Servicedaten sind jegliche Informationen, einschließlich personenbezogener Daten, die durch unsere Kunden und ihre Endnutzer, bzw. in ihrem Auftrag, in Diensten von Zendesk gespeichert oder durch sie übertragen werden.

Datenschutzrechtlich gesehen ist der Kunde für die Servicedaten Datenverantwortlicher und Zendesk Datenverarbeiter. Das bedeutet, dass der Kunde während der gesamten Zeit, in der er Dienstleistungen von Zendesk abonniert, das Eigentum und die Kontrolle über die Servicedaten in seinem Konto behält.

Zendesk may use sub-processors, including affiliates of Zendesk as well as third party companies, to provide, secure or improve the Services, and such sub-processors may have access to Service Data. Zendesk maintains an up-to-date list of the names and locations of all sub-processors is available at our Sub-Processor Policy. The list includes the ability for our customers to sign up for notifications of changes. Zendesk shall be responsible for the acts and omissions of sub-processors to the same extent that Zendesk would be responsible if Zendesk was performing the services of each sub-processor directly.

We use Service Data to operate and improve our services, help customers access and use the services, respond to customer inquiries, and send communications related to the services.

Zendesk gibt Datensicherheit höchste Priorität und kombiniert zur kommerziellen Nutzung vorgesehene Sicherheitsfunktionen mit umfassenden Überwachungsmaßnahmen der Anwendungen, Systeme und Netzwerke, damit Kunden- und Geschäftsdaten jederzeit geschützt bleiben.

So werden die Server von Zendesk beispielsweise in Einrichtungen gehostet, die mit Tier 4 oder 3+, SSAE-16, PCI DSS oder ISO 27001 konform sind. Darüber hinaus ziehen wir externe Sicherheitsexperten hinzu, die regelmäßige Penetrationstests durchführen, und unser Support-Team ist unter 24/7 erreichbar, um auf sicherheitsrelevante Warnmeldungen und Ereignisse zu reagieren.

For more information about security incident management and procedures for Enterprise Services, please visit How We Protect Your Service Data (Enterprise Services). For more information about security incident management and procedures for Innovation Services, please visit How We Protect Your Service Data (Innovation Services).

Zendesk verfügt über Rechenzentren in drei Hauptregionen: USA, Asiatisch-pazifischer Raum und Europäische Union. Die Servicedaten können in jeder dieser Regionen gespeichert werden. Kunden können bestimmen, in welcher dieser Regionen bestimmte Servicedaten gespeichert werden, indem sie die Zusatzleistung „Standort des verwendeten Rechenzentrums“ buchen. Weitere Informationen erhalten Sie in der Regionen-Richtlinie für das Daten-Hosting.

Zendesk maintains a publicly available Data Deletion Policy that describes Zendesk’s data deletion processes upon termination or expiration of a Subscriber’s agreement with Zendesk.

Zendesk ist sich dessen bewusst, dass Datenschutz und Datensicherheit für die Kunden absoluten Vorrang haben.

• Zendesk legt niemals Servicedaten offen, wenn dies nicht zur Erbringung der Dienstleistungen für den Kunden oder zur Einhaltung geltender Gesetze notwendig ist. Näheres dazu finden Sie hier in unserer Datenschutzrichtlinie.

• Zendesk hat eine Reihe von international anerkannten Zertifizierungen und Akkreditierungen erhalten, die die Einhaltung der auf unserer Security-Webseite beschriebenen Sicherheitsrichtlinien von Drittanbietern demonstrieren.

• Wenn dies nötig ist, treten wir öffentlich für den Schutz unserer Kunden ein. Zendesk hat sich ausdrücklich für den US-amerikanischen Liberty Act ausgesprochen, der das Überwachungsprogramm unter Abschnitt 702 des Foreign Intelligence Surveillance Act („FISA“) reformieren soll.

In certain situations, we may be required to disclose personal data in response to lawful requests by public authorities, including to meet national security or law enforcement requirements. We may disclose personal data to respond to subpoenas, court orders, or legal process, or to establish or exercise our legal rights or defend against legal claims. We may also share such information with relevant law enforcement agencies or public authorities if we believe the same to be necessary in order to investigate, prevent, or take action regarding illegal activities, suspected fraud, situations involving potential threats to the physical safety of any person, violations of our Master Subscription Agreement, or as otherwise required by law.

Die Datenschutzgrundverordnung („DSGVO“) ist die europäische Datenschutzverordnung, welche die EU-Datenschutzrichtlinie („Richtlinie 95/46/EG“) ersetzt hat.Die DSGVO betrifft die Verarbeitung personenbezogener Daten und den freien Datenverkehr.Ziel ist es, die Sicherheit und den Schutz personenbezogener Daten in der EU zu stärken und das EU-Datenschutzrecht zu harmonisieren.Im Großen und Ganzen werden eine Reihe von Datenschutzgrundsätzen und -anforderungen festgelegt, die bei der Verarbeitung personenbezogener Daten zu beachten sind.

Im Rahmen der GDPR wurde auch das „European Data Protection Board“ (EPDB) eingerichtet, das die einheitliche Anwendung des Datenschutzgesetzes in der gesamten EU gewährleistet und auf eine effektive Zusammenarbeit zwischen den Datenschutzbehörden hinarbeitet.

Zendesk customers that collect and store personal data are considered data controllers under the GDPR. Data controllers bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant EU data protection law, including the GDPR and uniquely determine what personal data is submitted to, and processed by, Zendesk in accordance with the Services.

Einer der wichtigsten Aspekte der DSGVO besteht in der Einführung in allen EU-Staaten geltender Regeln für die Verarbeitung, Verwendung und Übertragung personenbezogener Daten.Organisationen müssen kontinuierlich die Sicherheit der von ihnen verarbeiteten Daten und ihre Einhaltung der DSGVO unter Beweis stellen, indem sie umfassende technische und organisatorische Maßnahmen sowie Konformitätsrichtlinien umsetzen und ihre Einhaltung regelmäßig überprüfen.

If Zendesk receives a data subject request from a Subscriber’s End-User (i.e., a user of the Services to whom a Subscriber has provided our Services), Zendesk is the Processor, and Zendesk will, to the extent that applicable legislation does not prohibit Zendesk from doing so, promptly inform the End-User to contact our Subscriber (i.e. the Controller) directly about any request relating to his/her Personal Data such as access or deletion. Zendesk will not further respond to a data subject request without Subscriber’s prior consent.

Zendesk encourages customers to continually review their privacy and data security processes and policies to ensure compliance with the GDPR. Data controllers bear the primary responsibility for ensuring that their processing of personal data is compliant with EU data protection law. Below are some key points to consider for GDPR compliance:

• Geografische Gültigkeit: Die DSGVO kann je nach Tätigkeitsfeld für in der EU gegründete und für bestimmte außerhalb der EU gegründete Organisationen, die aber personenbezogene Daten von EU-Bürgern verarbeiten, gelten.

• Rechte von Endnutzern: Organisationen müssen sich der Endnutzer, deren personenbezogene Daten sie möglicherweise verarbeiten, bewusst sein. Die DSGVO verstärkt die Rechte der Endnutzer, und Organisationen müssen in der Lage sein, diese Rechte zu erfüllen.

• Benachrichtigungen bei Datenschutzverstößen: Organisationen, die als Datenverantwortliche für personenbezogene Daten auftreten, müssen klare Verfahren zur Meldung von Datenschutzverstößen innerhalb der in der DSGVO festgelegten zeitlichen Fristen einführen, um die entsprechende DSGVO-Vorschrift einzuhalten. Zendesk wird betroffene Kunden unverzüglich informieren, wenn wir auf einen Datenschutzverstoß im Rahmen einer unserer Dienstleistungen aufmerksam werden sollten.

• Ernennung eines Datenschutzbeauftragten („DSB“): Unsere Kunden müssen möglicherweise DSB ernennen, die für Probleme in Zusammenhang mit der Verarbeitung personenbezogener Daten zuständig sind.

• Data Processing Agreement (“DPA”): Where personal data is transferred outside the EEA, a customer may need DPAs in place with its sub-processors to ensure an adequate level of protection for the transferred data.

• Datenschutz-Folgenabschätzung („DSFA“): DSFA beschreiben in der Regel die Verfahren einer Organisation zur Verarbeitung und zum Schutz von Daten, vor allem, wenn hierbei Risiken zu beachten sind. Für mit der Datenverarbeitung verbundene Aktivitäten müssen unsere Kunden eine DSFA führen und einreichen.

Kunden können mithilfe der externen ISO-Zertifizierung von Zendesk und der SOC-2-Prüfberichte ihre Risikoabschätzung durchführen und ermitteln, ob ausreichende technische und organisatorische Maßnahmen getroffen wurden. Weitere Informationen finden Sie auf der Sicherheits-Webseite von Zendesk.

Im Folgenden werden beispielhaft Produktfunktionen von Zendesk aufgeführt, die Kunden bei ihrem DSGVO-Konformitätsprogramm zu Hilfe nehmen können. Über unsere Zusatzleistung „Erweiterte Sicherheit“ können Kunden erweiterte Funktionen erwerben, z. B. erweiterte Notfallwiederherstellung und Verschlüsselung sowie die Möglichkeit einer Konfiguration für den US-amerikanischen Health Insurance Portability and Accountability Act („HIPAA“).

Die derzeit für bestimmte Produkte von Zendesk erhältlichen Funktionen finden Sie in den folgenden Fragen/Antworten.

Überprüfungsstandards:

• ISO27001:2013-zertifiziert

• ISO27018:2014-zertifiziert

Scans:

• Bug-Bounty-Programm

• Dynamische Scans von Live-Anwendungen

• Statische Scans von Code-Depots

Verschlüsselung:

• Verschlüsselung über öffentliche Netzwerke übertragener Daten

• Verschlüsselung bestimmter Daten bei der Speicherung mit AES256

Yes, more detailed information on how to use Zendesk products to stay compliant with GDPR can be found via our Help Center here.

Die Europäische Kommission hat eine Reihe als Standardvertragsklauseln („Modellklauseln“) bezeichneter Standardbestimmungen genehmigt, die Datenverantwortlichen eine Möglichkeit bieten, unter Einhaltung der gesetzlichen Bestimmungen personenbezogene Daten an einen Datenverarbeiter außerhalb des Europäischen Wirtschaftsraums („EWR“) zu übermitteln. Die Modellklauseln sind der ADV-Vereinbarung von Zendesk als Anhang beigefügt, damit Datenübertragungen aus dem Europäischen Wirtschaftsraum oder der Schweiz angemessen geschützt werden können.

Zendesk erstellt von Zeit zu Zeit zwecks Archivierung, Sicherung und Protokollierung der Überwachung Kopien der Daten. Wir nutzen Amazon Web Services (AWS) zur Speicherung mancher Sicherungsdaten wie beispielsweise Datenbankinformationen und angehängte Dateien. Weitere Informationen erhalten Sie in unserer Regionen-Richtlinie für das Daten-Hosting.

Kunden von Zendesk, welche die Zusatzleistung „Standort des verwendeten Rechenzentrums“ in Anspruch nehmen, können (unter den von Zendesk zur Auswahl gestellten Regionen) die Region auswählen, in der sich das Rechenzentrum befindet, in dem ihre Daten gehostet werden.Weitere Informationen erhalten Sie in unserer Regionen-Richtlinie für das Daten-Hosting.Andernfalls kann Zendesk eines der globalen Rechenzentren nutzen, die es zum Hosten von Servicedaten verwendet.

Irrespective of the outcome of the ongoing Brexit negotiations, Zendesk remains committed to the success of our Subscribers and employees in the UK and the rest of Europe. We are closely monitoring the negotiations between the UK government and the European Union regarding the details of their future relationship. As the details become clear, we will take appropriate measures to ensure that our Subscribers can continue to use our services in compliance with both EU and UK laws, and for Zendesk overall, business will continue as usual and will remain focused on our Subscribers’ success.

Zendesk offers customers a robust Data Processing Agreement governing the relationship between the customer (acting as a data controller) and Zendesk (acting as a data processor). The DPA facilitates Zendesk’s customers’ compliance with their obligations under EU data protection law and contains strong privacy commitments, and has been updated to confirm our compliance with the GDPR. The DPA also contains data transfer frameworks to ensure that our customers can lawfully transfer personal data to Zendesk outside of the European Union by relying on one of three mechanisms: our Binding Corporate Rules, our Privacy Shield certification, or Standard Contractual Clauses.

Yes, Zendesk’s DPA includes provisions to assist Subscribers with their GDPR compliance.

Zendesk recommends that you consult with your legal counsel to assess the potential impact that your decision not to sign the DPA may have on your particular situation.

No. The Zendesk DPA is specific to Zendesk’s Services, privacy practices and representations made to regulators.

If you have additional questions, please contact your Zendesk Account Executive or alternatively, open a case with the Zendesk customer advocacy team by contacting support@zendesk.com.

Not directly, instead Zendesk offers a separate addendum to its Master Subscription Agreement to support a “Businesses” compliance efforts with CCPA, as such term is defined in the CCPA. For more information, please review the CCPA section of this webpage.

If you would like to review and/or execute Zendesk’s CCPA Addendum to the Master Subscription Agreement, please click here.

For information on our privacy practices and the functionality we provide to support our Subscribers’ compliance, please visit our Privacy and Data Protection Website, Data Deletion Policy, and Product Guides.

The CCPA grants California consumers new rights with respect to the collection of their personal information and requires companies to comply with certain obligations related to those rights, including:

1. An obligation on businesses to notify a consumer of its data collection practices, including the categories of personal information it has collected, the source of the information, the business’s use of the information, and to whom the business disclosed the information it has collected about the consumer;
2. The consumer’s right to receive a copy, in a readily usable format, of the specific personal information collected about them during the twelve (12) months prior to their request;
3. The consumer’s right to have such personal information deleted (with exceptions);
4. The consumer’s right to know the business’ data sale practices and to request that their personal information not be sold to third parties;
5. A prohibition on businesses on discrimination for exercising a consumer right; and
6. An obligation on businesses to notify a consumer of their rights.

Zendesk has been following the CCPA and preparing for compliance since the CCPA was first passed in 2018. Most recently, the California Office of the Attorney General has indicated that it may further amend regulations proposed for the CCPA. In light of such potential amendments, Zendesk is actively tracking the law and we will continue to keep our customers updated on features and functionality they can use to support their compliance efforts. Customers can also view our Product Guides for more detailed information on how to use Zendesk’s products to comply with data privacy laws, as well as our Data Deletion Policy for details on Service Data deletion.

Zendesk customers that collect and store personal information in Zendesk Services may be considered “Businesses” under the CCPA. Businesses bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant data protection law, including the CCPA. Zendesk acts as a “Service Provider,” as such term is defined in the current version of the CCPA, with respect to the processing of personal information through our Services. Therefore, Zendesk collects, accesses, maintains, uses, processes and transfers the personal information of our customers and our customer’s end-users processed through the Services solely for the purpose of performing our obligations under our existing contract(s) with our subscribers; and, for no commercial purpose other than the performance of such obligations and improvement of the Services we provide.

We do not “sell” our customer’s personal information as currently defined under the CCPA, meaning that we also do not rent, disclose, release, transfer, make available or otherwise communicate that personal information to a third party for monetary or other valuable consideration. We may share aggregated and/or anonymized information regarding use of the Service(s)—which is not considered personal information under the CCPA—with third parties to help us develop and improve the Services and provide our customers with more relevant content and service offerings as detailed in our customer agreements.

Subscribers are advised to consult their own legal counsel to evaluate how the CCPA specifically applies to them and determine how to achieve their own compliance with CCPA.

Binding Corporate Rules („BCR“) sind unternehmensweit gültige und von europäischen Datenschutzbehörden genehmigte Datenschutzrichtlinien zur Vereinfachung der Übertragung personenbezogener Daten innerhalb der Unternehmensgruppe aus dem Europäischen Wirtschaftsraum („EWR“) in Länder außerhalb des EWR. Die BCR beruhen auf strengen, von Datenschutzbehörden der Europäischen Union festgelegten Datenschutzgrundsätzen und erfordern intensive Rücksprache mit diesen Behörden. Kunden finden die vollständige Liste genehmigter Körperschaften hier in der Liste genehmigter Binding Corporate Rules.

Ja, Zendesk hat für seine Binding Corporate Rules (BCR) das Genehmigungsverfahren der EU beim irischen Datenschutzbeauftragten („Data Protection Commissioner“ oder „DPC“) sowohl als Datenverarbeiter als auch als Datenbeauftragter durchlaufen (durch die Dienststelle des britischen Informationsbeauftragten und die niederländische Datenschutzbehörde geprüft und bestätigt). Diese wichtige behördliche Genehmigung bestätigt, dass Zendesk die höchstmöglichen Standards für den weltweiten Schutz personenbezogener Daten sowohl für seine Kunden als auch für seine Mitarbeiter umsetzt.

Zendesk ist eines von weltweit nur wenigen Softwareunternehmen, deren BCR genehmigt wurden, und überhaupt erst das zweite Unternehmen, das jemals eine Genehmigung vom irischen DPC erhalten hat.

Um auf die Zendesk BCR zuzugreifen, verwenden Sie bitte die folgenden Links:

– Zendesk Binding Corporate Rules für Datenverarbeiter (diese gelten, wenn Zendesk personenbezogene Daten im Auftrag von Kunden bearbeitet); und

– Globale Zendesk Binding Corporate Rules für Datenverantwortliche (diese gelten, wenn Zendesk personenbezogene Daten in der Eigenschaft eines Datenverantwortlichen bearbeitet).

Zendesk has updated its Binding Corporate Rules to align them with the GDPR and to further enhance the robust privacy protections offered by Zendesk to its Subscribers. Zendesk notified the Irish data protection authority of these updates as part of our annual update.

Das US-amerikanische Handelsministerium („Department of Commerce“) hat gemeinsam mit der Europäischen Kommission und der Schweizer Regierung die Rahmenverträge für das EU-US-Datenschutzschild und das Schweiz-US-Datenschutzschild erstellt, um Unternehmen einen Mechanismus zur Übertragung personenbezogener Daten aus der Europäischen Union in die Vereinigten Staaten unter Aufrechterhaltung eines dem europäischen Datenschutzrechts angemessenen Sicherheitsniveaus anzubieten.

Zendesk hat beim US-Handelsministerium Zertifikate zur Einhaltung der Rahmenbedingungen des EU-US- und Schweiz-US-Datenschutzschildes eingereicht und wurde aufgrund dessen vom US-Handelsministerium zu seiner Liste der selbstzertifizierten Beteiligten des Datenschutzschildes hinzugefügt. Unsere Zertifizierungen bestätigen, dass wir die Grundsätze des Datenschutzschildes für die Übermittlung von persönlichen Daten aus Europa und der Schweiz in die Vereinigten Staaten beachten.

Das ist eine sehr gute Neuigkeit für unsere Kunden, die nunmehr einen noch besseren Mechanismus zur Übertragung von Daten als unter den früher zwischen der EU und den USA sowie der Schweiz und den USA geltenden Safe-Harbor-Bestimmungen nutzen können. Im Zuge unseres kontinuierlichen Engagements für den Datenschutz, insbesondere den Schutz der Daten unserer Kunden, hat sich Zendesk in kurzer Zeit die Grundsätze des Datenschutzschildes zu eigen gemacht.

• SOC-2Typ-II-Bericht

• SOC-3-Bericht

• ISO 27001:2013 Zertifizierung

• ISO 27018:2014 Zertifizierung

• Liste genehmigter Binding Corporate Rules

• Genehmigungsliste unter dem Datenschutzschild

• TrustArc-Datenschutzsiegel

• Wie Zendesk personenbezogene Daten schützt

• Zendesk erfüllt höchste Datenschutzstandards und erhält europäische BCR-Zulassung

• Zendesk Privacy Policy

• Zendesk-Datenlöschungsrichtlinie

• Zendesk Sicherheitsseite

• Zendesk Sicherheit Best Practices

• SOC-2-Bericht

• SOC-3-Bericht

• ISO 27001:2013 Zertifizierung

• ISO 27018:2014 Zertifizierung

• Master Subscription Agreement für Zendesk

• Webseite des US-amerikanischen Handelsministeriums zum Datenschutzschild: https://www.privacyshield.gov/welcome.

• Richtlinie 95/46/EG: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=LEGISSUM:l14012.

• Datenschutz-Grundverordnung (DSGVO): http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679.

• International Association of Privacy Professionals: https://iapp.org.

• „Vorbereitung auf die DSGVO“ („Preparing for the GDPR“) von der Behörde des britischen Informationsbeauftragten: https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf.