Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) das wegweisende Urteil „Schrems II“ zur Datenübertragung aus der EU erlassen.

Wir verstehen, dass unsere Kunden vermutlich Fragen zu den möglichen Auswirkungen des Urteils haben und wissen möchten, wie Freshworks die Entscheidung umsetzt. Wir möchten daher die Gelegenheit nutzen und einige der dringendsten Fragen in diesen FAQ beantworten.

 

F: Was ist der Inhalt des Urteils Schrems II?

A: Der EuGH hat in seinem Urteil den EU-US Privacy Shield (Privacy Shield) für ungültig erklärt. Dieser sei, so der EuGH, nicht ausreichend, um Datenübertragungen von personenbezogenen Daten nach außerhalb des Europäischen Wirtschaftsraumes (EWR) zu rechtfertigen. Zugleich hat der Gerichtshof die Standarddatenschutzklauseln der Europäischen Kommission für grundsätzlich wirksam erklärt.

Dabei betonte der EuGH, dass die Kontrolleure sicherstellen müssen, dass es angemessene Sicherheitsvorkehrungen gebe, die den Einzelpersonen, deren Daten übertragen werden, ein Schutzniveau bieten, das dem in Europa gebotenen Schutz (nach der Datenschutz-Grundverordnung [DSGVO] und der Charta der Grundrechte der Europäischen Union) grundsätzlich gleichwertig sei. Die Standarddatenschutzklauseln seien eine Möglichkeit dies sicherzustellen, dennoch seien unter bestimmten Umständen „zusätzliche Sicherheitsmaßnahmen“ notwendig (siehe unten).

 

F: Was bedeutet das für Datenübertragungen an Freshworks gemäß seiner Privacy-Shield-Zertifizierung?

A: Datenschutz ist für Freshworks von zentraler Bedeutung. Wir verfolgen die Entwicklung und erwarten Leitlinien der Europäischen Datenschutzbehörden sowie des Europäischen Datenschutzausschusses (Gremium aller EU-Regulierer). Zudem warten wir auf weitere Klärung durch die EU-Kommission und die US-Regierung, die einige andere, durch das EuGH-Urteil aufgeworfene Probleme auf politischer Ebene regeln wollen.

In der Zwischenzeit gilt: Das Urteil steht der Verwendung der Standarddatenschutzklauseln für eine rechtmäßige Datenübertragung nicht entgegen. Freshworks wird sich daher zukünftig für seine Datenübertragungen aus dem EWR in die USA auf die Standarddatenschutzklauseln stützen, wie wir das bisher bereits für Datenübertragungen aus dem EWR in andere Länder tun.

Unser „Anhang zur Datenverarbeitung“ (oder die „Datenverarbeitungsvereinbarung“) enthält die Standarddatenschutzklauseln und stellt klar, dass diese zwischen unserem Kunden (als „Datenexporteur“) und Freshworks (als „Datenimporteur“) für die Übertragung jeglicher personenbezogenen Daten aus dem Europäischen Wirtschaftsraumes gelten, die nicht (oder nicht mehr) einer Angemessenheitsentscheidung unterfällt (etwa dem Privacy Shield). Da jetzt, nach dem EuGH-Urteil, der Privacy Shield keine angemessene Schutzgrundlage mehr für die Übertragung von Daten in die USA ist, gelten die Standarddatenschutzklauseln der Klausel daher automatisch anstelle des Privacy Shield.

Auch wenn der Privacy Shield nicht mehr als angemessener Schutz gilt, um personenbezogene Daten aus dem EWR zu übertragen, wird Freshworks weiterhin personenbezogene Daten aus dem EWR gemäß den Prinzipien des Privacy Shield verarbeiten.

 

F: Welche anderen Maßnahmen unternimmt Freshworks, um einen „angemessenen Schutz“ der europäischen Daten zu gewährleisten?

A: Freshworks nimmt den Datenschutz sehr ernst. Wir sind ständig bestrebt, den besten Schutz aller von uns verarbeiteten personenbezogenen Daten sicherzustellen. Wir warten (unter anderem) auf Richtlinien des Europäischen Datenschutzausschusses, welche zusätzlichen Maßnahmen geeignet sein können, um einen „angemessenen Schutz“ der europäischen Daten zu gewährleisten. Bis diese vorliegen, haben wir folgende Schritte unternommen:

1. Sicherheit

     a. Wir sind stolz auf unsere robuste Datensicherheit und Datenschutzmaßnahmen, die wir ständig weiterentwickeln, um den Schutz der personenbezogenen Daten sicherzustellen. Mehr zu unserem ausführlichen Sicherheitsprogramm und seiner Gestaltung finden Sie hier.

     b. Wir sind nach ISO 27001 zertifiziert und Mitglied der Cloud Security Alliance.

     c. Wir verwenden eine AES-256-Bit-Verschlüsselung mit einer Schlüsselstärke von 1.024 Bit für ruhende Daten und eine FIPS 140-2 entsprechende TLS-Verschlüsselung für Daten in der Übertragung, so dass die Daten für Dritte unverständlich sind.

 2. Anfragen von Strafverfolgungsorganen

     a. Wir haben strikte Richtlinien und Prozesse eingeführt, um sicherzustellen, nach denen wir die Kunden sofort informieren (wie es die Standarddatenschutzklauseln vorsehen), wenn wir eine Anfrage von einer Strafverfolgungsbehörde oder einer anderen Behörde zur Offenlegung von Kundendaten erhalten.

     b.Gemäß unseren Richtlinien und Prozessen gewähren wir Strafverfolgungsbehörden nur dann Zugriff auf Daten, wenn wir rechtlich dazu gezwungen sind.

 

F: Ich habe weitere Fragen – an wen kann ich mich wenden?

A: Wir hoffen, dass diese FAQs einige Ihrer dringendsten Fragen klären. Wenn Sie weitere Fragen haben, wenden Sie sich bitte an Ihren Freshworks Account Manager oder schreiben Sie uns eine E-Mail an privacy@freshworks.com.