1. Einleitung
1.1 In dieser Richtlinie für staatliche Datenanfragen wird das Verfahren von Zendesk für 1) die Vorabbewertung bestehender Anforderungen von Drittländern zur Offenlegung personenbezogener Daten oder Maßnahmen zur Genehmigung des Zugriffs durch Behörden und 2) die Beantwortung von Anfragen von Strafverfolgungs- oder anderen staatlichen Behörden (zusammen die "anfragende Behörde") zur Offenlegung personenbezogener Daten, die von Zendesk verarbeitet werden (im Folgenden "Datenoffenlegungsanfrage"), beschrieben, die mit unseren verbindlichen Unternehmensregeln übereinstimmen: Verfahren für behördliche Datenanfragen. Die Richtlinie legt auch das Meldeverfahren von Zendesk für Fälle fest, in denen wir von einem direkten Zugriff (d. h. Zugriff auf personenbezogene Daten ohne vorherige Anfrage und/oder Genehmigung/Zusammenarbeit durch Zendesk) durch Strafverfolgungsbehörden oder andere Regierungsbehörden auf von Zendesk verarbeitete personenbezogene Daten erfahren (im Folgenden "direkter Zugriff"), der mit unseren verbindlichen Unternehmensregeln übereinstimmt: Verfahren für staatliche Datenanfragen.
1.2 Wenn Zendesk eine Anfrage zur Offenlegung von Daten erhält, wird Zendesk diese Anfrage in Übereinstimmung mit dieser Richtlinie bearbeiten. Wenn geltende Datenschutzgesetze einen höheren Schutzstandard für personenbezogene Daten vorschreiben als diese Richtlinie, wird Zendesk die entsprechenden Anforderungen dieser geltenden Datenschutzgesetze erfüllen.
2. Vorherige Bewertung
2.1 Bevor Zendesk internationale Übermittlungen personenbezogener Daten vornimmt, die den Anforderungen dieser Richtlinie für den für die Verarbeitung Verantwortlichen und/oder den Auftragsverarbeiter unterliegen, führt es eine Bewertung der Gesetze und Praktiken des Bestimmungsdrittlandes in Bezug auf die Anforderungen an die Offenlegung von Daten oder Maßnahmen zur Genehmigung des direkten Zugriffs (auch im Transit) durch, die Zendesk daran hindern könnten, seinen Verpflichtungen im Rahmen der jeweiligen Richtlinie für den für die Verarbeitung Verantwortlichen/Auftragsverarbeiter nachzukommen, z. B. Praktiken, die den Kern der Grundrechte und -freiheiten nicht respektieren und über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, sowie die geltenden Beschränkungen und Garantien. Eine solche Bewertung erfolgt unter Berücksichtigung der besonderen Umstände der Übermittlung und jeder geplanten Weiterübermittlung (einschließlich der Zwecke, des Ortes und des Sektors, an dem die Übermittlung und die damit verbundene Verarbeitung stattfindet, der Arten der an der Verarbeitung beteiligten Stellen, der Kategorien/Formate der übermittelten personenbezogenen Daten und der verwendeten Übermittlungskanäle), und es wird festgestellt, ob zusätzliche vertragliche, technische oder organisatorische Schutzmaßnahmen (bei der Übermittlung personenbezogener Daten (in transit) oder im Ruhezustand (at rest)) erforderlich sind. Die Bewertung (und gegebenenfalls die Schutzmaßnahmen) werden von Mitgliedern des Datenschutzteams an alle Gruppenmitglieder weitergegeben. Zendesk wird künftige Entwicklungen der Gesetze des Bestimmungslandes in angemessener Weise überwachen, um gegebenenfalls die Auswirkungen solcher Änderungen auf die ursprüngliche Bewertung zu berücksichtigen. Gruppenmitglieder, die im Rahmen dieser Richtlinie für die Verarbeitung Verantwortlicher und/oder Auftragsverarbeiter als Datenimporteure tätig sind, müssen solche Änderungen, von denen sie Kenntnis erlangen, in angemessener Weise an Gruppenmitglieder/Kunden, die als Datenexporteure tätig sind, und an das EWR-Gruppenmitglied mit delegierter Datenschutzverantwortung weiterleiten.
2.2 Wenn Zendesk feststellt, dass zusätzliche Schutzmaßnahmen zu ergreifen sind, um den Ergebnissen der Bewertung in Absatz 2.1 Rechnung zu tragen, benachrichtigt Zendesk das betreffende EWR-Gruppenmitglied mit delegierter Datenschutzverantwortung, und die betreffenden Mitglieder des Privacy Council oder des umfassenderen Datenschutzteams werden einbezogen, um ihre Ansichten zu diesen Schutzmaßnahmen zu berücksichtigen.
2.3 Zendesk wird die in Absatz 2.1 beschriebene Bewertung und die zusätzlichen Maßnahmen gemäß Absatz 2.2 dokumentieren und diese der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung stellen.
2.4 Für den Fall, dass Zendesk feststellt, dass wirksame zusätzliche Maßnahmen erforderlich sind, um seinen Verpflichtungen im Rahmen der jeweiligen Richtlinie für die Verarbeitung Verantwortlicher/Verarbeiter nachzukommen, jedoch keine solchen Maßnahmen ermitteln kann, oder auf Anweisung der zuständigen Aufsichtsbehörde, verpflichtet sich das Datenschutzteam, die betreffenden Übermittlungen auszusetzen (einschließlich Übermittlungen, bei denen dieselbe Bewertung und Begründung zu derselben Schlussfolgerung führen würde) und alle beteiligten Gruppenmitglieder darüber zu informieren. Nach einer solchen Aussetzung können Einrichtungen, die personenbezogene Daten im Rahmen dieser Richtlinie für den für die Verarbeitung Verantwortlichen und/oder den Auftragsverarbeiter exportieren, die Übermittlung personenbezogener Daten beenden, und personenbezogene Daten, die gemäß der Richtlinie für den für die Verarbeitung Verantwortlichen/Verarbeiter nicht ausreichend geschützt waren, können an die exportierende Einrichtung zurückgegeben und/oder vernichtet werden.
3. Allgemeiner Grundsatz für Ersuchen um Offenlegung von Daten
3.1 Grundsätzlich gibt Zendesk personenbezogene Daten als Antwort auf eine Anfrage zur Offenlegung von Daten nur dann weiter, wenn entweder
- rechtlich zu einer solchen Offenlegung verpflichtet ist; oder
- unter Berücksichtigung der Art, des Zusammenhangs, des Zwecks, des Umfangs und der Dringlichkeit des Ersuchens um Offenlegung von Daten sowie der Rechte und Freiheiten der betroffenen Personen eine unmittelbare Gefahr eines ernsthaften Schadens besteht, die es in jedem Fall rechtfertigt, dem Ersuchen um Offenlegung von Daten nachzukommen.
3.2 Aus diesem Grund wird Zendesk, sofern dies nicht gesetzlich verboten ist oder die unmittelbare Gefahr eines ernsthaften Schadens besteht, die zuständigen Datenschutzbehörden (und, wenn es die personenbezogenen Daten im Auftrag eines Kunden verarbeitet, den Kunden) benachrichtigen und konsultieren, um dem Antrag auf Datenweitergabe nachzukommen.
4. Bearbeitung eines Antrags auf Offenlegung von Daten
4.1 Erhält ein Mitglied der Zendesk-Gruppe eine Anfrage zur Offenlegung von Daten, muss der Empfänger der Anfrage diese unverzüglich nach Erhalt an die Rechtsabteilung weiterleiten und dabei das Datum des Erhalts der Anfrage sowie alle anderen Informationen angeben, die dem Legal Team bei der Beantwortung der Anfrage helfen können. Ebenso muss ein Mitglied der Zendesk-Gruppe, wenn es von einem direkten Zugriff erfährt, dies unverzüglich an die Rechtsabteilung weiterleiten und dabei das Datum angeben, an dem der Zugriff stattgefunden hat, zusammen mit allen anderen Informationen, die der Rechtsabteilung helfen können, im Einklang mit dieser Richtlinie zu reagieren.
4.2 Das Ersuchen der ersuchenden Behörde muss nicht schriftlich oder aufgrund eines Gerichtsbeschlusses gestellt werden oder das Datenschutzrecht erwähnen, um als Antrag auf Offenlegung von Daten zu gelten. Jeder Antrag auf Offenlegung von Daten, wie auch immer er gestellt wird, muss dem Rechtsteam zur Prüfung vorgelegt werden.
4.3 Die Rechtsabteilung von Zendesk prüft jede einzelne Anfrage zur Offenlegung von Daten und zum direkten Zugriff von Fall zu Fall sorgfältig. Das Legal Team setzt sich gegebenenfalls mit dem Privacy Team und externen Anwälten in Verbindung, um die Art, den Kontext, den Zweck, den Umfang und die Dringlichkeit des Antrags auf Offenlegung von Daten bzw. des direkten Zugriffs sowie die Gültigkeit des Antrags nach geltendem Recht und den Grundsätzen des internationalen Handelsrechts zu ermitteln und festzustellen, ob Maßnahmen zur Anfechtung des Antrags auf Offenlegung von Daten bzw. des direkten Zugriffs erforderlich sind, auch durch Einlegung eines Rechtsbehelfs bei der ersuchenden Behörde und/oder durch Beantragung einstweiliger Maßnahmen im Hinblick auf die Aussetzung der Wirkungen des Ersuchens, bis die zuständige Justizbehörde über die Begründetheit des Ersuchens entschieden hat, oder gegebenenfalls durch anderweitige Anordnung der Offenlegung nach dem anwendbaren Verfahrensrecht, und/oder durch Benachrichtigung des Kunden und/oder der zuständigen Datenschutzbehörden gemäß Absatz 4.
5. Benachrichtigung über einen Antrag auf Offenlegung von Daten/Direktzugriff
5.1 Mitteilung an den Kunden
5.1.1 Bezieht sich eine Anfrage auf personenbezogene Daten, für die ein Kunde der für die Verarbeitung Verantwortliche ist, bittet Zendesk die anfragende Behörde in der Regel, die Anfrage zur Datenweitergabe direkt an den betreffenden Kunden zu richten. Wenn die anfragende Behörde zustimmt, unterstützt Zendesk den Kunden gemäß den Vertragsbedingungen bei der Beantwortung der Datenauskunftsanfrage.
5.1.2 Ist dies nicht möglich (z. B. weil die anfragende Behörde es ablehnt, die Datenweitergabe direkt an den Kunden zu richten, oder die Identität des Kunden nicht kennt), wird Zendesk den Kunden vor der Weitergabe personenbezogener Daten benachrichtigen und ihm die Einzelheiten der Datenweitergabe mitteilen, es sei denn, dies ist gesetzlich verboten oder es besteht die unmittelbare Gefahr eines ernsthaften Schadens, die eine vorherige Benachrichtigung verbietet.
5.1.3 Erhält Zendesk Kenntnis von einem direkten Zugriff auf personenbezogene Daten, für die ein Kunde der für die Verarbeitung Verantwortliche ist, benachrichtigt Zendesk den Kunden und teilt ihm die Einzelheiten dieses direkten Zugriffs mit, es sei denn, dies ist gesetzlich verboten oder es besteht die unmittelbare Gefahr eines ernsthaften Schadens, die eine solche Benachrichtigung verbietet.
5.2 Mitteilung an die zuständigen Datenschutzbehörden
5.2.1 Befindet sich die anfragende Behörde in einem Land, das keinen angemessenen Schutz für die personenbezogenen Daten im Zusammenhang mit einer solchen Anfrage in Übereinstimmung mit den geltenden Datenschutzgesetzen bietet, wird Zendesk die Anfrage ebenfalls zurückstellen, um die zuständigen Datenschutzbehörden zu benachrichtigen und zu konsultieren, es sei denn, dies ist gesetzlich verboten oder es besteht die unmittelbare Gefahr eines ernsthaften Schadens, der eine vorherige Benachrichtigung verbietet.
5.2.2 Befindet sich die Strafverfolgungs- oder andere Regierungsbehörde, die einen direkten Zugriff durchgeführt hat, in einem Land, das keinen angemessenen Schutz für die personenbezogenen Daten im Zusammenhang mit einer solchen Anfrage gemäß den geltenden Datenschutzgesetzen bietet, wird Zendesk auch die zuständigen Datenschutzbehörden benachrichtigen und konsultieren, es sei denn, dies ist gesetzlich verboten oder es besteht die unmittelbare Gefahr eines ernsthaften Schadens, der eine vorherige Benachrichtigung verbietet.
5.2.3 Wenn es Zendesk untersagt ist, die zuständigen Datenschutzbehörden zu benachrichtigen und/oder die Anfrage auszusetzen, bemüht sich Zendesk nach besten Kräften (unter Berücksichtigung der Art, des Kontexts, des Zwecks, des Umfangs und der Dringlichkeit der Anfrage), die anfragende Behörde/Behörde, die die direkte Auskunft erteilt hat, über ihre Verpflichtungen nach geltendem Datenschutzrecht zu informieren und das Recht zu erhalten, auf dieses Verbot zu verzichten. Zu diesen Bemühungen kann es gehören, die ersuchende Behörde/Behörde, die den direkten Zugriff durchgeführt hat, zu bitten, das Ersuchen zurückzustellen, damit Zendesk sich mit den zuständigen Datenschutzbehörden beraten kann, oder die Weitergabe an bestimmte Mitarbeiter des Kunden von Zendesk zu gestatten, und unter Umständen auch eine entsprechende gerichtliche Anordnung zu erwirken. Zendesk hält die unternommenen Anstrengungen schriftlich fest und stellt sie seinen Kunden und den zuständigen Datenschutzbehörden auf angemessenes Verlangen zur Verfügung, sofern dies nicht gesetzlich verboten ist.
6. Transparenzberichte
6.1 Zendesk verpflichtet sich, einen halbjährlichen Bericht (einen "Transparenzbericht") zu erstellen, der die Anzahl und die Art der in den vorangegangenen sechs Monaten eingegangenen Anträge auf Offenlegung von Daten wiedergibt, soweit dies durch geltendes Recht oder gerichtliche Anordnungen beschränkt ist. Zendesk wird den Transparenzbericht auf seiner Website veröffentlichen und den Bericht auf Anfrage den zuständigen Datenschutzbehörden zur Verfügung stellen.
7. Massentransfers
7.1 Kein Gruppenmitglied wird personenbezogene Daten in massiver, unverhältnismäßiger und willkürlicher Weise an eine ersuchende Behörde übermitteln, die über das hinausgeht, was in einer demokratischen Gesellschaft notwendig ist.