Richtlinie zu behördlichen Datenanforderungen

1. Einführung

1.1 Diese Richtlinie zu behördlichen Datenanforderungen beschreibt das Verfahren von Zendesk für 1) die vorherige Bewertung bestehender Drittlandanforderungen im Hinblick auf die Offenlegung personenbezogener Daten oder Maßnahmen zur Autorisierung des Zugriffs durch öffentliche Stellen; und 2) um auf ein Ersuchen einzugehen, das von einer Strafverfolgungsbehörde oder einer anderen Regierungsbehörde (zusammen mit der „anfragenden Behörde“) auf Offenlegung der von Zendesk verarbeiteten personenbezogenen Daten eingeht (im Folgenden „Anfragezur Offenlegung von Daten“) im Einklang mit unseren Binding Corporate Rules: Verfahren zur Anforderung behördlicher Daten. Die Richtlinie beschreibt außerdem das Benachrichtigungsverfahren von Zendesk in Fällen, in denen wir Kenntnis von einem direkten Zugriff (d. h. Zugriff auf personenbezogene Daten ohne vorherige Anfrage und/oder Genehmigung/Mitarbeit durch Zendesk) durch Strafverfolgungsbehörden oder andere Regierungsbehörden auf personenbezogene Daten erhalten, die von Zendesk verarbeitet werden Zendesk (im Folgenden „Direktzugriff“), der unseren Binding Corporate Rules entspricht: Verfahren zur Anforderung behördlicher Daten.

1.2 Wenn Zendesk eine Datenweitergabeanfrage erhält, wird diese Datenweitergabe in Übereinstimmung mit der vorliegenden Richtlinie behandelt. Wenn anwendbare Datenschutzgesetze einen höheren Standard zum Schutz personenbezogener Daten vorschreiben, als in dieser Richtlinie vorgesehen ist, wird Zendesk die einschlägigen Anforderungen der betreffenden Datenschutzgesetze einhalten.

2. Frühere Bewertung

2.1 Bevor Zendesk die internationalen Übermittlungen personenbezogener Daten vorbehaltlich der Anforderungen dieser Richtlinie für die Datenverarbeitung Verantwortlicher und/oder des Auftragsverarbeiters durchführt, führt es eine Überprüfung der Gesetze und Praktiken im Zieldrittland im Hinblick auf die Anforderungen oder Maßnahmen zur Offenlegung von Daten durch, die den direkten Zugriff autorisieren (auch bei der Übertragung), die Zendesk daran hindern könnten, seinen Verpflichtungen im Rahmen der jeweiligen Richtlinie für die Datenverantwortlichen/Datenverarbeiter zu erfüllen, wie z. B. Praktiken, die den Wesenstyp der Grundrechte und Grundfreiheiten nicht respektieren und über das hinausgehen, was in einer Demokratisierung notwendig und verhältnismäßig ist Beschränkungen und Sicherheitsmaßnahmen einhalten. Eine solche Beurteilung muss unter Berücksichtigung der spezifischen Umstände der Übermittlung und jeder geplanten Weitergabe (einschließlich Zweck, Ort und Sektor, in dem die Übermittlung und die damit verbundene Verarbeitung stattfindet, Arten der an der Verarbeitung beteiligten juristischen Personen, Kategorien/ Format der übertragenen personenbezogenen Daten und verwendeten Übertragungkanäle) und bestimmen, ob zusätzliche vertragliche, technische oder organisatorische Sicherheitsmaßnahmen (während der Übertragung personenbezogener Daten oder bei der Speicherung) erforderlich sind. Die Mitglieder des Datenschutzteams informieren alle Gruppenmitglieder über ihre Bewertung (und gegebenenfalls über die erforderlichen Sicherheitsmaßnahmen). Zendesk wird in angemessener Weise die künftigen Entwicklungen der Gesetze im Bestimmungsland überwachen, um gegebenenfalls Auswirkungen solcher Änderungen auf die anfängliche Bewertung zu prüfen. Gruppenmitglieder, die im Rahmen der vorliegenden Richtlinie für die Datenverarbeitung Verantwortlicher und/oder des Datenverarbeiters als Datenimporteure fungieren, sind verpflichtet, den ihnen als Datenexporteure fungierenden Gruppenmitgliedern/Kunden und den EWR-Gruppenmitgliedern mit delegierten Datenschutzaufgaben in angemessener Weise über die ihnen bekannt werdenden Änderungen zu informieren.

2.2 Wenn beschließt, dass zusätzliche Sicherheitsmaßnahmen eingeführt werden müssen, um den Ergebnissen der in Absatz 2.1 enthaltenen Bewertung nachzukommen, benachrichtigt Zendesk das relevante EWR-Gruppenmitglied mit delegierten Datenschutzaufgaben und die entsprechenden Mitglieder des Datenschutzrates oder des breiteren Datenschutzteams und ihre Ansichten bezüglich dieser Maßnahmen zum Ausdruck bringen.

2.3 Zendesk dokumentiert die in Absatz 2.1 beschriebene Bewertung sowie die in Absatz 2.2 genannten zusätzlichen Maßnahmen und legt sie der zuständigen Aufsichtsbehörde auf Anfrage vor.

2.4 Wenn Zendesk feststellt, dass zur Erfüllung der Verpflichtungen im Rahmen der jeweiligen Richtlinie für die Datenverarbeitung Verantwortliche/Datenverarbeiter wirksame zusätzliche Maßnahmen erforderlich sind, aber keine diese Daten übertragen konnte oder die zuständige Aufsichtsbehörde dies anweist, verpflichtet sich das Datenschutzteam, die betreffenden Übermittlungen (einschließlich Weiterleitung, bei denen die gleiche Beurteilung und Überlegung zu dem gleichen Schluss führen würde), und alle beteiligten Gruppenmitglieder darüber informieren. Nach einer solchen Aussetzung können Unternehmen, die im Rahmen dieser Richtlinie für die Verarbeitung personenbezogener Daten personenbezogene Daten exportieren, die Übermittlung dieser personenbezogenen Daten beenden und personenbezogene Daten, die nicht dem gemäß der Richtlinie für die Datenverarbeitung und/oder dem Datenverarbeitungsvorgang erforderlichen ausreichenden Schutz unterliegen, an das exportierende Unternehmen zurückgegeben werden bzw. oder gelöscht werden.

3. Allgemeiner Prinzip zu Anfragen zur Offenlegung von Daten

3.1 Grundsätzlich legt Zendesk keine personenbezogenen Daten als Reaktion auf eine Datenoffenlegungsanfrage offen, es sei denn:

• ist er rechtlich zur Offenlegung verpflichtet; oder

• Besteht unter Berücksichtigung der Art, des Kontexts, der Zwecke, des Umfangs und der Dringlichkeit der Offenlegungsanfrage sowie der Datenschutzrechte und -freiheiten der betroffenen Personen ein unmittelbares Risiko eines ernsthaften Schadens, der in jedem Fall ein Einhalten der Offenlegungsanforderungen erfordert.

3.2 Sofern es nicht gesetzlich untersagt ist oder keine unmittelbare Gefahr eines ernsthaften Schadens besteht, wird Zendesk die zuständigen Datenschutzbehörden (und, wenn das Unternehmen die personenbezogenen Daten im Auftrag eines Kunden verarbeitet, die Kunde), um die Offenlegungsanfrage zu erfüllen.

4. Bearbeitung von Anfragen zur Offenlegung von Daten

4.1 Wenn ein Mitglied der Zendesk-Gruppe eine Datenweitergabeanfrage erhält, muss der Empfänger die Anfrage sofort nach Eingang an die Rechtsabteilung weiterleiten und dabei das Datum des Eingangs zusammen mit allen anderen Informationen angeben, die der Rechtsabteilung helfen können, auf die Anfrage zu antworten . Analog dazu hat ein Mitglied der Zendesk-Gruppe, das von einem Direktzugriff erfährt, dies unverzüglich der Rechtsabteilung mitzuteilen und das Datum des Direktzugriffs sowie alle weiteren Informationen anzugeben, die dem Rechtsteam helfen können, in Übereinstimmung mit der vorliegenden Richtlinie zu reagieren.

4.2 Das Ersuchen der ersuchenden Behörde muss nicht schriftlich erfolgen, nicht im Rahmen eines Gerichtsbeschlusses erfolgen oder die Datenschutzgesetze erwähnen, um als Offenlegungsanfrage zu gelten. Anfragen zur Offenlegung von Daten müssen grundsätzlich zur Prüfung an die Rechtsabteilung eingereicht werden.

4.3 Die Rechtsabteilung von Zendesk prüft jede Datenoffenlegungsanfrage und jeden direkten Zugriff von Fall zu Fall sorgfältig. Die Rechtsabteilung wird mit dem Datenschutzteam und gegebenenfalls mit externen Beratern Verbindung aufnehmen, um Art, Kontext, Zwecke, Umfang und Dringlichkeit der Datenoffenlegungsanfrage/des Direktzugriffs sowie ihre Gültigkeit nach den geltenden Gesetzen und Grundsätzen der internationalen Gemeinschaft zu prüfen und festzustellen, ob dies der Fall ist möglicherweise auch durch Einlegen von Rechtsbehelfen bei der ersuchenden Behörde und/oder durch Ersuchen vorläufiger Maßnahmen zur Aussetzung der Wirkung des Ersuchens über die Offenlegung des Zugriffs auf die Offenlegung des Zugriffs auf die Daten möglicherweise angeordnet werden zu erfüllen oder anderweitig die Offenlegung nach dem anwendbaren Verfahrensrecht zu verlangen, und/oder den Kunden und/oder die zuständigen Datenschutzbehörden gemäß Absatz 4 zu benachrichtigen.

5. Benachrichtigung über Offenlegungsanfrage/Direktzugriff

5.1 Benachrichtigung an den Kunden

5.1.1 Wenn sich eine Anfrage auf personenbezogene Daten bezieht, für die ein Kunde der Verantwortliche ist, bittet Zendesk in der Regel die anfragende Stelle, die Offenlegungsanfrage direkt an den betreffenden Kunden zu richten. Wenn die anfragende Behörde zustimmt, unterstützt Zendesk den Kunden im Einklang mit den Bestimmungen seines Vertrags bei der Beantwortung der Offenlegungsanfrage.

5.1.2 Ist dies nicht möglich (z. B. weil die ersuchende Stelle die Datenoffenlegung nicht direkt an den Kunden richtet oder die Identität des Kunden nicht kennt), wird Zendesk den Kunden benachrichtigen und ihm die Einzelheiten der Datenoffenlegung mitteilen vor der Offenlegung personenbezogener Daten anfordern, es sei denn, dies ist rechtlich untersagt oder es besteht die Gefahr eines ernsthaften Schadens, der eine vorherige Benachrichtigung nicht zulässt.

5.1.3 Wenn Zendesk von einem Direktzugriff auf personenbezogene Daten erfährt, für die ein Kunde der Verantwortliche ist, wird Zendesk den Kunden benachrichtigen und ihm die Einzelheiten eines solchen Direktzugriffs bereitstellen, es sei denn, dies ist rechtlich untersagt oder es besteht eine unmittelbare Gefahr einer schwerwiegenden Gefahr ein Schadensfall vorliegt, der eine solche Benachrichtigung verbietet.

5.2 Nachricht an die zuständigen Datenschutzbehörden

5.2.1 Wenn sich die ersuchende Behörde in einem Land befindet, das gemäß den geltenden Datenschutzgesetzen kein angemessenes Schutzniveau für die personenbezogenen Daten in Bezug auf das Ersuchen bietet, legt Zendesk das Ersuchen einer anderen Person auf „Angehalten“ fest, um Sie zu benachrichtigen und die zuständigen Datenschutzbehörden zu konsultieren, es sei denn, dies ist gesetzlich untersagt oder es besteht die Gefahr eines ernsthaften Schadens, der eine vorherige Benachrichtigung nicht zulässt.

5.2.2 Wenn sich die Strafverfolgungsbehörde oder andere Regierungsbehörde, die den direkten Zugriff vorgenommen hat, in einem Land befindet, das kein im Einklang mit den geltenden Datenschutzgesetzen angemessenen Schutzniveau für die personenbezogenen Daten in Bezug auf eine solche Anfrage bietet, dann Zendesk wird außerdem die zuständigen Datenschutzbehörden benachrichtigen und konsultieren, es sei denn, dies ist gesetzlich untersagt oder es besteht die Gefahr eines ernsthaften Schadens, der eine vorherige Benachrichtigung nicht zulässt.

5.2.3 Wenn es Zendesk nicht möglich ist, die zuständigen Datenschutzbehörden zu benachrichtigen und/oder die Anfrage auszusetzen, bemüht sich Zendesk nach Kräften, den Anfragenden zu informieren (unter Berücksichtigung der Art, des Kontexts, der Zwecke, des Umfangs und der Dringlichkeit der Anfrage). Behörde, die den Direktzugriff durchgeführt hat, um ihre Verpflichtungen im Rahmen der geltenden Datenschutzgesetze zu erfüllen und das Recht zu erhalten, auf dieses Verbot zu verzichten. Zu diesen Bemühungen gehört beispielsweise, die anfragende Behörde/Behörde, die den Direktzugriff gewährt hat, aufzufordern, die Anfrage auf Eis zu legen, damit Zendesk die zuständigen Datenschutzbehörden konsultieren oder die Offenlegung bestimmten Mitarbeitern beim Kunden von Zendesk gestatten kann; und unter Umständen auch einen entsprechenden Gerichtsbeschluss einreichen. Zendesk verpflichtet sich, im Einklang mit den etablierten Praktiken zur Führen von Geschäftsdatensätzen eine schriftliche Aufzeichnung der von Zendesk verbundenen Bemühungen zu führen und auf angemessenes Auffordern seiner Kunden und zuständigen Datenschutzbehörden vorzulegen, es sei denn, dies ist rechtlich untersagt.

6. Transparenzberichte

6.1 Zendesk verpflichtet sich zur Erstellung eines halbjährlichen Berichts („Transparenzbericht“), aus dem die Anzahl und Art der in den vergangenen sechs Monaten eingegangenen Datenoffenlegungsanfragen hervorgehen, deren Einhaltung durch anwendbares Recht oder Gerichtsbeschluss eingeschränkt werden kann. Zendesk veröffentlicht den Transparenzbericht auf seiner Website und hält ihn auf Anfrage den zuständigen Datenschutzbehörden zur Verfügung.

7. Massenweiterleitungen

7.1 In keinem Fall wird ein Gruppenmitglied personenbezogene Daten an eine erfragende Behörde in einer Massenaktion, unverhältnismäßigen und wahllos übertragen, die über das hinausgeht, was in einer Demokratisierung notwendig ist.