DSGVO und Privacy Shield Policy

Datum des Inkrafttretens: 20. November 2018

Einführung

Diese DSGVO und Privacy Shield Policy („Richtlinie“) beschreibt, wie Zscaler, Inc. und seine Tochterunternehmen („Zscaler“ oder „Wir“ oder „Uns“) bestimmte persönlich identifizierbare Angaben erfassen, verwenden und offenlegen, die wir aus den Vereinigten Staaten („USA“), der Europäischen Union (EU) und/oder der Schweiz erhalten (die „personenbezogenen Daten“). Diese Richtlinie ergänzt die Datenschutzrichtlinie von Zscaler, die Sie unter  www.zscaler.com/company/privacy-policy finden. Falls nicht ausdrücklich anders definiert, haben die Begriffe in dieser Richtlinie dieselbe Bedeutung wie in der Datenschutzrichtlinie von Zscaler. 

Zscaler erkennt die strengen Schutzbestimmungen der EU und der Schweiz bezüglich des Umgangs mit personenbezogenen Daten an, einschließlich der Vorschriften für einen angemessenen Schutz personenbezogener Daten, die außerhalb der EU und/oder der Schweiz übermittelt werden. Um angemessenen Schutz für bestimmte personenbezogene Daten von Unternehmenskunden, Partnern, Lieferanten und Mitarbeiten zu gewährleisten, die Zscaler in den USA erhält, nimmt Zscaler eine Selbstzertifizierung gemäß des EU-US und Swiss-US Privacy Shield Frameworks vor, das vom Department of Commerce der USA verwaltet wird („Privacy Shield“). 

Zscaler befolgt die Grundsätze des Privacy Shield hinsichtlich Meldung, Auswahl, Rechenschaftspflicht für Weiterübermittlung, Sicherheit, Datenintegrität, Zweckbegrenzung und Zugriff sowie Regress, Geltendmachung und Haftung. Bei Konflikten zwischen den Bestimmungen dieser Richtlinie und den Grundsätzen des Privacy Shield gelten die Grundsätze des Privacy Shield. 

Zum Zweck der Durchsetzung und Einhaltung des Privacy Shield unterliegt Zscaler der Ermittlungs- und Vollstreckungsbehörde der Federal Trade Commission der USA. Weitere Informationen zum Privacy Shield finden Sie auf der Website des Department of Commerce der USA unter https://www.privacyshield.gov. Um die Privacy Shield-Zertifizierung von Zscaler einzusehen, gehen Sie bitte zur Liste zertifizierter Unternehmen des Department of Commerce der USA unter https://www.privacyshield.gov/list

Die Richtlinie enthält auch Bestimmungen, die die Verpflichtung von Zscaler zur Einhaltung der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) (die „DSGVO“) widerspiegeln.

Erhebung und Verwendung personenbezogener Daten

Zusätzlich zu den in der Datenschutzrichtlinie von Zscaler genannten persönlichen Angaben darf Zscaler die folgenden Kategorien personenbezogener Daten aus der EU und/oder der Schweiz beziehen:
 

  • User-IDs aus dem Unternehmensverzeichnis des Kunden, die Benutzer, Gruppen und Abteilungen innerhalb der Organisation des Kunden identifizieren;
  • Transaktionsprotokolle für alle vom Kunden durchgeführte HTTP/HTTPS- und Nicht-HTTP/HTTPS-Transaktionen;
  • Öffentliche IP-Adressen zur Ableitung der zur Produktnutzung vorgesehenen Standorte des Kunden;
  • Zertifikate und Schlüssel, die dem Kunden eine selektive Überwachung von SSL-Kommunikation erlauben;
  • Daten zur Authentifizierung von Mitarbeitern des Kunden, einschließlich User-IDs wie E-Mail-Adressen der Benutzer sowie Informationen über Gruppen und Abteilungen der Organisation, damit der Kunde granulare Richtlinien für die Zugangskontrolle erstellen und Sicherheitsvorfälle protokollieren kann; 
  • Rechnungs- und Kontaktangaben (Name, Postanschrift, Telefonnummer, E-Mail-Adresse usw.) von Partnern und Lieferanten;
  • Andere von einem Kunden, Lieferanten oder Partner zur Verfügung gestellte Daten, die Zscaler die Bereitstellung von Produkten erleichtern oder Zscaler den Empfang von Dienstleistungen ermöglichen.

Zscaler bezieht zudem Personaldaten von seinen Mitarbeitern in der EU und/oder der Schweiz, um verschiedene Aspekte des Arbeitsverhältnisses zu verwalten. Zscalers Umgang mit diesen Daten unterliegt internen Unternehmensrichtlinien, die mit dem Privacy Shield übereinstimmen. Zscaler verpflichtet sich dazu, mit den Datenschutzbehörden der EU und dem Datenschutzbeauftragten für das Bundesgesetz über den Datenschutz der Schweiz (DSG) zu kooperieren und die Empfehlungen dieser Behörden bezüglich der im Rahmen des Arbeitsverhältnisses übermittelten Personaldaten aus der EU und der Schweiz zu berücksichtigen.

Wir verarbeiten personenbezogene Daten ausschließlich zum Zweck der Leistungserbringung für unsere Kunden sowie für andere Zwecke, die von der betroffenen Person oder dem Datenverantwortlichen genehmigt wurden. Zscaler verarbeitet personenbezogene Daten ausschließlich gemäß des Zweckes, für den Zscaler die personenbezogenen Daten erfasst hat, oder für Zwecke, die von der betroffenen Person oder Organisation genehmigt wurden. Bevor wir Ihre personenbezogenen Daten für einen Zweck verwenden, der wesentlich von demjenigen abweicht, für den sie erfasst wurden, oder den Sie später genehmigt haben, bieten wir Ihnen die Möglichkeit, dies abzulehnen. Zscaler führt angemessene Verfahren durch, um sicherzustellen, dass personenbezogene Daten für den beabsichtigten Gebrauch zuverlässig, genau, vollständig und aktuell sind.

Wir erfassen keine personenbezogenen Daten, die gemäß DSGVO oder Privacy Shield als vertrauliche persönliche Daten gelten. 

Datenübermittlung an Dritte

Vertreter von Drittparteien oder Service-Provider

Wir dürfen personenbezogene Daten an Vertreter von Drittparteien oder Service-Anbieter weitergeben, die gemäß der Datenschutzrichtlinie von Zscaler in unserem Namen Leistungen erbringen. Soweit von der DSGVO und dem Privacy Shield gefordert, treffen wir mit diesen Vertretern von Drittparteien und Service-Anbietern schriftliche Vereinbarungen, in denen sich diese zu einem der DSGVO und dem Privacy Shield entsprechenden Schutzniveau verpflichten, und beschränken deren Datenverwendung auf die genannten, für uns erbrachten Leistungen. Wir ergreifen geeignete und angemessene Maßnahmen, um (i) sicherzustellen, dass Vertreter von Drittparteien und Service-Anbieter personenbezogene Daten gemäß den Vorschriften von DSGVO und Privacy Shield verarbeiten, und um (ii) jegliche unberechtigte Verarbeitung zu unterbinden und zu verhindern. Unter bestimmten Umständen bleiben wir für Handlungen von Vertretern von Drittparteien und Service-Anbietern, die in unserem Auftrag Leistungen erbringen, bezüglich ihres Umgangs mit personenbezogenen Daten haftbar.

Offenlegung aus Gründen der nationalen Sicherheit oder Rechtsdurchsetzung

Unter bestimmten Umständen müssen wir personenbezogene Daten aufgrund berechtigter Anfragen von Behörden offenlegen, unter anderem um gesetzliche Auflagen in Bezug auf nationale Sicherheit und Strafverfolgung zu erfüllen.

Security-Übersicht

Zscaler ergreift geeignete und angemessene Sicherheitsmaßnahmen, um Ihre personenbezogenen Daten gemäß DSGVO und Privacy Shield vor Verlust, Missbrauch, unberechtigtem Zugriff, Offenlegung, Änderung oder Vernichtung zu schützen.

Datenzugriffs- und Portabilitätsrechte

Sie haben unter Umständen das Recht, auf Ihre von uns erfassten personenbezogenen Daten zuzugreifen und von uns eine Korrektur, Änderung oder Löschung zu verlangen, falls die Daten fehlerhaft sind oder bei der Verarbeitung gegen DSGVO oder Privacy Shield verstoßen wurde. Diese Zugriffsrechte können in einigen Fällen eingeschränkt werden, wenn die Zugangsberechtigung zum Beispiel mit übermäßigem Aufwand oder Kosten verbunden wäre oder wenn durch den beantragten Zugriff Rechte von Dritten verletzt würden. Falls Sie auf Ihre personenbezogenen Daten zugreifen und diese korrigiert, geändert oder gelöscht haben möchten, können Sie dies schriftlich beantragen. Die entsprechende Kontaktinformation finden Sie unten unter „Kontakt“. Wir verlangen unter Umständen bestimmte Informationen von Ihnen, um Ihre Identität zu bestätigen. In einigen Fällen können wir für den Zugriff auf Ihre Daten eine angemessene Gebühr erheben.

Sie haben das Recht, Ihre personenbezogenen Daten in geordneter, allgemein gebräuchlicher und maschinenlesbarer Form zu erhalten, sowie das Recht, Ihre personenbezogenen Daten ohne Behinderung durch Zscaler an einen anderen Datenverantwortlichen weiterzugeben.

Vorratsspeicherung von Daten

Wir speichern Ihre von uns erfassten personenbezogen Daten so lange, wie es im Rahmen der Datenschutzrichtlinie von Zscaler und der in dieser Richtlinie festgelegten Zwecke erforderlich ist. Bitte beachten Sie, dass wir Ihre personenbezogen Daten unter Umständen auch aus rechtlichen und buchhaltungstechnischen Gründen speichern müssen.

Fragen oder Beschwerden

Zscaler verpflichtet sich, Beschwerden über unsere Erfassung oder Verwendung Ihrer personenbezogenen Daten in Übereinstimmung mit den Grundsätzen des Privacy Shield zu klären. 

Weiterhin verpflichtet sich Zscaler, ungeklärte Beschwerden bezüglich des Privacy Shield an die internationale Abteilung der American Arbitration Association („ICDR/AAA“) mit Sitz in den Vereinigten Staaten zu verweisen. Falls Sie von uns keine zeitnahe Rückmeldung auf Ihre Beschwerde erhalten oder wir Ihre Beschwerde nicht zufriedenstellend geklärt haben, wenden Sie sich bitte an die ICDR/AAA oder besuchen Sie deren Website unter http://go.adr.org/privacyshield.html für weitere Informationen oder die Einreichung einer Beschwerde. Die Dienstleistungen der ICDR/AAA stehen Ihnen kostenlos zur Verfügung.

Bindende Schiedsverfahren

Sie können unter bestimmten Umständen ein bindendes Schiedsverfahren zur Klärung Ihrer Beschwerde in Anspruch nehmen, sofern Sie die folgenden Schritte unternommen haben: (1) Sie haben Ihre Beschwerde direkt bei Zscaler eingereicht und uns die Gelegenheit gegeben, das Problem zu lösen; (2) Sie haben vom oben genannten unabhängigen Konfliktbeilegungsverfahren Gebrauch gemacht; und (3) Sie haben die Beschwerde kostenfrei bei der zuständigen Datenschutzbehörde eingereicht und dem Department of Commerce der USA die Gelegenheit gegeben, das Problem zu lösen. Für weitere Informationen über bindende Schiedsverfahren siehe: Privacy Shield Framework des US Department of Commerce: Anhang I (Bindendes Schiedsverfahren) unter http://ec.europa.eu/justice/data-protection/files/annexes_eu-us_privacy_shield_en.pdf.  

Kontakt

Falls Sie Fragen zu dieser Richtlinie haben oder Zugriff auf Ihre  personenbezogenen Daten beantragen möchten, kontaktieren Sie uns bitte unter folgender Adresse: 

Zscaler, Inc.
Attn: Privacy Department
120 Holger Way
San Jose, CA 95134, USA
E-Mail: [email protected]

Änderungen dieser Richtlinie

Wir behalten uns das Recht vor, diese Richtlinie von Zeit zu Zeit in Übereinstimmung mit den Vorschriften des Privacy Shield und der DSGVO abzuändern.