FAQ

Einführung

Auf dieser Seite finden Sie Antworten auf häufig gestellte Fragen zur Data Protection bei Zscaler.

Weitere Informationen zu unseren Datenschutzmaßnahmen finden Sie auf der Seite Übersicht: Datenschutzmaßnahmen.

1. Wo finde ich die Vereinbarung zur Datenverarbeitung (Data Processing Agreement, DPA) von Zscaler?

Die DPA von Zscaler kann unter zscaler.de/privacy/dpa eingesehen werden. Fragen zu dieser DPA richten Sie bitte an [email protected].

2. Warum erfasst und verarbeitet Zscaler meine persönlichen Daten?

Mithilfe unserer Produkte können unsere Kunden befugten Usern an jedem Standort und über jedes Gerät sicheren Direktzugriff auf das Internet oder bestimmte Anwendungen gewähren. Daher verarbeiten unsere Produkte personenbezogene Daten wie kontextbasierte Identität, um sicherzustellen, dass unsere Kunden vor Eindringlingen geschützt sind, und um die Zugriffsanfragen der autorisierten User zu authentifizieren.

3. Welche personenbezogenen Daten werden von Zscaler erfasst?

Zscaler speichert eine eingeschränkte Auswahl personenbezogener Daten (z. B. IP-Adressen, URLs, User-IDs, Usergruppen und Abteilungen aus dem Unternehmensverzeichnis) und verarbeitet oder speichert keine speziellen oder sensiblen personenbezogenen Daten (z. B. Kreditkarteninformationen oder geschützte Gesundheitsdaten).

Weitere Informationen finden Sie in Anlage A unserer DPA.

4. Verwendet Zscaler Cookies?

Ja, mithilfe von Cookies können wir Sie bei einem erneuten Aufruf unserer Website wiedererkennen und dadurch die Anwendererfahrung verbessern und Ihnen relevante Produkte und Services anbieten. Wir verwenden Cookies, um die Navigation auf der Website zu erleichtern, die Reaktionen auf unsere Werbung zu erfassen und die Gestaltung und Funktionalität unserer Website für Kontoinhaber sowie Besucher kontinuierlich zu verbessern.

Im Fall von Zscaler Internet Access (ZIA) werden Cookies auf User-Ebene für die Remote Browser Isolation eingesetzt.

Weitere Informationen entnehmen Sie bitte der Cookie-Richtlinie von Zscaler.

5. Wie kommt Zscaler der Verantwortung als Auftragsverarbeiter gemäß der DSGVO vertraglich nach?

Als Auftragsverarbeiter verwendet Zscaler personenbezogene Daten ausschließlich im Auftrag und mit schriftlicher Genehmigung des Datenverantwortlichen (d. h. mittels eines Vertrags bzw. Auftrags, wobei die Einzelheiten dieser Anweisungen in der DPA dargelegt werden).

Darüber hinaus haben wir mit allen Unterauftragsverarbeitern schriftliche Vereinbarungen getroffen und bleiben weiterhin für die Handlungen und Unterlassungen dieser Unterauftragsverarbeiter verantwortlich. Im Rahmen der Sorgfaltspflicht obliegt es uns zu gewährleisten, dass alle Unterauftragsverarbeiter die gesetzlichen Datenschutzvorschriften einhalten.

6. Beschäftigt Zscaler Unterauftragsverarbeiter im Zuge der Bereitstellung der Services?

Wie jeder Cloud-Anbieter beschäftigt auch Zscaler im Zuge der Bereitstellung seiner Services Unterauftragsverarbeiter. Allerdings werden keine der Daten, die mit Unterauftragsverarbeitern geteilt werden, für sekundäre Zwecke wie die Werbeschaltung von Drittanbietern verwendet. Zscaler prüft die Sicherheits- und Datenschutzmaßnahmen seiner Unterauftragsverarbeiter mit der gebührenden Sorgfalt, um sicherzustellen, dass die Unterauftragsverarbeiter ein Maß an Sicherheit und Data Protection gewährleisten, das dem jeweiligen Zugang zu Kundendaten (die mitunter personenbezogene Daten enthalten) und dem Umfang der erbrachten Services angemessen ist. Alle Unterauftragsverarbeiter müssen schriftlich garantieren, angemessene Datenschutzmaßnahmen gemäß den Datenschutzrichtlinien von Zscaler zu gewährleisten.

Ein aktuelles Verzeichnis unserer Unterauftragsverarbeiter können Sie hier einsehen.

7. Speichert Zscaler personenbezogene Kundendaten?

Bei den meisten Services und Produkten von Zscaler werden HTTP-, HTTPS- und Nicht-HTTP-Transaktionsinhalte (einschließlich aller wesentlichen Teile der Anfrage, wie Nachrichten, Dateien usw.) niemals von Zscaler gespeichert oder auf Festplatten geschrieben. Sämtliche Überprüfungen finden im Arbeitsspeicher statt. 

Im Falle von Kunden, die Zscaler Cloud Sandbox verwenden, zeichnet Zscaler schädliche Inhalte auf einer Speicherplatte auf. Kunden können jedoch entscheiden, welche Dateien an die Zscaler-Sandbox gesendet werden sollen (basierend auf Dateityp, URL-Kategorie, User/Gruppe usw.).

Bei Zscaler Client Connector können Kunden die Paketerfassung über Zscaler-Richtlinien aktivieren oder deaktivieren und die entsprechenden Protokolle vom jeweiligen Laptop, Desktop oder persönlichen Mobilgerät löschen.

Kundentransaktionsprotokolle (Kundenprotokolle) werden niemals im Klartext gespeichert und werden bei der Erstellung indexiert, komprimiert und mit Token versehen, d. h. im Protokoll wird ein Token anstelle des Usernamens als Identifikator verwendet und die einzigen verbleibenden Identifikatoren im Protokoll sind unbedenkliche Einträge wie AD-Gruppe, IP-Adresse oder geografischer Standort. Dadurch wird sichergestellt, dass ein einzelnes Kundenprotokoll ohne eine vollständige Reihe früherer Kundenprotokolle und ohne Zugriff auf die in der Central Authority (CA) von Zscaler gespeicherten Indizes bedeutungslos ist. Wenn ein autorisierter User (z. B. der Administrator eines Kunden) die Protokolle entschlüsseln möchte, tauscht unser System den Usernamen erneut gegen das Token aus, bevor die Protokolle angezeigt oder zum Download bereitgestellt werden. Daher können selbst beim Zugriff auf gespeicherte Daten keine personenbezogenen Daten abgeleitet werden, ohne dass die Benutzeroberfläche von Zscaler Informationen aus den Kundenprotokollen und Informationen der CA zusammenführt.

8. Wo werden meine Daten verarbeitet?

Zscaler verarbeitet tokenisierte und verschlüsselte User-Daten in demjenigen der mehr als 150 globalen Rechenzentren, das den Usern des Kunden am nächsten ist, d. h. der Kunde entscheidet, welche Rechenzentren er nutzen möchte, je nachdem, wo sich seine User befinden (z. B. EU-Rechenzentren für EU-User, US-Rechenzentren für US-User). Wenn ein EU-User in die USA reist, verarbeitet Zscaler dessen personenbezogene Daten vom nächstgelegenen Rechenzentrum in den USA aus. Bei Rechenzentren handelt es sich nicht um Unterauftragsverarbeiter, sondern um Colocation-Einrichtungen (d. h. gemieteten Rackspace), in denen Zscaler jederzeit die Kontrolle über die Verarbeitung hat.

Selbst wenn unser Kunde ausschließlich User in der EU hat, stellt Zscaler weltweite Support-Services nicht nur von der EU, sondern auch von den USA, Indien und Costa Rica (nur für einige Unternehmen in den USA) aus bereit, um eine Abdeckung rund um die Uhr an 365 Tagen im Jahr zu gewährleisten. Dies ist gängige Praxis der meisten Cloud-Anbieter.

9. Was sind Kundenprotokolle?

Bei Kundenprotokollen handelt es sich um Aufzeichnungen der Metadaten des Netzwerktraffics, die für jede Transaktion erfasst und gespeichert werden. Administratoren können über das Administrationsportal auf Kundenprotokolle zugreifen und diese überprüfen, um die Webanfragen von Usern zu authentifizieren. Kundenprotokolle haben verschiedene Felder, die personenbezogene Daten, z. B. Geräteeigentümer, User, Hostname usw., enthalten können.

Zscaler bietet Kunden die Möglichkeit, ihre Kundenprotokolle nur in der EU und der Schweiz zu speichern, unabhängig davon, in welchem Land die Datenverarbeitung stattfindet. Kunden können dies bei Zscaler während des Bereitstellungsprozesses einrichten.

10. Ist Zscaler verpflichtet, User im Falle von Richtlinienänderungen zu benachrichtigen?

Kunden werden über wesentliche Änderungen unserer Datenschutzrichtlinie per E-Mail und/oder durch einen Hinweis auf der Website von Zscaler informiert, bevor die Änderungen in Kraft treten. Bitte beachten Sie, dass Sie mit Nutzung der Website, des Inhalts oder der Produkte nach Ankündigung solcher Änderungen Ihr Einverständnis mit diesen erklären.

11. Benachrichtigt Zscaler User über Datenpannen?

Wenn Zscaler Kenntnis von einer Datenpanne erhält, wird Zscaler die betroffenen Kunden unverzüglich nach Überprüfung des Vorfalls benachrichtigen. Zscaler ergreift angemessene Maßnahmen, um (a) die Ursache des Sicherheitsvorfalls zu identifizieren und (b) alle notwendigen und angemessenen Vorkehrungen zu treffen, um die Ursache eines solchen Vorfalls zu beheben, sofern eine solche Behebung innerhalb der Möglichkeiten von Zscaler liegt.

12. Auf welchen rechtlichen Grundlagen basiert die Übermittlung personenbezogener Daten in Länder außerhalb der EU durch Zscaler?

Zscaler verarbeitet personenbezogene Daten im Zuge der Bereitstellung seiner Services über ein Netzwerk aus mehr als 150 Rechenzentren weltweit. Laut DSGVO muss die Übertragung personenbezogener Daten außerhalb der EU einem genehmigten Rechtsrahmen wie beispielsweise den Standardvertragsklauseln der EU entsprechen. Daher hält sich Zscaler bei der Übertragung personenbezogener Daten außerhalb der EU, der Schweiz oder des Vereinigten Königreichs an die Standardvertragsklauseln der EU.

Im Folgenden einige Maßnahmen, mit denen wir die Daten unserer Kunden gemäß den Standardklauseln der EU schützen:

• Zscaler verarbeitet personenbezogene Daten ausschließlich im Namen unserer Kunden und entsprechend den Anweisungen dieser Kunden.

• Vor der Verarbeitung personenbezogener Daten werden technische und organisatorische Sicherheitsmaßnahmen gemäß DPA angewendet. Zum Schutz der Kundenprotokolle werden diese beispielsweise tokenisiert.

• Wir informieren unsere Kunden über jede rechtsverbindliche Anfrage zur Offenlegung personenbezogener Daten seitens der Behörden, sofern dies nicht untersagt ist.

• Bei der erstmaligen Bereitstellung unserer Produkte bieten wir unseren Kunden eine auf die EU (Deutschland, Niederlande) und die Schweiz beschränkte Speicherung der Protokolle an.

• Wir gewährleisten, dass unsere Kunden der Beauftragung von Unterauftragsverarbeitern zustimmen und dass diese Unterauftragsverarbeiter die Daten, die sie in unserem Namen verarbeiten, angemessen schützen.

• Nach vorheriger schriftlicher Ankündigung und vorbehaltlich bestimmter Bedingungen und Kontrollen genehmigt Zscaler Kunden und Partnern, jährliche Audits und automatisierte Untersuchungen unserer Cloud durchzuführen.

• Wir verpflichten uns zur durchgängigen Einhaltung der Standardvertragsklauseln der EU und führen weitere gesetzlich erforderliche Maßnahmen innerhalb eines angemessenen Zeitraums ein.

• Wir verpflichten uns dazu, den Schutz personenbezogener Daten durch Implementierung entsprechender Geheimhaltungsmaßnahmen zu gewährleisten.

Weitere Einzelheiten finden Sie in unserer Vereinbarung zur Datenverarbeitung (DPA).

Obwohl wir uns in unserer Standard-DPA auf Standardvertragsklauseln beziehen, hat sich Zscaler für eine Selbstzertifizierung nach dem EU-US und dem Swiss-US Privacy Shield Framework entschieden, das vom Handelsministerium der USA verwaltet wird („Privacy Shield“). Zscaler erfüllt die Grundsätze des Privacy Shield in Bezug auf Auskunft, Wahlfreiheit, Verantwortlichkeit für die Datenübermittlung, Sicherheit, Datenintegrität und Zweckbindung der Datenverarbeitung, Zugriff, Regress, Durchsetzung sowie Haftung.

13. Wie schützt Zscaler personenbezogene Daten?

Zscaler verpflichtet sich zur Einhaltung strenger Sicherheits-, Verfügbarkeits-, Vertraulichkeits- und Data Protection-Normen, damit Kunden auf die Zuverlässigkeit unserer Services vertrauen können.

Bei Zscaler ist eine eigene Fachabteilung für die Gewährleistung der Konformität aller Produkte mit international gültigen behördlichen und kommerziellen Normen zuständig. Kunden können unsere Lösungen daher mit der Gewissheit einsetzen, dass sie die Voraussetzungen für sämtliche relevanten Zertifizierungen und Zulassungen erfüllen.

Zscaler ist nach den Normen ISO 27001 und System and Organization Controls (SOC) 2, Typ II zertifiziert. Die Konformität mit diesen Normen wird jährlich durch einen unabhängigen Prüfer festgestellt. Die Wirksamkeit der eingesetzten Sicherheitsmaßnahmen wird von Zscaler regelmäßig getestet, bewertet und überprüft. Auf schriftliche Anfrage und vorbehaltlich eines angemessenen Schutzes der Vertraulichkeit kann Zscaler dem Kunden eine Kopie des aktuellen Zertifikats nach ISO 27001 bzw. einen SOC-2-Typ-II-Prüfungsbericht zur Verfügung stellen.

Hier erfahren Sie mehr über unsere Data Protection- und Sicherheitszertifizierungen.

14. Inwiefern entspricht die Möglichkeit zur TLS/SSL-Überprüfung den geltenden Sicherheitsanforderungen und der Konformität mit Datenschutzvorschriften?

Durch die Nutzung der TLS/SSL-Überprüfung ändert sich die geringe Datenmenge, die Zscaler verarbeitet oder speichert, nicht. Vielmehr können unsere Kunden mithilfe dieser Überprüfung ihre Verpflichtungen gemäß Artikel 32 der DSGVO erfüllen, indem sie die Verarbeitung personenbezogener Daten so sicher wie möglich gestalten. Obwohl die Verwendung der TLS/SSL-Überprüfung geschäftliche, datenschutzrechtliche und sicherheitsrelevante Auswirkungen hat, die durch unsere Kunden zu berücksichtigen sind, müssen diese gegen die Verpflichtung abgewogen werden, jeden Mitarbeiter vor Bedrohungen und Angriffen zu schützen. In diesem Sinne sollte die TLS/SSL-Überprüfung nicht als eine Gefährdung der Data Protection betrachtet werden, sondern als nützliches Tool, das Unternehmen bei der Einhaltung der Datenschutzvorschriften unterstützt.

Zscaler stellt umfassende Funktionen zur TLS/SSL-Überprüfung bereit, um Kundendaten vor Bedrohungen zu schützen, die sich im verschlüsselten Traffic verbergen. Sobald die Datenüberprüfung abgeschlossen wurde, läuft der Datenverkehr wieder ungestört weiter, wobei keine Aufzeichnung der Quelldaten über das Protokoll der Transaktion selbst hinaus erhalten bleibt. 

15. Wie kann ich mein Recht auf Einsicht in meine personenbezogenen Daten sowie auf Berichtigung und Löschung derselben wahrnehmen?

Zscaler verfügt über ein internes Verfahren zur Bearbeitung von Anträgen auf Löschung personenbezogener Daten. Wir weisen jedoch darauf hin, dass der betreffende Kunde als Datenverantwortlicher für die Überprüfung und Validierung des Antrags verantwortlich ist und ein entsprechendes Support-Ticket bei Zscaler einreichen muss. Ein Antrag auf Löschung personenbezogener Daten sollte nur dann gestellt werden, wenn eine betroffene Person (in der Regel ein Mitarbeiter oder User des Kunden) dies von unserem Kunden verlangt. Wenn ein Löschungsantrag direkt von einem Mitarbeiter oder User eines Kunden bei Zscaler eingeht, verweisen wir die betreffende Person an unseren Kunden zurück, damit der Antrag validiert und beantwortet werden kann.

Kunden, die zusätzliche Unterstützung benötigen, wenden sich bitte an [email protected]

16. Wie lange speichert Zscaler meine Daten?

Wir verarbeiten und speichern personenbezogene Daten nur für den Zeitraum, der zum Erreichen des Zwecks der Speicherung erforderlich ist, oder für den gesetzlich zulässigen Zeitraum. Maßgeblich ist die jeweilige vorgeschriebene Aufbewahrungsfrist. Nach Ablauf dieser Frist werden die entsprechenden Daten standardmäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung erforderlich sind.

17. Gibt es bei Zscaler ein Gremium, das für Risiken im Zusammenhang mit Data Protection und Datensicherheit verantwortlich ist?

Ja, der Vorstand von Zscaler ist für die Überprüfung aller Unternehmensrisiken, einschließlich der Data Protection, zuständig. Der Vorstand delegiert einen Teil dieser Verantwortung an ständige Ausschüsse, die dem gesamten Vorstand Bericht erstatten. Der Prüfungsausschuss sowie der Nominierungs- und Corporate-Governance-Ausschuss sind jeweils mit der Prüfung von Data Protection- und Cybersicherheitsrisiken betraut.

18. Hat Zscaler Compliance- und Datenschutzbeauftragte?

Ja, es ist Aufgabe unseres Datenschutzteams sicherzustellen, dass Zscaler Data Protection-Gesetze einhält und Risiken ausräumt, denen Unternehmen bei der Verarbeitung personenbezogener Daten ausgesetzt sind. Die Mitglieder des Datenschutzteams sind Experten und bilden die Verbindung zwischen der Öffentlichkeit und Zscaler in Bezug auf die Verarbeitung personenbezogener Daten. Das Datenschutzteam ist die Anlaufstelle für Datenschutzanfragen. Die Mitglieder des Datenschutzteams sind Certified Information Privacy Professionals (CIPP). Auf höchster Ebene ist der VP of Cloud Operations dafür verantwortlich, die Einhaltung der Datenschutzvorschriften zu kontrollieren.

19. Werden Mitarbeiter und Auftragnehmer in Bezug auf datensicherheits- und/oder datenschutzbezogene Risiken und Maßnahmen geschult?

Datenschutz hat bei Zscaler oberste Priorität. Alle Mitarbeiter und Auftragnehmer müssen im Rahmen des Onboarding eine Schulung zu Data Protection und Datensicherheit absolvieren und diese Schulung jährlich auffrischen.

20. Welche Maßnahmen ergreift Zscaler zur Gewährleistung der weltweiten Konformität mit allen geltenden Datenschutzgesetzen?

Zscaler verpflichtet sich zur Einhaltung der Datenschutzgesetze und -vorschriften in den unterschiedlichen Ländern und behält einschlägige Entwicklungen laufend im Blick. Weitere Informationen zu den Maßnahmen, mit denen Zscaler die Einhaltung der geltenden Vorschriften gewährleistet, finden Sie unter zscaler.de/privacy/global-privacy-laws.

Weitere Informationen zu den Maßnahmen, mit denen Zscaler die Einhaltung der geltenden Vorschriften gewährleistet, finden Sie unter www.zscaler.de/privacy/international-data-transfer-policy.

21. Speichert Zscaler Telefonnummern?

Zscaler verwendet möglicherweise eine UAM-Plattform, Ihre Telefonnummer wird also gespeichert, um die Zweitfaktor-Authentifizierung zu ermöglichen.

Wie würde Zscaler Telefonnummern verwenden?

1. Zscaler verwendet Telefonnummern nicht zum Versenden von Werbenachrichten.
2. Zscaler verwendet Telefonnummern nicht für Werbeanrufe.
3. Zscaler verwendet Telefonnummern nur zum Senden von Secure OTP, wenn sich User über unsere Systeme authentifizieren.
 

22. Verwaltet und stellt Zscaler Transparency Reports über behördliche Anfragen nach personenbezogenen Daten bereit?

Ja. Zscaler legt großen Wert auf Vertrauen und Transparenz, insbesondere im Zusammenhang mit der Verwendung und Weitergabe personenbezogener Daten der User eines Kunden. Zscaler veröffentlicht jährlich die Anzahl der Anfragen zur Offenlegung von Informationen im Zusammenhang mit der Nutzung von Zscaler-Produkten durch Zscaler-Kunden.

Unseren vollständigen Bericht zu behördlichen Anfragen finden Sie unter Transparency Report.

23. An wen wende ich mich bei weiteren Fragen?

Senden Sie uns gerne eine E-Mail an [email protected].