Mehr über die aktuellen Entwicklungen in Bezug auf den EU-US-Datenschutzschild finden Sie hier.

Datenschutz und Datensicherheit

Weitere Informationen zu sicherheitsbezogenen Ressourcen

Überblick

Bei Zendesk hat das Vertrauen des Kunden oberste Priorität.Wir wissen, dass Sicherheit und Vollständigkeit der Kundendaten wichtig für die Wertschöpfung und die Betriebsabläufe unserer Kunden sind.Daher behandeln wir sie vertraulich und bewahren sie sicher auf.

Zendesk betreut Tausende von Kunden in über 160 Ländern und Regionen. Unsere Kunden vertrauen uns große Mengen vertraulicher Daten an, die aus vielen verschiedenen Branchen stammen, z. B. Gesundheitswesen, Finanzdienstleistungen, Regierung und Technologie.

Zendesk bietet Kunden zahlreiche Möglichkeiten, die Kontrolle über Datenschutz und Datensicherheit zu wahren.

  • Datensicherheit: Wir bieten unseren Kunden die Einhaltung hoher Sicherheitsstandards, z. B. Datenverschlüsselung bei der Übertragung über öffentliche Netzwerke, Überwachungsstandards (SOC 2, ISO 27001, ISO 27018), Abwehr von DDoS-Angriffen („Distributed Denial of Service“) und ein unter der Nummer 24/7 erreichbares Support-Team.

  • Offenlegung der Servicedaten von Kunden: Zendesk legt Servicedaten nur offen, wenn dies zur Erbringung der Dienstleistungen oder zur Erfüllung rechtmäßiger Anfragen durch staatliche Behörden erforderlich ist.

  • Vertrauen: Zendesk hat Sicherheitsschutz- und Sicherheitskontrollverfahren entwickelt, die unseren Kunden helfen, ein sicheres Umfeld für ihre Daten zu schaffen. Unabhängige Drittexperten haben bestätigt, dass Zendesk höchste Branchenstandards einhält.

  • Aufbewahrungsort der Daten: Kunden, welche die Zusatzleistung „Standort des verwendeten Rechenzentrums“ („Data Center Location Add-on“) in Anspruch nehmen, können (unter den von Zendesk zur Auswahl gestellten Regionen) die Region auswählen, in der sich das Rechenzentrum befindet, in dem ihre Daten gehostet werden.

  • Zugangsverwaltung: Zendesk bietet technisch hochentwickelte Zugangsverwaltungs- und Verschlüsselungsfunktionen, damit Kunden ihre Daten wirksam schützen können. Der Zugriff auf die Inhalte der Kunden von Zendesk und ihre Verwendung erfolgen ausschließlich, um die Dienstleistungen von Zendesk durchzuführen, zu bewahren und zu verbessern oder gegebenenfalls gesetzlichen Erfordernissen nachzukommen.

Was sind Servicedaten?

Servicedaten sind jegliche Informationen, einschließlich personenbezogener Daten, die durch unsere Kunden und ihre Endnutzer, bzw. in ihrem Auftrag, in Diensten von Zendesk gespeichert oder durch sie übertragen werden.

Wer ist Eigentümer von Servicedaten und kontrolliert sie?

Datenschutzrechtlich gesehen ist der Kunde für die Servicedaten Datenverantwortlicher und Zendesk Datenverarbeiter. Das bedeutet, dass der Kunde während der gesamten Zeit, in der er Dienstleistungen von Zendesk abonniert, das Eigentum und die Kontrolle über die Servicedaten in seinem Konto behält.

Wer sind die Unterauftragsverarbeiter von Zendesk?

Zendesk kann Unterauftragsverarbeiter, einschließlich Konzerngesellschaften von Zendesk sowie Drittfirmen, verwenden, um die Dienste bereitzustellen, zu sichern oder zu verbessern, und diese Unterauftragsverarbeiter können auf Servicedaten zugreifen. Zendesk führt eine aktuelle Liste mit den Namen und Standorten aller Unterauftragsverarbeiter, die in unserer Richtlinie für Unterauftragsverarbeiter verfügbar ist. Die Liste bietet Kunden darüber hinaus die Möglichkeit sich anzumelden, um bei etwaigen Änderungen benachrichtigt zu werden.Zendesk haftet für die Handlungen und Unterlassungen der Unterauftragsverarbeiter in dem Maße, wie Zendesk haftbar wäre, wenn Zendesk die Leistungen des jeweiligen Unterauftragsverarbeiters direkt im Rahmen dieser Vereinbarung erbringen würde.

Wie verwendet Zendesk die Servicedaten?

Wir verwenden Servicedaten zur Durchführung und Verbesserung unserer Dienstleistungen, um Kunden beim Zugriff auf Dienste und bei ihrer Nutzung zu helfen, Anfragen von Kunden zu beantworten und in Zusammenhang mit den Dienstleistungen Mitteilungen zu senden.

Welche Maßnahmen ergreift Zendesk, um Servicedaten zu schützen?

Zendesk gibt Datensicherheit höchste Priorität und kombiniert zur kommerziellen Nutzung vorgesehene Sicherheitsfunktionen mit umfassenden Überwachungsmaßnahmen der Anwendungen, Systeme und Netzwerke, damit Kunden- und Geschäftsdaten jederzeit geschützt bleiben.

So werden die Server von Zendesk beispielsweise in Einrichtungen gehostet, die mit Tier 4 oder 3+, SSAE-16, PCI DSS oder ISO 27001 konform sind. Darüber hinaus ziehen wir externe Sicherheitsexperten hinzu, die regelmäßige Penetrationstests durchführen, und unser Support-Team ist unter 24/7 erreichbar, um auf sicherheitsrelevante Warnmeldungen und Ereignisse zu reagieren.

Wie informiert Zendesk Kunden über einen Sicherheitsvorfall?

Weitere Informationen über das Management von Sicherheitsvorfällen und Verfahren für Enterprise Services finden Sie unter Wie wir Ihre Servicedaten schützen (Enterprise Services). Weitere Informationen über das Management von Sicherheitsvorfällen und Verfahren für Enterprise Services finden Sie unter Wie wir Ihre Servicedaten schützen (Enterprise Services).

Wo werden die Servicedaten gespeichert?

Zendesk nutzt Rechenzentren in drei Hauptregionen: USA, asiatisch-pazifischer Raum und Europäische Union.Die Servicedaten können in jeder dieser Regionen gespeichert werden.Kunden können bestimmen, in welcher dieser Regionen bestimmte Servicedaten gespeichert werden, indem sie die Zusatzleistung „Standort des verwendeten Rechenzentrums“ buchen.Weitere Informationen erhalten Sie in der Regionen-Richtlinie für das Daten-Hosting.

Was geschieht mit den Dienst-Daten bei Kündigung oder Ablauf der Vereinbarung eines Kunden mit Zendesk?

Zendesk unterhält eine öffentlich zugängliche Richtlinie zur Datenlöschung, in der die Prozesse von Zendesk zur Löschung von Daten bei Kündigung oder Ablauf der Vereinbarung eines Kunden mit Zendesk beschrieben werden.

Wie reagiert Zendesk auf datenbezogene Anfragen

Zendesk ist sich dessen bewusst, dass Datenschutz und Datensicherheit für die Kunden absoluten Vorrang haben.

  • Zendesk legt niemals Servicedaten offen, wenn dies nicht zur Erbringung der Dienstleistungen für den Kunden oder zur Einhaltung geltender Gesetze notwendig ist. Näheres dazu finden Sie hier in unserer Datenschutzrichtlinie.

  • Zendesk hat eine Reihe von international anerkannten Zertifizierungen und Akkreditierungen erhalten, die die Einhaltung der auf unserer Security-Webseite beschriebenen Sicherheitsrichtlinien von Drittanbietern demonstrieren.

  • Wenn dies nötig ist, treten wir öffentlich für den Schutz unserer Kunden ein. Zendesk hat sich ausdrücklich für den US-amerikanischen Liberty Act ausgesprochen, der das Überwachungsprogramm unter Abschnitt 702 des Foreign Intelligence Surveillance Act („FISA“) reformieren soll.

Wie verhält sich Zendesk, wenn Servicedaten gerichtlich angefordert werden?

In bestimmten Situationen werden wir gegebenenfalls dazu aufgefordert, als Antwort auf rechtmäßige Anträge durch öffentliche Behörden personenbezogene Informationen preiszugeben, um den Anforderungen der nationalen Sicherheit oder der Strafverfolgung genüge zu leisten.Wir geben personenbezogene Informationen als Reaktion auf Vorladungen, gerichtliche Verfügungen oder rechtliche Verfahren weiter oder um unsere Rechtsansprüche auszuüben bzw. zur Verteidigung gegen rechtliche Klagen.Wir geben solche Informationen ebenfalls an die betreffenden Strafverfolgungsbehörden bzw. staatlichen Behörden weiter, wenn wir davon ausgehen, dass dies notwendig ist, um im Fall von illegalen Tätigkeiten, Betrugsverdacht oder Situationen, die eine Bedrohung für die physische Sicherheit einer Person oder eine Verletzung unseres Rahmen-Abonnementvertrags darstellen, zu ermitteln oder diesen vorbeugen zu können, oder wann immer es das Gesetz erfordert.

DSGVO

Seit unserer Gründung war unsere Arbeitsweise fest in einem starken Engagement für Datenschutz, Sicherheit, Gesetzeskonformität und Transparenz verankert.Dieser Ansatz beinhaltet die Unterstützung unserer Kunden bei der Einhaltung der EU-Datenschutzanforderungen, einschließlich derjenigen, die in der Allgemeinen Datenschutzgrundverordnung („DSGVO“) festgelegt sind, die die EU-Datenschutzrichtlinie (auch als „Richtlinie 95/46/ EG“ bezeichnet) ersetzt hat und am 25. Mai 2018durchsetzbar wurde.

Wenn ein Unternehmen personenbezogene Daten von EU-Bürgern sammelt, überträgt oder hostet, verpflichtet die DSGVO es, mit Datenverarbeitern zusammenzuarbeiten. Hierbei handelt es sich um Drittparteien, die garantieren können, dass sie in der Lage sind, die technischen und organisatorischen Voraussetzungen der DSGVO umzusetzen. Um zusätzliches Vertrauen bei unseren Kunden zu gewinnen, wurde unsere ADV-Vereinbarung aktualisiert und bietet unseren Kunden jetzt vertragliche Zusicherungen hinsichtlich unserer Einhaltung der geltenden EU-Datenschutzgesetzgebung und der Umsetzung zusätzlicher, von der DSGVO vorgeschriebener Vertragsbestimmungen. Wir garantieren durch vertragliche Verpflichtungen, dass unsere Kunden:

  • Anfragen betroffener Personen bezüglich Export, Korrektur, Änderung oder Löschung ihrer personenbezogenen Daten.

  • Über Verstöße gegen den Schutz personenbezogener Daten informiert werden und diese unter Einhaltung der in der DSGVO vorgesehenen Fristen den zuständigen Aufsichtsbehörden und betroffenen Personen melden können.

  • Ihre Einhaltung der DSGVO im Rahmen der Zendesk-Dienstleistungen dokumentieren können.

Was ist die DSGVO?

Die Datenschutzgrundverordnung („DSGVO“) ist die europäische Datenschutzverordnung, welche die EU-Datenschutzrichtlinie („Richtlinie 95/46/EG“) ersetzt hat.Die DSGVO betrifft die Verarbeitung personenbezogener Daten und den freien Datenverkehr.Ziel ist es, die Sicherheit und den Schutz personenbezogener Daten in der EU zu stärken und das EU-Datenschutzrecht zu harmonisieren.Im Großen und Ganzen werden eine Reihe von Datenschutzgrundsätzen und -anforderungen festgelegt, die bei der Verarbeitung personenbezogener Daten zu beachten sind.

Im Rahmen der GDPR wurde auch das „European Data Protection Board“ (EPDB) eingerichtet, das die einheitliche Anwendung des Datenschutzgesetzes in der gesamten EU gewährleistet und auf eine effektive Zusammenarbeit zwischen den Datenschutzbehörden hinarbeitet.

Wie betrifft die DSGVO die Kunden?

Zendesk-Kunden, die persönliche Daten erheben und speichern, gelten als Datenverantwortliche im Rahmen der DSGVO.Die Datenverantwortlichen tragen die Hauptverantwortung dafür, dass ihre Verarbeitung personenbezogener Daten im Einklang mit den einschlägigen EU-Datenschutzgesetzen, einschließlich der DSGVO, erfolgt, und sie eindeutig bestimmen, welche personenbezogenen Daten an Zendesk übermittelt und von Zendesk in Übereinstimmung mit den Diensten verarbeitet werden.

Welche Folgen hat die DSGVO für Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten?

Einer der wichtigsten Aspekte der DSGVO besteht in der Einführung in allen EU-Staaten geltender Regeln für die Verarbeitung, Verwendung und Übertragung personenbezogener Daten.Organisationen müssen kontinuierlich die Sicherheit der von ihnen verarbeiteten Daten und ihre Einhaltung der DSGVO unter Beweis stellen, indem sie umfassende technische und organisatorische Maßnahmen sowie Konformitätsrichtlinien umsetzen und ihre Einhaltung regelmäßig überprüfen.

Wie geht Zendesk in seiner Eigenschaft als Auftragsverarbeiter mit Anfragen von Endnutzern um?

Wenn Zendesk eine Anfrage einer betroffenen Person vom Endnutzer eines Kunden, d. h. einem Nutzer der Dienste, dem ein Kunde unsere Dienste zur Verfügung gestellt hat) erhält, ist Zendesk der Auftragsverarbeiter, und Zendesk wird, sofern die geltende Gesetzgebung dies Zendesk nicht verbietet, den Endnutzer umgehend informieren, damit dieser unseren Kunden (d. h. den Verantwortlichen) direkt über alle Anfragen bezüglich seiner personenbezogenen Daten, wie Auskunft oder Löschung, kontaktieren kann.Zendesk wird ohne die vorherige Zustimmung des Kunden nicht weiter auf eine Anfrage der betroffenen Person antworten.

Welche Vorschläge gibt es für Zendesk-Kunden in Bezug auf die DSGVO?

Zendesk fordert die Kunden auf, ihre Datenschutz- und Datensicherheitsprozesse und -richtlinien laufend zu überprüfen, um die Einhaltung der DSGVO sicherzustellen.Datenverantwortliche tragen die primäre Verantwortung dafür, dass ihre Verarbeitung personenbezogener Daten der EU-Gesetzgebung entspricht.Es folgen einige wichtige Punkte, die Sie bei Ihren Überlegungen zur Einhaltung der DSGVO berücksichtigen sollten:

  • Geografische Gültigkeit: Die DSGVO kann je nach Tätigkeitsfeld für in der EU gegründete und für bestimmte außerhalb der EU gegründete Organisationen, die aber personenbezogene Daten von EU-Bürgern verarbeiten, gelten.

  • Rechte von Endnutzern: Organisationen müssen sich der Endnutzer, deren personenbezogene Daten sie möglicherweise verarbeiten, bewusst sein. Die DSGVO verstärkt die Rechte der Endnutzer, und Organisationen müssen in der Lage sein, diese Rechte zu erfüllen.

  • Benachrichtigungen bei Datenschutzverstößen: Organisationen, die als Datenverantwortliche für personenbezogene Daten auftreten, müssen klare Verfahren zur Meldung von Datenschutzverstößen innerhalb der in der DSGVO festgelegten zeitlichen Fristen einführen, um die entsprechende DSGVO-Vorschrift einzuhalten. Zendesk wird betroffene Kunden unverzüglich informieren, wenn wir auf einen Datenschutzverstoß im Rahmen einer unserer Dienstleistungen aufmerksam werden sollten.

  • Ernennung eines Datenschutzbeauftragten („DSB“): Unsere Kunden müssen möglicherweise DSB ernennen, die für Probleme in Zusammenhang mit der Verarbeitung personenbezogener Daten zuständig sind.

  • Vereinbarung über Auftragsdatenverarbeitung („ADV-Vereinbarung“): Wenn personenbezogene Daten aus dem Europäischen Wirtschaftsraum übertragen werden, müssen Kunden möglicherweise ADV-Vereinbarungen mit ihren Unterauftragsverarbeitern abschließen, um die zu übertragenden Daten auf angemessene Weise zu schützen.

  • Datenschutz-Folgenabschätzung („DSFA“): DSFA beschreiben in der Regel die Verfahren einer Organisation zur Verarbeitung und zum Schutz von Daten, vor allem, wenn hierbei Risiken zu beachten sind.Für mit der Datenverarbeitung verbundene Aktivitäten müssen unsere Kunden eine DSFA führen und einreichen.

Welche Dienstleistungen und Funktionen von Zendesk können Kunden bei der Einhaltung der DSGVO unterstützen?

Kunden können mithilfe der externen ISO-Zertifizierung von Zendesk und der SOC-2-Prüfberichte ihre Risikoabschätzung durchführen und ermitteln, ob ausreichende technische und organisatorische Maßnahmen getroffen wurden. Weitere Informationen finden Sie auf der Sicherheits-Webseite von Zendesk.

Im Folgenden werden beispielhaft Produktfunktionen von Zendesk aufgeführt, die Kunden bei ihrem DSGVO-Konformitätsprogramm zu Hilfe nehmen können. Über unsere Zusatzleistung „Erweiterte Sicherheit“ können Kunden erweiterte Funktionen erwerben, z. B. erweiterte Notfallwiederherstellung und Verschlüsselung sowie die Möglichkeit einer Konfiguration für den US-amerikanischen Health Insurance Portability and Accountability Act („HIPAA“).

Die derzeit für bestimmte Produkte von Zendesk erhältlichen Funktionen finden Sie in den folgenden Fragen/Antworten.

Überprüfungsstandards:

  • ISO27001:2013-zertifiziert

  • ISO27018:2014-zertifiziert

Scans:

  • Bug-Bounty-Programm

  • Dynamische Scans von Live-Anwendungen

  • Statische Scans von Code-Depots

Verschlüsselung:

  • Verschlüsselung über öffentliche Netzwerke übertragener Daten

  • Verschlüsselung bestimmter Daten bei der Speicherung mit AES256

Bietet Zendesk derzeit produktspezifische Features / Funktionen in seinen Produkten an, um uns bei unserem Programm zur Einhaltung der DSGVO zu unterstützen?

Ja, weitere Informationen zur Verwendung von Zendesk-Produkten zur Einhaltung der DSGVO finden Sie in unserem Hilfecenter hier.

Was sind die „Modellklauseln“?

Die Europäische Kommission hat eine Reihe als Standardvertragsklauseln („Modellklauseln“) bezeichneter Standardbestimmungen genehmigt, die Datenverantwortlichen eine Möglichkeit bieten, unter Einhaltung der gesetzlichen Bestimmungen personenbezogene Daten an einen Datenverarbeiter außerhalb des Europäischen Wirtschaftsraums („EWR“) zu übermitteln.Die Modellklauseln sind der ADV-Vereinbarung von Zendesk als Anhang beigefügt, damit Datenübertragungen aus dem Europäischen Wirtschaftsraum oder der Schweiz angemessen geschützt werden können.

Erstellt Zendesk eine Kopie der gespeicherten Servicedaten?

Zendesk erstellt von Zeit zu Zeit zwecks Archivierung, Sicherung und Protokollierung der Überwachung Kopien der Daten. Wir nutzen Amazon Web Services (AWS) zur Speicherung mancher Sicherungsdaten wie beispielsweise Datenbankinformationen und angehängte Dateien. Weitere Informationen erhalten Sie in unserer Regionen-Richtlinie für das Daten-Hosting.

Verlassen in der EU-Region gehostete Servicedaten jemals diese Region?

Kunden von Zendesk, welche die Zusatzleistung „Standort des verwendeten Rechenzentrums“ in Anspruch nehmen, können (unter den von Zendesk zur Auswahl gestellten Regionen) die Region auswählen, in der sich das Rechenzentrum befindet, in dem ihre Daten gehostet werden.Weitere Informationen erhalten Sie in unserer Regionen-Richtlinie für das Daten-Hosting.Andernfalls kann Zendesk eines der globalen Rechenzentren nutzen, die es zum Hosten von Servicedaten verwendet.

Welche Schritte hat Zendesk unternommen, um sich auf den Brexit (den Austritt Großbritanniens aus der Europäischen Union) vorzubereiten?

Unabhängig vom Ergebnis der laufenden Brexit-Verhandlungen setzt sich Zendesk weiterhin für den Erfolg unserer Kunden und Mitarbeiter in Großbritannien und dem übrigen Europa ein.Wir verfolgen aufmerksam die Verhandlungen zwischen der britischen Regierung und der Europäischen Union über die Einzelheiten ihrer künftigen Beziehungen.Sobald die Einzelheiten klar sind, werden wir geeignete Maßnahmen ergreifen, um sicherzustellen, dass unsere Kunden unsere Dienste weiterhin in Übereinstimmung mit den Gesetzen der EU und des Vereinigten Königreichs nutzen können, und für Zendesk insgesamt wird das Geschäft wie gewohnt weiterlaufen und sich weiterhin auf den Erfolg unserer Abonnenten konzentrieren.

Datenverarbeitungsvereinbarung

Zendesk bietet aktiven Kunden seiner kostenpflichtigen Dienste sowie seiner Testdienste die Möglichkeit, eine Vereinbarung über Auftragsdatenverarbeitung („ADV-Vereinbarung“) abzuschließen, die die Vereinbarung der Parteien hinsichtlich der Verarbeitung personenbezogener Daten widerspiegelt.Wenn Sie auf die ADV-Vereinbarung von Zendesk zur Überprüfung oder Unterzeichnung zugreifen möchten, klicken Sie bitte hier.Kunden, die frühere Versionen unserer ADV-Vereinbarung unterzeichnet haben, können jederzeit unsere aktuelle ADV-Vereinbarung unterzeichnen.

Was ist eine Auftragsdatenverarbeitungsvereinbarung („ADV-Vereinbarung“)?

Zendesk bietet seinen Kunden eine umfassende Vereinbarung zur Auftragsdatenverarbeitung, um die Beziehungen zwischen dem Kunden (in seiner Funktion als Datenverantwortlicher) und Zendesk (als Auftragsverarbeiter) zu regeln.Die ADV-Vereinbarung erleichtert den Kunden von Zendesk die Einhaltung ihrer Verpflichtungen nach dem EU-Datenschutzrecht und enthält strenge Verpflichtungen zum Schutz der Privatsphäre; sie wurde aktualisiert, um die Einhaltung der DSGVO zu bestätigen. Die ADV-Vereinbarung legt auch Rahmenbedingungen für die Datenübertragung fest, mit deren Hilfe unsere Kunden personenbezogene Daten unter Einhaltung der gesetzlichen Vorschriften von der Europäischen Union aus an Zendesk übermitteln können, indem sie einen von drei möglichen Mechanismen verwenden: unsere Binding Corporate Rules, unsere Datenschutzschild-Zertifizierung oder unsere Standardvertragsklauseln.

Berücksichtigt die ADV-Vereinbarung die DSGVO?

Ja, die ADV-Vereinbarung von Zendesk enthält Bestimmungen, die die Kunden bei der Einhaltung der DSGVO unterstützen.

Was geschieht, wenn ein Kunde die ADV-Vereinbarung nicht unterzeichnet?

Zendesk empfiehlt, dass Sie sich mit Ihrem Rechtsbeistand beraten, um die möglichen Auswirkungen zu beurteilen, die Ihre Entscheidung, die ADV-Vereinbarung nicht zu unterzeichnen, auf Ihre spezifische Situation haben könnte.

Können Kunden ihre eigene ADV-Vereinbarung nutzen?

Nein, die ADV-Vereinbarung von Zendesk ist spezifisch für die Dienste, Datenschutzpraktiken und Zusicherungen von Zendesk gegenüber Regulierungsbehörden.

Was ist, wenn ich zusätzliche Fragen zur ADV-Vereinbarung habe?

Wenn Sie weitere Fragen haben, wenden Sie sich bitte an Ihren Zendesk-Kundenbetreuer oder eröffnen Sie alternativ einen Fall mit dem Kundenberatungsteam von Zendesk, indem Sie sich an Support@zendesk.com wenden.

Berücksichtigt die ADV-Vereinbarung den kalifornischen Consumer Privacy Act (CCPA)?

Nicht direkt, stattdessen bietet Zendesk einen separaten Nachtrag zu seinem Rahmen-Abonnementvertrag an, um die Bemühungen eines „Unternehmens“ um die Einhaltung des CCPA, wie dieser Begriff im CCPA definiert ist, zu unterstützen. Weitere Informationen finden Sie im Abschnitt über den CCPA auf dieser Webseite.

CCPA

Der kalifornische Consumer Privacy Act, Cal. Civ. Code §§ 1798.100 ff (CCPA) ist ein US-amerikanisches Gesetz, das im Bundesstaat Kalifornien mit Wirkung zum 1. Januar 2020 in Kraft getreten ist. Im Allgemeinen erweitert es die Datenschutzrechte, die bestimmten kalifornischen Verbrauchern zur Verfügung stehen, und verlangt von bestimmten Unternehmen die Einhaltung verschiedener Datenschutzanforderungen.

Berücksichtigt der Rahmen-Abonnementvertrag von Zendesk den CCPA?

Wenn Sie den CCPA-Nachtrag zum Rahmen-Abonnementvertrag von Zendesk einsehen und/oder ausfertigen möchten, klicken Sie bitte hier.

Informationen zu unseren Datenschutzpraktiken und den Funktionen, die wir unseren Kunden zur Verfügung stellen, um die Einhaltung der Bestimmungen zu unterstützen, finden Sie auf unseren Websites zum Datenschutz, in unserer Richtlinie zur Datenlöschung sowie in unseren Produktleitfäden.

Was ist der CCPA?

Der CCPA räumt kalifornischen Verbrauchern neue Rechte in Bezug auf die Erfassung ihrer personenbezogenen Informationen ein und verpflichtet Unternehmen zur Einhaltung bestimmter Verpflichtungen im Zusammenhang mit diesen Rechten, darunter:

  1. Eine Verpflichtung für Unternehmen, Verbraucher über ihre Datenerhebungspraktiken zu informieren, einschließlich der Kategorien personenbezogener Informationen, die sie gesammelt haben, die Quelle der Informationen, die Verwendung der Informationen durch das Unternehmen und an wen das Unternehmen die Informationen, die es über den Verbraucher gesammelt hat, weitergegeben hat;
  2. das Recht des Verbrauchers, eine Kopie der spezifischen personenbezogenen Informationen zu erhalten, die über ihn während der zwölf (12) Monate vor seiner Anfrage gesammelt wurden, und zwar in einem leicht verwendbaren Format;
  3. das Recht des Verbrauchers, solche personenbezogenen Informationen löschen zu lassen (mit Ausnahmen);
  4. das Recht des Verbrauchers, die Verkaufspraktiken des Unternehmens in Bezug auf seine Daten zu erfahren und zu verlangen, dass seine personenbezogenen Informationen nicht an Dritte verkauft werden;
  5. ein Diskriminierungsverbot für Unternehmen bei der Ausübung eines Verbraucherrechts und
  6. eine Verpflichtung für Unternehmen, Verbraucher über ihre Rechte zu informieren.

Wie hat sich Zendesk auf den CCPA vorbereitet und wie unterstützen die Produkte von Zendesk die Einhaltung des CCPA?

Zendesk hat seit der ersten Verabschiedung des CCPA in 2018 den CCPA befolgt und sich auf seine Einhaltung vorbereitet.In jüngster Zeit hat das California Office of the Attorney General darauf hingewiesen, dass es möglicherweise weitere für den CCPA vorgeschlagene Regelungen ändern wird. Im Hinblick auf solche potenziellen Änderungen verfolgt Zendesk das Gesetz aktiv, und wir werden unsere Kunden weiterhin über Merkmale und Funktionen auf dem Laufenden halten, die sie zur Unterstützung ihrer Compliance-Bemühungen nutzen können.Kunden können auch unsere Produktleitfäden für detailliertere Informationen über die Verwendung von Zendesk-Produkten zur Einhaltung von Datenschutzgesetzen sowie unsere Richtlinie zur Datenlöschung für Einzelheiten zur Löschung von Servicedaten einsehen.

Wie betrifft der CCPA die Kunden?

Zendesk-Kunden, die personenbezogene Informationen in den Zendesk-Diensten sammeln und speichern, können als „Unternehmen“ im Sinne des CCPA angesehen werden.Unternehmen tragen die primäre Verantwortung dafür, dass ihre Verarbeitung personenbezogener Daten den einschlägigen Datenschutzgesetzen, einschließlich des CCPA, entspricht.Zendesk agiert als „Dienstanbieter“, wie dieser Begriff in der aktuellen Version des CCPA in Bezug auf die Verarbeitung personenbezogener Informationen durch unsere Dienste definiert wird.Daher sammelt, greift darauf zu, pflegt, verwendet, verarbeitet und überträgt Zendesk die personenbezogenen Informationen unserer Kunden und der Endnutzer unserer Kunden, die über die Dienste verarbeitet werden, ausschließlich zu dem Zweck, unsere Verpflichtungen aus unseren bestehenden Verträgen mit unseren Kunden zu erfüllen, und zu keinem anderen kommerziellen Zweck als der Erfüllung dieser Verpflichtungen und der Verbesserung der von uns bereitgestellten Dienste.

Verkauft Zendesk personenbezogene Informationen?

Wir „verkaufen“ die personenbezogenen Informationen unserer Kunden nicht, wie dies derzeit im Rahmen des CCPA definiert ist, was bedeutet, dass wir diese personenbezogenen Informationen auch nicht an Dritte vermieten, offenlegen, freigeben, übertragen, zur Verfügung stellen oder anderweitig gegen eine finanzielle oder andere entgeltliche Gegenleistung an Dritte weitergeben. Wir können aggregierte und/oder anonymisierte Informationen über die Nutzung der Dienste - die nach dem CCPA nicht als personenbezogene Informationen gelten - an Dritte weitergeben, um uns bei der Entwicklung und Verbesserung der Dienste zu unterstützen und unseren Kunden relevantere Inhalte und Dienstangebote zu bieten, wie dies in unseren Kundenvereinbarungen im Einzelnen dargelegt ist.

Wie können Zendesk- Kunden die Einhaltung des CCPA sicherstellen?

Den Abonnenten wird empfohlen, ihren eigenen Rechtsbeistand zu konsultieren, um zu beurteilen, wie der CCPA speziell auf sie zutrifft und wie sie selbst die Einhaltung des CCPA erreichen können.

LGPD

Das brasilianische Allgemeine Datenschutzgesetz, oder Lei Geral de Proteção de Dados Pessoais, (LGPD) trat am 16. August 2020 in Kraft.Es ist das wichtigste Gesetz in Brasilien, das sich mit dem Schutz personenbezogener Daten befasst.

Berücksichtigt der Rahmen-Abonnementvertrag von Zendesk den LGPD?

Wenn Sie den LGPD-Nachtrag zum Rahmen-Abonnementvertrag von Zendesk einsehen und/oder ausfertigen möchten, klicken Sie bitte hier.

Darüber hinaus sind der Rahmen-Abonnementvertrag (MSA) von Zendesk, andere Datenschutz- und Produktdokumentationen sowie unsere internen Praktiken für den globalen Einsatz konzipiert und wir aktualisieren sie bei Bedarf, um unsere Dienste für Kunden in Lateinamerika und der Karibik auch weiterhin in Übereinstimmung mit den gesetzlichen Anforderungen bereitzustellen. Wir verweisen Sie auf Anlage A unserer MSA („Zusatzbedingungen: Regionsspezifische Bedingungen“), den Abschnitt mit dem Titel „Brasilien“. Die Datenverarbeitungsvereinbarung (Data Processing Agreement – „MSA“) von Zendesk finden Sie hier:https://www.zendesk.com/company/customers-partners/master-subscription-agreement/.

Informationen zu unseren Datenschutzpraktiken und den Funktionen, die wir unseren Kunden zur Verfügung stellen, um die Einhaltung der Bestimmungen zu unterstützen, finden Sie auf unseren Websites zum Datenschutz, in unserer Richtlinie zur Datenlöschung sowie in unseren Produktleitfäden.

Was ist der LGPD?

Der LGPD ist das wichtigste Gesetz in Brasilien, das sich mit dem Schutz personenbezogener Daten befasst und darauf abzielt, „die Grundrechte auf Freiheit und Datenschutz und die freie Entfaltung der Persönlichkeit der natürlichen Person zu schützen“. Als solche sind Verantwortliche und Auftragsverarbeiter (wie im LGPD definiert) verpflichtet, bei der Verarbeitung personenbezogener Daten bestimmte Prinzipien einzuhalten, darunter unter anderem Zweck, Notwendigkeit, Transparenz und Sicherheit.

Wie hat sich Zendesk auf den LGPD vorbereitet und wie unterstützen die Dienste von Zendesk die Einhaltung des LGPD?

Zendesk hat seit der ersten Verabschiedung des LGPD in 2018 den LGPD befolgt und sich auf seine Einhaltung vorbereitet.Zusätzlich kann die Nationale Datenschutzbehörde (ANPD) zusätzliche Empfehlungen für den LGPD herausgeben. Im Hinblick auf solche potenziellen Empfehlungen verfolgt Zendesk das Gesetz aktiv, und wir werden unsere Kunden weiterhin über Merkmale und Funktionen auf dem Laufenden halten, die sie zur Unterstützung ihrer Compliance-Bemühungen nutzen können.Kunden können auch unsere Produktleitfäden für detailliertere Informationen über die Verwendung von Zendesk- Diensten zur Einhaltung von Datenschutzgesetzen sowie unsere Richtlinie zur Datenlöschung für Einzelheiten zur Löschung von Dienst-Daten einsehen.

Wie betrifft der LGPD die Kunden?

Zendesk-Kunden, die personenbezogene Daten in den Zendesk-Diensten sammeln und speichern, können möglicherweise als „Datenverantwortlichen“ im Sinne des LGPD angesehen werden.Datenverantwortliche tragen die primäre Verantwortung dafür, dass ihre Verarbeitung personenbezogener Daten den einschlägigen Datenschutzgesetzen, einschließlich des LGPD, entspricht.Zendesk agiert als „Auftragsverarbeiter“, wie dieser Begriff in der aktuellen Version des LGPD in Bezug auf die Verarbeitung personenbezogener Daten durch unsere Dienste definiert wird.Folglich verarbeitet Zendesk die personenbezogenen Daten unserer Kunden und der Endbenutzer unserer Kunden auf Anweisung unserer Kunden.

Wie können Zendesk- Kunden die Einhaltung des LGPD sicherstellen?

Den Kunden wird empfohlen, ihren eigenen Rechtsbeistand zu konsultieren, um zu beurteilen, wie der LGPD speziell auf sie zutrifft und wie sie am besten selbst die Einhaltung des LGPD erreichen können.

Einsatzbereitschaft von Zendesk-Produkten im Bereich Datenschutz

Wenn Sie die folgenden Produkte von Zendesk anklicken, sehen Sie die Funktionen und Funktionalitäten des jeweiligen Produkts, die bei der Einhaltung von Datenschutzverpflichtungen hilfreich sein können.

Die Rahmenbedingungen für den Datenschutz in den verschiedenen Regionen unterscheiden sich möglicherweise in der Terminologie, die sie zur Beschreibung der Rollen und Pflichten der jeweiligen Parteien verwenden. Aus Gründen der Konsistenz verwendet Zendesk in diesen Richtlinien die folgenden Begriffe, die weltweit gelten.Um Zweifel auszuschließen: Diese Definitionen ersetzen keine Definitionen in Vereinbarungen, die Kunden oder Einzelpersonen mit Zendesk haben könnten.

  • Datenverantwortlicher ist die Partei, die die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten bestimmt;
  • Auftragsverarbeiter ist die Partei, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet;
  • betroffene Person ist die bestimmte oder bestimmbare natürliche Person, um deren personenbezogene Daten es geht und
  • personenbezogene Daten sind jegliche Informationen in Bezug auf eine betroffene Person.

Um mehr darüber zu erfahren, wie die Produkte von Zendesk mit den globalen Datenschutzrechten in Einklang stehen, klicken Sie bitte auf die nachfolgenden Symbole

Wenn Sie die folgenden Produkte von Zendesk anklicken, sehen Sie die Funktionen und Funktionalitäten des jeweiligen Produkts, die bei der Einhaltung der DSGVO hilfreich sein können.Wenn Sie ein Zendesk Suite-Kunde sind, entsprechen die in der folgenden Tabelle aufgeführten Produkte den folgenden Funktionen, die in Ihrem Serviceplan zur Verfügung gestellt werden können (wie in den Dienstspezifischen Bedingungen definiert, die Sie hier finden: https://support.zendesk.com/hc/en-us/articles/360047508453-Supplemental-terms-Zendesk-s-service-specific-terms).

  • Zendesk Support
  • Zendesk Guide
  • Zendesk Chat
  • Zendesk Talk
  • Zendesk Explore
  • Zendesk Connect
Product Zendesk Suite Functionality
Support Help Desk Functionality
Guide Help Center Functionality
Chat Live Chat Functionality
Talk Voice Functionality
Explore Analytics Functionality

Binding Corporate Rules

Was sind Binding Corporate Rules?

Binding Corporate Rules („BCR“) sind unternehmensweit gültige und von europäischen Datenschutzbehörden genehmigte Datenschutzrichtlinien zur Vereinfachung der Übertragung personenbezogener Daten innerhalb der Unternehmensgruppe aus dem Europäischen Wirtschaftsraum („EWR“) in Länder außerhalb des EWR. Die BCR beruhen auf strengen, von Datenschutzbehörden der Europäischen Union festgelegten Datenschutzgrundsätzen und erfordern intensive Rücksprache mit diesen Behörden. Kunden finden die vollständige Liste genehmigter Körperschaften hier in der Liste genehmigter Binding Corporate Rules.

Sind bei Zendesk genehmigte BCR in Kraft?

Ja, Zendesk hat für seine Binding Corporate Rules (BCR) das Genehmigungsverfahren der EU beim irischen Datenschutzbeauftragten („Data Protection Commissioner“ oder „DPC“) sowohl als Auftragsverarbeiter als auch als Datenverantwortlicher durchlaufen (durch die Dienststelle des britischen Informationsbeauftragten und die niederländische Datenschutzbehörde geprüft und bestätigt).Diese wichtige behördliche Genehmigung bestätigt, dass Zendesk die höchstmöglichen Standards für den weltweiten Schutz personenbezogener Daten sowohl für seine Kunden als auch für seine Mitarbeiter umsetzt.

Zendesk ist eines von weltweit nur wenigen Softwareunternehmen, deren BCR genehmigt wurden, und überhaupt erst das zweite Unternehmen, das jemals eine Genehmigung vom irischen DPC erhalten hat.

Um auf die Zendesk BCR zuzugreifen, verwenden Sie bitte die folgenden Links:

Zendesk Binding Corporate Rules für Datenverarbeiter (diese gelten, wenn Zendesk personenbezogene Daten im Auftrag von Kunden bearbeitet); und

Globale Zendesk Binding Corporate Rules für Datenverantwortliche (diese gelten, wenn Zendesk personenbezogene Daten in der Eigenschaft eines Datenverantwortlichen bearbeitet).

Aktualisiert Zendesk seine BCR?

Zendesk hat seine Binding Corporate Rules aktualisiert, um sie mit der DSGVO in Einklang zu bringen und den robusten Schutz der Privatsphäre, den wir unseren Kunden bieten, weiter zu verbessern.Zendesk hat die irische Datenschutzbehörde im Rahmen unserer jährlichen Aktualisierung über diese Aktualisierungen informiert.

Datenschutzschild

Was ist das Datenschutzschild?

Das US-amerikanische Handelsministerium („Department of Commerce“) hat gemeinsam mit der Europäischen Kommission und der Schweizer Regierung die Rahmenverträge für das EU-US-Datenschutzschild und das Schweiz-US-Datenschutzschild (Datenschutzschild) erstellt, um Unternehmen einen Mechanismus zur Übertragung personenbezogener Daten aus der Europäischen Union in die Vereinigten Staaten unter Aufrechterhaltung eines dem europäischen Datenschutzrechts angemessenen Sicherheitsniveaus anzubieten.

Hat Zendesk ein Zertifikat zur Einhaltung des Datenschutzschilds?

Zendesk hat beim US-Handelsministerium Zertifikate zur Einhaltung der Rahmenbedingungen des EU-US- und Schweiz-US-Datenschutzschildes eingereicht und wurde aufgrund dessen vom US-Handelsministerium zu seiner Liste der selbstzertifizierten Beteiligten des Datenschutzschildes hinzugefügt. Unsere Zertifizierungen bestätigen, dass wir die Grundsätze des Datenschutzschildes für die Übermittlung von persönlichen Daten aus Europa und der Schweiz in die Vereinigten Staaten beachten.

Wie wirkt sich die Außerkraftsetzung des Datenschutzschildes auf die Übertragung von Zendesk-Dienstdaten aus dem EWR in die USA aus?

Am 2020. Juli 16veröffentlichte der Gerichtshof der Europäischen Union (EuGH) ein Urteil, mit dem das EU-US-Datenschutzschild-Programm für ungültig erklärt wurde. Die Kunden von Zendesk können weiterhin die Dienste von Zendesk nutzen und Daten in Übereinstimmung mit den europäischen Gesetzen, wie z. B. der DSGVO, übertragen, da wir sowohl Binding Corporate Rules (verbindliche Unternehmensregeln) als auch Modellklauseln (die in unsere Datenverarbeitungsvereinbarung übernommen wurden) haben.

Wir verstehen, dass Sie möglicherweise Fragen zur Außerkraftsetzung des Privacy Shield und der Position von Zendesk in Bezug darauf haben. Daher haben wir diesen Blogbeitrag veröffentlicht, um Sie bei Ihren Fragen zu unterstützen.

Wenn Sie auf die Datenverarbeitungsvereinbarung von Zendesk zur Überprüfung oder Unterzeichnung zugreifen möchten, können Sie in Ihrer Kunden-Administrationskonsole darauf zugreifen oder hier klicken.

Zendesk-Transparenzbericht

Stand 22. Februar 2021.

ÜBER UNSEREN TRANSPARENZBERICHT

Wie die meisten Technologieunternehmen erhält auch Zendesk gelegentlich Anfragen von Strafverfolgungsbehörden in den Vereinigten Staaten und anderen Ländern, die Informationen über Zendesk-Kunden anfordern. Solche Anfragen können in Form einer Zwangsvorladung, eines Gerichtsbeschlusses, eines Durchsuchungsbefehls, eines National Security Letter und von Anordnungen im Rahmen des Foreign Intelligence Surveillance Act erfolgen. Zendesk muss zulässigen behördlichen Anfragen nach Kundendaten nachkommen.

Gleichzeitig ist es Zendesk ein großes Anliegen, das Vertrauen der Kunden zu erhalten.Eine Möglichkeit, dieses Vertrauen zu erhalten, besteht darin, Zendesk-Kunden und die Öffentlichkeit über zulässige behördliche Anfragen zu informieren. Zu diesem Zweck haben wir diesen Transparenzbericht erstellt.

Wenn Zendesk eine Anfrage nach Daten erhält, bitten wir nach Möglichkeit die Strafverfolgungsbehörden, unseren Kunden die Anfrage nach ihren Daten direkt zuzustellen.Wenn dies nicht möglich ist, prüfen wir die Datenanforderung sorgfältig, arbeiten daran, die Anforderung einzugrenzen, konsultieren gegebenenfalls einen externen Rechtsbeistand, benachrichtigen die Kunden, wenn dies nicht verboten ist, und stellen die angeforderten Daten nur im erforderlichen Umfang bereit.

Dieser Transparenzbericht enthält Informationen zu Anfragen von Strafverfolgungsbehörden nach Benutzerdaten, die wir vom 1. Januar 2021 bis zum Datum dieses Berichts bearbeitet haben.

Zendesk stellt etwa alle 6 Monate aktualisierte Berichte für den vorhergehenden 6-Monats-Zeitraum zur Verfügung.Der nächste Bericht von Zendesk wird den Zeitraum von Januar 2021 bis Juni 2021 abdecken.

BERICHT

Anfragen von Strafverfolgungsbehörden der Vereinigten Staaten

Art der Anfrage Anzahl der Anfragen Offengelegte Inhaltsdaten Offengelegte Nicht-Inhaltsdaten
Zwangsvorladung 1 0 1
Gerichtsbeschluss 1 0 1
Durchsuchungsbefehl 0
National Security Letters oder FISA-Anordnungen 0

Anfragen von nicht-US-amerikanischen Strafverfolgungsbehörden

Obwohl Zendesk seinen Sitz in den Vereinigten Staaten hat, sind wir auch in mehreren anderen Ländern vertreten. Wenn wir Anfragen von Drittstaaten erhalten, arbeiten wir mit US-amerikanischen und ausländischen Anwälten zusammen, um die Rechtmäßigkeit der Anfrage und unsere Fähigkeit zur Beantwortung nach US-amerikanischem und anderem geltendem Recht zu bestimmen.

Art der Anfrage Anzahl der Anfragen Anzahl der Bereitstellung von Daten
Informelle Anfragen 5 0
Anfragen von Drittstaaten gemäß einem MLAT 0

DEFINITIONEN

  • Inhaltsdaten: Umfasst den Inhalt der Kommunikation von Endbenutzern mit einem Konto, z. B. den Inhalt von Zendesk Support-Tickets und Zendesk Chats.Inhaltsdaten werden im Allgemeinen als Dienst-Daten gemäß der Definition im Zendesk-Rahmen-Abonnementvertrag betrachtet.
  • Nicht-Inhaltsdaten: Allen Daten, die keine Inhaltsdaten sind.Dazu können Kontoinformationen gehören, wie sie in der Datenschutzrichtlinie von Zendesk definiert sind (z. B. Name und Kontaktinformationen des Kontoinhabers, Rechnungsdaten des Kontos, Dauer des Dienstes, Art der in Anspruch genommenen Dienste und Anmeldedaten für das Konto). Wenn Zendesk eine gerichtliche Verfügung erhält, können Nicht-Inhaltsdaten auch Nicht-Inhalts-Metadaten enthalten, die sich auf die Kommunikation von Endbenutzern mit einem Konto beziehen, also Dienst-Daten sind.
  • Zwangsvorladung: Eine zwingende Aufforderung einer staatlichen Stelle zur Vorlage von Dokumenten in einem Strafverfahren (z. B. Grand Jury Subpoenas).
  • Gerichtsbeschluss: Eine Anordnung, die von einer Richterin bzw. einem Richter erlassen wird, wenn sie oder er feststellt, dass es vernünftige Gründe für die Annahme gibt, dass die gesuchten Informationen für eine laufende strafrechtliche Untersuchung relevant und wesentlich sind.
  • Durchsuchungsbefehl: Eine richterliche Anordnung, die nach Feststellung eines wahrscheinlichen Grundes durch die Strafverfolgungsbehörden ausgestellt wird. Um Inhaltsdaten zu erhalten, ist ein Durchsuchungsbefehl erforderlich.
  • MLAT: Steht für Rechtshilfeabkommen, engl. „Mutual Legal Assistance Treaty“.Zendesk verlangt von Regierungsstellen im Ausland, dass sie geeignete Verfahren nach internationalem Recht anwenden, z. B. über ein MLAT, um Kundendaten zu erhalten.
  • National Security Letters: Ein Brief ‚zur nationalen Sicherheit‘, der gemäß 18 U.S.C. § 2709 ausgestellt wurde.
  • FISA-Anordnungen: Eine nach dem Foreign Intelligence Surveillance Act erteilte Anordnung oder Anfrage nach Benutzerinformationen, die in den USA erfolgte.

Weitere Informationen

Weitere Informationen über die Vorgehensweise von Zendesk bei der Beantwortung von Informationsanfragen von Strafverfolgungsbehörden finden Sie hier.

Weitere Ressourcen

Unsere Berichte/Zertifikate:

Externe Ressourcen:

Last updated December 1, 2020