FAQ
Wir haben die folgenden FAQs zusammengestellt, um die häufigsten Fragen von Kunden und Partnern in Bezug auf unsere Plattform zu beantworten.
(1) Welche personenbezogenen Daten werden von Zscaler gespeichert und/oder verarbeitet?
Zscaler speichert eine begrenzte Menge personenbezogener Daten (z. B. IP-Adressen, URLs, User-IDs, User-Gruppen und -Abteilungen aus dem Unternehmensverzeichnis), verarbeitet oder speichert jedoch keinerlei spezielle oder sensible Kategorien personenbezogener Daten (z. B. Kreditkartendaten oder geschützte Gesundheitsinformationen). Außerdem können Kunden ihre Benutzer-IDs verschleiern, sodass ihre eigenen Administratoren diese niemals sehen.
Die Mitarbeiter des Zscaler-Support greifen nur dann auf personenbezogene Daten eines Kunden zu, wenn sie von dem betreffenden Kunden ausdrücklich dazu autorisiert wurden.
Bei der Mehrzahl von Zscaler-Services und -Produkten werden HTTP-, HTTPS- und Nicht-HTTP-Transaktionsinhalte niemals von Zscaler gespeichert oder auf eine Festplatte geschrieben – sämtliche Untersuchungen finden im Arbeitsspeicher statt.
Für Kunden, die das Zscaler-Produkt Cloud Sandbox bestellen, zeichnet Zscaler schädliche Inhalte auf einer Speicherplatte auf; Kunden können jedoch selbst entscheiden, welche Dateien an die Sandbox gesendet werden sollen (je nach Dateityp, URL, Kategorie, Benutzer/Gruppe usw.)
Bei dem Zscaler Client Connector können Kunden durch Übereinkunft mit Zscaler die Paket-Erfassung weltweit aktivieren oder deaktivieren und die Logs für die Paket-Erfassung vom betreffenden Laptop, Desktop oder Mobilgerät löschen.
Transaktions-Logs von Kunden (Kunden-Logs) werden niemals in Klartext gespeichert sondern am Erzeugungspunkt indiziert, komprimiert und tokenisiert – um sicherzustellen, dass ein einzelnes Kunden-Log ohne komplette Geschichte des Kunden-Log und ohne Zugriff auf die Central Authority (CA) von Zscaler wertlos ist. Daher kann selbst bei Zugang zu gespeicherten Daten nicht auf personenbezogene Daten zugegriffen werden, ohne dass Informationen aus den Kunden-Logs und der CA über das Benutzer-Interface von Zscaler verbunden werden.
(2) Welche vertraglichen Maßnahmen ergreift Zscaler zur Einhaltung der DSGVO?
Als Auftragsverarbeiter verwendet Zscaler personenbezogene Daten ausschließlich im Auftrag und mit schriftlicher Genehmigung des Datenverantwortlichen (d. h. mittels eines Vertrags bzw. Auftrags, wobei die Einzelheiten dieser Anweisungen in der DPA dargelegt werden).
Weitere Informationen über die DPA von Zscaler finden sich unter www.zscaler.com/privacy/dpa
Darüber hinaus haben wir mit allen Unterauftragsverarbeitern gemäß den Anforderungen von Artikel 28, Absatz 4 der DSGVO schriftliche Vereinbarungen getroffen und bleiben weiterhin für die Handlungen und Unterlassungen dieser Unterauftragsverarbeiter verantwortlich. Im Rahmen der Sorgfaltspflicht obliegt es uns zu gewährleisten, dass alle Unterauftragsverarbeiter die gesetzlichen Datenschutzvorschriften einhalten.
(3) Wie schützt Zscaler die verarbeiteten und/oder gespeicherten personenbezogenen Daten?
Zscaler implementiert gemäß Artikel 32 der DSGVO geeignete physische, technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zscaler ist nach den Normen ISO 27001 und System and Organization Controls (SOC) 2, Typ II zertifiziert. Die Konformität mit diesen Normen wird jährlich durch einen unabhängigen Prüfer festgestellt. Die Wirksamkeit der eingesetzten Sicherheitsmaßnahmen wird von Zscaler regelmäßig getestet, bewertet und überprüft. Auf schriftliche Anfrage und vorbehaltlich eines angemessenen Schutzes der Vertraulichkeit kann Zscaler dem Kunden eine Kopie des aktuellen Zertifikats nach ISO 27001 bzw. einen SOC-2-Typ-II-Prüfungsbericht zur Verfügung stellen. Weitere Informationen unter [Link zur Seite „Compliance“]
(4) Darf Zscaler seine Services nur von der Europäischen Union (EU) aus anbieten?
Nein. Als Unternehmen mit Sitz in den USA und einer globalen Cloud-Plattform verarbeitet Zscaler personenbezogene Daten im Zuge der Bereitstellung der Services über ein Netzwerk aus mehr als 150 Rechenzentren weltweit.
Zscaler verarbeitet personenbezogene Daten jeweils in dem Rechenzentrum, das dem Standort der User des betreffenden Kunden geografisch am nächsten liegt (d. h. EU-Rechenzentren für User in der EU, US-Rechenzentren für User in den USA). Wenn ein EU-User in die USA reist, verarbeitet Zscaler dessen personenbezogene Daten vom nächstgelegenen Rechenzentrum in den USA aus.
Selbst wenn unser Kunde ausschließlich Benutzer in der EU hat, stellt Zscaler weltweite Support-Services nicht nur von der EU, sondern auch von den USA, Indien und Costa Rica (nur für einige Unternehmen in den USA) aus bereit, um eine Abdeckung rund um die Uhr an 365 Tagen im Jahr zu gewährleisten. Die meisten Cloud-Anbieter bieten diesen Service an.
Ungeachtet der oben gemachten Angaben und im Gegensatz zu den meisten Cloud-Anbietern bietet Zscaler seinen Kunden die Option, ihre Kunden-Logs unabhängig vom Datenverarbeitungsland ausschließlich in der EU oder der Schweiz speichern zu lassen. Unsere Kunden können dies im Lauf des Deployment-Prozesses mit Zscaler vereinbaren.
(5) Greift Zscaler außerhalb der EU auf personenbezogene Daten zu oder übermittelt diese außerhalb der EU?
Ja. Zur Bereitstellung der Services verarbeitet Zscaler personenbezogene Daten über ein Netzwerk aus mehr als 150 Rechenzentren weltweit.
Die DSGVO verlangt, dass die Übertragung personenbezogener Daten außerhalb der EU einem genehmigten Rechtsrahmen, wie beispielsweise den Standardvertragsklauseln der EU unterliegt. Zscaler hält sich bei der Übertragung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR), der Schweiz oder des Vereinigten Königreichs an die Standardvertragsklauseln der EU.
Nähere Informationen dazu können unserer Datenverarbeitungsvereinbarung (Data Processing Agreement (DPA)) entnommen werden, die unter www.zscaler.com/privacy/dpa zum Herunterladen und Unterzeichnen bereitsteht.
(5) Inwieweit ist Zscaler von dem Urteil in der Rechtssache CJEU C-311/18 („Schrems II“) betroffen, das das Privacy Shield Framework zwischen der EU und den USA außer Kraft setzt?
Angesichts des Schrems II-Urteils, bekräftigt Zscaler, dass es weiterhin Produkte und Dienstleistungen in voller Übereinstimmung mit den geltenden Datenschutzbestimmungen zur Verfügung stellt.
Nichts hat sich in Bezug auf die Art und Weise geändert, wie Zscaler personenbezogene Daten außerhalb der EU übermittelt, um Produkte und Services bereitzustellen. Die Entscheidung des Europäischen Gerichtshofs hat keinen Einfluss darauf, wie wir unsere Produkte und Services bereitstellen, und auch unsere Datenflüsse und die Speicherung der Kunden-Logs bleiben von der Entscheidung unberührt. In der Vergangenheit hat Zscaler die Kundendaten sowohl gemäß den Standardvertragsklauseln der EU als auch in Übereinstimmung mit den Privacy Shield Frameworks für internationale Datenübertragung geschützt. Die Standardvertragsklauseln der EU bleiben weiterhin gültig und der Richter des EU-Gerichtshofs hat ausdrücklich bekräftigt, dass Unternehmen diese Vorgehensweise auch weiterhin beibehalten können.
Darüber hinaus ist Zscaler auch in Zukunft gemäß den zwischen der EU und den USA und der Schweiz und den USA vereinbarten Privacy Shield Frameworks zertifiziert. Zscaler beruft sich vor dem Hintergrund des Urteils des EU-Gerichtshofs in der Rechtsangelegenheit C-311/18 zwar nicht ausdrücklich auf das Privacy Shield Framework zwischen der EU und den USA als Rechtsgrundlage für die Übertragung personenbezogener Daten, hat sich aber verpflichtet, die Datenschutzrichtlinien dieses zwischen der EU und den USA vereinbarten Privacy Shield Frameworks einzuhalten.
(7) Welche zusätzlichen Zusagen macht Zscaler zur Gewährleistung, dass die Übermittlung personenbezogener Daten in die USA den Standardvertragsklauseln der EU unterliegt?
Wir legen das Urteil des EU-Gerichtshofs in der Sache Schrems II so aus, dass von Fall zu Fall zu entscheiden ist und die besonderen Umstände der jeweiligen Datenübertragung berücksichtigt werden sollten. Möglicherweise müssen zusätzliche Maßnahmen ergriffen werden, um zu gewährleisten, dass das Gesetz des Landes, in das die Daten übertragen werden, die durch die Standardklauseln der EU garantierten angemessenen Schutzmaßnahmen nicht behindert.
Da Zscaler die Daten der Kunden auch schon vor dem Schrems II-Urteil mit Schutzmaßnahmen gemäß den Standardklauseln der EU geschützt hat, haben wir bereits entsprechende Analysen durchgeführt und sind uns sicher, dass wir mit unseren Prozessen und Schutzmaßnehmen auch weiterhin die Gesetzgebung einhalten. Selbstverständlich werden wir uns auch in Zukunft mit den Richtlinien und gesetzlichen Änderungen zum Schutz personenbezogener Daten beschäftigen. Wir erwarten weitere Urteile seitens der EU-Kommission, des Europäischen Datenschutzausschusses und diverser Aufsichtsbehörden.
Im Folgenden einige Maßnahmen, mit denen wir die Daten unserer Kunden gemäß den Standardklauseln der EU schützen:
- Wir verarbeiten die personenbezogenen Daten ausschließlich im Namen unserer Kunden und nach den Anweisungen unserer Kunden;
- Vor der Verarbeitung personenbezogener Daten wenden wir die technischen und organisatorischen Sicherheitsmaßnahmen gemäß DPA an; Zum Schutz der Kunden-Logs wenden wir beispielsweise das Verfahren der Tokenisierung an (weitere Informationen unter Frage 1);
- Wir informieren unsere Kunden über jede rechtsverbindliche Anfrage zur Offenlegung personenbezogener Daten seitens der Behörden, sofern dies nicht untersagt ist;
- Bei der Erstbereitstellung unserer Produkte bieten wir unseren Kunden den Service der benutzerdefinierten Log-Speicherung; die Kunden können wählen, ob sie Daten ausschließlich in der EU (Deutschland, Niederlande) oder der Schweiz speichern möchten;
- Wir gewährleisten, dass unsere Kunden der Beauftragung von Unterauftragsverarbeitern zustimmen und dass diese Unterauftragsverarbeiter die Daten, die sie in unserem Namen verarbeiten, angemessen schützen;
- Nach vorheriger schriftlicher Ankündigung und vorbehaltlich bestimmter Bedingungen und Kontrollen genehmigt Zscaler seinen Kunden und Partnern, jährliche Audits und automatisierte Untersuchungen seiner Cloud durchzuführen;
- Wir verpflichten uns zur durchgängigen Einhaltung der Standardvertragsklauseln der EU und führen weitere gesetzlich erforderliche Maßnahmen innerhalb eines angemessenen Zeitraums ein.
(8) Inwiefern entspricht die Möglichkeit zur SSL-Überprüfung den geltenden Sicherheitsanforderungen und der Konformität mit Datenschutzvorschriften?
Durch die Aktivierung von SSL-Überprüfung wird die begrenzte Menge von Daten, die Zscaler verarbeitet oder speichert, nicht erhöht. Die SSL-Überprüfung hilft vielmehr unseren Kunden dabei, die Verpflichtungen gemäß Artikel 32 der DSGVO einzuhalten, indem sie ein angemessenes Sicherheitsniveau für die Verarbeitung personenbezogener Daten bietet. Unsere Kunden müssen im Hinblick auf die SSL-Überprüfung zwar geschäftliche, datenschutzrechtliche und sicherheitsrelevante Auswirkungen berücksichtigen, sie trägt andererseits aber auch entscheidend zur Einhaltung der Verpflichtung zum Schutz der Rechte aller Mitarbeiter des Kunden gegen Bedrohungen und Angriffe bei. Vor diesem Hintergrund sollte die SSL-Überprüfung nicht als Bedrohung für den Datenschutz, sondern eher als Tool gesehen werden, das zum Einhalten der Datenschutzbestimmungen in Unternehmen beiträgt.
Zscaler bietet umfassende SSL/TLS-Überprüfungsfunktionen zum Schutz des Kundendaten-Traffic vor Gefahren, die sich in verschlüsseltem Traffic verbergen. Sobald die Datenüberprüfung abgeschlossen wurde, läuft der Datenverkehr wieder ungestört weiter, wobei keine Aufzeichnung der Quelldaten über das Protokoll der Transaktion selbst hinaus erhalten bleibt.
(9) Beschäftigt Zscaler Unterauftragsverarbeiter im Zuge der Bereitstellung seiner Services?
Ja. Wie jeder Cloud-Anbieter beschäftigt auch Zscaler im Zuge der Bereitstellung seiner Services eine begrenzte Anzahl von Unterauftragsverarbeitern. Gemäß den Bestimmungen der DSGVO setzt Zscaler neue Unterauftragsverarbeiter nur mit vorheriger – vertraglicher oder allgemeiner – Zustimmung des Kunden ein. Darüber hinaus informiert Zscaler Kunden vorab schriftlich über jede Änderung an der Liste seiner Unterauftragsverarbeiter. Zscaler ist für die Leistung seiner Unterauftragsverarbeiter verantwortlich und haftbar.Eine aktuelle Liste der Unterauftragsverarbeiter von Zscaler steht unter https://www.zscaler.com/legal/subprocessors zur Einsicht bereit.
(10) Kann Zscaler bei Anträgen auf Löschung personenbezogener Daten gemäß dem Recht auf Vergessenwerden behilflich sein?
Ja. Zscaler verfügt über ein internes Verfahren zur Bearbeitung von Anträgen auf Löschung personenbezogener Daten. Wir weisen jedoch darauf hin, dass der betreffende Kunde als Datenverantwortlicher für die Überprüfung und Validierung des Antrags verantwortlich ist und ein entsprechendes Support-Ticket bei Zscaler einreichen muss. Ein Antrag auf Löschung personenbezogener Daten sollte nur dann gestellt werden, wenn eine betroffene Person (in der Regel ein Mitarbeiter oder User des Kunden) dies von unserem Kunden verlangt. Wenn ein Löschungsantrag direkt von einem Mitarbeiter oder User eines Kunden bei Zscaler eingeht, verweisen wir die betreffende Person an unseren Kunden zurück, damit der Antrag validiert und beantwortet werden kann.
(11) Hält Zscaler neben der DSGVO weitere Datenschutzvorschriften ein?
Zscaler verpflichtet sich zur Konformität mit den Datenschutzgesetzen und -vorschriften in den unterschiedlichen Ländern und behält einschlägige Entwicklungen laufend im Blick. Weitere Informationen zu den Maßnahmen, mit denen Zscaler die Einhaltung der geltenden Vorschriften gewährleistet, finden Sie unter www.zscaler.com/privacy/international-data-transfer-policy.