Bitte beachten Sie, dass dieser FAQ-Leitfaden (a) nur zu Informationszwecken zur Verfügung gestellt wird und keine Rechtsberatung darstellt, (b) die aktuellen Angebote und Praktiken von Zendesk widerspiegelt, die sich jederzeit ändern können, und (c) keine Verpflichtungen oder Zusicherungen von Zendesk und seinen verbundenen Unternehmen oder Unterauftragnehmern begründet. Die Verantwortlichkeiten und Haftungen von Zendesk gegenüber seinen Abonnenten werden durch den Hauptdienstleistungsvertrag und die Datenverarbeitungsvereinbarung von Zendesk geregelt. Dieses Dokument ist weder Teil einer Vereinbarung zwischen uns, noch ändert es diese. Begriffe, die in diesem Dokument verwendet, aber nicht definiert werden, haben die im Rahmen-Abonnementvertrag und in der Datenverarbeitungsvereinbarung festgelegte Bedeutung.

Uns ist bewusst, dass internationale Datenübermittlungen angesichts des Schrems II-Urteils und der neuen Standarddatenschutzklauseln (Standard Contractual Clauses, SCC) ein komplexes Thema sind. Wir hoffen, dass diese FAQ Ihre wichtigsten Fragen zu den Empfehlungen des Europäischen Datenschutzausschusses (EDSA) beantworten, soweit sie sich auf Ihre Nutzung von Zendesk-Diensten beziehen. Falls Sie weitere Fragen haben, wenden Sie sich per E-Mail an euprivacy@zendesk.com.

1. Was sagt die Datenschutz-Grundverordnung (DSGVO) zu internationalen Datenübermittlungen?

Personenbezogene Daten, die unter die DSGVO fallen, können nur dann in Länder außerhalb des EWR übermittelt werden, wenn ein genehmigter Mechanismus vorhanden ist, der sicherstellt, dass das Datenschutzniveau der DSGVO nicht untergraben wird.

Organisationen müssen daher zunächst alle Übermittlungen personenbezogener Daten in Nicht-EWR-Länder kennen und abbilden (Schritt 1 der EDSA-Empfehlungen).

2. Welche internationalen Übermittlungsmechanismen verwendet Zendesk?

Organisationen sollten als Nächstes den Übermittlungsmechanismus identifizieren, den sie bei jeder Übermittlung verwenden (Schritt 2 der EDSA-Empfehlungen). Einige Länder außerhalb des EWR (z. B. das Vereinigte Königreich) profitieren von einer Entscheidung der EU-Datenschutzbehörde. Wir setzen nach Möglichkeit diesen Mechanismus ein.

Wir verwenden die SCC als Mechanismus für die internationale Übermittlung personenbezogener Daten zwischen Zendesk-Abonnenten und Zendesk-Unterauftragsverarbeitern in Nicht-EWR-Ländern bzw. Ländern ohne angemessenes Datenschutzniveau. Diese bieten vertragliche Garantien dafür, dass die personenbezogenen Daten außerhalb des EWR auf einem der DSGVO entsprechendem Niveau geschützt werden.

Wir wenden die verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules, „BCR“), die auch den Schutz durch Schrems II umfassen – weitere Informationen hier und hier –, auf internationale Überweisungen zwischen verschiedenen Zendesk-Einheiten an. BCR sind von einer Aufsichtsbehörde genehmigte Richtlinien, die Datenschutzangelegenheiten innerhalb einer Unternehmensgruppe regeln, einschließlich internationale Übermittlung zwischen diesen Unternehmen.

3. Wie wirkt sich der Fall Schrems II auf die Anwendung von SCC und BCR aus?

Datenexporteure müssen sicherstellen, dass importierende Länder für die jeweiligen Daten einen im Wesentlichen gleichwertigen Schutz wie die EU bieten, insbesondere im Hinblick auf behördliche Überwachung (Schritt 3 der EDSA-Empfehlungen). Wenn ein im Wesentlichen gleichwertiges Schutzniveau nicht gewährleistet ist, muss der Datenexporteur „zusätzliche Maßnahmen“ ergreifen, um das Datenschutzniveau wieder auf ein im Wesentlichen gleichwertiges Niveau zu bringen (Schritt 4 der EDSA-Empfehlungen).

Es muss darauf hingewiesen werden, dass das Schrems II-Urteil keine Datenlokalisierung oder auf die EU beschränkten Support verlangt. Für manche Unternehmen mag dies ein Vorzug oder eine zusätzliche technische Maßnahme sein, aber es ist keine ausdrückliche gesetzliche Vorschrift.

4. In welcher Beziehung stehen die neuen SCC und Schrems II?

Die neuen SCC wurden eingeführt, weil die bisherigen Versionen veraltet waren. Die Entscheidung in der Rechtssache Schrems II gab jedoch einen weiteren Anstoß zu ihrer Entwicklung. Die neuen SCC kodifizieren die Schrems II-Anforderung, eine Einzelfallbewertung (Transfer Impact Assessment, TIA) vorzunehmen. Außerdem verlangen sie von Datenimporteuren, spezifische Datenschutzschritte zu ergreifen, falls sie ein behördliches Zugriffsersuchen erhalten. Die neuen SCC sind bereits Teil der neuesten DPA von Zendesk. 

5. Was ist eine TIA und wie wird sie durchgeführt?

Eine TIA ist eine Methode zur Bewertung, ob im importierenden Land ein im Wesentlichen gleichwertiges Schutzniveau für die zu übermittelnden Daten gewährleistet wird (Schritt 3 und 4 der EDSA-Empfehlungen), einschließlich der Frage, ob die behördlichen Überwachungsgesetze im jeweiligen Land die wesentlichen Garantien der EU für Überwachungsmaßnahmen erfüllen, alle relevanten praktischen Beweise für behördliche Überwachung (z. B. behördliche Zugriffsersuchen, die der Importeur bereits erhalten hat) und, falls erforderlich, zusätzliche Maßnahmen, die dazu beitragen können, ein Niveau der wesentlichen Gleichwertigkeit zu erreichen.

Wir haben einen Leitfaden erstellt, der Sie bei TIAs für die Nutzung von Zendesk-Diensten unterstützt. Dieser Leitfaden enthält Einzelheiten zu den behördlichen Überwachungsgesetzen in jedem Land, in dem Zendesk oder seine Unterauftragsverarbeiter Abonnentendaten importieren dürfen. Wenden Sie sich an Ihren Zendesk Account Executive, wenn Sie an diesem Leitfaden interessiert sind.

6. Welchen Ansatz verfolgt Zendesk in Bezug auf behördliche Zugriffsersuchen? Hat Zendesk in der Vergangenheit solche Ersuchen erhalten?

Im Einklang mit den obigen Ausführungen sollte durch eine TIA geprüft werden, wie der Datenimporteur auf behördliche Zugriffsersuchen reagiert, ob er bereits solche Ersuchen erhalten hat und ob er tatsächlich Informationen über solche Ersuchen bereitstellen darf.

Zendesk befolgt die Richtlinie zu behördlichen Datenanfragen und die Schritte in Art. 15 der neuen SCC, wenn wir ein behördliches Zugriffsersuchen erhalten. Dazu gehört, dass die Behörde aufgefordert wird, sich zunächst mit dem Datenverantwortlichen in Verbindung zu setzen und andernfalls eine sorgfältige rechtliche Prüfung der Gültigkeit des Ersuchens vorzunehmen. Wie viele andere Technologieunternehmen erhält auch Zendesk gelegentlich Anfragen von Strafverfolgungsbehörden in den Vereinigten Staaten und anderswo, in deren Rahmen von Zendesk im Namen eines Abonnenten gespeicherte Daten angefordert werden. Weitere Informationen über derartige Ersuchen, die Zendesk erhalten hat, finden Sie in unserem Transparenzbericht.

7. Welchen Ansatz verfolgt Zendesk in Bezug auf FISA 702 im Hinblick auf Schrems II?

FISA 702 erlaubt bestimmte Arten der Auslandsaufklärung für Zwecke der nationalen Sicherheit. Ein unabhängiges Bundesgericht (Foreign Intelligence Surveillance Court) überwacht die Sammlung von Informationen, um sicherzustellen, dass sie im Einklang mit dem FISA-Gesetz und der US-Verfassung, speziell dem vierten Verfassungszusatz zum Schutz vor unangemessener Durchsuchung und Beschlagnahmung, durchgeführt wird.

Zendesk ist ein US-amerikanisches Unternehmen, das im Bundesstaat Delaware eingetragen ist und dem Recht der Vereinigten Staaten unterliegt. Zendesk ist ein Remote Computing Service (RCS) im Sinne des Electronic Communications Privacy Act (ECPA), Abschnitt 2711, Titel 18 U.S.C., wenn es Dienste für Abonnenten bereitstellt. Der ECPA erlaubt es Strafverfolgungsbehörden nicht, auf die bei einem RCS-Anbieter gespeicherten Daten zuzugreifen, es sei denn, sie haben einen Haftbefehl, eine Vorladung oder einen Gerichtsbeschluss erhalten. Anbieter von Remote-Computing-Diensten können auch unter Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA 702) fallen, wenn sie elektronische Kommunikation speichern.

Im Rahmen Ihrer TIA können Sie je nach Umständen erstens zu dem Schluss kommen, dass es keinen Grund zu der Annahme gibt, dass FISA 702 in der Praxis auf die Daten angewendet wird, für die Sie Zendesk als Auftragsverarbeiter nutzen, besonders aufgrund der Art der Daten, die Zendesk in Ihrem Auftrag verarbeitet. In diesem Zusammenhang hat die US-Regierung nach dem Schrems II-Urteil versichert, dass „die meisten US-Unternehmen nicht mit Daten handeln, die für die US-Geheimdienste von Interesse sind, und es keinen Grund zu der Annahme gibt, dass sie dies tun. Sie sind nicht an Datenübermittlungen beteiligt, die die Art von Risiken für die Privatsphäre bergen, mit der der Europäische Gerichtshof in der Rechtssache Schrems II befasst war.“

Zweitens geht aus dem Transparenzbericht von Zendesk hervor, dass Ersuchen solcher Art extrem selten sind. Daraus können Sie auch schließen, dass es keinen Grund zu der Annahme gibt, dass FISA 702 in der Praxis auf die Daten angewendet wird, für die Sie Zendesk als Auftragsverarbeiter nutzen.

Drittens haben Sie als Datenverantwortlicher das Recht, die Protokolle zu Ihren Daten zu überprüfen, um festzustellen, ob ein unbefugter Zugriff stattgefunden hat (wobei Mitarbeiter von Zendesk unter normalen Umständen nur mit Ihrer Zustimmung auf Ihre Daten zugreifen dürfen). Dank dieser zusätzlichen Maßnahme können Sie also sicher sein, dass ein mögliches Problem der wesentlichen Gleichwertigkeit behoben ist.

8. Welchen Ansatz verfolgt Zendesk in Bezug auf EO 12333 im Hinblick auf Schrems II?

Der Präsidialerlass Executive Order (EO) 12333 befugt die US-Regierung nicht dazu, Unternehmen zur Unterstützung bei der Erfassung ausländischer Geheimdienstinformationen zu verpflichten, und Zendesk wird dies auch nicht freiwillig tun. Zendesk hat keine Beschlüsse bezüglich Massendaten erhalten. Jegliche Risiken aus der Executive Order 12333 dürften beseitigt werden, wenn der Datenimporteur bei der Datenübermittlung eine ausreichend starke Verschlüsselung verwendet. Dies liegt daran, dass die Executive Order 12333 offensichtlich das Abfangen von Daten vorsieht, bevor sie die Server von Unternehmen in den USA erreichen. Wenn die Verschlüsselung stark genug ist, bleiben alle abgefangenen Daten unlesbar.

Zendesk bietet in dieser Hinsicht eine angemessene Verschlüsselung, da die gesamte Kommunikation mit der Zendesk-Benutzeroberfläche und den APIs per Industriestandard HTTPS/TLS (TLS 1.2 oder höher) über öffentliche Netzwerke verschlüsselt wird. Die Dienstdaten werden bei der Speicherung in AWS mit einem AES-256-Schlüssel verschlüsselt. Darüber hinaus hat Zendesk keine Hintertüren eingebaut, die es Behörden ermöglichen, die Sicherheitsmaßnahmen von Zendesk zu umgehen, um Zugriff auf Dienstdaten zu erhalten. Dies bedeutet demnach, dass Zendesk zusätzliche Maßnahmen ergriffen hat, die das durch die Executive Order 12333 entstandene Risiko der wesentlichen Gleichwertigkeit adäquat abdecken.

9. Wie können Sie sicherstellen, dass Ihre Daten gemäß den Überwachungsgesetzen anderer Länder, in denen sie von Zendesk verarbeitet werden, angemessen geschützt werden?

Wie oben erwähnt, bietet Zendesk in seinem TIA-Leitfaden einen Überblick über alle relevanten lokalen Gesetze. Möglicherweise kommen Sie zum Schluss, dass die Gesetze einiger dieser Länder ein im Wesentlichen gleichwertiges Schutzniveau für Ihre Daten bieten wie die in der EU. Für diese Länder wären diesem Fall keine weiteren Maßnahmen erforderlich.

Wenn Sie zum Schluss kommen, dass die Gesetze eines dieser Länder keinen im Wesentlichen gleichwertigen Schutz für Ihre Daten bieten, können Sie je nach Umständen (z. B. Art der Daten) entscheiden, dass es immer noch keinen Grund für die Annahme gibt, dass die Gesetze tatsächlich Anwendung auf Ihre Daten finden. Sie können auch zum Schluss kommen, dass die zusätzlichen Maßnahmen, die Zendesk ergriffen hat (z. B. unsere Richtlinien für behördliche Zugriffsersuchen und verbesserte Sicherheitsmaßnahmen), bedeuten, dass alle wesentlichen Gleichwertigkeitsprobleme angemessen angesprochen werden.

10. Welche weiteren Schritte unternimmt Zendesk im Zuge von Schrems II?

Wir wissen, dass einige unserer Abonnenten an Lösungen interessiert sind, die ein noch höheres Maß an Konformität in einer sich ständig weiterentwickelnden Datenschutzlandschaft bieten. Vor diesem Hintergrund entwickeln wir sowohl eine Advanced-Encryption-Lösung als auch tiefergehende Datenlokalisierungsangebote.

Wir konzentrieren uns aber nicht nur auf Advanced Encryption, sondern investieren auch in weitere Datenschutz- und Compliance-Funktionen zur Implementierung von Datenaufbewahrungsrichtlinien, besseren Einblick in den Agentenzugriff, granulare Berechtigungen und zusätzliche Tools zur Datenminimierung in Ihrer Zendesk-Instanz.

Wir arbeiten intensiv an diesen Projekten und werden Sie zu gegebener Zeit darüber informieren. Wenn Sie diesbezügliche Fragen haben oder mehr Informationen über unsere Einhaltung von Schrems II oder über allgemeine Datenschutzthemen wünschen, wenden Sie sich an Ihren Zendesk Account Executive oder senden Sie eine E-Mail an euprivacy@zendesk.com.