Zscaler und die DSGVO

Einführung

Die Datenschutz-Grundverordnung (DSGVO) (Verordnung (EU) 2016/679), die am 25. Mai 2018 in Kraft trat, ist eine Verordnung, mithilfe derer das Europäische Parlament, der Europäische Rat und die Europäische Kommission den Datenschutz für Personen innerhalb der Europäischen Union (EU) stärken und vereinheitlichen wollen. Die DSGVO befasst sich auch mit der Übermittlung personenbezogener Daten außerhalb der EU. Die Hauptziele der DSGVO sind: (i) Verbesserung des Schutzes von personenbezogenen Daten in der EU und (ii) Vereinfachung des Regelwerkes für internationale Unternehmen durch die Festlegung einheitlicher Datenschutzvorschriften für alle EU-Mitglieder.

Die DSGVO ersetzt die Datenschutzrichtlinie (offiziell Richtlinie 95/46/EC), die im Jahr 1995 eingeführt wurde. Die DSGVO verändert die Datenschutzlandschaft der EU entscheidend. Sie weist Datenverantwortlichen (Kunden und Partnern von Zscaler) und Datenverarbeitern (Zscaler) klarere Verantwortlichkeiten bezüglich der Verarbeitung personenbezogener Daten zu. Gemäß DSGVO müssen sowohl Datenverantwortliche als auch Datenverarbeiter zusätzliche Auflagen und Pflichten zum Schutz personenbezogener Daten erfüllen, und beide Parteien können für jegliche Verstöße gegen die Auflagen der DSGVO haftbar gemacht werden.

Zscaler engagiert sich für den Erfolg seiner Kunden und fühlt sich der Einhaltung der DSGVO verpflichtet. Die DSGVO erfordert eine engere Partnerschaft zwischen Zscaler und den Kunden, die unsere Services und Produkte nutzen. Zscaler hat die Bestimmungen der DSGVO genau analysiert und Services, Produkte, Dokumentationen und Verträge entsprechend der Vorschriften der DSGVO verbessert. Darüber hinaus ist Zscaler bestrebt, Kunden bei ihren Bemühungen um die Einhaltung der DSGVO zu unterstützen.

Wir helfen unseren Kunden bei der Einhaltung der DSGVO, indem wir eine übersichtliche Gegenüberstellung in Form einer „Vergleichenden Übersicht Datenverantwortlicher vs. Datenverarbeiter zur Verfügung stellen, in der wir die Pflichten des Kunden in seiner Rolle als Datenverantwortlicher den Pflichten von Zscaler in seiner Rolle als Datenverarbeiter gegenüberstellen. Diese Übersicht ist als Hilfestellung gedacht, damit Kunden genau verstehen, welche Maßnahmen sie selbst zur Einhaltung der DSGVO ergreifen müssen und was sie von Zscaler erwarten können.

Zscaler und Compliance mit der DSGVO

Als Anbieter von Sicherheit als Service steht bei Zscaler der Datenschutz im Mittelpunkt und wird von unserem Unternehmen sehr ernst genommen. Zscaler bleibt dem Schutz personenbezogener Daten entsprechend den höchsten Datenschutz- und Sicherheitsstandards verpflichtet. Untenstehend finden Sie eine Zusammenfassung verschiedener Hauptbereiche der DSGVO, die Zscaler erfüllt.

Wie gewährleistet Zscaler vertraglich die Einhaltung der DSGVO?
  • Aktualisierte Datenverarbeitungsvereinbarung (DPA): Zscaler hat seine DPA aktualisiert, um sie an die Anforderungen der DSGVO anzupassen. Diese aktualisierte DPA enthält überarbeitete oder zusätzliche Vertragsbedingungen, um unsere Kunden bei der Einhaltung der DSGVO zu unterstützen. Sie können die vorab unterzeichnete DPA unter dem untenstehenden Link herunterladen und den Anleitungen auf Seite 1 für die Ausführung folgen. Darüber hinaus haben wir ein nützliches DPA-Begleitschreiben zusammengestellt, das Sie bei der Überprüfung unserer DPA unterstützen soll.
  • Als Datenverarbeiter verwendet Zscaler personenbezogene Daten ausschließlich im Namen und mit schriftlicher Genehmigung des für die Verarbeitung Verantwortlichen (d. h. mittels eines Vertrags oder eines Auftrags, wobei die DPA die Einzelheiten dieser Anweisungen darlegt).
  • Darüber hinaus haben wir mit allen Unterauftragsverarbeitern gemäß den Anforderungen von Artikel 28, Absatz 4 der DSGVO, schriftliche Vereinbarungen getroffen und sind auch weiterhin für die Handlungen und Unterlassungen dieser Unterauftragsverarbeiter verantwortlich. Im Rahmen der Sorgfaltspflicht müssen wir auch gewährleisten, dass alle Unterauftragsverarbeiter die Datenverarbeitungsvorschriften einhalten.
Von Zscaler vorab unterzeichnete Vereinbarung zur Datenverarbeitung (Data Processing Agreement –DPA) und DPA-Begleitschreiben.
Welche Maßnahmen ergreift Zscaler zum Schutz personenbezogener Daten?
  • Zscaler gewährleistet Vertraulichkeit und Verfügbarkeit der verarbeiteten personenbezogenen Daten sowie die Ergreifung angemessener technischer und organisatorischer Maßnahmen zum Schutz dieser personenbezogenen Daten. 
  • Zscaler erwartet, dass seine Kunden und Partner als Datenverantwortliche ihre Mitarbeiter und Benutzer (d. h. die Datensubjekte) über die von Zscaler durchgeführte Verarbeitung informieren und hierfür deren Zustimmung erhalten.
  • Zscaler verarbeitet und/oder speichert nur eine begrenzte Menge personenbezogener Daten (z. B. IP-Adressen, URLs, User-IDs, User-Gruppen und -Abteilungen aus dem Unternehmensverzeichnis). Im folgenden Abschnitt stellen wir einige der Sicherheitsmaßnahmen vor, die wir zum Schutz von Daten einsetzen. 
  • Wir wollen so wenig Daten wir möglich verarbeiten und/oder speichern. Daher verarbeitet oder speichert Zscaler keine personenbezogenen Daten, die nicht unbedingt für die Erbringung der vereinbarten Dienstleistungen im Namen der Datenverantwortlichen erforderlich sind. Außerdem werden personenbezogene Daten weder offengelegt oder zur Verfügung gestellt oder für andere Zwecke verwendet, die nicht der Erbringung der Vertragsleistung im Namen des Datenverantwortlichen dienen, es sei denn, dass dies gesetzlich vorgeschrieben ist.
  • Während des Deployment-Prozesses können Kunden optional wählen, ihre Kunden-Logs während des Deployment-Verfahrens nur in der EU (Deutschland und die Niederlande) und in der Schweiz speichern zu lassen. Zscaler speichert Kunden-Logs über einen Zeitraum von sechs Monaten oder kürzer (je nach Produkt) in seiner Cloud-Infrastruktur; danach werden die Kunden-Logs zuverlässig gelöscht. Außerdem können Kunden gegen eine zusätzliche Gebühr ihre Kunden-Logs auf von Zscaler verwalteten Servern in kundeneigenen Räumlichkeiten (Nanolog Streaming Service) für einen beliebigen Zeitraum speichern. Bei Vertragskündigung oder -ablauf werden die Kunden-Logs nach Ablauf des sechsmonatigen (oder kürzeren) Aufbewahrungszeitraums, oder wie zuvor schriftlich vom Datenverantwortlichen beantragt, gelöscht.
  • Jegliche Übertragung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR) wird ausschließlich zur Bereitstellung der vertraglich vereinbarten Leistungen für den Datenverantwortlichen vorgenommen und unterliegt den Standard-Vertragsklauseln der EU, sofern die Daten nicht in ein Land übertragen werden, dessen Datenschutzvorschriften von der EU-Kommission als ausreichend bewertet werden (derzeit zählen zu diesen Ländern Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), die Färöer Inseln, Guernsey, Israel, die Isle of Man, Japan, Jersey, Neuseeland, die Schweiz und Uruguay – aktuelle Auflistungen finden Sie unter https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en). 
  • Zscaler wird Unterauftragsverarbeiter nur mit vorheriger Zustimmung des Datenverantwortlichen einsetzen. Dies kann vertragliche oder allgemeine Zustimmung einschließen. Zscaler ist für die Leistung solcher Unterauftragsverarbeiter verantwortlich und haftbar. Zscaler führt eine aktuelle Liste solcher Unterauftragsverarbeiter unter https://www.zscaler.com/legal/subprocessors.
  • Zscaler stellt dem Datenverantwortlichen sämtliche Informationen zur Verfügung, die zum Nachweis der Einhaltung der DSGVO erforderlich sind.
  • Zscaler ist für die Sicherstellung der eigenen Übereinstimmung mit der DSGVO rechenschaftspflichtig und verantwortlich.
  • Zscaler unterstützt den Datenverantwortlichen bei der Erfüllung seiner Verpflichtungen gemäß der DSGVO unter Berücksichtigung der Verarbeitungsart und der Zscaler zur Verfügung stehenden Informationen.
  • Nach vorheriger schriftlicher Ankündigung und vorbehaltlich bestimmter Bedingungen und Kontrollen genehmigt Zscaler seinen Kunden und Partnern, jährliche Audits und automatisierte Untersuchungen seiner Cloud durchzuführen.
  • Im Fall einer Verletzung von personenbezogenen Daten benachrichtigt Zscaler den Datenverantwortlichen unverzüglich nach Kenntnisnahme und unterstützt diesen bei der Meldung jeglicher Verletzung von personenbezogenen Daten an Aufsichtsbehörden und betroffene EU-Dateneigner.
Welche Sicherheitsmaßnahmen ergreift Zscaler zum Schutz personenbezogener Daten?
  • Zscaler schützt personenbezogene Daten durch geeignete Sicherheitsmaßnahmen vor Gefahren wie Verlust oder nicht autorisiertem Zugriff, Vernichtung, Verwendung, Änderung oder Offenlegung. Zscaler verschlüsselt den Traffic in der Cloud und anonymisiert, pseudonymisiert und verschleiert Daten, sofern technisch möglich. Im Folgenden stellen wir einige der Maßnahmen vor, mit denen wir unsere Kunden dabei unterstützen, den Umfang der von Zscaler durchgeführten Datenverarbeitung so gering wie möglich zu halten und zeigen, wie wir gewährleisten, dass die verarbeiteten Daten mit den neuesten Technologien geschützt werden:
    • Bei der Mehrzahl von Zscaler-Services und -Produkten werden HTTP-, HTTPS- und Nicht-HTTP-Transaktionsinhalte niemals von Zscaler gespeichert oder auf eine Festplatte geschrieben - sämtliche Untersuchungen finden im Arbeitsspeicher statt.
    • Für Kunden, die das Zscaler-Produkt Cloud Sandbox bestellen, zeichnet Zscaler schädliche Inhalte auf einer Speicherplatte auf; Kunden können jedoch selbst entscheiden, welche Dateien an die Sandbox gesendet werden sollen (je nach Dateityp, URL, Kategorie, Benutzer/Gruppe usw.)
    • Bei der Software Zscaler Client Connector können Kunden durch Übereinkunft mit Zscaler die Log-Erfassung weltweit aktivieren oder deaktivieren und die Logs vom betreffenden Laptop, Desktop oder Mobilgerät löschen.
    • Durch die Aktivierung von SSL-Überprüfung wird die begrenzte Menge von Daten, die Zscaler verarbeitet oder speichert, nicht erhöht. Es entsteht eher eine weitere Sicherheitsschicht zum Schutz vor solchen Bedrohungen, die sich hinter verschlüsseltem Datenverkehr verbergen, wodurch die Mitarbeiter und Benutzer der Kunden zusätzlich geschützt werden.
    • Kunden können ihre User-IDs verschleiern, sodass weder Betriebs- und Support-Teams von Zscaler noch die eigenen Administratoren diese jemals sehen.
    • Transaktions-Logs von Kunden (Kunden-Logs) werden am Erzeugungspunkt indiziert, komprimiert und tokenisiert – um sicherzustellen, dass ein einzelnes Kunden-Log ohne komplette Kunden-Log-Geschichte und ohne Zugriff auf die Central Authority (CA) von Zscaler wertlos ist. Daher kann selbst bei Zugang zu gespeicherten Daten nicht auf personenbezogene Daten zugegriffen werden, ohne dass Informationen aus den Kunden-Logs und der CA über das User Interface von Zscaler verbunden werden.
    • Kunden-Logs werden niemals in Klartext gespeichert.
  • Als Betreiber einer mandantenfähigen Cloud ist Zscaler nach dem ISO 27001 Informationssicherheits-Framework zertifiziert, um konsistente und stabile Sicherheitskontrollen und -verfahren für alle Kunden seiner Cloud zu gewährleisten. Darüber hinaus beachtet Zscaler die Normen der System and Organization Controls (SOC) 2 (Typ II Normen) sowie mehrere weitere Zertifizierungen, wie beispielsweise FedRAMP ISO 27018 oder FIPS 140-2 (weitere Informationen unter https://www.zscaler.com/privacy-compliance/compliance).
  • Neben der Beachtung der Grundsätze von ISO 27001 nehmen die von Zscaler genutzten erstklassigen globalen Rechenzentren Sicherheitsaspekte selbst ebenso ernst wie Zscaler – unter anderem durch Schutzmaßnahmen wie komplexe Zugangskontrollsysteme, doppelte Stromzuführung mit Backup-Generatoren und Videoüberwachung.
  • Zscaler führt in seiner Cloud strikte Sicherheitsmaßnahmen wie Virenschutz, Firewalls, regelmäßige Schwachstellenüberprüfung, Penetrationstests und Peer-Reviews von Sicherheitscodes durch.
  • Die Cloud-Infrastruktur von Zscaler kann DDoS-Angriffe abwehren und wird 365 Tage im Jahr rund um die Uhr überwacht.
  • Zscaler gestattet ausschließlich autorisierten Administratoren mit entsprechenden Berechtigungen den Zugriff auf personenbezogene Daten.
  • Alle zur Verarbeitung personenbezogener Daten berechtigten Mitarbeiter von Zscaler sind (per Arbeits- und Vertraulichkeitsvereinbarung) zu Geheimhaltung und Schutz von personenbezogenen Daten verpflichtet.
  • Ein weltweites Rechenzentrumsnetzwerk und Failover-Kapazitäten ermöglichen es Zscaler, die Vertraulichkeit, Integrität, Verfügbarkeit und Stabilität seiner Verarbeitungssysteme und Services zu gewährleisten und zudem Echtzeitverfügbarkeit und Zugriff auf personenbezogene Daten bei physischen oder technischen Störfällen zeitnah wiederherzustellen.
  • Zscaler wendet interne Verfahren zum regelmäßigen Testen, Überprüfen und Bewerten der Leistungsfähigkeit technischer und organisatorischer Maßnahmen an, um bei der Verarbeitung personenbezogener Daten Sicherheit zu garantieren.
  • Die von Zscaler im Namen des Datenverantwortlichen verarbeiteten Daten sind so akkurat, komplett und aktuell wie technisch möglich.
DSGVO FAQ

Wir haben die folgenden FAQs zusammengestellt, um die häufigsten Fragen von Kunden und Partnern in Bezug auf unsere Plattform zu beantworten. 

(1) Welche personenbezogenen Daten werden von Zscaler gespeichert und/oder verarbeitet?

Zscaler speichert eine begrenzte Menge personenbezogener Daten (z. B. IP-Adressen, URLs, User-IDs, User-Gruppen und -Abteilungen aus dem Unternehmensverzeichnis), verarbeitet oder speichert jedoch keinerlei spezielle oder sensible Kategorien personenbezogener Daten (z. B. Kreditkartendaten oder geschützte Gesundheitsinformationen). Außerdem können Kunden ihre Benutzer-IDs verschleiern, sodass ihre eigenen Administratoren diese niemals sehen. 

Die Mitarbeiter des Zscaler-Support greifen nur dann auf personenbezogene Daten eines Kunden zu, wenn sie von dem betreffenden Kunden ausdrücklich dazu autorisiert wurden. 

Bei der Mehrzahl von Zscaler-Services und -Produkten werden HTTP-, HTTPS- und Nicht-HTTP-Transaktionsinhalte niemals von Zscaler gespeichert oder auf eine Festplatte geschrieben – sämtliche Untersuchungen finden im Arbeitsspeicher statt. 

Für Kunden, die das Zscaler-Produkt Cloud Sandbox bestellen, zeichnet Zscaler schädliche Inhalte auf einer Speicherplatte auf; Kunden können jedoch selbst entscheiden, welche Dateien an die Sandbox gesendet werden sollen (je nach Dateityp, URL, Kategorie, Benutzer/Gruppe usw.)

Bei dem Zscaler Client Connector können Kunden durch Übereinkunft mit Zscaler die Paket-Erfassung weltweit aktivieren oder deaktivieren und die Logs für die Paket-Erfassung vom betreffenden Laptop, Desktop oder Mobilgerät löschen.

Transaktions-Logs von Kunden (Kunden-Logs) werden niemals in Klartext gespeichert sondern am Erzeugungspunkt indiziert, komprimiert und tokenisiert – um sicherzustellen, dass ein einzelnes Kunden-Log ohne komplette Geschichte des Kunden-Log und ohne Zugriff auf die Central Authority (CA) von Zscaler wertlos ist. Daher kann selbst bei Zugang zu gespeicherten Daten nicht auf personenbezogene Daten zugegriffen werden, ohne dass Informationen aus den Kunden-Logs und der CA über das Benutzer-Interface von Zscaler verbunden werden. 

(2) Wie schützt Zscaler die verarbeiteten und/oder gespeicherten personenbezogenen Daten?

Zscaler implementiert physische, technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau gemäß der Normen von Artikel 32 der DSGVO zu gewährleisten. Zscaler ist nach ISO 27001 und den Normen der System and Organization Controls (SOC) 2, Typ II zertifiziert und wird jährlich von einer Drittpartei überprüft, um die permanente Übereinstimmung mit diesen Zertifizierungen sicherzustellen. Zscaler testet, bewertet und überprüft die Wirksamkeit seiner Sicherheitsmaßnahmen regelmäßig. Auf schriftliche Anfrage und vorbehaltlich eines angemessenen Schutzes der Vertraulichkeit, kann Zscaler den Kunden eine Kopie des neuesten ISO 27001 Zertifikates und/oder des SOC 2, Type II-Reportings zur Verfügung stellen. Weitere Informationen finden Sie unter https://www.zscaler.com/privacy-company/compliance

(3) Darf Zscaler seine Services nur von der Europäischen Union (EU) aus anbieten?

Nein. Da Zscaler ein in den USA ansässiges Unternehmen mit einer globalen Cloud-Plattform ist, verarbeitet Zscaler personenbezogene Daten in seinem Netzwerk aus mehr als 150 Rechenzentren weltweit, um seine Services bereitzustellen. 

Zscaler verarbeitet personenbezogene Daten in den Rechenzentren, die dem jeweiligen Standort der Benutzer eines Kunden am nächsten liegen (z. B. EU-Rechenzentren für Benutzer in der EU, US-Rechenzentren für Benutzer in den USA). Wenn ein EU-Benutzer in die USA reist, verarbeitet Zscaler dessen personenbezogene Daten vom nächstgelegenen Rechenzentrum in den USA aus.

Selbst wenn unser Kunde ausschließlich Benutzer in der EU hat, stellt Zscaler weltweite Support-Services nicht nur von der EU, sondern auch von den USA, Indien und Costa Rica (nur für einige Unternehmen in den USA) aus bereit, um eine Abdeckung rund um die Uhr an 365 Tagen im Jahr zu gewährleisten. Die meisten Cloud-Anbieter bieten diesen Service an.

Ungeachtet der oben gemachten Angaben und im Gegensatz zu den meisten Cloud-Anbietern bietet Zscaler seinen Kunden die Option, ihre Kunden-Logs unabhängig vom Datenverarbeitungsland ausschließlich in der EU oder der Schweiz speichern zu lassen. Unsere Kunden können dies im Lauf des Deployment-Prozesses mit Zscaler vereinbaren. 

(4) Greift Zscaler außerhalb der EU auf personenbezogene Daten zu oder übermittelt diese außerhalb der EU?

Ja.  Zscaler verarbeitet personenbezogene Daten weltweit in seinem Netzwerk aus mehr als 150 Rechenzentren, um seine Services bereitzustellen.

Die DSGVO verlangt, dass die Übertragung personenbezogener Daten außerhalb der EU einem genehmigten Rechtsrahmen, wie beispielsweise den Standardvertragsklauseln der EU unterliegt. Zscaler hält sich bei der Übertragung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR), der Schweiz oder des Vereinigten Königreichs an die Standardvertragsklauseln der EU. 

In unserer Datenverarbeitungsvereinbarung (Data Processing Agreement (DPA)) finden Sie dazu weitere Informationen. Sie kann unter www.zscaler.com/gdpr heruntergeladen und unterzeichnet werden.

(5) Wie ist Zscaler von dem Urteil in der Rechtssache CJEU C-311/18 („Schrems II“) betroffen, in dessen Rahmen das Privacy Shield Framework zwischen der EU und den USA außer Kraft gesetzt wurde?

Angesichts des Schrems II-Urteils, bekräftigt Zscaler, dass es weiterhin Produkte und Dienstleistungen in voller Übereinstimmung mit den geltenden Datenschutzbestimmungen zur Verfügung stellt. 

Nichts hat sich in Bezug auf die Art und Weise geändert, wie Zscaler personenbezogene Daten außerhalb der EU übermittelt, um Produkte und Services bereitzustellen. Die Entscheidung des Europäischen Gerichtshofs hat keinen Einfluss darauf, wie wir unsere Produkte und Services bereitstellen, und auch unsere Datenflüsse und die Speicherung der Kunden-Logs bleiben von der Entscheidung unberührt. In der Vergangenheit hat Zscaler die Kundendaten sowohl gemäß den Standardvertragsklauseln der EU als auch in Übereinstimmung mit den Privacy Shield Frameworks für internationale Datenübertragung geschützt. Die Standardvertragsklauseln der EU bleiben weiterhin gültig und der Richter des EU-Gerichtshofs hat ausdrücklich bekräftigt, dass Unternehmen diese Vorgehensweise auch weiterhin beibehalten können. 

Darüber hinaus ist Zscaler auch in Zukunft gemäß den zwischen der EU und den USA und der Schweiz und den USA vereinbarten Privacy Shield Frameworks zertifiziert. Zscaler beruft sich vor dem Hintergrund des Urteils des EU-Gerichtshofs in der Rechtsangelegenheit C-311/18 zwar nicht ausdrücklich auf das Privacy Shield Framework zwischen der EU und den USA als Rechtsgrundlage für die Übertragung personenbezogener Daten, hat sich aber verpflichtet, die Datenschutzrichtlinien dieses zwischen der EU und den USA vereinbarten Privacy Shield Frameworks einzuhalten.

(6) Welche zusätzlichen Maßnahmen bietet Zscaler, wenn es darum geht, die Verwendung der Standardklauseln der EU bei der Übertragung personenbezogener Daten in die USA zu unterstützen?

Wir legen das Urteil des EU-Gerichtshofs in der Sache Schrems II so aus, dass von Fall zu Fall zu entscheiden ist und die besonderen Umstände der jeweiligen Datenübertragung berücksichtigt werden sollten. Möglicherweise müssen zusätzliche Maßnahmen ergriffen werden, um zu gewährleisten, dass das Gesetz des Landes, in das die Daten übertragen werden, die durch die Standardklauseln der EU garantierten angemessenen Schutzmaßnahmen nicht behindert.

Da Zscaler die Daten der Kunden auch schon vor dem Schrems II-Urteil mit Schutzmaßnahmen gemäß den Standardklauseln der EU geschützt hat, haben wir bereits entsprechende Analysen durchgeführt und sind uns sicher, dass wir mit unseren Prozessen und Schutzmaßnehmen auch weiterhin die Gesetzgebung einhalten. Selbstverständlich werden wir uns auch in Zukunft mit den Richtlinien und gesetzlichen Änderungen zum Schutz personenbezogener Daten beschäftigen. Wir erwarten weitere Urteile seitens der EU-Kommission, des Europäischen Datenschutzausschusses und diverser Aufsichtsbehörden. 

Im Folgenden einige Maßnahmen, mit denen wir die Daten unserer Kunden gemäß den Standardklauseln der EU schützen:

  • Wir verarbeiten die personenbezogenen Daten ausschließlich im Namen unserer Kunden und nach den Anweisungen unserer Kunden;
  • Vor der Verarbeitung personenbezogener Daten wenden wir die technischen und organisatorischen Sicherheitsmaßnahmen gemäß DPA an; Zum Schutz der Kunden-Logs wenden wir beispielsweise das Verfahren der Tokenisierung an (weitere Informationen unter Frage 1);
  • Wir informieren unsere Kunden über jede rechtsverbindliche Anfrage zur Offenlegung personenbezogener Daten seitens der Behörden, sofern dies nicht untersagt ist; 
  • Bei der Erstbereitstellung unserer Produkte bieten wir unseren Kunden den Service der benutzerdefinierten Log-Speicherung; die Kunden können wählen, ob sie Daten ausschließlich in der EU (Deutschland, Niederlande) oder der Schweiz speichern möchten;
  • Wir gewährleisten, dass unsere Kunden der Beauftragung von Unterauftragsverarbeitern zustimmen und dass diese Unterauftragsverarbeiter die Daten, die sie in unserem Namen verarbeiten, angemessen schützen;
  • Nach vorheriger schriftlicher Ankündigung und vorbehaltlich bestimmter Bedingungen und Kontrollen genehmigt Zscaler seinen Kunden und Partnern, jährliche Audits und automatisierte Untersuchungen seiner Cloud durchzuführen;
  • Wir verpflichten uns zur durchgängigen Einhaltung der Standardvertragsklauseln der EU und führen weitere gesetzlich erforderliche Maßnahmen innerhalb eines angemessenen Zeitraums ein.

(7) Inwiefern fällt die Aktivierung der SSL-Überprüfung unter die Schutzanforderungen und die Einhaltung der Datenschutzbedingungen?

Durch die Aktivierung von SSL-Überprüfung wird die begrenzte Menge von Daten, die Zscaler verarbeitet oder speichert, nicht erhöht. Die SSL-Überprüfung hilft vielmehr unseren Kunden dabei, die Verpflichtungen gemäß Artikel 32 der DSGVO einzuhalten, indem sie ein angemessenes Sicherheitsniveau für die Verarbeitung personenbezogener Daten bietet. Unsere Kunden müssen im Hinblick auf die SSL-Überprüfung zwar geschäftliche, datenschutzrechtliche und sicherheitsrelevante Auswirkungen berücksichtigen, sie trägt andererseits aber auch entscheidend zur Einhaltung der Verpflichtung zum Schutz der Rechte aller Mitarbeiter des Kunden gegen Bedrohungen und Angriffe bei. Vor diesem Hintergrund sollte die SSL-Überprüfung nicht als Bedrohung für den Datenschutz, sondern eher als Tool gesehen werden, das zum Einhalten der Datenschutzbestimmungen in Unternehmen beiträgt.

Zscaler bietet umfassende SSL/TLS-Überprüfungsfunktionen zum Schutz des Kundendaten-Traffic vor Gefahren, die sich in verschlüsseltem Traffic verbergen. Sobald die Datenüberprüfung abgeschlossen wurde, läuft der Datenverkehr wieder ungestört weiter, wobei keine Aufzeichnung der Quelldaten über das Protokoll der Transaktion selbst hinaus erhalten bleibt. 

(8) Beschäftigt Zscaler Unterauftragsverarbeiter zur Bereitstellung seiner Services?

Ja. Wie jeder Cloud-Anbieter beschäftigt auch Zscaler eine begrenzte Anzahl von Unterauftragsverarbeitern zur Ausführung seiner Services. Gemäß den Bestimmungen der DSGVO wird Zscaler Unterauftragsverarbeiter nur mit vorheriger Zustimmung des Kunden einsetzen. Dies kann vertragliche oder allgemeine Zustimmung einschließen. Darüber hinaus wird Zscaler Kunden vorab schriftlich über jede Änderung der Liste seiner Unterauftragsverarbeiter informieren. Zscaler ist für die Leistung seiner Unterauftragsverarbeiter verantwortlich und haftbar. Eine aktuelle Liste der Unterauftragsverarbeiter von Zscaler finden sie unter https://www.zscaler.com/legal/subprocessors.

(9) Kann Zscaler behilflich sein, wenn ein Recht auf Vergessenwerden (Right to be Forgotten – RTBF) beantragt wird?

Ja. Zscaler verfügt über ein internes Verfahren zur Bearbeitung von RTBF-Anträgen. Es ist jedoch zu beachten, dass unser Kunde als Datenverantwortlicher für die Überprüfung und Validierung des Antrags verantwortlich ist und ein Support-Ticket bei Zscaler einreichen muss. Ein RTBF-Antrag sollte nur dann gestellt werden, wenn eine betroffene Person (in der Regel ein Mitarbeiter oder Benutzer des Kunden) dies von unserem Kunden verlangt. Wenn Zscaler einen RTBF-Antrag direkt von einem Mitarbeiter oder Benutzer des Kunden erhält, werden wir die betreffende Person zur Validierung und Beantragung an unseren Kunden zurückverweisen.