Zscaler und die DSGVO

Einführung

Die Datenschutz-Grundverordnung (DSGVO) (Verordnung (EU) 2016/679), die am 25. Mai 2018 in Kraft trat, ist eine Verordnung, mithilfe derer das Europäische Parlament, der Europäische Rat und die Europäische Kommission den Datenschutz für Personen innerhalb der Europäischen Union (EU) stärken und vereinheitlichen wollen. Die DSGVO befasst sich auch mit der Übermittlung personenbezogener Daten außerhalb der EU. Die Hauptziele der DSGVO sind: (i) Verbesserung des Schutzes von personenbezogenen Daten in der EU und (ii) Vereinfachung des Regelwerkes für internationale Unternehmen durch die Festlegung einheitlicher Datenschutzvorschriften für alle EU-Mitglieder.

Die DSGVO ersetzt die Datenschutzrichtlinie (Richtlinie 95/46/EC) von 1995. Die DSGVO verändert die Datenschutzlandschaft der EU entscheidend. Sie weist Datenverantwortlichen (Kunden und Partnern von Zscaler) und Datenverarbeitern (Zscaler) klarere Verantwortlichkeiten bezüglich der Verarbeitung personenbezogener Daten zu. Gemäß DSGVO müssen sowohl Datenverantwortliche als auch Datenverarbeiter zusätzliche Auflagen und Pflichten zum Schutz personenbezogener Daten erfüllen, und beide Parteien können für jegliche Verstöße gegen die DSGVO haftbar gemacht werden.

Zscaler engagiert sich für den Erfolg seiner Kunden und fühlt sich der Einhaltung der DSGVO verpflichtet. Die DSGVO erfordert eine engere Partnerschaft zwischen Zscaler und den Kunden, die unsere Services und Produkte nutzen. Zscaler hat die Bestimmungen der DSGVO genau analysiert und Services, Produkte, Dokumentationen und Verträge entsprechend der Vorschriften der DSGVO verbessert. Darüber hinaus ist Zscaler bestrebt, Kunden bei ihren Bemühungen um die Einhaltung der DSGVO zu unterstützen.

Unterstützung unserer Kunden bei der Einhaltung der DSGVO
 

  • Gegenüberstellung der Zuständigkeiten des Verantwortlichen und des Verarbeiters: Zscaler hat eine umfassende vergleichende Übersicht über die Pflichten des Kunden als Datenverantwortlicher und Zscaler als Datenverarbeiter erstellt. Diese Übersicht ist als Hilfestellung gedacht, damit Kunden genau verstehen, welche Maßnahmen sie selbst zur Einhaltung der DSGVO ergreifen müssen und was sie von Zscaler erwarten können.
     
  • Aktualisierte Datenverarbeitungsvereinbarung (Data Processing Agreement - DPA): Zscaler hat zudem seine DPA aktualisiert, um sie an die Vorschriften der DSGVO anzupassen. Die aktualisierte DPA enthält überarbeitete oder zusätzliche Vertragsbedingungen, um unsere Kunden bei der Einhaltung der DSGVO zu unterstützen. Sie können die vorab unterzeichnete DPA hier herunterladen und den Anleitungen auf Seite 1 für die Ausführung folgen. Darüber hinaus haben wir ein nützliches DPA-Begleitschreiben zusammengestellt, das Sie bei der Überprüfung unserer DPA unterstützen soll.

Zscaler und Compliance mit der DSGVO

Als Anbieter von Sicherheit als Service steht bei Zscaler der Datenschutz im Mittelpunkt und wird von unserem Unternehmen sehr ernst genommen. Zscaler bleibt dem Schutz personenbezogener Daten entsprechend den höchsten Datenschutz- und Sicherheitsstandards verpflichtet. Untenstehend finden Sie eine Zusammenfassung verschiedener Hauptbereiche der DSGVO, die Zscaler erfüllt.

Datenschutz
 

  • Als Datenverarbeiter verwendet Zscaler personenbezogene Daten ausschließlich im Namen und mit schriftlicher Genehmigung des für die Verarbeitung Verantwortlichen (d. h. mittels eines Vertrags oder eines Auftrags).
  • Zscaler erwartet, dass seine Kunden und Partner als Datenverantwortliche ihre Mitarbeiter und Benutzer (d. h. die Datensubjekte) über die von Zscaler durchgeführte Verarbeitung informieren und hierfür deren Zustimmung erhalten.
  • Zscaler gewährleistet Vertraulichkeit und Verfügbarkeit der verarbeiteten personenbezogenen Daten sowie die Ergreifung angemessener technischer und organisatorischer Maßnahmen zum Schutz dieser personenbezogenen Daten.
  • Zscaler speichert eine begrenzte Menge personenbezogener Daten (z. B. IP-Adressen, URLs, User-IDs, User-Gruppen und -Abteilungen aus dem Unternehmensverzeichnis). Zur Ergänzung:
     
    • Bei der Mehrzahl von Zscaler-Services und -Produkten werden HTTP-, HTTPS- und Nicht-HTTP-Transaktionsinhalte niemals von Zscaler gespeichert oder auf eine Festplatte geschrieben - sämtliche Untersuchungen finden im Arbeitsspeicher statt.
    • Für Kunden, die das Zscaler-Produkt Cloud Sandbox bestellen, zeichnet Zscaler schädliche Inhalte auf einer Speicherplatte auf; Kunden können jedoch selbst entscheiden, welche Dateien an die Sandbox gesendet werden sollen (je nach Dateityp, URL, Kategorie, Benutzer/Gruppe usw.)
    • Bei der Zscaler App (Z App)-Software können Kunden durch Übereinkunft mit Zscaler die Log-Erfassung weltweit aktivieren oder deaktivieren und die Logs vom betreffenden Laptop, Desktop oder Mobilgerät löschen.
    • Durch die Aktivierung von SSL-Überprüfung wird die begrenzte Menge von Daten, die Zscaler verarbeitet oder speichert, nicht erhöht. Es entsteht eher eine weitere Sicherheitsschicht zum Schutz vor solchen Bedrohungen, die sich hinter verschlüsseltem Datenverkehr verbergen, wodurch die Mitarbeiter und Benutzer der Kunden zusätzlich geschützt werden.
    • Kunden können ihre User-IDs verschleiern, sodass weder Betriebs- und Support-Teams von Zscaler noch die eigenen Administratoren diese jemals sehen.
    • Transaktions-Logs von Kunden (Kunden-Logs) werden am Erzeugungspunkt indiziert, komprimiert und tokenisiert – um sicherzustellen, dass ein einzelnes Kunden-Log ohne komplette Kunden-Log-Geschichte und ohne Zugriff auf die Central Authority (CA) von Zscaler wertlos ist. Daher kann selbst bei Zugang zu gespeicherten Daten nicht auf personenbezogene Daten zugegriffen werden, ohne dass Informationen aus den Kunden-Logs und der CA über das User Interface von Zscaler verbunden werden.
    • Kunden-Logs werden niemals in Klartext gespeichert.
    • Kunden haben die Wahl, ihre Kunden-Logs während des Deployment-Verfahrens nur in der EU und in der Schweiz speichern zu lassen. Gegen eine zusätzliche Gebühr können Kunden ihre Kunden-Logs in von Zscaler verwalteten Servern in kundeneigenem Räumlichkeiten speichern.
  • Zscaler gestattet ausschließlich autorisierten Administratoren mit entsprechenden Berechtigungen den Zugriff auf personenbezogene Daten.
  • Zscaler verarbeitet oder speichert keinerlei personenbezogene Daten, die nicht für die Erbringung der Vertragsleistung im Namen des Datenverantwortlichen erforderlich sind.
  • Die von Zscaler im Namen des Datenverantwortlichen verarbeiteten Daten sind so akkurat, komplett und aktuell wie technisch möglich.
  • Personenbezogene Daten werden weder offengelegt oder zur Verfügung gestellt noch für andere Zwecke verwendet, die nicht der Erbringung der Vertragsleistung im Namen des Datenverantwortlichen dienen, es sei denn, dass dies gesetzlich vorgeschrieben ist.
  • Personenbezogene Daten werden ausschließlich zum Zweck der Vertragsleistungserbringung für den Datenverantwortlichen in Staaten außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt und unterliegen den Grundsätzen des EU-US und Swiss-US Privacy Shield und/oder Standardvertragsklauseln der EU.
  • Zscaler speichert Kunden-Logs über einen Zeitraum von sechs Monaten oder kürzer (je nach Produkt) in seiner Cloud-Infrastruktur; danach werden die Kunden-Logs zuverlässig gelöscht. Kunden können zusätzlich den Nanolog Streaming Service (NSS) von Zscaler anfordern, um solche Kunden-Logs so lange zu speichern, wie sie möchten.
  • Zscaler wird Unterauftragsverarbeiter nur mit vorheriger Zustimmung des Datenverantwortlichen einsetzen. Dies kann vertragliche oder allgemeine Zustimmung einschließen. Zscaler ist für die Leistung solcher Unterauftragsverarbeiter verantwortlich und haftbar. Zscaler führt eine aktuelle Liste der Unterauftragsverarbeiter unter https://www.zscaler.com/legal/subprocessor.
  • Bei Vertragskündigung oder -ablauf werden die Kunden-Logs nach Ablauf des sechsmonatigen (oder kürzeren) Aufbewahrungszeitraums, oder wie zuvor schriftlich vom Datenverantwortlichen beantragt, gelöscht.
  • Zscaler stellt dem Datenverantwortlichen sämtliche Informationen zur Verfügung, die zum Nachweis der Einhaltung der DSGVO erforderlich sind.
  • Zscaler ist für die Sicherstellung der eigenen Übereinstimmung mit der DSGVO rechenschaftspflichtig und verantwortlich.
  • Zscaler unterstützt den Datenverantwortlichen bei der Erfüllung seiner Verpflichtungen gemäß der DSGVO unter Berücksichtigung der Verarbeitungsart und der Zscaler zur Verfügung stehenden Informationen.

Sicherheitsvorkehrungen
 

  • Zscaler schützt personenbezogene Daten mittels angemessener Sicherheitsmaßnahmen vor Risiken wie Verlust oder unberechtigtem Zugriff, Vernichtung, Nutzung, Modifizierung oder Offenlegung.
  • Als Betreiber einer mandantenfähigen Cloud ist Zscaler nach dem ISO 27001 Informationssicherheits-Framework zertifiziert, um konsistente und stabile Sicherheitskontrollen und -verfahren für alle Kunden seiner Cloud zu gewährleisten. Darüber hinaus beachtet Zscaler die Normen der System and Organization Controls (SOC) 2, Typ II.
  • Zscaler führt in seiner Cloud strikte Sicherheitsmaßnahmen wie Virenschutz, Firewalls, regelmäßige Schwachstellenüberprüfung, Penetrationstests und Peer-Reviews von Sicherheitscodes durch.
  • Die Cloud-Infrastruktur von Zscaler kann DDoS-Angriffe abwehren und wird 24x7x365 überwacht.
  • Alle zur Verarbeitung personenbezogener Daten berechtigten Mitarbeiter von Zscaler sind (per Arbeits- und Vertraulichkeitsvereinbarung) zu Geheimhaltung und Schutz von personenbezogenen Daten verpflichtet.
  • Zscaler verschlüsselt sämtlichen Datenverkehr in seiner Cloud; außerdem werden Daten anonymisiert, pseudonymisiert oder verschleiert, soweit dies technisch möglich ist.
  • Neben der Beachtung der Grundsätze von ISO 27001 nehmen die von Zscaler genutzten erstklassigen globalen Rechenzentren Sicherheitsaspekte selbst ebenso ernst wie Zscaler – unter anderem durch Schutzmaßnahmen wie komplexe Zugangskontrollsysteme, doppelte Stromzuführung mit Backup-Generatoren und Videoüberwachung.
  • Ein weltweites Rechenzentrumsnetzwerk und Failover-Kapazitäten ermöglichen es Zscaler, die Vertraulichkeit, Integrität, Verfügbarkeit und Stabilität seiner Verarbeitungssysteme und Services zu gewährleisten und zudem Echtzeitverfügbarkeit und Zugriff auf personenbezogene Daten bei physischen oder technischen Störfällen zeitnah wiederherzustellen.
  • Zscaler wendet interne Verfahren zum regelmäßigen Testen, Überprüfen und Bewerten der Leistungsfähigkeit technischer und organisatorischer Maßnahmen an, um bei der Verarbeitung personenbezogener Daten Sicherheit zu garantieren.
  • Nach vorheriger schriftlicher Ankündigung und vorbehaltlich bestimmter Bedingungen und Kontrollen genehmigt Zscaler seinen Kunden und Partnern, jährliche Audits und automatisierte Untersuchungen seiner Cloud durchzuführen.
  • Im Fall einer Verletzung von personenbezogenen Daten benachrichtigt Zscaler den Datenverantwortlichen unverzüglich nach Kenntnisnahme und unterstützt diesen bei der Meldung jeglicher Verletzung von personenbezogenen Daten an Aufsichtsbehörden und betroffene EU-Dateneigner.

DSGVO FAQs

Wir haben die folgenden FAQs zusammengestellt, um die häufigsten Fragen von Kunden und Partnern in Bezug auf unsere Plattform zu beantworten.

  • 1. Welche personenbezogenen Daten werden von Zscaler gespeichert und/oder verarbeitet?

    Zscaler speichert eine begrenzte Menge personenbezogener Daten (z. B. IP-Adressen, URLs, User-IDs, User-Gruppen und -Abteilungen aus dem Unternehmensverzeichnis).

    Die Mitarbeiter des Zscaler-Support greifen nur dann auf personenbezogene Daten eines Kunden zu, wenn sie von dem betreffenden Kunden ausdrücklich dazu autorisiert wurden. Außerdem können Kunden ihre Benutzer-IDs verschleiern, sodass ihre eigenen Administratoren diese niemals sehen.

    Bei der Mehrzahl von Zscaler-Services und -Produkten werden HTTP-, HTTPS- und Nicht-HTTP-Transaktionsinhalte niemals von Zscaler gespeichert oder auf eine Festplatte geschrieben - sämtliche Untersuchungen finden im Arbeitsspeicher statt.

    Für Kunden, die das Zscaler-Produkt Cloud Sandbox bestellen, zeichnet Zscaler schädliche Inhalte auf einer Speicherplatte auf; Kunden können jedoch selbst entscheiden, welche Dateien an die Sandbox gesendet werden sollen (je nach Dateityp, URL, Kategorie, Benutzer/Gruppe usw.)

    Bei der Software der Zscaler App (Z App) können Kunden durch Übereinkunft mit Zscaler die Log-Erfassung weltweit aktivieren oder deaktivieren und die Logs vom betreffenden Laptop, Desktop oder Mobilgerät löschen.

    Transaktions-Logs von Kunden (Kunden-Logs) werden niemals in Klartext gespeichert sondern am Erzeugungspunkt indiziert, komprimiert und tokenisiert – um sicherzustellen, dass ein einzelnes Kunden-Log ohne komplette Geschichte des Kunden-Log und ohne Zugriff auf die Central Authority (CA) von Zscaler wertlos ist. Daher kann selbst bei Zugang zu gespeicherten Daten nicht auf personenbezogene Daten zugegriffen werden, ohne dass Informationen aus den Kunden-Logs und der CA über das Benutzer-Interface von Zscaler verbunden werden.

  • 2. Wie schützt Zscaler die verarbeiteten und/oder gespeicherten personenbezogenen Daten?

    Zscaler implementiert physische, technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau gemäß der Normen von Artikel 32 der DSGVO zu gewährleisten. Zscaler ist nach dem ISO 27001 Informationssicherheits-Framework und den Normen der System and Organization Controls (SOC) 2, Typ II zertifiziert und wird jährlich von einer Drittpartei überprüft, um die permanente Übereinstimmung mit diesen Zertifizierungen sicherzustellen. Zscaler testet, bewertet und überprüft die Wirksamkeit seiner Sicherheitsmaßnahmen regelmäßig. Auf schriftliche Anfrage und vorbehaltlich eines angemessenen Schutzes der Vertraulichkeit kann Zscaler dem Kunden eine Kopie seines neuesten ISO 27001-Zertifikats und/oder SOC 2, Typ II-Reporting zur Verfügung stellen. Weitere Informationen finden Sie unter  https://www.zscaler.com/company/compliance.

  • 3. Was ist der Unterschied zwischen Pseudonymisierung und Anonymisierung von Daten? Und kann ich mich dafür entscheiden, dass die Daten meines Unternehmens vollständig anonymisiert statt pseudonymisiert werden?

    Mithilfe der Pseudonymisierung von Daten wird erreicht, dass Daten einem System, einer Person oder einer Organisation erneut zugeordnet werden können. Im Gegensatz dazu können anonymisierte Daten niemals einem System, einer Person oder einer Organisation erneut zugeordnet werden.

    Aus Gründen der Cybersicherheit müssen Organisationen in der Lage sein, Daten neu zuzuordnen, falls die Organisation nach einer Sicherheitslücke oder -verletzung eine Untersuchung, Fehlerbehebung oder Wiederherstellung durchführen muss (wie zum Beispiel das Isolieren eines gezielten Phishing-Angriffs). Unser Produktangebot gibt Kunden die Möglichkeit, ihre personenbezogenen Daten entweder zu verschleiern oder zu pseudonymisieren, sodass unsere Kunden eine Option für die Fehlerbehebung von Geräten haben, wenn sie eine Sicherheitsverletzung oder -lücke melden. Zscaler verwendet zur Pseudonymisierung personenbezogener Daten die „Tokenisierungs“-Methode.

  • 4. Darf Zscaler seine Services nur von der Europäischen Union (EU) aus anbieten?

    Nein. Da Zscaler ein in den USA ansässiges Unternehmen mit einer globalen Cloud-Plattform ist, verarbeitet Zscaler personenbezogene Daten in seinem Netzwerk aus mehr als 150 Rechenzentren weltweit, um seine Services bereitzustellen.

    Zscaler verarbeitet personenbezogene Daten in den Rechenzentren, die dem jeweiligen Standort der Benutzer eines Kunden am nächsten liegen (d. h. EU-Rechenzentren für Benutzer in der EU, US-Rechenzentren für Benutzer in den USA). Wenn ein EU-Benutzer beispielsweise in die USA reist, verarbeitet Zscaler dessen personenbezogene Daten vom nächstgelegenen Rechenzentrum in den USA aus.

    Selbst wenn unser Kunde ausschließlich Benutzer in der EU hat, stellt Zscaler weltweite Support-Services aus den USA, Indien und Costa Rica (nur TAM Support-Services) zu Verfügung, um 24x7x365 Abdeckung zu gewährleisten. Dies trifft auf die meisten Cloud-Anbieter zu.

    Ungeachtet des oben Gesagten und im Gegensatz zu den meisten Cloud-Anbietern bietet Zscaler seinen Kunden die Option, ihre Kunden-Logs unabhängig vom Datenverarbeitungsland ausschließlich in der EU oder der Schweiz speichern zu lassen. Unsere Kunden können dies im Lauf des Deployment-Prozesses mit Zscaler vereinbaren.

  • 5. Greift Zscaler außerhalb der EU auf personenbezogene Daten zu oder übermittelt diese außerhalb der EU?

    Ja. Wie oben erwähnt, ist Zscaler ein in den USA ansässiges Unternehmen, das eine globale Cloud-Plattform bereitstellt.

    Die DSGVO untersagt den Zugang zu oder die Übermittlung von personenbezogen Daten außerhalb der EU nicht – sie verlangt lediglich, dass solche Transfers einem genehmigten Rechtsrahmen wie dem Privacy Shield oder den Modellvertragsklauseln der EU unterliegen.

    Zscaler hält sich sowohl an die EU-US und die Swiss-US Privacy Shield Frameworks als auch an die Modellvertragsklauseln der EU. Beide Frameworks werden in unserer Datenschutzrichtlinie (Data Processing Agreement - DPA) angesprochen, die unter www.zscaler.com/gdpr von Kunden heruntergeladen und unterzeichnet werden kann.

  • 6. Ändert die Aktivierung der SSL-Überprüfung die Art der von Zscaler verarbeiteten oder gespeicherten Daten?

    Nein. Durch die Aktivierung der SSL-Überprüfung wird die begrenzte Menge von Daten, die Zscaler verarbeitet oder speichert, nicht erhöht. Es entsteht eher eine weitere Sicherheitsschicht zum Schutz vor solchen Bedrohungen, die sich hinter verschlüsseltem Datenverkehr verbergen, wodurch Mitarbeiter und Benutzer unserer Kunden zusätzlich geschützt werden. Man könnte argumentieren, dass die Pflichten des Datenverantwortlichen nach Artikel 32 der DSGVO (Datensicherheit) die Durchführung einer SSL-Überprüfung einschließen sollten, da so viele Bedrohungen mittlerweile hinter verschlüsseltem Traffic verborgen sind.

  • 7. Beschäftigt Zscaler Unterauftragsverarbeiter zur Ausführung seiner Services?

    Ja. Wie jeder Cloud-Anbieter beschäftigt auch Zscaler eine begrenzte Anzahl von Unterauftragsverarbeitern zur Ausführung seiner Services. Gemäß den Bestimmungen der DSGVO wird Zscaler neue Unterauftragsverarbeiter nur mit vorheriger Zustimmung des Kunden einsetzen. Dies kann vertragliche oder allgemeine Zustimmung einschließen. Darüber hinaus wird Zscaler Kunden vorab schriftlich über jede Änderung der Liste seiner Unterauftragsverarbeiter informieren. Zscaler ist für die Leistung seiner Unterauftragsverarbeiter verantwortlich und haftbar. Eine aktuelle Liste der Unterauftragsverarbeiter von Zscaler finden sie unter https://www.zscaler.com/legal/subprocessors.

  • 7. Kann Zscaler Ihnen behilflich sein, wenn Sie ein Recht auf Vergessenwerden (Right to be Forgotten - RTBF) beantragen?

    Ja. Zscaler verfügt über ein internes Verfahren zur Bearbeitung von RTBF-Anträgen. Beachten Sie jedoch, dass unser Kunde als Datenverantwortlicher für die Überprüfung und Validierung des Antrags verantwortlich ist und ein Support-Ticket bei Zscaler einreichen muss. Ein RTBF-Antrag sollte nur dann gestellt werden, wenn ein Dateneigner (in der Regel ein Mitarbeiter oder Benutzer des Kunden) dies von unserem Kunden verlangt. Wenn Zscaler einen RTBF-Antrag direkt von einem Mitarbeiter oder Benutzer des Kunden erhält, werden wir die betreffende Person zur Validierung und Beantragung an unseren Kunden zurückverweisen.

https://gdpr-info.eu/

http://www.eugdpr.org/gdpr-faqs.html

https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf

https://ec.europa.eu/info/law/law-topic/data-protection_en

HINWEIS: Diese Seite wurde erstellt, um Organisationen ein Verständnis für die DSGVO im Zusammenhang mit den Services und Produkten von Zscaler zu vermitteln. Die hierin enthaltenen Informationen gelten nicht als Rechtsberatung, und Organisationen sollten sich bezüglich der Auslegung von speziellen Pflichten gemäß der DSGVO an ihren eigenen Rechtsberater wenden.