What is Service Data?

Service Data is any information, including personal data, which is stored in or transmitted via the Zendesk services by, or on behalf of, our customers and their end-users.

Who owns and controls Service Data?

From a privacy perspective, the customer is the controller of Service Data, and Zendesk is a processor. This means that throughout the time that a customer subscribes to services with Zendesk, the customer retains ownership of and control over Service Data in its account.

Who are Zendesk's sub-processors?

Zendesk may use sub-processors, including affiliates of Zendesk as well as third party companies, to provide, secure or improve the Services, and such sub-processors may have access to Service Data. Zendesk maintains an up-to-date list of the names and locations of all sub-processors, available at our Sub-Processor Policy. The list includes the ability for our customers to sign up for notifications of any changes. Zendesk shall be responsible for the acts and omissions of sub-processors to the same extent that Zendesk would be responsible if Zendesk was performing the services of each sub-processor directly.

How does Zendesk use Service Data?

We use Service Data to operate and improve our services, help customers access and use the services, respond to customer inquiries, and send communications related to the services.

What steps does Zendesk take to secure Service Data?

Zendesk prioritizes data security and combines enterprise-class security features with comprehensive audits of our applications, systems, and networks to ensure customer and business data is always protected. For example, Zendesk servers are hosted at Tier IV or III+, SSAE-16, PCI DSS, or ISO 27001 compliant facilities. Additionally, we engage third-party security experts to perform detailed penetration tests on a periodic basis, and our Support team is on call 24/7 to respond to security alerts and events.

How does Zendesk notify customers of a security incident?

For more information about security incident management and procedures for Enterprise Services, please visit How We Protect Your Service Data (Enterprise Services). For more information about security incident management and procedures for Innovation Services, please visit How We Protect Your Service Data (Innovation Services).

Where will Service Data be stored?

Zendesk uses data centers in three main regions â United States, Asia Pacific, and the European Union. Service Data may be stored in any region. Customers can select the region in which data centers that host certain of their Service Data are located by purchasing the Data Center Locality Add-On. Please see the Regional Data Hosting Policy for additional information.

What happens to Service Data upon termination or expiration of a customer's agreement with Zendesk?

Zendesk maintains a publicly available Data Deletion Policy that describes Zendeskâs data deletion processes upon termination or expiration of a customer's agreement with Zendesk.

How does Zendesk Respond to Information Requests?

Zendesk recognizes that privacy and data security issues are top priorities for customers. Zendesk does not disclose Service Data except as necessary to provide its services to its customers and comply with the law as detailed in our Privacy Policy found here. Zendesk has achieved a number of internationally-recognized certifications and accreditations demonstrating compliance with third-party assurance frameworks as described on our Security site. Where we need to act publicly to protect customers, we do. Zendesk has voiced its support for the USA Liberty Act that seeks to reform the surveillance program under Section 702 of the Foreign Intelligence Surveillance Act (âFISAâ).

How does Zendesk respond to legal requests for Service Data?

In certain situations, we may be required to disclose personal data in response to lawful requests by public authorities, including to meet national security or law enforcement requirements. We may disclose personal data to respond to subpoenas, court orders, or legal process, or to establish or exercise our legal rights or defend against legal claims. We may also share such information with relevant law enforcement agencies or public authorities if we believe the same to be necessary in order to investigate, prevent, or take action regarding illegal activities, suspected fraud, situations involving potential threats to the physical safety of any person, violations of our Master Subscription Agreement, or as otherwise required by law.

The General Data Protection Regulation ("GDPR") is the European privacy regulation which replaced the EU Data Protection Directive (âDirective 95/46/ECâ). The GDPR addresses the processing of personal data and the free movement of such data. It aims to strengthen the security and protection of personal data in the EU and harmonize EU data protection law. Broadly, it sets out a number of data protection principles and requirements which must be adhered to when personal data is processed. The GDPR also established the European Data Protection Board (âEPDBâ), which ensures that the data protection law is applied consistently across the EU and works to ensure effective cooperation amongst data protection authorities.

How does the GDPR apply to customers?

Zendesk customers that collect and store personal data are considered data controllers under the GDPR. Data controllers bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant EU data protection law, including the GDPR and uniquely determine what personal data is submitted to, and processed by, Zendesk in accordance with the Services.

What implications does GDPR have for organizations processing the personal data of EU citizens?

One of the key aspects of the GDPR is that it creates consistency across EU member states on how personal data can be processed, used, and exchanged securely. Organizations need to demonstrate the security of the data they are processing and their compliance with GDPR on a continual basis, by implementing and regularly reviewing robust technical and organizational measures, as well as compliance policies.

In its capacity as data processor, how does Zendesk handle requests made by End-Users?

If Zendesk receives a data subject request from a customer's End-User (i.e., a user of the Services to whom a customer has provided our Services), Zendesk is the Processor, and Zendesk will, to the extent that applicable legislation does not prohibit Zendesk from doing so, promptly inform the End-User to contact our customer (i.e. the Controller) directly about any request relating to his/her Personal Data such as access or deletion. Zendesk will not further respond to a data subject request without customer's prior consent.

What are some suggestions for Zendesk customers with regard to GDPR?

Zendesk encourages customers to continually review their privacy and data security processes and policies to ensure compliance with the GDPR. Data controllers bear the primary responsibility for ensuring that their processing of personal data is compliant with EU data protection law. Below are some key points to consider for GDPR compliance: Geographical Application: The GDPR may apply to organizations that are established in the EU as well as certain organizations established outside the EU but which are processing the personal data of EU citizens, depending on their activities. Rights of End-Users: Organizations should be cognizant of End-Users whose personal data they may be processing. The GDPR establishes enhanced rights for End-Users, and organizations should be able to accommodate those rights. Data Breach Notifications: Organizations that are controllers of personal data should have clear processes in place in order to comply with the GDPR requirement to report data breaches in accordance with the time frames set out within the GDPR. Zendesk will notify affected customers without undue delay if we become aware of a data breach of our services. Appointment of Data Protection Officer (âDPO"): Customers may need to appoint DPOs to manage issues relating to the processing of personal data. Data Processing Agreement (âDPAâ): Where personal data is transferred outside the EEA, a customer may need DPAs in place with its sub-processors to ensure an adequate level of protection for the transferred data. Data Protection Impact Assessment (âDPIAâ): DPIAs usually describe an organization's data processes and protective measures, particularly those that may be risky. For data processing activities, customers need to conduct and file with authorities a DPIA.

Which Zendesk services and features can support customers compliance with the GDPR?

Customers can use Zendesk's third-party ISO certifications and SOC 2 audit reports to help conduct their risk assessments and determine whether appropriate technical and organizational measures are in place. For additional information, please see the Zendesk Security website. Below are examples of specific Zendesk product features that customers can utilize to assist with the GDPR compliance program. Through our Advanced Security Deployed Associated Service, customers can choose to obtain enhanced features, including enhanced disaster recovery and encryption, as well as the ability to configure for the Health Insurance Portability and Accountability Act (âHIPAAâ). Currently available features for specific Zendesk products can be found in the questions/answers below. Auditing Standards: ISO 27001:2013 certified ISO 27018:2014 certified Scanning: Bug bounty Dynamic scanning of live applications Static scanning of code repositories Encryption: Encryption of data in motion over public networks Encryption of certain data at rest with AES256

Does Zendesk currently provide any product specific Features/Functionality in its products to assist us with our GDPR compliance program?

Yes, more detailed information on how to use Zendesk products to stay compliant with GDPR can be found via our Help Center here.

What are the âModel Clausesâ?

The European Commission has approved a set of standard provisions called the Standard Contractual Clauses (âModel Clausesâ) which provide a data controller a compliant mechanism to transfer personal data to a data processor outside of the European Economic Area (âEEAâ). The Model Clauses are appended to the Zendesk DPA to help provide adequate protection for data transfer outside of the EEA or Switzerland.

Does Zendesk replicate the Service Data it stores?

Zendesk periodically replicates data for purposes of archival, backup and audit logs. We use Amazon Web Services (AWS) to store some of the information that is backed up, such as database information and attachment files. Please see our Regional Data Hosting Policy for further details.

Does Service Data hosted in the EU region ever leave that region?

Zendesk customers who purchase the Data Center Location Add-on have the ability to select the region (from the available Zendesk regional options) where the data center which hosts their Service Data is located. Please see our Regional Data Hosting Policy for further details. Otherwise, Zendesk may utilize any of the global data centers it uses to host Service Data.

What steps has Zendesk taken to prepare for Brexit (the UKâs departure from the European Union)?

Irrespective of the outcome of the ongoing Brexit negotiations, Zendesk remains committed to the success of our customers and employees in the UK and the rest of Europe. We are closely monitoring the negotiations between the UK government and the European Union regarding the details of their future relationship. As the details become clear, we will take appropriate measures to ensure that our customers can continue to use our services in compliance with both EU and UK laws, and for Zendesk overall, business will continue as usual and will remain focused on our customers' success.

What is a Data Processing Agreement (âDPAâ)?

Zendesk offers customers a robust Data Processing Agreement governing the relationship between the customer (acting as a data controller) and Zendesk (acting as a data processor). The DPA facilitates Zendeskâs customersâ compliance with their obligations under EU data protection law and contains strong privacy commitments, and has been updated to confirm our compliance with the GDPR. The DPA also contains data transfer frameworks to ensure that our customers can lawfully transfer personal data to Zendesk outside of the European Union by relying on one of three mechanisms: our Binding Corporate Rules, our Privacy Shield certification, or Standard Contractual Clauses.

Does the DPA take GDPR into account?

Yes, Zendesk's DPA includes provisions to assist customers with their GDPR compliance.

What happens if a customer does not sign the DPA?

Zendesk recommends that you consult with your legal counsel to assess the potential impact that your decision not to sign the DPA may have on your particular situation.

Can a customer use its own DPA?

No. The Zendesk DPA is specific to Zendeskâs Services, privacy practices and representations made to regulators.

What if I have additional questions about the DPA?

If you have additional questions, please contact your Zendesk Account Executive or alternatively, open a case with the Zendesk customer advocacy team by contacting support@zendesk.com.

Does the DPA take the California Consumer Privacy Act (CCPA) into account?

Not directly, instead Zendesk offers a separate addendum to its Master Subscription Agreement to support a âBusinessesâ compliance efforts with CCPA, as such term is defined in the CCPA. For more information, please review the CCPA section of this webpage.

Does Zendeskâs Master Subscription Agreement specifically address CCPA?

If you would like to review and/or execute Zendeskâs CCPA Addendum to the Master Subscription Agreement, please click here. For information on our privacy practices and the functionality we provide to support our customers' compliance, please visit our Privacy and Data Protection Website, Data Deletion Policy, and Product Guides.

The CCPA grants California consumers new rights with respect to the collection of their personal information and requires companies to comply with certain obligations related to those rights, including: An obligation on businesses to notify a consumer of its data collection practices, including the categories of personal information it has collected, the source of the information, the businessâs use of the information, and to whom the business disclosed the information it has collected about the consumer; The consumerâs right to receive a copy, in a readily usable format, of the specific personal information collected about them during the twelve (12) months prior to their request; The consumerâs right to have such personal information deleted (with exceptions); The consumerâs right to know the businessâ data sale practices and to request that their personal information not be sold to third parties; A prohibition on businesses on discrimination for exercising a consumer right; and An obligation on businesses to notify a consumer of their rights.

How has Zendesk been preparing for the CCPA and how do Zendesk products support compliance with the CCPA?

Zendesk has been following the CCPA and preparing for compliance since the CCPA was first passed in 2018. Most recently, the California Office of the Attorney General has indicated that it may further amend regulations proposed for the CCPA. In light of such potential amendments, Zendesk is actively tracking the law and we will continue to keep our customers updated on features and functionality they can use to support their compliance efforts. Customers can also view our Product Guides for more detailed information on how to use Zendeskâs products to comply with data privacy laws, as well as our Data Deletion Policy for details on Service Data deletion.

How does the CCPA apply to Zendesk customers?

Zendesk customers that collect and store personal information in Zendesk Services may be considered âBusinessesâ under the CCPA. Businesses bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant data protection law, including the CCPA. Zendesk acts as a âService Provider,â as such term is defined in the current version of the CCPA, with respect to the processing of personal information through our Services. Therefore, Zendesk collects, accesses, maintains, uses, processes and transfers the personal information of our customers and our customerâs end-users processed through the Services solely for the purpose of performing our obligations under our existing contract(s) with our customers; and, for no commercial purpose other than the performance of such obligations and improvement of the Services we provide.

Does Zendesk sell personal information?

We do not âsellâ our customerâs personal information as currently defined under the CCPA, meaning that we also do not rent, disclose, release, transfer, make available or otherwise communicate that personal information to a third party for monetary or other valuable consideration. We may share aggregated and/or anonymized information regarding use of the Service(s)âwhich is not considered personal information under the CCPAâwith third parties to help us develop and improve the Services and provide our customers with more relevant content and service offerings as detailed in our customer agreements.

How can Zendesk customers ensure compliance with CCPA?

Subscribers are advised to consult their own legal counsel to evaluate how the CCPA specifically applies to them and determine how to achieve their own compliance with CCPA.

Does Zendeskâs Master Subscription Agreement specifically address LGPD?

If you would like to review and/or execute Zendeskâs LGPD Addendum to the Master Subscription Agreement, please click here. In addition, Zendeskâs Master Subscription Agreement (MSA), other privacy and product documentation, as well as our internal practices are designed for global use and we update them as necessary to continue to deliver our Services to customers in Latin America and the Caribbean in accordance with legal requirements. We direct your attention to the section entitled, âBrazilâ in Zendeskâs Region-Specific Terms, which form part of Zendeskâs MSA and can be found at: https://www.zendesk.com/company/agreements-and-terms/region-specific-terms/. For information on our privacy practices and the functionality we provide to support our customers' compliance, please visit our Privacy and Data Protection Website, Data Deletion Policy, and Product Guides.

The LGPD is the primary law in Brazil addressing the protection of personal data, aiming to protect "the fundamental rights of freedom and privacy and the free development of the personality of the natural person." As such, controllers and processors (as defined under the LGPD) are required to adhere to certain principles when processing personal data, including but not limited to purpose, necessity, transparency, and security.

How has Zendesk prepared for the LGPD and how do Zendesk Services support compliance with the LGPD?

Zendesk has been following the LGPD and preparing for compliance since the LGPD was first passed in 2018. Additionally, the National Authority for Protection Data (ANPD) may issue additional guidance for the LGPD. In light of such guidance, Zendesk is actively tracking the law and we will continue to keep our customers updated on features and functionality they can use to support their compliance efforts. Customers can also view our Product Guides for more detailed information on how to use Zendeskâs Services to comply with data privacy laws, as well as our Data Deletion Policy for details on Service Data deletion.

How does the LGPD apply to Zendesk customers?

Zendesk customers that collect and store personal data in Zendesk Services may be considered "controllers" under the LGPD. Controllers bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant data protection law, including the LGPD. Zendesk acts as a "processor," as such term is defined in the current version of the LGPD, with respect to the processing of personal data through our Services. Therefore, Zendesk processes the personal data of our customers and our customer's end-users at the instruction of our customers.

How can Zendesk customers ensure compliance with the LGPD?

Customers are advised to consult their own legal counsel to evaluate how the LGPD specifically applies to them and determine how best to achieve their own compliance with LGPD.

What are Binding Corporate Rules?

Binding Corporate Rules (âBCRsâ) are company-wide data protection policies approved by European data protection authorities to facilitate intra-group transfers of personal data from the European Economic Area ("EEA") to countries outside the EEA. BCRs are based on strict privacy principles established by European Union data protection authorities and require intensive consultation with those authorities. Customers can find the full list of approved entities on the Binding Corporate Rules Approved List, here.

Does Zendesk have approved BCRs in place?

Yes, Zendesk has completed the EU approval process with the Irish Data Protection Commissioner ("DPC") (peer reviewed by both the UK Information Commissionerâs Office and the Dutch Data Protection Authority) for its global Binding Corporate Rules (âBCRsâ) as data processor and controller. This significant regulatory approval validates Zendeskâs implementation of the highest possible standards for protecting personal data globally, covering both the personal data of its customers and its employees. Zendesk is one of only a few software companies in the world to have received approval for its BCRs; and just the second company ever to receive approval from the Irish DPC. To access Zendeskâs BCRs, please follow the relevant links below: â Zendeskâs Processor Binding Corporate Rules (which apply when Zendeskâs processes personal data on behalf of its customers); and â Zendeskâs Controller Global Binding Corporate Rules (which apply when Zendesk processes personal data for which it is a data controller).

Does Zendesk update its BCRs?

Zendesk has updated its Binding Corporate Rules to align them with the GDPR and to further enhance the robust privacy protections we offer to our customers. Zendesk notified the Irish data protection authority of these updates as part of our annual update.

What is the Privacy Shield?

The U.S. Department of Commerce, with the European Commission and the Swiss government, created the EU-U.S. and Swiss-U.S. Privacy Shield Frameworks (Privacy Shield) to provide companies with a mechanism to transfer personal data from the European Union to the United States in a manner that provides an adequate level of protection for the purpose of European data protection law.

Is Zendesk certified under the Privacy Shield?

Zendesk has certified its compliance with the EU-U.S. and Swiss-U.S. Privacy Shield frameworks to the U.S. Department of Commerce and has been added to the Department of Commerceâs list of self-certified Privacy Shield participants. Our certifications confirm that we comply with the Privacy Shield Principles for the transfer of European and Swiss personal data to the United States.

How does the invalidation of Privacy Shield affect transfers of Zendesk Service Data from the EEA to the U.S.?

On July 16, 2020, the Court of Justice of the European Union (CJEU) issued a ruling invalidating the EU-U.S. Privacy Shield program. Zendesk customers can continue to use Zendesk services and transfer data in compliance with European law such as the GDPR, as we have both Binding Corporate Rules and Model Clauses (incorporated into our Data Processing Agreement) in place. We understand that you may have questions around the invalidation of the Privacy Shield and Zendesk's position in relation to the same, so we have published this blog post to assist you with your queries. If you would like to access the Zendesk DPA for review or signature, you can access it in your Customer Admin Console or click here.

Zendesk Reports/Certificates:

SOC 2 Type II Report SOC 3 Report ISO 27001:2013 Certification ISO 27018:2014 Certification Binding Corporate Rules Approved List Privacy Shield Approved List TrustArc Privacy Seal

How Zendesk Protects Personal Data Zendesk Adheres To Highest Standards Of Data Protection With European BCR Approval Zendesk Privacy Policy Zendesk Data Deletion Policy Zendesk Security Page Zendesk Security Best Practices SOC 2 Report SOC 3 Report ISO 27001:2013 Certification ISO 27018:2014 Certification Zendesk Master Subscription Agreement

Third-Party Resources:

U.S. Department of Commerce Privacy Shield Website: https://www.privacyshield.gov/welcome. Directive 95/46/EC: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=LEGISSUM:l14012. General Data Protection Regulation (GDPR): http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679. The International Association of Privacy Professionals: https://iapp.org. United Kingdom Information Commissionerâs Officeâs âPreparing for the GDPRâ: https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf.

What is Service Data?

Service Data is any information, including personal data, which is stored in or transmitted via the Zendesk services by, or on behalf of, our customers and their end-users.

Who owns and controls Service Data?

From a privacy perspective, the customer is the controller of Service Data, and Zendesk is a processor. This means that throughout the time that a customer subscribes to services with Zendesk, the customer retains ownership of and control over Service Data in its account.

Who are Zendesk's sub-processors?

Zendesk may use sub-processors, including affiliates of Zendesk as well as third party companies, to provide, secure or improve the Services, and such sub-processors may have access to Service Data. Zendesk maintains an up-to-date list of the names and locations of all sub-processors, available at our Sub-Processor Policy. The list includes the ability for our customers to sign up for notifications of any changes. Zendesk shall be responsible for the acts and omissions of sub-processors to the same extent that Zendesk would be responsible if Zendesk was performing the services of each sub-processor directly.

How does Zendesk use Service Data?

We use Service Data to operate and improve our services, help customers access and use the services, respond to customer inquiries, and send communications related to the services.

Datenschutz und Datensicherheit

Mehr über die aktuellen Entwicklungen in Bezug auf den EU-US-Datenschutzschild finden Sie hier.

Überblick

Bei Zendesk hat das Vertrauen des Kunden oberste Priorität.Wir wissen, dass Sicherheit und Vollständigkeit der Kundendaten wichtig für die Wertschöpfung und die Betriebsabläufe unserer Kunden sind.Daher behandeln wir sie vertraulich und bewahren sie sicher auf.

Zendesk betreut Tausende von Kunden in über 160 Ländern und Regionen. Unsere Kunden vertrauen uns große Mengen vertraulicher Daten an, die aus vielen verschiedenen Branchen stammen, z. B. Gesundheitswesen, Finanzdienstleistungen, Regierung und Technologie.

Zendesk bietet Kunden zahlreiche Möglichkeiten, die Kontrolle über Datenschutz und Datensicherheit zu wahren.

Datensicherheit: Wir bieten unseren Kunden die Einhaltung hoher Sicherheitsstandards, z. B. Datenverschlüsselung bei der Übertragung über öffentliche Netzwerke, Überwachungsstandards (SOC 2, ISO 27001, ISO 27018), Abwehr von DDoS-Angriffen („Distributed Denial of Service“) und ein unter der Nummer 24/7 erreichbares Support-Team.
Offenlegung der Servicedaten von Kunden: Zendesk legt Servicedaten nur offen, wenn dies zur Erbringung der Dienstleistungen oder zur Erfüllung rechtmäßiger Anfragen durch staatliche Behörden erforderlich ist.
Vertrauen: Zendesk hat Sicherheitsschutz- und Sicherheitskontrollverfahren entwickelt, die unseren Kunden helfen, ein sicheres Umfeld für ihre Daten zu schaffen. Unabhängige Drittexperten haben bestätigt, dass Zendesk höchste Branchenstandards einhält.
Aufbewahrungsort der Daten: Kunden, welche die Zusatzleistung „Standort des verwendeten Rechenzentrums“ („Data Center Location Add-on“) in Anspruch nehmen, können (unter den von Zendesk zur Auswahl gestellten Regionen) die Region auswählen, in der sich das Rechenzentrum befindet, in dem ihre Daten gehostet werden.
Zugangsverwaltung: Zendesk bietet technisch hochentwickelte Zugangsverwaltungs- und Verschlüsselungsfunktionen, damit Kunden ihre Daten wirksam schützen können. Der Zugriff auf die Inhalte der Kunden von Zendesk und ihre Verwendung erfolgen ausschließlich, um die Dienstleistungen von Zendesk durchzuführen, zu bewahren und zu verbessern oder gegebenenfalls gesetzlichen Erfordernissen nachzukommen.

Was sind Servicedaten?

Servicedaten sind jegliche Informationen, einschließlich personenbezogener Daten, die durch unsere Kunden und ihre Endnutzer, bzw. in ihrem Auftrag, in Diensten von Zendesk gespeichert oder durch sie übertragen werden.

Wer ist Eigentümer von Servicedaten und kontrolliert sie?

Datenschutzrechtlich gesehen ist der Kunde für die Servicedaten Datenverantwortlicher und Zendesk Datenverarbeiter. Das bedeutet, dass der Kunde während der gesamten Zeit, in der er Dienstleistungen von Zendesk abonniert, das Eigentum und die Kontrolle über die Servicedaten in seinem Konto behält.

Wer sind die Unterauftragsverarbeiter von Zendesk?

Zendesk kann Unterauftragsverarbeiter, einschließlich Konzerngesellschaften von Zendesk sowie Drittfirmen, verwenden, um die Dienste bereitzustellen, zu sichern oder zu verbessern, und diese Unterauftragsverarbeiter können auf Servicedaten zugreifen. Zendesk führt eine aktuelle Liste mit den Namen und Standorten aller Unterauftragsverarbeiter, die in unserer Richtlinie für Unterauftragsverarbeiter verfügbar ist. Die Liste bietet Kunden darüber hinaus die Möglichkeit sich anzumelden, um bei etwaigen Änderungen benachrichtigt zu werden.Zendesk haftet für die Handlungen und Unterlassungen der Unterauftragsverarbeiter in dem Maße, wie Zendesk haftbar wäre, wenn Zendesk die Leistungen des jeweiligen Unterauftragsverarbeiters direkt im Rahmen dieser Vereinbarung erbringen würde.

Wie verwendet Zendesk die Servicedaten?

Wir verwenden Servicedaten zur Durchführung und Verbesserung unserer Dienstleistungen, um Kunden beim Zugriff auf Dienste und bei ihrer Nutzung zu helfen, Anfragen von Kunden zu beantworten und in Zusammenhang mit den Dienstleistungen Mitteilungen zu senden.

Welche Maßnahmen ergreift Zendesk, um Servicedaten zu schützen?

Zendesk gibt Datensicherheit höchste Priorität und kombiniert zur kommerziellen Nutzung vorgesehene Sicherheitsfunktionen mit umfassenden Überwachungsmaßnahmen der Anwendungen, Systeme und Netzwerke, damit Kunden- und Geschäftsdaten jederzeit geschützt bleiben.

So werden die Server von Zendesk beispielsweise in Einrichtungen gehostet, die mit Tier 4 oder 3+, SSAE-16, PCI DSS oder ISO 27001 konform sind. Darüber hinaus ziehen wir externe Sicherheitsexperten hinzu, die regelmäßige Penetrationstests durchführen, und unser Support-Team ist unter 24/7 erreichbar, um auf sicherheitsrelevante Warnmeldungen und Ereignisse zu reagieren.

Wie informiert Zendesk Kunden über einen Sicherheitsvorfall?

Weitere Informationen über das Management von Sicherheitsvorfällen und Verfahren für Enterprise Services finden Sie unter Wie wir Ihre Servicedaten schützen (Enterprise Services). Weitere Informationen über das Management von Sicherheitsvorfällen und Verfahren für Enterprise Services finden Sie unter Wie wir Ihre Servicedaten schützen (Enterprise Services).

Wo werden die Servicedaten gespeichert?

Zendesk nutzt Rechenzentren in drei Hauptregionen: USA, asiatisch-pazifischer Raum und Europäische Union.Die Servicedaten können in jeder dieser Regionen gespeichert werden.Kunden können bestimmen, in welcher dieser Regionen bestimmte Servicedaten gespeichert werden, indem sie die Zusatzleistung „Standort des verwendeten Rechenzentrums“ buchen.Weitere Informationen erhalten Sie in der Regionen-Richtlinie für das Daten-Hosting.

Was geschieht mit den Dienst-Daten bei Kündigung oder Ablauf der Vereinbarung eines Kunden mit Zendesk?

Zendesk unterhält eine öffentlich zugängliche Richtlinie zur Datenlöschung, in der die Prozesse von Zendesk zur Löschung von Daten bei Kündigung oder Ablauf der Vereinbarung eines Kunden mit Zendesk beschrieben werden.

Wie reagiert Zendesk auf datenbezogene Anfragen

Zendesk ist sich dessen bewusst, dass Datenschutz und Datensicherheit für die Kunden absoluten Vorrang haben.

Zendesk legt niemals Servicedaten offen, wenn dies nicht zur Erbringung der Dienstleistungen für den Kunden oder zur Einhaltung geltender Gesetze notwendig ist. Näheres dazu finden Sie hier in unserer Datenschutzrichtlinie.
Zendesk hat eine Reihe von international anerkannten Zertifizierungen und Akkreditierungen erhalten, die die Einhaltung der auf unserer Security-Webseite beschriebenen Sicherheitsrichtlinien von Drittanbietern demonstrieren.
Wenn dies nötig ist, treten wir öffentlich für den Schutz unserer Kunden ein. Zendesk hat sich ausdrücklich für den US-amerikanischen Liberty Act ausgesprochen, der das Überwachungsprogramm unter Abschnitt 702 des Foreign Intelligence Surveillance Act („FISA“) reformieren soll.

Wie verhält sich Zendesk, wenn Servicedaten gerichtlich angefordert werden?

In bestimmten Situationen werden wir gegebenenfalls dazu aufgefordert, als Antwort auf rechtmäßige Anträge durch öffentliche Behörden personenbezogene Informationen preiszugeben, um den Anforderungen der nationalen Sicherheit oder der Strafverfolgung genüge zu leisten.Wir geben personenbezogene Informationen als Reaktion auf Vorladungen, gerichtliche Verfügungen oder rechtliche Verfahren weiter oder um unsere Rechtsansprüche auszuüben bzw. zur Verteidigung gegen rechtliche Klagen.Wir geben solche Informationen ebenfalls an die betreffenden Strafverfolgungsbehörden bzw. staatlichen Behörden weiter, wenn wir davon ausgehen, dass dies notwendig ist, um im Fall von illegalen Tätigkeiten, Betrugsverdacht oder Situationen, die eine Bedrohung für die physische Sicherheit einer Person oder eine Verletzung unseres Rahmen-Abonnementvertrags darstellen, zu ermitteln oder diesen vorbeugen zu können, oder wann immer es das Gesetz erfordert.

Seit unserer Gründung war unsere Arbeitsweise fest in einem starken Engagement für Datenschutz, Sicherheit, Gesetzeskonformität und Transparenz verankert.Dieser Ansatz beinhaltet die Unterstützung unserer Kunden bei der Einhaltung der EU-Datenschutzanforderungen, einschließlich derjenigen, die in der Allgemeinen Datenschutzgrundverordnung („DSGVO“) festgelegt sind, die die EU-Datenschutzrichtlinie (auch als „Richtlinie 95/46/ EG“ bezeichnet) ersetzt hat und am 25. Mai 2018durchsetzbar wurde.

Wenn ein Unternehmen personenbezogene Daten von EU-Bürgern sammelt, überträgt oder hostet, verpflichtet die DSGVO es, mit Datenverarbeitern zusammenzuarbeiten. Hierbei handelt es sich um Drittparteien, die garantieren können, dass sie in der Lage sind, die technischen und organisatorischen Voraussetzungen der DSGVO umzusetzen. Um zusätzliches Vertrauen bei unseren Kunden zu gewinnen, wurde unsere ADV-Vereinbarung aktualisiert und bietet unseren Kunden jetzt vertragliche Zusicherungen hinsichtlich unserer Einhaltung der geltenden EU-Datenschutzgesetzgebung und der Umsetzung zusätzlicher, von der DSGVO vorgeschriebener Vertragsbestimmungen. Wir garantieren durch vertragliche Verpflichtungen, dass unsere Kunden:

Anfragen betroffener Personen bezüglich Export, Korrektur, Änderung oder Löschung ihrer personenbezogenen Daten.
Über Verstöße gegen den Schutz personenbezogener Daten informiert werden und diese unter Einhaltung der in der DSGVO vorgesehenen Fristen den zuständigen Aufsichtsbehörden und betroffenen Personen melden können.
Ihre Einhaltung der DSGVO im Rahmen der Zendesk-Dienstleistungen dokumentieren können.

Datenverarbeitungsvereinbarung

Zendesk bietet aktiven Kunden seiner kostenpflichtigen Dienste sowie seiner Testdienste die Möglichkeit, eine Vereinbarung über Auftragsdatenverarbeitung („ADV-Vereinbarung“) abzuschließen, die die Vereinbarung der Parteien hinsichtlich der Verarbeitung personenbezogener Daten widerspiegelt.Wenn Sie auf die ADV-Vereinbarung von Zendesk zur Überprüfung oder Unterzeichnung zugreifen möchten, klicken Sie bitte hier.Kunden, die frühere Versionen unserer ADV-Vereinbarung unterzeichnet haben, können jederzeit unsere aktuelle ADV-Vereinbarung unterzeichnen.

Was ist eine Auftragsdatenverarbeitungsvereinbarung („ADV-Vereinbarung“)?

Zendesk bietet seinen Kunden eine umfassende Vereinbarung zur Auftragsdatenverarbeitung, um die Beziehungen zwischen dem Kunden (in seiner Funktion als Datenverantwortlicher) und Zendesk (als Auftragsverarbeiter) zu regeln.Die ADV-Vereinbarung erleichtert den Kunden von Zendesk die Einhaltung ihrer Verpflichtungen nach dem EU-Datenschutzrecht und enthält strenge Verpflichtungen zum Schutz der Privatsphäre; sie wurde aktualisiert, um die Einhaltung der DSGVO zu bestätigen. Die ADV-Vereinbarung legt auch Rahmenbedingungen für die Datenübertragung fest, mit deren Hilfe unsere Kunden personenbezogene Daten unter Einhaltung der gesetzlichen Vorschriften von der Europäischen Union aus an Zendesk übermitteln können, indem sie einen von drei möglichen Mechanismen verwenden: unsere Binding Corporate Rules, unsere Datenschutzschild-Zertifizierung oder unsere Standardvertragsklauseln.

Berücksichtigt die ADV-Vereinbarung die DSGVO?

Ja, die ADV-Vereinbarung von Zendesk enthält Bestimmungen, die die Kunden bei der Einhaltung der DSGVO unterstützen.

Was geschieht, wenn ein Kunde die ADV-Vereinbarung nicht unterzeichnet?

Zendesk empfiehlt, dass Sie sich mit Ihrem Rechtsbeistand beraten, um die möglichen Auswirkungen zu beurteilen, die Ihre Entscheidung, die ADV-Vereinbarung nicht zu unterzeichnen, auf Ihre spezifische Situation haben könnte.

Können Kunden ihre eigene ADV-Vereinbarung nutzen?

Nein, die ADV-Vereinbarung von Zendesk ist spezifisch für die Dienste, Datenschutzpraktiken und Zusicherungen von Zendesk gegenüber Regulierungsbehörden.

Was ist, wenn ich zusätzliche Fragen zur ADV-Vereinbarung habe?

Wenn Sie weitere Fragen haben, wenden Sie sich bitte an Ihren Zendesk-Kundenbetreuer oder eröffnen Sie alternativ einen Fall mit dem Kundenberatungsteam von Zendesk, indem Sie sich an Support@zendesk.com wenden.

Berücksichtigt die ADV-Vereinbarung den kalifornischen Consumer Privacy Act (CCPA)?

Nicht direkt, stattdessen bietet Zendesk einen separaten Nachtrag zu seinem Rahmen-Abonnementvertrag an, um die Bemühungen eines „Unternehmens“ um die Einhaltung des CCPA, wie dieser Begriff im CCPA definiert ist, zu unterstützen. Weitere Informationen finden Sie im Abschnitt über den CCPA auf dieser Webseite.

CCPA

Der kalifornische Consumer Privacy Act, Cal. Civ. Code §§ 1798.100 ff (CCPA) ist ein US-amerikanisches Gesetz, das im Bundesstaat Kalifornien mit Wirkung zum 1. Januar 2020 in Kraft getreten ist. Im Allgemeinen erweitert es die Datenschutzrechte, die bestimmten kalifornischen Verbrauchern zur Verfügung stehen, und verlangt von bestimmten Unternehmen die Einhaltung verschiedener Datenschutzanforderungen.

Berücksichtigt der Rahmen-Abonnementvertrag von Zendesk den CCPA?

Wenn Sie den CCPA-Nachtrag zum Rahmen-Abonnementvertrag von Zendesk einsehen und/oder ausfertigen möchten, klicken Sie bitte hier.

Informationen zu unseren Datenschutzpraktiken und den Funktionen, die wir unseren Kunden zur Verfügung stellen, um die Einhaltung der Bestimmungen zu unterstützen, finden Sie auf unseren Websites zum Datenschutz, in unserer Richtlinie zur Datenlöschung sowie in unseren Produktleitfäden.

Was ist der CCPA?

Der CCPA räumt kalifornischen Verbrauchern neue Rechte in Bezug auf die Erfassung ihrer personenbezogenen Informationen ein und verpflichtet Unternehmen zur Einhaltung bestimmter Verpflichtungen im Zusammenhang mit diesen Rechten, darunter:

Eine Verpflichtung für Unternehmen, Verbraucher über ihre Datenerhebungspraktiken zu informieren, einschließlich der Kategorien personenbezogener Informationen, die sie gesammelt haben, die Quelle der Informationen, die Verwendung der Informationen durch das Unternehmen und an wen das Unternehmen die Informationen, die es über den Verbraucher gesammelt hat, weitergegeben hat;
das Recht des Verbrauchers, eine Kopie der spezifischen personenbezogenen Informationen zu erhalten, die über ihn während der zwölf (12) Monate vor seiner Anfrage gesammelt wurden, und zwar in einem leicht verwendbaren Format;
das Recht des Verbrauchers, solche personenbezogenen Informationen löschen zu lassen (mit Ausnahmen);
das Recht des Verbrauchers, die Verkaufspraktiken des Unternehmens in Bezug auf seine Daten zu erfahren und zu verlangen, dass seine personenbezogenen Informationen nicht an Dritte verkauft werden;
ein Diskriminierungsverbot für Unternehmen bei der Ausübung eines Verbraucherrechts und
eine Verpflichtung für Unternehmen, Verbraucher über ihre Rechte zu informieren.

Wie hat sich Zendesk auf den CCPA vorbereitet und wie unterstützen die Produkte von Zendesk die Einhaltung des CCPA?

Zendesk hat seit der ersten Verabschiedung des CCPA in 2018 den CCPA befolgt und sich auf seine Einhaltung vorbereitet.In jüngster Zeit hat das California Office of the Attorney General darauf hingewiesen, dass es möglicherweise weitere für den CCPA vorgeschlagene Regelungen ändern wird. Im Hinblick auf solche potenziellen Änderungen verfolgt Zendesk das Gesetz aktiv, und wir werden unsere Kunden weiterhin über Merkmale und Funktionen auf dem Laufenden halten, die sie zur Unterstützung ihrer Compliance-Bemühungen nutzen können.Kunden können auch unsere Produktleitfäden für detailliertere Informationen über die Verwendung von Zendesk-Produkten zur Einhaltung von Datenschutzgesetzen sowie unsere Richtlinie zur Datenlöschung für Einzelheiten zur Löschung von Servicedaten einsehen.

Wie betrifft der CCPA die Kunden?

Zendesk-Kunden, die personenbezogene Informationen in den Zendesk-Diensten sammeln und speichern, können als „Unternehmen“ im Sinne des CCPA angesehen werden.Unternehmen tragen die primäre Verantwortung dafür, dass ihre Verarbeitung personenbezogener Daten den einschlägigen Datenschutzgesetzen, einschließlich des CCPA, entspricht.Zendesk agiert als „Dienstanbieter“, wie dieser Begriff in der aktuellen Version des CCPA in Bezug auf die Verarbeitung personenbezogener Informationen durch unsere Dienste definiert wird.Daher sammelt, greift darauf zu, pflegt, verwendet, verarbeitet und überträgt Zendesk die personenbezogenen Informationen unserer Kunden und der Endnutzer unserer Kunden, die über die Dienste verarbeitet werden, ausschließlich zu dem Zweck, unsere Verpflichtungen aus unseren bestehenden Verträgen mit unseren Kunden zu erfüllen, und zu keinem anderen kommerziellen Zweck als der Erfüllung dieser Verpflichtungen und der Verbesserung der von uns bereitgestellten Dienste.

Verkauft Zendesk personenbezogene Informationen?

Wir „verkaufen“ die personenbezogenen Informationen unserer Kunden nicht, wie dies derzeit im Rahmen des CCPA definiert ist, was bedeutet, dass wir diese personenbezogenen Informationen auch nicht an Dritte vermieten, offenlegen, freigeben, übertragen, zur Verfügung stellen oder anderweitig gegen eine finanzielle oder andere entgeltliche Gegenleistung an Dritte weitergeben. Wir können aggregierte und/oder anonymisierte Informationen über die Nutzung der Dienste - die nach dem CCPA nicht als personenbezogene Informationen gelten - an Dritte weitergeben, um uns bei der Entwicklung und Verbesserung der Dienste zu unterstützen und unseren Kunden relevantere Inhalte und Dienstangebote zu bieten, wie dies in unseren Kundenvereinbarungen im Einzelnen dargelegt ist.

Wie können Zendesk- Kunden die Einhaltung des CCPA sicherstellen?

Den Abonnenten wird empfohlen, ihren eigenen Rechtsbeistand zu konsultieren, um zu beurteilen, wie der CCPA speziell auf sie zutrifft und wie sie selbst die Einhaltung des CCPA erreichen können.

LGPD

Das brasilianische Allgemeine Datenschutzgesetz, oder Lei Geral de Proteção de Dados Pessoais, (LGPD) trat am 16. August 2020 in Kraft.Es ist das wichtigste Gesetz in Brasilien, das sich mit dem Schutz personenbezogener Daten befasst.

Berücksichtigt der Rahmen-Abonnementvertrag von Zendesk den LGPD?

Wenn Sie den LGPD-Nachtrag zum Rahmen-Abonnementvertrag von Zendesk einsehen und/oder ausfertigen möchten, klicken Sie bitte hier.

Darüber hinaus wurden der Rahmen-Abonnementvertrag (Master Subscription Agreement, MSA) von Zendesk, andere Datenschutz- und Produktdokumentationen sowie unsere internen Verfahren zur globalen Verwendung konzipiert, und wir aktualisieren sie bei Bedarf, um weiterhin unsere Dienste für Kunden in Lateinamerika und in der Karibik gemäß den rechtlichen Anforderungen bereitzustellen. Wir bitten Sie um Beachtung des Abschnitts mit dem Titel „Brasilien“ in den gebietsspezifischen Bedingungen von Zendesk, die Teil der MSA von Zendesk sind und verfügbar sind unter: https://www.zendesk.com/company/agreements-and-terms/region-specific-terms/.

Was ist der LGPD?

Der LGPD ist das wichtigste Gesetz in Brasilien, das sich mit dem Schutz personenbezogener Daten befasst und darauf abzielt, „die Grundrechte auf Freiheit und Datenschutz und die freie Entfaltung der Persönlichkeit der natürlichen Person zu schützen“. Als solche sind Verantwortliche und Auftragsverarbeiter (wie im LGPD definiert) verpflichtet, bei der Verarbeitung personenbezogener Daten bestimmte Prinzipien einzuhalten, darunter unter anderem Zweck, Notwendigkeit, Transparenz und Sicherheit.

Wie hat sich Zendesk auf den LGPD vorbereitet und wie unterstützen die Dienste von Zendesk die Einhaltung des LGPD?

Zendesk hat seit der ersten Verabschiedung des LGPD in 2018 den LGPD befolgt und sich auf seine Einhaltung vorbereitet.Zusätzlich kann die Nationale Datenschutzbehörde (ANPD) zusätzliche Empfehlungen für den LGPD herausgeben. Im Hinblick auf solche potenziellen Empfehlungen verfolgt Zendesk das Gesetz aktiv, und wir werden unsere Kunden weiterhin über Merkmale und Funktionen auf dem Laufenden halten, die sie zur Unterstützung ihrer Compliance-Bemühungen nutzen können.Kunden können auch unsere Produktleitfäden für detailliertere Informationen über die Verwendung von Zendesk- Diensten zur Einhaltung von Datenschutzgesetzen sowie unsere Richtlinie zur Datenlöschung für Einzelheiten zur Löschung von Dienst-Daten einsehen.

Wie betrifft der LGPD die Kunden?

Zendesk-Kunden, die personenbezogene Daten in den Zendesk-Diensten sammeln und speichern, können möglicherweise als „Datenverantwortlichen“ im Sinne des LGPD angesehen werden.Datenverantwortliche tragen die primäre Verantwortung dafür, dass ihre Verarbeitung personenbezogener Daten den einschlägigen Datenschutzgesetzen, einschließlich des LGPD, entspricht.Zendesk agiert als „Auftragsverarbeiter“, wie dieser Begriff in der aktuellen Version des LGPD in Bezug auf die Verarbeitung personenbezogener Daten durch unsere Dienste definiert wird.Folglich verarbeitet Zendesk die personenbezogenen Daten unserer Kunden und der Endbenutzer unserer Kunden auf Anweisung unserer Kunden.

Wie können Zendesk- Kunden die Einhaltung des LGPD sicherstellen?

Den Kunden wird empfohlen, ihren eigenen Rechtsbeistand zu konsultieren, um zu beurteilen, wie der LGPD speziell auf sie zutrifft und wie sie am besten selbst die Einhaltung des LGPD erreichen können.

Wenn Sie die folgenden Produkte von Zendesk anklicken, sehen Sie die Funktionen und Funktionalitäten des jeweiligen Produkts, die bei der Einhaltung von Datenschutzverpflichtungen hilfreich sein können.

Die Rahmenbedingungen für den Datenschutz in den verschiedenen Regionen unterscheiden sich möglicherweise in der Terminologie, die sie zur Beschreibung der Rollen und Pflichten der jeweiligen Parteien verwenden. Aus Gründen der Konsistenz verwendet Zendesk in diesen Richtlinien die folgenden Begriffe, die weltweit gelten.Um Zweifel auszuschließen: Diese Definitionen ersetzen keine Definitionen in Vereinbarungen, die Kunden oder Einzelpersonen mit Zendesk haben könnten.

Datenverantwortlicher ist die Partei, die die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten bestimmt;
Auftragsverarbeiter ist die Partei, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet;
betroffene Person ist die bestimmte oder bestimmbare natürliche Person, um deren personenbezogene Daten es geht und
personenbezogene Daten sind jegliche Informationen in Bezug auf eine betroffene Person.

Um mehr darüber zu erfahren, wie die Produkte von Zendesk mit den globalen Datenschutzrechten in Einklang stehen, klicken Sie bitte auf die nachfolgenden Symbole

Wenn Sie die folgenden Produkte von Zendesk anklicken, sehen Sie die Funktionen und Funktionalitäten des jeweiligen Produkts, die bei der Einhaltung der DSGVO hilfreich sein können.Wenn Sie ein Zendesk Suite-Kunde sind, entsprechen die in der folgenden Tabelle aufgeführten Produkte den folgenden Funktionen, die in Ihrem Serviceplan zur Verfügung gestellt werden können (wie in den Dienstspezifischen Bedingungen definiert, die Sie hier finden: https://support.zendesk.com/hc/en-us/articles/360047508453-Supplemental-terms-Zendesk-s-service-specific-terms).

Produkt	Zendesk Suite-Funktion
Support	Ticketing-System-Funktion
Guide	Hilfszentrum-Funktion
Chat	Live-Chat
Talk	VOICE-FUNKTIONALITÄT
Explore	Analysefunktion

Binding Corporate Rules

Was sind Binding Corporate Rules?

Binding Corporate Rules („BCR“) sind unternehmensweit gültige und von europäischen Datenschutzbehörden genehmigte Datenschutzrichtlinien zur Vereinfachung der Übertragung personenbezogener Daten innerhalb der Unternehmensgruppe aus dem Europäischen Wirtschaftsraum („EWR“) in Länder außerhalb des EWR. Die BCR beruhen auf strengen, von Datenschutzbehörden der Europäischen Union festgelegten Datenschutzgrundsätzen und erfordern intensive Rücksprache mit diesen Behörden. Kunden finden die vollständige Liste genehmigter Körperschaften hier in der Liste genehmigter Binding Corporate Rules.

Sind bei Zendesk genehmigte BCR in Kraft?

Ja, Zendesk hat für seine Binding Corporate Rules (BCR) das Genehmigungsverfahren der EU beim irischen Datenschutzbeauftragten („Data Protection Commissioner“ oder „DPC“) sowohl als Auftragsverarbeiter als auch als Datenverantwortlicher durchlaufen (durch die Dienststelle des britischen Informationsbeauftragten und die niederländische Datenschutzbehörde geprüft und bestätigt).Diese wichtige behördliche Genehmigung bestätigt, dass Zendesk die höchstmöglichen Standards für den weltweiten Schutz personenbezogener Daten sowohl für seine Kunden als auch für seine Mitarbeiter umsetzt.

Zendesk ist eines von weltweit nur wenigen Softwareunternehmen, deren BCR genehmigt wurden, und überhaupt erst das zweite Unternehmen, das jemals eine Genehmigung vom irischen DPC erhalten hat.

Um auf die Zendesk BCR zuzugreifen, verwenden Sie bitte die folgenden Links:

– Zendesk Binding Corporate Rules für Datenverarbeiter (diese gelten, wenn Zendesk personenbezogene Daten im Auftrag von Kunden bearbeitet); und

– Globale Zendesk Binding Corporate Rules für Datenverantwortliche (diese gelten, wenn Zendesk personenbezogene Daten in der Eigenschaft eines Datenverantwortlichen bearbeitet).

Aktualisiert Zendesk seine BCR?

Zendesk hat seine Binding Corporate Rules aktualisiert, um sie mit der DSGVO in Einklang zu bringen und den robusten Schutz der Privatsphäre, den wir unseren Kunden bieten, weiter zu verbessern.Zendesk hat die irische Datenschutzbehörde im Rahmen unserer jährlichen Aktualisierung über diese Aktualisierungen informiert.

Datenschutzschild

Was ist das Datenschutzschild?

Das US-amerikanische Handelsministerium („Department of Commerce“) hat gemeinsam mit der Europäischen Kommission und der Schweizer Regierung die Rahmenverträge für das EU-US-Datenschutzschild und das Schweiz-US-Datenschutzschild (Datenschutzschild) erstellt, um Unternehmen einen Mechanismus zur Übertragung personenbezogener Daten aus der Europäischen Union in die Vereinigten Staaten unter Aufrechterhaltung eines dem europäischen Datenschutzrechts angemessenen Sicherheitsniveaus anzubieten.

Hat Zendesk ein Zertifikat zur Einhaltung des Datenschutzschilds?

Zendesk hat beim US-Handelsministerium Zertifikate zur Einhaltung der Rahmenbedingungen des EU-US- und Schweiz-US-Datenschutzschildes eingereicht und wurde aufgrund dessen vom US-Handelsministerium zu seiner Liste der selbstzertifizierten Beteiligten des Datenschutzschildes hinzugefügt. Unsere Zertifizierungen bestätigen, dass wir die Grundsätze des Datenschutzschildes für die Übermittlung von persönlichen Daten aus Europa und der Schweiz in die Vereinigten Staaten beachten.

Wie wirkt sich die Außerkraftsetzung des Datenschutzschildes auf die Übertragung von Zendesk-Dienstdaten aus dem EWR in die USA aus?

Am 2020. Juli 16veröffentlichte der Gerichtshof der Europäischen Union (EuGH) ein Urteil, mit dem das EU-US-Datenschutzschild-Programm für ungültig erklärt wurde. Die Kunden von Zendesk können weiterhin die Dienste von Zendesk nutzen und Daten in Übereinstimmung mit den europäischen Gesetzen, wie z. B. der DSGVO, übertragen, da wir sowohl Binding Corporate Rules (verbindliche Unternehmensregeln) als auch Modellklauseln (die in unsere Datenverarbeitungsvereinbarung übernommen wurden) haben.

Wir verstehen, dass Sie möglicherweise Fragen zur Außerkraftsetzung des Privacy Shield und der Position von Zendesk in Bezug darauf haben. Daher haben wir diesen Blogbeitrag veröffentlicht, um Sie bei Ihren Fragen zu unterstützen.

Wenn Sie auf die Datenverarbeitungsvereinbarung von Zendesk zur Überprüfung oder Unterzeichnung zugreifen möchten, können Sie in Ihrer Kunden-Administrationskonsole darauf zugreifen oder hier klicken.

Zendesk-Transparenzbericht

Stand 22. Februar 2021.

ÜBER UNSEREN TRANSPARENZBERICHT

Zendesk erhält wie die meisten Technologieunternehmen gelegentlich Anfragen von Vollstreckungsbehörden in den USA und anderswo, die nach personenbezogenen Daten fragen, die von Zendesk im Auftrag eines Kunden verarbeitet wurden. Solche Anfragen können in Form einer Zwangsmaßnahme, einer Gerichtsanordnung, eines Durchsuchungsbefehls, eines National Security Letter (Anordnung zur nationalen Sicherheit) und einer Anordnung erfolgen, die im Rahmen des US-Gesetzes zur Spionageabwehr „Foreign Intelligence Surveillance Act“ erfolgen. Zendesk muss alle berechtigten behördlichen Anfragen nach personenbezogenen Daten erfüllen.

Gleichzeitig ist es Zendesk ein großes Anliegen, das Vertrauen der Kunden zu erhalten.Eine Möglichkeit, dieses Vertrauen zu erhalten, besteht darin, Zendesk-Kunden und die Öffentlichkeit über zulässige behördliche Anfragen zu informieren. Zu diesem Zweck haben wir diesen Transparenzbericht erstellt.

Wenn Zendesk eine Anfrage nach personenbezogenen Daten erhält, für die ein Kunde der Verantwortliche ist, bitten wir die Vollstreckungsbehörden darum, die Anfrage möglichst direkt an den Kunden zu richten. Wenn dies nicht möglich ist, prüfen wir die Datenanforderung sorgfältig, arbeiten daran, die Anforderung einzugrenzen, konsultieren gegebenenfalls einen externen Rechtsbeistand, benachrichtigen die Kunden, wenn dies nicht verboten ist, und stellen die angeforderten Daten nur im erforderlichen Umfang bereit.

Dieser Transparenzbericht enthält Informationen zu Anfragen von Vollstreckungsbehörden nach personenbezogenen Daten, die Zendesk vom 1. Januar 2021 bis zum Datum dieses Berichts verarbeitet hat.

BERICHT

Anfragen von Strafverfolgungsbehörden der Vereinigten Staaten

Art der Anfrage	Anzahl der Anfragen	Offengelegte Inhaltsdaten	Offengelegte Nicht-Inhaltsdaten
Zwangsvorladung	1	0	1
Gerichtsbeschluss	1	0	1
Durchsuchungsbefehl	0	–	–
National Security Letters oder FISA-Anordnungen	0	–	–

Anfragen von nicht-US-amerikanischen Strafverfolgungsbehörden

Obwohl Zendesk seinen Sitz in den USA hat, verfügen wir über Unternehmensvertretungen in mehreren anderen Ländern. Wenn wir Anfragen von Behörden außerhalb der USA erhalten, arbeiten wir mit Rechtsanwälten innerhalb und außerhalb der USA zusammen, um die Berechtigung der Anfrage sowie unsere Fähigkeit zur Beantwortung im Rahmen der US-Gesetze und anderer geltender Gesetze zu bestimmen.

Art der Anfrage	Anzahl der Anfragen	Anzahl der Bereitstellung von Daten
Informelle Anfragen	5	0
Anfragen von Drittstaaten gemäß einem MLAT	0	–

DEFINITIONEN

Inhaltsdaten: Umfasst den Inhalt der Kommunikation von Endbenutzern mit einem Konto, z. B. den Inhalt von Zendesk Support-Tickets und Zendesk Chats.Inhaltsdaten werden im Allgemeinen als Dienst-Daten gemäß der Definition im Zendesk-Rahmen-Abonnementvertrag betrachtet.
Nicht-Inhaltsdaten: Allen Daten, die keine Inhaltsdaten sind.Dazu können Kontoinformationen gehören, wie sie in der Datenschutzrichtlinie von Zendesk definiert sind (z. B. Name und Kontaktinformationen des Kontoinhabers, Rechnungsdaten des Kontos, Dauer des Dienstes, Art der in Anspruch genommenen Dienste und Anmeldedaten für das Konto). Wenn Zendesk eine gerichtliche Verfügung erhält, können Nicht-Inhaltsdaten auch Nicht-Inhalts-Metadaten enthalten, die sich auf die Kommunikation von Endbenutzern mit einem Konto beziehen, also Dienst-Daten sind.
Zwangsvorladung: Eine zwingende Aufforderung einer staatlichen Stelle zur Vorlage von Dokumenten in einem Strafverfahren (z. B. Grand Jury Subpoenas).
Gerichtsbeschluss: Eine Anordnung, die von einer Richterin bzw. einem Richter erlassen wird, wenn sie oder er feststellt, dass es vernünftige Gründe für die Annahme gibt, dass die gesuchten Informationen für eine laufende strafrechtliche Untersuchung relevant und wesentlich sind.
Durchsuchungsbefehl: Eine richterliche Anordnung, die nach Feststellung eines wahrscheinlichen Grundes durch die Strafverfolgungsbehörden ausgestellt wird. Um Inhaltsdaten zu erhalten, ist ein Durchsuchungsbefehl erforderlich.
MLAT: Steht für Rechtshilfeabkommen, engl. „Mutual Legal Assistance Treaty“.Zendesk verlangt von Regierungsstellen im Ausland, dass sie geeignete Verfahren nach internationalem Recht anwenden, z. B. über ein MLAT, um Kundendaten zu erhalten.
National Security Letters: Ein Brief ‚zur nationalen Sicherheit‘, der gemäß 18 U.S.C. § 2709 ausgestellt wurde.
FISA-Anordnungen: Eine nach dem Foreign Intelligence Surveillance Act erteilte Anordnung oder Anfrage nach Benutzerinformationen, die in den USA erfolgte.

Weitere Informationen

Weitere Informationen über die Vorgehensweise von Zendesk bei der Beantwortung von Anfragen nach personenbezogenen Daten durch Vollstreckungsbehörden finden Sie hier.

Weitere Ressourcen

Unsere Berichte/Zertifikate:

SOC-2Typ-II-Bericht
SOC-3-Bericht
ISO 27001:2013 Zertifizierung
ISO 27018:2014 Zertifizierung
Liste genehmigter Binding Corporate Rules
Genehmigungsliste unter dem Datenschutzschild
TrustArc-Datenschutzsiegel

Zendesk-Ressourcen:

Externe Ressourcen:

Webseite des US-amerikanischen Handelsministeriums zum Datenschutzschild: https://www.privacyshield.gov/welcome.
Richtlinie 95/46/EG: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=LEGISSUM:l14012.
Datenschutz-Grundverordnung (DSGVO): http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679.
International Association of Privacy Professionals: https://iapp.org.
„Vorbereitung auf die DSGVO“ („Preparing for the GDPR“) von der Behörde des britischen Informationsbeauftragten: https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf.

Letzte Aktualisierung 1. Juni 2021.