Bitte beachten Sie, dass dieser FAQ-Leitfaden (a) nur zu Informationszwecken zur Verfügung gestellt wird und keine Rechtsberatung darstellt, (b) die aktuellen Angebote und Praktiken von Zendesk widerspiegelt, die sich jederzeit ändern können, und (c) keine Verpflichtungen oder Zusicherungen von Zendesk und seinen verbundenen Unternehmen oder Unterauftragnehmern begründet. Die Verantwortlichkeiten und Haftungen von Zendesk gegenüber seinen Abonnenten werden durch den Rahmen-Abonnementvertrag und die Datenverarbeitungsvereinbarung von Zendesk geregelt. Dieses Dokument ist weder Teil einer Vereinbarung zwischen uns, noch ändert es diese. Begriffe, die in diesem Dokument verwendet, aber nicht definiert werden, haben die im Rahmen-Abonnementvertrag und in der Datenverarbeitungsvereinbarung festgelegte Bedeutung.

Uns ist bewusst, dass internationale Datenübermittlungen angesichts des Schrems II-Urteils und der neuen Standarddatenschutzklauseln (Standard Contractual Clauses, SCC) ein komplexes Thema sind. Wir hoffen, dass diese FAQ Ihre wichtigsten Fragen zu den Empfehlungen des Europäischen Datenschutzausschusses (EDSA) beantworten, soweit sie sich auf Ihre Nutzung von Zendesk-Diensten beziehen. Falls Sie weitere Fragen haben, wenden Sie sich per E-Mail an euprivacy@zendesk.com.

1. Was sagt die Datenschutz-Grundverordnung (DSGVO) zu internationalen Datenübermittlungen?

Personenbezogene Daten, die unter die DSGVO fallen, können nur dann in Länder außerhalb des EWR übermittelt werden, wenn ein genehmigter Mechanismus vorhanden ist, der sicherstellt, dass das Datenschutzniveau der DSGVO nicht untergraben wird.

Organisationen müssen daher zunächst alle Übermittlungen personenbezogener Daten in Nicht-EWR-Länder kennen und abbilden (Schritt 1 der EDSA-Empfehlungen). Zendesk und seine Unterauftragsverarbeiter verarbeiten personenbezogene Daten von Abonnenten in den folgenden Nicht-EWR-Ländern: Australien, Brasilien, Costa Rica, Japan, Kanada, Philippinen, Singapur, USA und Vereinigtes Königreich.

2. Welche internationalen Übermittlungsmechanismen verwendet Zendesk?

Organisationen sollten als Nächstes den Übermittlungsmechanismus identifizieren, den sie bei jeder Übermittlung verwenden (Schritt 2 der EDSA-Empfehlungen). Einige Länder außerhalb des EWR (z. B. das Vereinigte Königreich) profitieren von einer Entscheidung der EU-Datenschutzbehörde. Wir setzen nach Möglichkeit diesen Mechanismus ein.

Wir verwenden die SCC als Mechanismus für die internationale Übermittlung personenbezogener Daten zwischen Zendesk-Abonnenten und Zendesk-Unterauftragsverarbeitern in Nicht-EWR-Ländern bzw. Ländern ohne angemessenes Datenschutzniveau. Diese bieten vertragliche Garantien dafür, dass die personenbezogenen Daten außerhalb des EWR auf einem der DSGVO entsprechendem Niveau geschützt werden.

Wir nutzen die verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules, BCR) – siehe hier und hier – für internationale Übermittlungen zwischen verschiedenen Zendesk-Einheiten. BCR sind von einer Aufsichtsbehörde genehmigte Richtlinien, die Datenschutzangelegenheiten innerhalb einer Unternehmensgruppe regeln, einschließlich internationale Übermittlung zwischen diesen Unternehmen.

3. Wie wirkt sich der Fall Schrems II auf die Verwendung von SCC und BCR aus?

Datenexporteure müssen sicherstellen, dass importierende Länder für die jeweiligen Daten einen im Wesentlichen gleichwertigen Schutz wie die EU bieten, insbesondere im Hinblick auf behördliche Überwachung (Schritt 3 der EDSA-Empfehlungen). Wenn ein im Wesentlichen gleichwertiges Schutzniveau nicht gewährleistet ist, muss der Datenexporteur „zusätzliche Maßnahmen“ ergreifen, um das Datenschutzniveau wieder auf ein im Wesentlichen gleichwertiges Niveau zu bringen (Schritt 4 der EDSA-Empfehlungen).

Es muss darauf hingewiesen werden, dass das Schrems II-Urteil keine Datenlokalisierung oder auf die EU beschränkten Support verlangt. Für manche Unternehmen mag dies ein Vorzug oder eine zusätzliche technische Maßnahme sein, aber es ist keine ausdrückliche gesetzliche Vorschrift.

4. Welche Beziehung haben die neuen SCC zu Schrems II?

Die neuen SCC wurden eingeführt, weil die bisherigen Versionen veraltet waren. Die Entscheidung in der Rechtssache Schrems II gab jedoch einen weiteren Anstoß zu ihrer Entwicklung. Die neuen SCC kodifizieren die Schrems II-Anforderung, eine Einzelfallbewertung (Transfer Impact Assessment, TIA) vorzunehmen. Außerdem verlangen sie von Datenimporteuren, spezifische Datenschutzschritte zu ergreifen, falls sie ein behördliches Zugriffsersuchen erhalten. Die neuen SCC sind bereits Teil der neuesten DPA von Zendesk. 

5. Was ist eine TIA und wie wird sie durchgeführt?

Eine TIA ist eine Methode zur Bewertung, ob im importierenden Land ein im Wesentlichen gleichwertiges Schutzniveau für die zu übermittelnden Daten gewährleistet wird (Schritt 3 und 4 der EDSA-Empfehlungen), einschließlich der Frage, ob die behördlichen Überwachungsgesetze im jeweiligen Land die wesentlichen Garantien der EU für Überwachungsmaßnahmen erfüllen, alle relevanten praktischen Beweise für behördliche Überwachung (z. B. behördliche Zugriffsersuchen, die der Importeur bereits erhalten hat) und, falls erforderlich, zusätzliche Maßnahmen, die dazu beitragen können, ein Niveau der wesentlichen Gleichwertigkeit zu erreichen.

Wir haben einen Leitfaden erstellt, der Sie bei TIAs für die Nutzung von Zendesk-Diensten unterstützt. Dieser Leitfaden enthält Einzelheiten zu den behördlichen Überwachungsgesetzen in jedem Land, in dem Zendesk oder seine Unterauftragsverarbeiter Abonnentendaten importieren dürfen. Wenden Sie sich an Ihren Zendesk Account Executive, wenn Sie an diesem Leitfaden interessiert sind.

6. Welchen Ansatz verfolgt Zendesk in Bezug auf behördliche Zugriffsersuchen? Hat Zendesk in der Vergangenheit solche Ersuchen erhalten?

Im Einklang mit den obigen Ausführungen sollte durch eine TIA geprüft werden, wie der Datenimporteur auf behördliche Zugriffsersuchen reagiert, ob er bereits solche Ersuchen erhalten hat und ob er tatsächlich Informationen über solche Ersuchen bereitstellen darf.

Zendesk befolgt unsere Richtlinie zu behördlichen Datenanforderungen sowie die Schritte in Artikel 15 der neuen SCC, wenn wir ein behördliches Zugriffsersuchen erhalten. Dazu gehört, dass die Behörde aufgefordert wird, sich zunächst mit dem Datenverantwortlichen in Verbindung zu setzen und andernfalls eine sorgfältige rechtliche Prüfung der Gültigkeit des Ersuchens vorzunehmen. Wie viele andere Technologieunternehmen erhält auch Zendesk gelegentlich Anfragen von Strafverfolgungsbehörden in den Vereinigten Staaten und anderswo, in deren Rahmen von Zendesk im Namen eines Abonnenten gespeicherte Daten angefordert werden. Weitere Informationen über derartige Ersuchen, die Zendesk erhalten hat, finden Sie in unserem Transparenzbericht.

7. Welchen Ansatz verfolgt Zendesk angesichts von Schrems II in Bezug auf FISA 703 (Foreign Intelligence Surveillance Act, Gesetz zur Überwachung in der Auslandsaufklärung)?

FISA 702 erlaubt bestimmte Arten der Auslandsaufklärung für Zwecke der nationalen Sicherheit. Ein unabhängiges Bundesgericht (Foreign Intelligence Surveillance Court) überwacht die Datenerfassung, um sicherzustellen, dass sie im Einklang mit dem FISA-Gesetz und der US-Verfassung, speziell dem Vierten Verfassungszusatz zum Schutz vor unangemessener Durchsuchung und Beschlagnahmung, durchgeführt wird.

Zendesk ist ein US-amerikanisches Unternehmen, das im Bundesstaat Delaware eingetragen ist und dem Recht der Vereinigten Staaten unterliegt. Zendesk ist ein Remote Computing Service (RCS) im Sinne des Electronic Communications Privacy Act (ECPA), Abschnitt 2711, Titel 18 U.S.C., wenn es Dienste für Abonnenten bereitstellt. Der ECPA erlaubt es Strafverfolgungsbehörden nicht, auf die bei einem RCS-Anbieter gespeicherten Daten zuzugreifen, es sei denn, sie haben einen Haftbefehl, eine Vorladung oder einen Gerichtsbeschluss erhalten. Anbieter von Remote-Computing-Diensten können auch unter Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA 702) fallen, wenn sie elektronische Kommunikation speichern.

Im Rahmen Ihrer TIA können Sie je nach Umständen erstens zu dem Schluss kommen, dass es keinen Grund zu der Annahme gibt, dass FISA 702 in der Praxis auf die Daten angewendet wird, für die Sie Zendesk als Auftragsverarbeiter nutzen, besonders aufgrund der Art der Daten, die Zendesk in Ihrem Auftrag verarbeitet. In diesem Zusammenhang hat die US-Regierung nach dem Schrems II-Urteil versichert, dass „die meisten US-Unternehmen nicht mit Daten handeln, die für die US-Geheimdienste von Interesse sind, und es keinen Grund zu der Annahme gibt, dass sie dies tun. Sie sind nicht an Datenübermittlungen beteiligt, die die Art von Risiken für die Privatsphäre bergen, mit der der Europäische Gerichtshof in der Rechtssache Schrems II befasst war.“

Zweitens geht aus dem Transparenzbericht von Zendesk hervor, dass Ersuchen solcher Art extrem selten sind. Daraus können Sie auch schließen, dass es keinen Grund zu der Annahme gibt, dass FISA 702 in der Praxis auf die Daten angewendet wird, für die Sie Zendesk als Auftragsverarbeiter nutzen.

Drittens haben Sie als Datenverantwortlicher das Recht, die Protokolle zu Ihren Daten zu überprüfen, um festzustellen, ob ein unbefugter Zugriff stattgefunden hat (wobei Mitarbeiter von Zendesk unter normalen Umständen nur mit Ihrer Zustimmung auf Ihre Daten zugreifen dürfen). Dank dieser zusätzlichen Maßnahme können Sie also sicher sein, dass ein mögliches Problem der wesentlichen Gleichwertigkeit behoben ist.

8. Welchen Ansatz verfolgt Zendesk angesichts von Schrems II in Bezug auf die Executive Order 12333?

Die Executive Order 12333 autorisiert die US-Regierung nicht, von Unternehmen zu verlangen, sie bei der Auslandsaufklärung zu unterstützen, und Zendesk wird dies auch nicht freiwillig tun. Zendesk hat keine Beschlüsse bezüglich Massendaten erhalten. Jegliche Risiken aus der Executive Order 12333 dürften beseitigt werden, wenn der Datenimporteur bei der Datenübermittlung eine ausreichend starke Verschlüsselung verwendet. Dies liegt daran, dass die Executive Order 12333 offensichtlich das Abfangen von Daten vorsieht, bevor sie die Server von Unternehmen in den USA erreichen. Wenn die Verschlüsselung stark genug ist, bleiben alle abgefangenen Daten unlesbar.

Zendesk bietet in dieser Hinsicht eine angemessene Verschlüsselung, da die gesamte Kommunikation mit der Zendesk-Benutzeroberfläche und den APIs per Industriestandard HTTPS/TLS (TLS 1.2 oder höher) über öffentliche Netzwerke verschlüsselt wird. Die Dienstdaten werden bei der Speicherung in AWS mit einem AES-256-Schlüssel verschlüsselt. Darüber hinaus hat Zendesk keine Hintertüren eingebaut, die es Behörden ermöglichen, die Sicherheitsmaßnahmen von Zendesk zu umgehen, um Zugriff auf Dienstdaten zu erhalten. Dies bedeutet demnach, dass Zendesk zusätzliche Maßnahmen ergriffen hat, die das durch die Executive Order 12333 entstandene Risiko der wesentlichen Gleichwertigkeit adäquat abdecken.

9. Wie können Sie sicherstellen, dass Ihre Daten gemäß den Überwachungsgesetzen anderer Länder, in denen sie von Zendesk verarbeitet werden, angemessen geschützt werden?

Wie oben erwähnt, bietet Zendesk in seinem TIA-Leitfaden einen Überblick über alle relevanten lokalen Gesetze. Möglicherweise kommen Sie zum Schluss, dass die Gesetze einiger dieser Länder ein im Wesentlichen gleichwertiges Schutzniveau für Ihre Daten bieten wie die in der EU. Für diese Länder wären diesem Fall keine weiteren Maßnahmen erforderlich.

Wenn Sie zum Schluss kommen, dass die Gesetze eines dieser Länder keinen im Wesentlichen gleichwertigen Schutz für Ihre Daten bieten, können Sie je nach Umständen (z. B. Art der Daten) entscheiden, dass es immer noch keinen Grund für die Annahme gibt, dass die Gesetze tatsächlich Anwendung auf Ihre Daten finden. Sie können auch zum Schluss kommen, dass die zusätzlichen Maßnahmen, die Zendesk ergriffen hat (z. B. unsere Richtlinien für behördliche Zugriffsersuchen und verbesserte Sicherheitsmaßnahmen), bedeuten, dass alle wesentlichen Gleichwertigkeitsprobleme angemessen angesprochen werden.

10. Welche weiteren Schritte unternimmt Zendesk auf Schrems II hin?

Wir wissen, dass einige unserer Abonnenten an Lösungen interessiert sind, die ein noch höheres Maß an Konformität in einer sich ständig weiterentwickelnden Datenschutzlandschaft bieten. Deshalb haben wir uns verpflichtet, sowohl eine „Bring Your Own Key“-Lösung (BYOK) als auch weitergehende Angebote zur Datenlokalisierung zu entwickeln.

Wir konzentrieren uns nicht nur auf die BYOK-Verschlüsselung, sondern investieren auch in die Entwicklung weiterer Datenschutz- und Compliance-Funktionen, die die Implementierung von Richtlinien zur Datenaufbewahrung, höhere Transparenz von Agentenzugriffen, granulare Berechtigungen und zusätzliche Werkzeuge zur Unterstützung der Datenminimierung innerhalb Ihrer Zendesk-Instanz ermöglichen.

Wir arbeiten intensiv an diesen Projekten und werden Sie zu gegebener Zeit darüber informieren. Wenn Sie diesbezügliche Fragen haben oder mehr Informationen über unsere Einhaltung von Schrems II oder über allgemeine Datenschutzthemen wünschen, wenden Sie sich an Ihren Zendesk Account Executive oder senden Sie eine E-Mail an euprivacy@zendesk.com.