Für weitere Informationen über unsere Entwicklungen in Bezug auf den EU-US- Datenschutzschild, klicken Sie hier.

Datenschutz und Datensicherheit

Weitere Informationen zu Sicherheitsressourcen

Überblick

Zendesk macht das Vertrauen seiner Kunden zu einer Priorität. Wir wissen, dass die Sicherheit und Integrität der Kundendaten wichtig für die Werte und den Betrieb unserer Kunden sind. Deshalb halten wir diese privat und sicher.

Zendesk unterstützt Tausende von Kunden in über 160 Ländern und Gebieten. Unsere Kunden vertrauen uns große Mengen sensibler Daten an, die aus einem breiten Spektrum von Branchen stammen, unter anderem Gesundheitswesen, Finanzdienstleistungen, Regierung und Technologie.

Zendesk hilft seinen Kunden auf viele verschiedene Arten, die Kontrolle über ihre Privatsphäre und Datensicherheit zu bewahren:

  • Datensicherheit: Wir bieten unseren Kunden die Einhaltung hoher Sicherheitsstandards, wie beispielsweise Verschlüsselung von Daten, die über öffentliche Netzwerke übermitteln werden, Audit-Standards (SOC 2, ISO 27001, ISO 27018), DDoS-Abwehrmaßnahmen (Distributed Denial of Service) sowie ein Kundendienst-Team, das rund um die Uhr erreichbar ist.

  • Weitergabe von Kunden-Servicedaten: Zendesk gib nur dann Servicedaten an Dritte weiter, soweit die Weitergabe bzw. Offenlegung für die Erbringung der Dienste notwendig ist oder als Antwort auf ein im Einklang mit geltendem Recht erfolgendes Ersuchen staatlicher Behörden vorgeschrieben ist.

  • Vertrauen: Zendesk hat Sicherheitsmaßnahmen und Kontrollprozesse entwickelt, um unseren Kunden zu helfen, eine sichere Umgebung für ihre Daten zu gewährleisten. Unabhängige externe Experten haben bestätigt, dass Zendesk die hohen Branchenstandards erfüllt.

  • Datenhosting-Lokalität: Kunden, die den zugehörigen Data Center Location Deployed Associated Service („Data Center Location Add-on“) kaufen, haben die Möglichkeit, die Region (aus einer Liste mit den regionalen Optionen von Zendesk) auszuwählen, in der sich das Rechenzentrum befindet, das ihre Servicedaten hosten soll.

  • Zugriffsverwaltung: Zendesk bietet eine moderne Ausstattung mit Zugriffs- und Verschlüsselungsfunktionen, die Kunden helfen sollen, ihre Informationen effektiv zu schützen. Wir greifen auf Kundeninhalte weder zu noch nutzen wir diese für andere Zwecke als die Erbringung, Aufrechterhaltung und Verbesserung der Zendesk-Dienste bzw. sofern dies anderweitig gesetzlich gefordert wird.

Was sind Servicedaten?

Servicedaten sind alle Informationen, einschließlich personenbezogener Daten, die in den Zendesk-Diensten von oder im Namen unserer Kunden und ihrer Endbenutzer gespeichert oder über diese übermittelt werden.

Wer besitzt und kontrolliert Servicedaten?

Aus der Datenschutzperspektive ist der Kunde der Verantwortliche für die Verarbeitung von Servicedaten und Zendesk ist ein Auftragsverarbeiter. Das bedeutet, dass für den gesamten Zeitraum, für den ein Kunde Dienste von Zendesk abonniert hat, der Kunde die Verantwortung und Kontrolle über die Servicedaten seinem Konto hat.

Wer sind die Auftragsverarbeiter im Unterauftragsverhältnis von Zendesk?

Zendesk kann Auftragsverarbeiter im Unterauftragsverhältnis, einschließlich verbundener Unternehmen von Zendesk, sowie Drittunternehmen einsetzen, um die Dienste bereitzustellen, zu sichern oder zu verbessern, und diese Auftragsverarbeiter im Unterauftragsverhältnis können Zugriff auf Servicedaten haben. Zendesk hält eine aktuelle Liste mit den Namen und Standorten all unserer Auftragsverarbeiter im Unterauftragsverhältnis aufrecht, einsehbar in unserer Richtlinie zu Auftragsverarbeitern im Unterauftragsverhältnis. Die Liste bietet unseren Kunden auch die Möglichkeit, sich für Benachrichtigungen über jegliche Änderungen anzumelden. Zendesk ist die Handlungen und Unterlassungen der Unterauftragsverarbeiter im selben Ausmaß verantwortlich, in dem Zendesk dafür verantwortlich wäre, wenn Zendesk die Dienste jedes Unterauftragsverarbeiters direkt erbringen würde.

Wie nutzt Zendesk Servicedaten?

Wir nutzen Servicedaten, um unsere Dienste zu betreiben und zu verbessern, um Kunden den Zugriff auf die Dienste und deren Nutzung zu erleichtern, um Kundenanfragen zu beantworten und um Mitteilungen im Zusammenhang mit den Diensten zu versenden.

Welche Schritte unternimmt Zendesk, um Servicedaten zu schützen?

Zendesk räumt der Datensicherheit höchste Priorität ein und kombiniert Sicherheitsfunktionen der Unternehmensklasse mit umfassenden Audits unserer Anwendungen, Systeme und Netzwerke, um den Schutz von Kunden- und Geschäftsdaten stets zu gewährleisten.

Beispielsweise werden die Server von Zendesk in Einrichtungen gehostet, die Tier IV oder III+, SSAE-16, PCI DSS oder ISO 27001 entsprechen. Zusätzlich dazu beauftragen wir externe Sicherheitsexperten damit, regelmäßig detaillierte Penetrationstests durchzuführen, und unser Kundendienst-Team ist rund um die Uhr erreichbar, um auf Sicherheitswarnungen und -vorfälle zu reagieren.

Wie benachrichtigt Zendesk Kunden über einen Sicherheitsvorfall?

Weitere Informationen zur Verwaltung von Sicherheitsvorfällen und Verfahren für Unternehmensdienstleistungen finden Sie im Abschnitt Wie wir Ihre Servicedaten schützen (Unternehmensdienstleistungen). Weitere Informationen zur Verwaltung von Sicherheitsvorfällen und Verfahren für Innovationsdienstleistungen finden Sie im Abschnitt Wie wir Ihre Servicedaten schützen (Innovationsdienstleistungen).

Wo werden die Servicedaten gespeichert?

Zendesk nutzt Rechenzentren in drei Hauptregionen — USA, Asien-Pazifik und Europäische Union. Servicedaten können in jeder Region gespeichert werden. Kunden können die Region auswählen, in der sich die Rechenzentren befinden, in denen bestimmte Servicedaten gespeichert werden, indem sie das Data Center Locality Add-On erwerben. Weitere Informationen dazu finden Sie in der Richtlinie zum Hosting regionaler Daten.

Was geschieht mit den Servicedaten, wenn der Vertrag eines Kunden mit Zendesk gekündigt wird oder ausläuft?

Zendesk verfügt über eine öffentlich zugängliche Richtlinie zur Löschung von Daten, die die Verfahren von Zendesk zur Datenlöschung nach der Kündigung oder dem Auslaufen einer Vereinbarung zwischen dem Kunden und Zendesk beschreibt.

Wie reagiert Zendesk auf Informationsanfragen?

Zendesk erkennt an, dass die Themen der Privatsphäre und des Datenschutzes für unsere Kunden oberste Priorität haben.

  • Zendesk gibt keine Servicedaten weiter, sofern dies nicht für die Erbringung seiner Dienste an seine Kunden und zur Einhaltung des Gesetzes, wie ausführlich in unserer Datenschutzrichtlinie hier erläutert, erforderlich ist.

  • Zendesk hat eine Reihe von international anerkannten Zertifizierungen und Akkreditierungen erhalten, die die Einhaltung von Sicherheitsstandards Dritter belegen, wie auf unserer Sicherheitsseite beschrieben.

  • Wenn wir öffentlich handeln müssen, um unsere Kunden zu schützen, tun wir das auch. Zendesk hat seine Unterstützung für den USA Liberty Act geäußert, mit dem das Überwachungsprogramm nach Abschnitt 702 des Foreign Intelligence Surveillance Act („FISA“) reformiert werden soll.

Wie reagiert Zendesk auf rechtliche Anfragen nach Servicedaten?

In bestimmten Situationen sind wir mitunter verpflichtet, personenbezogene Daten als Reaktion auf rechtmäßige Anfragen durch Behörden offenzulegen, einschließlich zum Befolgen von Anforderungen, die der nationalen Sicherheit oder dem Gesetzesvollzug dienen. Wir legen personenbezogene Daten mitunter als Reaktion auf Zwangsmaßnahmen, Gerichtsanordnungen oder Gerichtsverfahren, oder zum Formulieren oder Wahrnehmen unserer Rechtsansprüche oder zum Verteidigen gegen Rechtsansprüche offen. Wir geben solche personenbezogenen Daten bisweilen auch an entsprechende Strafverfolgungsbehörden oder öffentliche Behörden weiter, wenn wir der Auffassung sind, dass dies zum Untersuchen oder Verhindern illegaler Aktivitäten, mutmaßlichen Betrugs, Situationen mit potenziellen Bedrohungen der persönlichen Sicherheit einer Person oder Verstößen gegen unseren Rahmen-Abonnementvertrag oder zum Ergreifen von Maßnahmen bezüglich dessen erforderlich oder anderweitig gesetzlich vorgeschrieben ist.

DSGVO

Seit unserer Gründung ist der Ansatz von Zendesk von einem starken Engagement für Datenschutz, Sicherheit, Compliance und Transparenz geprägt. Zu diesem Ansatz gehört auch die Unterstützung unserer Kunden bei der Einhaltung der EU-Datenschutzanforderungen, einschließlich derjenigen, die in der Allgemeinen Datenschutz-Grundverordnung („DSGVO“) festgelegt sind, die die EU-Datenschutzrichtlinie (auch bekannt als „Richtlinie 95/46/EG“) ersetzte und am 25. Mai 2018 in Kraft getreten ist.

Wenn ein Unternehmen personenbezogene Daten von EU-Bürgern erhebt, übermittelt, hostet oder analysiert, verlangt die DSGVO, dass das Unternehmen externe Auftragsverarbeiter nutzt, die ihre Fähigkeit zur Implementierung der durch die DSGVO vorgesehenen technischen und organisatorischen Vorgaben garantieren können. Als weitere vertrauensbildende Maßnahme in Bezug auf die Kunden wurde unser Auftragsverarbeitungsvertrag („AVV “) aktualisiert, sodass unsere Kunden vertragliche Zusicherungen in Hinblick auf das geltende EU-Datenschutzrecht und zur Implementierung zusätzlicher vertraglicher Bestimmungen erhalten, die durch die DSGVO verlangt werden. Unsere vertraglichen Zusicherungen garantieren, dass Kunden:

  • auf Anfragen von betroffenen Personen zu Export, Korrektur, Änderung oder Löschung personenbezogener Daten reagieren können.

  • auf Verletzungen der Sicherheit personenbezogener Daten aufmerksam gemacht werden und diese den zuständigen Aufsichtsbehörden und betroffenen Personen gemäß den Fristen der DSGVO melden können.

  • ihre Einhaltung der DSGVO in Bezug auf die Dienste von Zendesk nachweisen können.

Was ist unter DSGVO zu verstehen?

Die Allgemeine Datenschutz-Grundverordnung („DSGVO“) ist die europäische Datenschutzverordnung, die die EU-Datenschutzrichtlinie („Richtlinie 95/46/EG“) ersetzt. Die DSGVO regelt die Verarbeitung personenbezogener Daten und den freien Verkehr solcher Daten. Durch sie soll die Sicherheit und der Schutz personenbezogener Daten in der EU gestärkt und das EU-Datenschutzrecht in Einklang gebracht werden. Allgemein gesagt, legt sie eine Reihe von Datenschutzgrundsätzen und -anforderungen fest, die bei der Verarbeitung personenbezogener Daten befolgt werden müssen

Die DSGVO führte zudem zur Einrichtung des Europäischen Datenschutzausschusses (European Data Protection Board, „EPDB“), der dafür sorgt, dass das Datenschutzrecht in der gesamten EU einheitlich angewandt wird, und der sich für eine effektive Zusammenarbeit der Datenschutzbehörden einsetzt.

Was bedeutet die DSGVO für Kunden?

Kunden von Zendesk, die personenbezogene Daten erheben und speichern, gelten gemäß der DSGVO als für die Verarbeitung Verantwortliche. Die für die Verarbeitung Verantwortlichen tragen die Hauptverantwortung für die Sicherstellung, dass ihre Verarbeitung personenbezogener Daten mit den einschlägigen EU-Datenschutzgesetzen, einschließlich der DSGVO, konform ist, und legen eindeutig fest, welche personenbezogenen Daten an Zendesk übertragen und von Zendesk gemäß den Diensten verarbeitet werden.

Welche Auswirkungen hat die DSGVO auf Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten?

Einer der Hauptaspekte der DSGVO ist, dass sie in allen EU-Mitgliedstaaten einheitliche Vorgaben für die sichere Verarbeitung, Nutzung und den Austausch personenbezogener Daten schafft. Unternehmen müssen die Sicherheit der von ihnen verarbeiteten Daten und ihre Einhaltung der DSGVO laufend nachweisen, indem sie robuste technische und organisatorische Maßnahmen sowie Compliance-Richtlinien umsetzen und regelmäßig überprüfen.

Wie geht Zendesk in seiner Eigenschaft als Auftragsverarbeiter mit Anfragen von Endbenutzern um?

Wenn Zendesk eine Anfrage eines Endbenutzers eines Kunden (d. h. eines Benutzers der Dienste, dem ein Kunde unsere Dienste zur Verfügung gestellt hat) erhält, ist Zendesk der Auftragsverarbeiter. Zendesk wird in diesem Fall den Endnutzer, soweit die geltende Gesetzgebung dies nicht verbietet, unverzüglich darüber in Kenntnis setzen, dass er sich wegen einer Anfrage zu seinen/ihren personenbezogenen Daten, wie beispielsweise in Bezug auf Zugriff oder Löschung, direkt an unseren Kunden (d. h. den für die Verarbeitung Verantwortlichen) wenden soll. Ohne die vorherige Zustimmung des Kunden wird Zendesk nicht weiter auf eine Anfrage der betroffenen Person reagieren.

Was sind einige der Empfehlungen für Kunden von Zendesk in Bezug auf die DSGVO?

Zendesk ermutigt seine Kunden, ihre Datenschutz- und Datensicherheitsprozesse und -richtlinien stetig zu überprüfen, um die Einhaltung der DSGVO zu gewährleisten. Die für die Datenverarbeitung Verantwortlichen tragen die Hauptverantwortung dafür, dass ihre Verarbeitung personenbezogener Daten mit den EU-Datenschutzgesetzen übereinstimmt. Nachfolgend finden Sie einige wichtige Punkte, die für die Einhaltung der DSGVO zu beachten sind:

  • Geographische Anwendbarkeit: Die DSGVO kann sowohl für Unternehmen gelten, die in der EU ansässig sind, als auch für bestimmte Unternehmen, die außerhalb der EU ansässig sind, jedoch personenbezogene Daten von EU-Bürgern verarbeiten, je nach deren Tätigkeit.

  • Rechte von Endnutzern: Unternehmen sollten sich über die Rechte von Endnutzern bewusst sein, deren personenbezogene Daten sie unter Umständen verarbeiten. Die DSGVO gibt erweiterte Rechte für Endnutzer vor, und Unternehmen sollten in der Lage sein, diese Rechte zu berücksichtigen.

  • Benachrichtigung über Datenschutzverletzungen: Unternehmen, die für die Verarbeitung personenbezogener Daten verantwortlich sind, sollten klare Prozesse umsetzen, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) zur Meldung von Verletzungen der Datensicherheit innerhalb der in der DSGVO festgelegten Fristen zu entsprechen. Zendesk wird die betroffenen Kunden ohne Verzögerung benachrichtigen, wenn wir von einer Verletzung der Datenschutzbestimmungen unserer Dienste Kenntnis erlangen.

  • Ernennung eines Datenschutzbeauftragten (Data Protection Officer, „DPO“): Kunden müssen unter Umständen einen DPO ernennen, um Fragen in Bezug auf die Verarbeitung personenbezogener Daten zu klären.

  • Auftragsverarbeitungsvertrag („AVV“): Sollten personenbezogene Daten in Länder außerhalb des EWR übertragen werden, muss ein Kunde unter Umständen mit seinen Unterauftragsverarbeitern entsprechende AVV abschließen, um ein angemessenes Schutzniveau für die übertragenen Daten sicherzustellen.

  • Datenschutz-Folgenabschätzung („DSFA“) Datenschutz-Folgenabschätzungen, kurz DSFA, beschreiben in der Regel die Datenverarbeitungsprozesse und Schutzmaßnahmen eines Unternehmens, insbesondere diejenigen, die mit Risiken verbunden sein können. Für Datenverarbeitungstätigkeiten müssen Kunden eine DSFA umsetzen und bei den Behörden einreichen.

Welche Dienste und Funktionen von Zendesk können Kunden bei der Einhaltung der DSGVO unterstützen?

Kunden können die ISO-Zertifizierungen von Drittparteien und die SOC-2-Auditberichte von Zendesk nutzen, um ihre Risikobewertungen umzusetzen und zu bestimmen, ob geeignete technische und organisatorische Maßnahmen bestehen. Für weitere Informationen lesen Sie bitte auch den Die Website zu Sicherheit von Zendesk.

Nachfolgend finden Sie Beispiele für spezifische Produktfunktionen von Zendesk, die Kunden zur Unterstützung des Compliance-Programms in Bezug auf die DSGVO nutzen können. Über unseren Advanced Security Deployed Associated Service können Kunden erweiterte Funktionen erhalten, einschließlich erweiterter Notfallwiederherstellung und Verschlüsselung, sowie die Fähigkeit zur Konfiguration für den Health Insurance Portability and Accountability Act („HIPAA“).

Die derzeit verfügbaren Funktionen für bestimmte Produkte von Zendesk finden Sie in den nachfolgenden Fragen/Antworten.

Prüfungsstandards:

  • ISO 27001:2013-zertifiziert

  • ISO 27018:2014-zertifiziert

Scannen:

  • Bug bounty

  • Dynamisches Scannen von Live-Anwendungen

  • Statisches Scannen von Code-Repositories

Verschlüsselung:

  • Verschlüsselung von bewegten Daten über öffentliche Netzwerke

  • Verschlüsselung bestimmter unbewegter Daten mit AES256

Bietet Zendesk derzeit produktspezifische Funktionen/Funktionalitäten in seinen Produkten an, die uns bei unserem Compliance-Programm in Bezug auf die DSGVO unterstützen?

Ja. Detailliertere Informationen zur Verwendung von Zendesk-Produkten zur DSGVO-Compliance finden Sie in unserem Help Center hier.

Was sind die „Musterklauseln“?

Die Europäische Kommission hat eine Reihe von Standardbestimmungen namens Standardvertragsklauseln („Musterklauseln“), genehmigt, die einem für die Verarbeitung Verantwortlichen einen konformen Mechanismus für die Übermittlung personenbezogener Daten an einen Auftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums („EWR“) zur Verfügung stellen. Die Musterklauseln sind dem Zendesk-AVV beigefügt und sollen zum angemessenen Schutz für die Datenübermittlung außerhalb des EWR oder der Schweiz beitragen.

Repliziert Zendesk die von Zendesk gespeicherten Servicedaten?

Zendesk repliziert in regelmäßigen Abständen Daten für die Archivierung, Datensicherung und Audit Logs. Wir nutzen Amazon Web Services (AWS) zur Speicherung einiger der Informationen, für die eine Datensicherung erfolgt, wie etwa Datenbankinformationen und Dateien in Anhängen. Weitere Informationen finden Sie in unserer Regional Data Hosting Policy (Richtlinie über regionales Datenhosting).

Verlassen in der EU gehostete Servicedaten jemals diese Region?

Kunden von Zendesk, die das Data Center Location Add-on erwerben, haben die Möglichkeit, die Region (aus einer Liste mit den regionalen Optionen von Zendesk) auszuwählen, in der sich das Rechenzentrum befindet, das ihre Servicedaten hosten soll. Weitere Informationen finden Sie in unserer Regional Data Hosting Policy (Richtlinie über regionales Datenhosting). Davon abgesehen, kann Zendesk jedes beliebige globale Rechenzentrum für das Hosting von Servicedaten verwenden.

Welche Schritte hat Zendesk unternommen, um sich auf den Brexit (den Austritt des Vereinigten Königreichs aus der Europäischen Union) vorzubereiten?

Ungeachtet des Ausgangs der laufenden Brexit-Verhandlungen setzt Zendesk sich nach wie vor für den Erfolg seiner Kunden und Mitarbeiter in Großbritannien und dem Rest von Europa ein. Wir verfolgen die Verhandlungen zwischen der Regierung des Vereinigten Königreichs und der Europäischen Union über die Einzelheiten ihrer zukünftigen Beziehung aufmerksam. Sobald die Einzelheiten klarer werden, werden wir geeignete Maßnahmen ergreifen, um sicherzustellen, dass unsere Kunden unsere Dienste weiterhin gemäß den Gesetzen der EU und des Vereinigten Königreichs nutzen können. Insgesamt gesehen wird das Geschäft für Zendesk wie gewohnt weiterlaufen und sich weiterhin auf den Erfolg unserer Kunden konzentrieren.

Auftragsverarbeitungsvertrag

Zendesk bietet aktiven Kunden seiner kostenpflichtigen und Test-Dienste die Möglichkeit, ein Auftragsverarbeitungsvertrag („AVV “) abzuschließen, welche die Übereinkunft der Parteien hinsichtlich der Verarbeitung personenbezogener Daten widerspiegelt. Wenn Sie Zugang zum Auftragsverarbeitungsvertrag von Zendesk wünschen, um diese einzusehen oder zu unterzeichnen, klicken Sie bitte hier. Kunden, die frühere Versionen unseres AVV unterzeichnet haben, können unsere aktuelle DPA jederzeit unterzeichnen.

Was ist unter einem Auftragsverarbeitungsvertrag („AVV“) zu verstehen?

Zendesk bietet seinen Kunden einen robusten Auftragsverarbeitungsvertrag, der die Beziehung zwischen dem Kunden (als für die Verarbeitung Verantwortlicher handelnd) und Zendesk (als Auftragsverarbeiter handelnd) regelt. Der AVV erleichtert es den Kunden von Zendesk, ihre Verpflichtungen gemäß dem EU-Datenschutzrecht einzuhalten, enthält strenge Datenschutzverpflichtungen, und wurde aktualisiert, um unsere DSGVO-Compliance zu bestätigen. Der AVV enthält auch Rahmenregelungen für die Datenübermittlung zur Sicherstellung, dass unsere Kunden außerhalb der Europäischen Union personenbezogene Daten rechtmäßig an Zendesk übermitteln können, indem sie sich auf einen der folgenden drei Mechanismen stützen: unsere verbindlichen internen Datenschutzvorschriften, unsere Privacy-Shield-Zertifizierung oder die Standardvertragsklauseln.

Berücksichtigt der AVV auch die DSGVO?

Ja, der AVV von Zendesk enthält Bestimmungen, die due Kunden bei der Einhaltung der DSGVO unterstützen sollen.

Was geschieht, wenn ein Kunde den AVV nicht unterzeichnet?

Zendesk empfiehlt, dass Sie Ihren Rechtsberater hinzuziehen, um die möglichen Auswirkungen Ihrer Entscheidung, den AVV nicht zu unterzeichnen, auf Ihre spezielle Situation zu beurteilen.

Können Kunden ihren eigenen AVV verwenden?

Nein. Der AVV von Zendesk ist spezifisch für die Dienste, die Datenschutzpraktiken und die Zusicherungen gegenüber Aufsichtsbehörden von und durch Zendesk.

An wen kann ich mich wenden, wenn ich weitere Fragen zur DPA habe?

Sollten Sie weitere Fragen haben, wenden Sie sich bitte an Ihren Zendesk-Kundenbetreuer oder eröffnen Sie einen Fall beim Zendesk-Kundensupport.

Berücksichtigt der AVV den California Consumer Privacy Act (CCPA)?

Nicht direkt. Zendesk stellt stattdessen einen separaten Zusatz zum Rahmen-Abonnementvertrag zur Verfügung, um „Businesses“ bei der Einhaltung des CCPA zu unterstützen, wie dieser Begriff im CCPA definiert ist. Weitere Informationen finden Sie im Abschnitt zum CCPA auf dieser Website.

CCPA

Der California Consumer Privacy Act, Cal. Civ. Code §§ 1798.100 et seq. (CCPA) ist ein im US-Bundesstaat Kalifornien geltendes US-Gesetz das am 1. Januar 2020 in Kraft getreten ist. Allgemein gesagt, regelt es die bestimmten kalifornischen Verbrauchern zur Verfügung stehenden Datenschutzrechte und verlangt von bestimmten Unternehmen, dass jene verschiedene Datenschutzauflagen einhalten.

Wird im Rahmen-Abonnementvertrag von Zendesk speziell auf den CCPA eingegangen?

Sie können den CCPA-Nachtrag zum Rahmen-Abonnementvertrag von Zendesk einsehen und/oder ausfüllen, indem Sie hier klicken.

Informationen zu unseren Datenschutzpraktiken und den Funktionalitäten, die wir bereitstellen, um unsere Kunden bei der Compliance zu unterstützen, finden Sie auf unserer Website zu Privatsphäre und Datenschutz, in unserer Richtlinie zum Löschen von Daten und in unseren Produkthandbüchern.

Was ist der CCPA?

Der CCPA gewährt kalifornischen Verbrauchern neue Rechte in Bezug auf die Erhebung ihrer personenbezogenen Daten und verlangt von Unternehmen die Einhaltung bestimmter Verpflichtungen im Zusammenhang mit diesen Rechten, unter anderem:

  1. Eine Verpflichtung für Unternehmen, den Verbraucher über ihre Datenerhebungspraktiken zu informieren, einschließlich der Kategorien personenbezogener Daten, die sie erheben, der Quelle der Daten, der Verwendung der Daten durch das Unternehmen und wem gegenüber das Unternehmen die über den Verbraucher erhobenen Daten offengelegt hat;
  2. Das Recht des Verbrauchers, eine Kopie der personenbezogenen Daten, die in den letzten zwölf (12) Monaten vor seiner Anfrage über ihn erhoben wurden, in einem leicht nutzbaren Format zu erhalten;
  3. Das Recht des Verbrauchers auf Löschung dieser personenbezogenen Daten (mit Ausnahmen);
  4. Das Recht des Verbrauchers, über die Praktiken des Unternehmens in Bezug auf den Verkauf von Daten informiert zu werden und zu verlangen, dass seine personenbezogenen Daten nicht an Drittparteien verkauft werden;
  5. Ein Verbot dahingehend, dass Unternehmen aufgrund der Ausübung eines Verbraucherrechts diskriminierend handeln; und
  6. Eine Verpflichtung für Unternehmen, Verbraucher über ihre Rechte in Kenntnis zu setzen.

Wie hat sich Zendesk auf den CCPA vorbereitet und wie unterstützen die Produkte von Zendesk die Einhaltung des CCPA?

Zendesk behält die Entwicklung des CCPA im Auge und bereitet sich auf die Compliance, seit der CCPA im Jahr 2018 verabschiedet wurde. Kürzlich hat das kalifornische Büro des Generalstaatsanwalts angedeutet, dass es die für den CCPA vorgeschlagenen Vorschriften weiter anpassen könnte. Im Hinblick auf diese möglichen Anpassungen, wird Zendesk auch weiterhin aktiv die Entwicklungen zu diesem Gesetz beobachten und wir werden unsere Kunden regelmäßig über Funktionen und Funktionalitäten informieren, die sie in Unterstützung ihrer Compliance-Bemühungen einsetzen können. Kunden können auch unsere Produkthandbücher für ausführlichere Informationen über die Nutzung von Zendesk-Produkten zur Einhaltung der Datenschutzgesetze sowie unsere Richtlinie zum Löschen von Daten für Einzelheiten zur Löschung von Servicedaten einsehen.

Inwiefern gilt der CCPA für Kunden von Zendesk?

Zendesk-Kunden, die personenbezogene Daten in Zendesk-Diensten erheben und speichern, können gemäß dem CCPA als „Unternehmen“ eingestuft werden. Unternehmen tragen die Hauptverantwortung dafür, dass ihre Verarbeitung personenbezogener Daten mit den einschlägigen Datenschutzgesetzen, einschließlich des CCPA, übereinstimmt. Zendesk handelt in Bezug auf die Verarbeitung personenbezogener Daten durch unsere Dienste als „Dienstanbieter“, wie dieser Begriff in der aktuellen Fassung des CCPA definiert ist. Daher erhebt, nutzt, verarbeitet und übermittelt Zendesk die personenbezogenen Daten unserer Kunden und der Endbenutzer unserer Kunden, die über die Dienste verarbeitet werden, ausschließlich zum Zweck der Erfüllung unserer Verpflichtungen aus unseren bestehenden Verträgen mit unseren Kunden und zu keinem anderen kommerziellen Zweck als der Erfüllung dieser Verpflichtungen und der Verbesserung der von uns angebotenen Dienste.

Verkauft Zendesk personenbezogene Informationen?

Wir „verkaufen“ die personenbezogenen Daten unserer Kunden nicht im Sinne der aktuellen Definition des CCPA, was bedeutet, dass wir diese personenbezogenen Daten auch nicht an Dritte vermieten, diesen gegenüber offenlegen, freigeben, sie an diese übermitteln, sie diesen zur Verfügung stellen oder die Daten anderweitig im Austausch für Geld oder andere wertvolle Gegenleistungen weitergeben. Wir können zusammengefasste und/oder anonymisierte Informationen über die Nutzung der Dienste, die nach dem CCPA nicht als personenbezogene Daten gelten, an Dritte weitergeben, um uns bei der Entwicklung und Verbesserung der Dienste zu unterstützen und unseren Kunden relevantere Inhalte und Dienstangebote zu bieten, wie in unseren Kundenverträgen festgelegt.

Wie können Kunden von Zendesk die Einhaltung des CCPA sicherstellen?

Abonnenten wird empfohlen, ihren eigenen Rechtsberater hinzuzuziehen, um zu beurteilen, inwieweit der CCPA speziell auf sie Anwendung findet und wie sie die Einhaltung des CCPA selbst sicherstellen können.

LGPD

Das brasilianische Datenschutzgesetz (Lei Geral de Proteção de Dados Pessoais – „LGPD“) trat am 16. August 2020 in Kraft. Es ist das wichtigste Gesetz in Brasilien in Bezug auf den Schutz personenbezogener Daten.

Wird das LGPD im Rahmen-Abonnementvertrag von Zendesk ausdrücklich erwähnt?

Sie können den LGPD-Nachtrag zum Rahmen-Abonnementvertrag von Zendesk einsehen und/oder ausfüllen, indem Sie hier klicken.

Darüber hinaus wurden der Rahmen-Abonnementvertrag (Master Subscription Agreement, MSA) von Zendesk, andere Datenschutz- und Produktdokumentationen sowie unsere internen Verfahren zur globalen Verwendung konzipiert, und wir aktualisieren sie bei Bedarf, um weiterhin unsere Dienste für Kunden in Lateinamerika und in der Karibik gemäß den rechtlichen Anforderungen bereitzustellen. Wir bitten Sie um Beachtung des Abschnitts mit dem Titel „Brasilien“ in den gebietsspezifischen Bedingungen von Zendesk, die Teil der MSA von Zendesk sind und verfügbar sind unter: https://www.zendesk.com/company/agreements-and-terms/region-specific-terms/.

Informationen zu unseren Datenschutzpraktiken und den Funktionalitäten, die wir bereitstellen, um unsere Kunden bei der Compliance zu unterstützen, finden Sie auf unserer Website zu Privatsphäre und Datenschutz, in unserer Richtlinie zum Löschen von Daten und in unseren Produkthandbüchern.

Was ist das LGPD?

Das LGPD ist das wichtigste Gesetz in Brasilien in Bezug auf den Schutz personenbezogener Daten und hat zum Ziel „die Grundrechte auf Freiheit und Privatsphäre sowie die freie Entfaltung der Persönlichkeit der natürlichen Person“ zu schützen. Die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter (im Sinne des LGPD) sind verpflichtet, bei der Verarbeitung personenbezogener Daten bestimmte Grundsätze einzuhalten, wozu unter anderem Zweck, Notwendigkeit, Transparenz und Sicherheit gehören.

Wie hat sich Zendesk auf das LGPD vorbereitet und wie unterstützen die Zendesk-Dienste die Einhaltung des LGPD?

Zendesk behält die Entwicklung des LGPD im Auge und bereitet sich auf seine Einhaltung vor, seit das LGPD im Jahr 2018 verabschiedet wurde. Zusätzliche dazu kann die Nationale Behörde für Datenschutz (ANPD) zusätzliche Leitlinien für das LGPD veröffentlichen. Angesichts dieser Leitfäden, wird Zendesk auch weiterhin aktiv die Entwicklungen zu diesem Gesetz beobachten und wir werden unsere Kunden regelmäßig über Funktionen und Funktionalitäten informieren, die sie in Unterstützung ihrer Compliance-Bemühungen einsetzen können. Kunden können außerdem unsere Produkthandbücher für ausführlichere Informationen zur Nutzung der Dienste von Zendesk bei der Einhaltung von Datenschutzgesetzen einsehen, sowie unsere Richtlinie zum Löschen von Daten für Einzelheiten zur Löschung von Servicedaten.

Auf welche Weise findet das LGPD auf Zendesk-Kunden Anwendung?

Zendesk-Kunden, die personenbezogene Daten in den Zendesk-Diensten erheben und speichern, können gemäß dem brasilianischen Datenschutzgesetz (LGPD) als „Verantwortliche“ eingestuft werden. Die für die Verarbeitung Verantwortlichen tragen die Hauptverantwortung dafür, dass ihre Verarbeitung personenbezogener Daten mit den einschlägigen Datenschutzgesetzen, einschließlich des LGPD, übereinstimmt. Zendesk handelt als ein „Auftragsverarbeiter“ entsprechend der Definition dieses Begriffs in der aktuellen Version des LGPD hinsichtlich der Verarbeitung personenbezogener Daten durch unsere Dienste. Deshalb verarbeitet Zendesk die personenbezogenen Daten unserer Kunden und der Endbenutzer unserer Kunden auf Anweisung unserer Kunden.

Wie können Zendesk-Kunden die Einhaltung des LGPD gewährleisten?

Kunden wird empfohlen, ihren eigenen Rechtsberater hinzuzuziehen, um zu beurteilen, inwieweit die LGPD speziell auf sie zutrifft, und um zu ermitteln, wie sie die LGPD am besten befolgen können.

Produktbereitschaft für Datenschutz und Privatsphäre von Zendesk

Klicken Sie auf die Zendesk-Produkte unten, um die in den einzelnen Zendesk-Produkten verfügbaren Funktionen und Funktionalitäten zu sehen, die bei der Unterstützung der Compliance in Bezug auf Datenschutzbestimmungen helfen können.

Datenschutzrahmenwerke aus verschiedenen Regionen können sich unterscheiden, was die Terminologie betrifft, die sie zur Beschreibung der Rollen und Pflichten der jeweiligen Parteien verwenden. Für mehr Konsistenz verwendet Zendesk in diesen Handbüchern die folgenden Begriffe, die weltweit gelten. Um Zweifel auszuschließen, weisen wir darauf hin, dass diese Definitionen keine Definitionen in Vereinbarungen, die Kunden oder Einzelpersonen mit Zendesk geschlossen haben, ersetzen.

  • Der für die Verarbeitung Verantwortliche ist die Partei, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt;
  • Der Auftragsverarbeiter ist die Partei, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet;
  • Die betroffene Person ist die identifizierte oder identifizierbare natürliche Person, um deren personenbezogene Daten es geht; und
  • Personenbezogene Daten sind jegliche Informationen, die sich auf die betroffene Person beziehen.

Für weitere Informationen dazu, wie die Produkte von Zendesk an die globalen Datenschutzrechte angepasst sind, klicken Sie bitte auf die folgenden Icons:

Klicken Sie auf die unten aufgeführten Zendesk-Produkte, um die in den einzelnen Zendesk-Produkten verfügbaren Funktionen und Funktionalitäten einzusehen, die die DSGVO-Compliance unterstützen können. Wenn Sie ein Zendesk Suite-Kunde sind, entsprechen die in der folgenden Tabelle aufgeführten Produkte den folgenden Funktionalitäten, die in Ihrem Serviceplan verfügbar gemacht werden können (wie in den Service-spezifischen Bedingungen definiert, die Sie hier finden: https://support.zendesk.com/hc/en-us/articles/360047508453-Supplemental-terms-Zendesk-s-service-specific-terms).

  • Zendesk Support
  • Zendesk Guide
  • Zendesk Chat
  • Zendesk Talk
  • Zendesk Explore
  • Zendesk Connect
Produkt Zendesk Suite-Funktion
Support Ticketing-System-Funktion
Guide Hilfszentrum-Funktion
Chat Funktionalität für Live-Chat
Talk Sprach-Funktionalität
Explore Analysefunktion

Verbindliche interne Datenschutzvorschriften

Was sind die verbindlichen internen Datenschutzvorschriften?

Verbindliche interne Datenschutzvorschriften („VID“) sind durch europäische Datenschutzbehörden genehmigte unternehmensweite Datenschutzrichtlinien für die Durchführung von Übermittlungen personenbezogener Daten innerhalb von Konzernen aus dem Europäischen Wirtschaftsraum („EWR“) in Länder außerhalb des EWR. Die VID beruhen auf den strengen Datenschutzgrundsätzen, die durch die Datenschutzbehörden der Europäischen Union etabliert wurden, und erfordern eine intensive Konsultation mit diesen Behörden. Kunden können die vollständige Liste von Unternehmen mit entsprechenden Genehmigungen auf der Liste für verbindliche interne Datenschutzvorschriften hier abrufen.

Verwendet Zendesk genehmigte VID?

Ja, Zendesk hat das EU-Genehmigungsverfahren in Bezug auf die durch den irischen Data Protection Commissioner („DPC“) geprüften verbindlichen internen Datenschutzvorschriften („VID“) (mit Peer-Review durch das britische Information Commissioner’s Office und die niederländische Datenschutzbehörde) für die Rollen als Auftragsverarbeiter und als Verantwortlicher für die Verarbeitung abgeschlossen. Diese wichtige behördliche Genehmigung bestätigt, dass Zendesk weltweit die höchstmöglichen Standards für den Schutz personenbezogener Daten implementiert hat, und zwar sowohl für die personenbezogenen Daten seiner Kunden als auch seiner Mitarbeiter.

Zendesk ist eines von wenigen Softwareunternehmen weltweit, das eine Genehmigung für seine VID erhalten hat, und war das zweite Unternehmen überhaupt, das eine Genehmigung von der irischen DPC erhielt.

Um auf die VIDs von Zendesk zuzugreifen, folgen Sie bitte den unten stehenden Links:

Die verbindlichen Unternehmensvorschriften für Auftragsverarbeiter von Zendesk (die gelten, wenn Zendesk personenbezogene Daten im Namen seiner Kunden verarbeitet); und

Die globalen verbindlichen Unternehmensvorschriften für die Verarbeitung Verantwortliche (die gelten, wenn Zendesk personenbezogene Daten verarbeitet, für die es ein für die Verarbeitung Verantwortlicher ist).

Aktualisiert Zendesk seine VIDs?

Zendesk hat seine verbindlichen internen Datenschutzvorschriften aktualisiert, um sie an die DSGVO anzupassen und den stabilen Schutz von Daten, den wir unseren Kunden bieten, weiter zu verbessern. Zendesk hat die irische Datenschutzbehörde als Teil unserer jährlichen Aktualisierung über diese Aktualisierungen informiert.

Privacy Shield

Was ist der Privacy Shield?

Das US-Handelsministerium (U.S. Department of Commerce) hat zusammen der Europäischen Kommission und der Schweizer Regierung die EU-U.S. und Swiss-U.S. Privacy Shield Frameworks („Privacy Shield“) erarbeitet, die Unternehmen mit einem Mechanismus für die Übermittlung personenbezogener Daten aus der Europäischen Union in die USA ausstatten sollen, die in einer Weise erfolgt, welche ein adäquates Schutzniveau im Sinne des europäischen Datenschutzrechts bietet.

Ist Zendesk gemäß dem Privacy Shield zertifiziert?

Zendesk hat seine Einhaltung der EU-U.S. und der Swiss-U.S. Privacy Shield Frameworks gegenüber dem US-Handelsministerium (U.S. Department of Commerce) zertifiziert und wurde in die Liste der selbstzertifizierten Privacy-Shield-Teilnehmer des Handelsministeriums der USA aufgenommen. Unsere Zertifizierungen bestätigen, dass wir die Grundsätze des Privacy Shield für die Übermittlung von europäischen und schweizerischen personenbezogenen Daten in die USA einhalten.

Wie wirkt sich die Außerkraftsetzung des Privacy Shield auf die Übermittlung von Servicedaten von Zendesk vom EWR in die USA aus?

Am 16. Juli 2020 erließ der Gerichtshof der Europäischen Union („EuGH“) ein Urteil, mit dem das EU-U.S.- Privacy Shield program. Kunden von Zendesk können weiterhin Zendesk-Dienste nutzen und Daten gemäß europäischem Recht wie der DSGVO übermitteln, da wir sowohl über verbindliche interne Datenschutzvorschriften als auch über Musterklauseln (die Teil unseres Auftragsverarbeitungsvertrags sind) verfügen.

Wir wissen, dass Sie möglicherweise Fragen zur Ungültigkeit des Privacy Shield und zur Position von Zendesk in diesem Zusammenhang haben. Daher haben wir diesen Blogbeitrag veröffentlicht, um Sie bei Ihren Fragen zu unterstützen.

Wenn Sie den AVV von Zendesk zur Einsichtnahme oder Unterzeichnung aufrufen möchten, können Sie in Ihrer Kundenverwaltungskonsole auf diese zugreifen oder hier klicken.

Transparenzbericht von Zendesk

Mit Stand vom: 9. Februar 2022.

ÜBER UNSEREN TRANSPARENZBERICHT

Wie viele andere Technologieunternehmen erhält auch Zendesk gelegentlich Anfragen von Strafverfolgungsbehörden in den USA und anderswo, die Kundeninformationen anfordern. Solche Anfragen können in Form einer Vorladung, einer gerichtlichen Anordnung, eines Durchsuchungsbefehls oder eines National Security Process Letter erfolgen. Zendesk muss alle berechtigten behördlichen Anfragen nach personenbezogenen Daten erfüllen.

Zugleich ist es für Zendesk ein äußerst wichtiges Anliegen, das Vertrauen unserer Kunden zu wahren. Eine der Möglichkeiten dazu, ist es, Zendesk-Kunden und die Öffentlichkeit über Regierungsanfragen zu informieren, auf die Zendesk antwortet. Zu diesem Zweck haben wir diesen Transparenzbericht erstellt.

Dieser Transparenzbericht enthält Informationen zu Ersuchen von Strafverfolgungsbehörden in Bezug auf Kundendaten, die wir im zweiten Halbjahr 2021 (vom 1. Juli 2021 bis zum 31. Dezember 2021) erhalten haben. Zendesk wird aktualisierte Berichte ungefähr alle sechs Monate in Bezug auf den vorherigen Sechsmonatszeitraum vorlegen.

Weitere Informationen über die Vorgehensweise von Zendesk bei der Beantwortung von Anfragen nach Daten durch Strafverfolgungs- und andere Regierungsbehörden finden Sie in unserer Government Data Request Policy (Richtlinie zu behördlichen Ersuchen über die Weitergabe von Daten) hier.

BERICHT

Anfragen von Strafverfolgungs- und Regierungseinheiten der Vereinigten Staaten

Art der Anfrage Anzahl der Anfragen Inhaltsdaten offengelegt Nicht-Inhaltsdaten offengelegt
Vorladungen: 4 0 0
Gerichtliche Anordnung 0 N/Z N/Z
Durchsuchungsbefehl 0 N/Z N/Z
Notfallanfragen 1 0 0

National Security Process

Gemäß US-amerikanischem Recht (50 U.S.C. § 1874) ist es Zendesk untersagt, bestimmte Einzelheiten zu Anfragen gemäß FISA oder 18 U.S.C. § 2709 (National Security Letters oder NSLs) zur Verfügung zu stellen. Zendesk ist es nur gestattet, die Gesamtzahl der erhaltenen Vorgänge in den gesetzlich vorgeschriebenen Abständen melden, was einer sechsmonatigen Frist unterliegt. Die folgende Tabelle stellt Informationen über die von Zendesk erhaltenen nationalen Sicherheitsvorgänge in den gesetzlich zulässigen Abständen, die einer sechsmonatigen Meldefrist unterliegen, zur Verfügung.

Berichtszeitraum National Security Process Anzahl der betroffenen Kundenkonten
2021 – erstes Halbjahr 0 0

Anfragen von Nicht-US- Strafverfolgungs- und Regierungseinheiten

Obwohl Zendesk seinen Sitz in den USA hat, verfügen wir über Unternehmensvertretungen in mehreren anderen Ländern. Wenn wir Anfragen von Behörden außerhalb der USA erhalten, arbeiten wir mit Rechtsanwälten innerhalb und außerhalb der USA zusammen, um die Berechtigung der Anfrage sowie unsere Verpflichtung zur Beantwortung im Rahmen der US-Gesetze und anderer geltender Gesetze zu bestimmen

Art der Anfrage Anzahl der Anfragen Anzahl der Datenoffenlegungen
Informelle Anfragen 1 0
Anfragen von Nicht-US-Regierungen gemäß MLAT 0 N/Z

Definitionen

  • Inhaltsdaten: Schließt die Inhalte der Kommunikation von Endbenutzern mit einem Konto, wie etwa die Inhalte von Zendesk Support Tickets und Zendesk Chats, ein. Inhaltsdaten werden für gewöhnlich als Servicedaten, wie in dem Rahmen-Abonnementvertrag von Zendesk definiert, eingestuft.
  • Daten, die keine Inhaltsdaten sind: Alle Daten, die nicht zu den Inhaltsdaten gehören. Das kann Kontoinformationen, wie in der Datenschutzrichtlinie von Zendesk definiert, (beispielsweise Name des Kontoinhabers und Kontaktinformationen, Rechnungsinformationen für das Konto, Dauer des Dienstes, genutzte Diensttypen und Anmeldeinformationen für das Konto) einschließen. Diese Art von Informationen wird auch als „grundlegende Abonnenten-Information“ bezeichnet und muss auf eine wirksame Vorladung der Regierung hin vorgelegt werden. Zusätzlich dazu muss Zendesk auf eine gerichtliche Anordnung hin möglicherweise auch Nicht-Inhalts-Metadaten in Bezug auf die Kommunikation von Endbenutzern mit einem Konto vorlegen.
  • Vorladungen: Eine verpflichtende rechtliche Aufforderung zur Vorlage von Dokumenten.
  • Gerichtliche Anordnung: Eine Anordnung, die von einem Richter erlassen wird, wenn er feststellt, dass es berechtigte Gründe für die Annahme gibt, dass die angeforderten Informationen für eine laufende strafrechtliche Ermittlung relevant und wesentlich sind.
  • Durchsuchungsbefehl: Eine Anordnung, die von einem Gericht auf förmliche Anfrage der Strafverfolgungsbehörden und nach Feststellung eines hinreichenden Verdachts erlassen wird. Ein Durchsuchungsbefehl ist für die Einholung von Inhaltsdaten erforderlich.
  • MLAT: Steht für „Mutual Legal Assistance Treaty“ – Abkommen über gegenseitige Rechtshilfe. Zendesk verlangt von staatlichen Behörden und Institutionen außerhalb der USA, dass jene für die Einholung von Daten im Namen eines Kunden geeignete durch internationales Recht definierte Prozesse nutzen.
  • National Security Letters: Ein gemäß 18 U.S.C. § 2709 ausgestellter National Security Letter.
  • Gerichtliche FISA-Beschlüsse: Eine Anordnung oder ein Ersuchen gemäß dem Foreign Intelligence Surveillance Act (50 U.S.C. § 1801 ff.) für Benutzerinformationen, die in den USA ausgestellt wurden.

VERGANGENE VERSIONEN

1. Januar 2021 bis 30. Juni 2021

1. Januar 2021 bis 22. Februar 2021

Zusätzliche Ressourcen

Berichte/Zertifikate von Zendesk

Ressourcen von Drittparteien:

Letzte Aktualisierung 1. Juni 2021.