, wenn ein Kunde das Add-On Standort des Rechenzentrums erwirbt. Eine Full Beschreibung dieses Angebots finden Sie unter: https://support.zendesk.com/hc/en-us/articles/360053579674.
  14. Verfügbarkeit und Kontinuität: Zendesk führt eine öffentlich zugängliche Status-Webseite, die Systemverfügbarkeitsdetails, geplante Wartungsarbeiten, die Historie von Service-Vorfällen und relevante Sicherheits-Events enthält. Zendesk verwendet Dienst-Cluster und Netzwerkausfälle, um einzelne Ausfallpunkte zu beseitigen. Unser strenges Backup-Regime und/oder das Erweitertes Disaster Recovery-Serviceangebot von Zendesk ermöglicht es uns, ein hohes Maß an Serviceverfügbarkeit zu bieten, da Servicedaten über verfügbare Zonen repliziert werden. Zendesks Disaster-Recovery-Programm stellt sicher, dass die Zendesk-Dienste im Fall einer Katastrophe verfügbar bleiben und leicht wiederherstellbar sind, indem eine robuste technische Umgebung aufgebaut wird. Weitere Details sind auf der Webseite zur Geschäftsresilienz von Zendesk verfügbar.
  15. Personen-Schutz: Zendesk führt vor der Einstellung Hintergrundüberprüfungen aller Mitarbeiter durch, einschließlich der Überprüfung von Ausbildung und Beschäftigung, in Übereinstimmung mit den geltenden lokalen Gesetzen. Mitarbeiter erhalten Schutztraining nach der Einstellung und jährlich danach. Mitarbeiter sind durch schriftliche Vertraulichkeitsvereinbarungen verpflichtet, die Vertraulichkeit von Daten zu wahren.
  16. Lieferantenverwaltung: Zendesk verwendet Drittanbieter, um bestimmte Aspekte der Dienste bereitzustellen. Zendesk führt eine Schutzrisikobewertung potenzieller Kunden von potenziellen Anbietern durch.
  17. Bug Bounty: Zendesk unterhält ein Bug-Bounty-Programm, um unabhängigen Sicherheitsexperten zu ermöglichen, Sicherheitslücken fortlaufend zu berichten.

Zendesk Technische und Organisatorische Schutzmaßnahmen – Innovationsdienste

Die technischen und organisatorischen Maßnahmen zum Schutz von Servicedaten für Innovationsdienste sind in den Innovationssicherheitsmaßnahmen von Zendesk enthalten.

Das Zendesk-Informationssicherheitsprogramm umfasst dokumentierte Richtlinien oder Standards, die den Umgang mit Servicedaten in Übereinstimmung mit geltendem Recht regeln, sowie administrative, technische und physische Sicherheitsvorkehrungen, die die Vertraulichkeit und Integrität von Servicedaten schützen sollen. Zendesk behält sich das Recht vor, sein Schutzprogramm von Zeit zu Zeit zu aktualisieren; vorausgesetzt jedoch, dass keine Aktualisierung die allgemeinen Schutzmaßnahmen in diesem Anhang II wesentlich verringert.

  1. Physische Zugangskontrollen: Zendesk ergreift angemessene Maßnahmen, um zu verhindern, dass unbefugte Personen physischen Zugriff auf Servicedaten erhalten.

  2. Systemzugriffskontrollen: Zendesk ergreift angemessene Maßnahmen, um zu verhindern, dass Servicedaten ohne Genehmigung verwendet werden.

  3. Datenzugriffskontrollen: Zendesk ergreift angemessene Maßnahmen, um sicherzustellen, dass auf die Servicedaten nur von ordnungsgemäß autorisierten Mitarbeitern zugegriffen und diese verwaltet werden können.

  4. Getriebesteuerungen: Zendesk ergreift angemessene Maßnahmen, um sicherzustellen, dass überprüft und festgestellt werden kann, an welche Entitäten Servicedaten mittels Datenübertragungseinrichtungen übertragen werden, sodass Servicedaten während der elektronischen Übertragung oder des Transports nicht ohne Genehmigung gelesen, kopiert, geändert oder entfernt werden können.

  5. Eingabesteuerungen: Zendesk ergreift angemessene Maßnahmen, um zu gewährleisten, dass es möglich ist, zu prüfen und festzustellen, ob und von wem Dienstdaten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden, und dass jede Übertragung von Dienstdaten an einen Drittanbieter über eine sichere Übertragung erfolgt.

  6. Logische Trennung: Daten aus verschiedenen Zendesk-Kundenumgebungen werden auf Systemen, die von Zendesk verwaltet werden, logisch getrennt, um sicherzustellen, dass Servicedaten, die von verschiedenen Controllern gesammelt werden, voneinander getrennt werden.

  7. Schutzrichtlinien und Personal: Zendesk hat und wird ein verwaltetes Schutzprogramm beibehalten, um Risiken zu identifizieren und präventive Technologie sowie Technologie und Prozesse zur Abwehr gängiger Angriffe zu implementieren. Zendesk hat und wird ein Vollzeit-Informationsschutzteam unterhalten, das für den Schutz der Netzwerke, Systeme und Dienste von Zendesk verantwortlich ist und Schulungen für die Mitarbeiter von Zendesk in Übereinstimmung mit den Schutzrichtlinien von Zendesk entwickelt und durchführt.

ANHANG III

Weiterleitungsmechanismen und regionsspezifische Begriffe

Zendesk nutzt mehrere Weiterleitungsmechanismen, die die internationale Weiterleitung von Persönlichen Daten regeln, abhängig von der Gerichtsbarkeit der Persönlichen Daten, die verarbeitet werden. Zusätzliche datenschutzspezifische Bedingungen in den regionsspezifischen Bedingungen werden gegebenenfalls aufgenommen.

1 Verbindliche Unternehmensregeln

Zendesk, seine verbundenen Unternehmen und Unterauftragsverarbeiter erfüllen die Anforderungen der verbindlichen Unternehmensregeln von Zendesk, die von der irischen Datenschutzkommission und dem UK Information Commission Office genehmigt wurden und im Zendesk Trust Center unter https://www.zendesk.com/trust-center/ verfügbar sind.

2. Datenschutzrahmen

Zendesk hat zertifiziert, an der EU-US-Teilnahme teilzunehmen und die Vorschriften einzuhalten. Data Privacy Framework („EU-U.S. DPF“), die U.K.-Erweiterung zum EU-U.S. DPF und dem Swiss-U.S. Data Privacy Framework („Swiss-U.S. DPF”) (siehe: https://www.dataprivacyframework.gov/s/). Zendesk verpflichtet sich, die Selbstzertifizierung der Einhaltung der EU-US- DPF, die UK-Erweiterung zum EU-U.S. DPF und dem Swiss-U.S. DPF oder ein Ersatzrahmenwerk für die im Rahmen des Vertrags und dieses DPA erbrachten Dienstleistungen.

3. SCCs

  1. Zendesk verwendet außerdem die von der Europäischen Kommission angenommenen Standardvertragsklauseln, die im Anhang zum Durchführungsbeschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 aufgeführt sind, verfügbar unter: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0914 („EU SCCs“), sowie das britische International Data Transfer Addendum zu den Standardvertragsklauseln der EU-Kommission, verfügbar unter: https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf („UK Addendum“). Die Parteien erkennen an, dass die SCCs in diese DPA aufgenommen werden, als ob sie unten vollständig angegeben wären. Diese Verknüpfungen können von Zeit zu Zeit basierend auf Aktualisierungen durch die Regulierungsbehörden aktualisiert werden und werden durch eine Änderung dieses DPA aktualisiert.

  2. Soweit SCCs veröffentlicht und von einer Aufsichtsbehörde erforderlich sind, die keine EU-SCCs sind, interpretieren die Parteien sie als Abgeschlossen im Einklang mit den Auswahlmöglichkeiten in Unterabschnitt (e).

  3. Im Falle eines Konflikts oder einer Unklarheit haben die Bedingungen der SCCs Vorrang vor der DPA und allen anderen Bedingungen zwischen Zendesk und Kund:in.

  4. Wo die EU-Standardvertragsklauseln von einer lokalen Aufsichtsbehörde als Weiterleitungsmechanismus anerkannt werden, gelten sie für alle persönliche Daten, die dieser Behörde unterliegen, und werden in der im Unterabschnitt (e) angegebenen Weise als abgeschlossen betrachtet.

  5. EU-SCCs. Wo die EU SCCs als Weiterleitungsmechanismus verwendet werden, gelten sie als folgt Abgeschlossen:

    1. Modul 2 (Verantwortlicher an Auftragsverarbeiter) gilt, wenn der Kunde ein Verantwortlicher für Servicedaten ist und Zendesk ein Auftragsverarbeiter von Servicedaten ist; Modul 3 (Auftragsverarbeiter an Auftragsverarbeiter) gilt, wenn der Kunde ein Auftragsverarbeiter von Servicedaten ist und Zendesk ein Auftragsverarbeiter von Servicedaten ist;

    2. in Klausel 7 wird die optionale Andockklausel nicht gelten;

    3. in Klausel 9(a) gilt Option 2 „Allgemeine schriftliche Genehmigung“, und der Zeitraum für die vorherige Benachrichtigung über Änderungen von Unterauftragsverarbeitern, wie im Abschnitt „Einsatz von Unterauftragsverarbeitern“ dieser DPA angegeben;

    4. in Klausel 11 wird die optionale Sprache nicht gelten;

    5. in Klausel 17, Option 1 gilt und unterliegt den in der Vereinbarung vorgesehenen Gesetzen oder den Gesetzen Irlands, wenn kein Recht der EWR-Mitgliedsstaaten gilt, oder den Gesetzen des Importeurs, wenn keines zutrifft;

    6. in Klausel 18(b) werden Streitfälle vor den Gerichten in der folgenden Rangfolge gelöst: (1) wie im Vertrag vorgesehen, (2) Dublin, Irland, falls kein EWR-Mitgliedstaat zutrifft, (3) das Land der Kund:in mit Zuständigkeit für den Hauptsitz der Kund:in, (4) die eingetragene Geschäftsadresse von Zendesk;

    7. in Anhang I.A und I.B und Anhang II der EU SCCs gelten als Abgeschlossen mit den in den Anhängen I und II zu dieser DPA aufgeführten Informationen; und

    8. in Anhang I.C der SCCs ist die Aufsichtsbehörde die für den Datenexporteur zuständige Behörde. Wo der Datenexporteur nicht im lokalen Land niedergelassen ist, aber dennoch in den territorialen Anwendungsbereich des geltenden Datenschutzrechts fällt, wird die zuständige Aufsichtsbehörde dort sein, wo der Datenexporteur einen Vertreter benannt hat. Hat er keinen Vertreter benannt, ist die Aufsichtsbehörde Irlands die zuständige Behörde.

  6. Nachtrag für Großbritannien. Wo der UK-Zusatz gilt, wird er als Abgeschlossen wie folgt:

    1. Tabelle 1, wird als Abgeschlossen betrachtet mit den Informationen, die in Anhang I dieser DPA angegeben sind, deren Inhalt hiermit von den Parteien vereinbart wird;

    2. Tabelle 2, die Parteien wählen das Kontrollkästchen aus, das lautet: „Genehmigte EU-SCCs, einschließlich der Anhangsinformationen und mit nur den folgenden Modulen, Klauseln oder optionalen Bestimmungen der genehmigten EU-SCCs, die für die Zwecke dieses Nachtrags in Kraft gesetzt werden“, und die begleitende Tabelle gelten als Abgeschlossen gemäß den in diesem Anhang dargelegten Präferenzen der Parteien;

    3. Tabelle 3, wird als Abgeschlossen betrachtet mit den in Anhang I, Anhang II angegebenen Informationen und wie im Abschnitt „Verwendung von Unterauftragsverarbeitern“ dieser DPA angegeben; und

    4. Tabelle 4, die Parteien vereinbaren, dass keine Partei den UK-Nachtrag wie in Abschnitt 19 angegeben kündigen darf.