Sicherheit

Profitieren Sie von einem Betrieb mit zuverlässigen Sicherheitsfunktionen. Erfahren Sie mehr über unser Engagement zum Schutz Ihrer ruhenden und übertragenen Daten in Cloud-, Hybrid- und On-Premises-Bereitstellungen.

Datenschutz

Sie behalten die Kontrolle. Sehen Sie sich unsere Richtlinien an. Damit können Sie entscheiden, wie Ihre Daten abgerufen und verwendet werden.

Compliance

Erreichen Sie umfassende Compliance in jeder Region. Sehen Sie sich unsere umfangreiche Liste mit Compliance-Standards und -Auflagen an.

Resilienz

Halten Sie sich im Hinblick auf den Status Ihrer Lösungen stets auf dem Laufenden. Sie profitieren von einer transparenten Ansicht zur globalen Produkt- und Serviceverfügbarkeit.

Warum VMware Cloud-Sicherheit?

Egal ob Cloud, Hybrid oder On-Premises – Ihre Sicherheit hat für uns oberste Priorität.
Umfassende Sicherheitserfahrung

Von Behörden und Verteidigungseinrichtungen bis hin zu den weltweit größten Rechenzentren – VMware blickt auf eine lange Tradition als vertrauenswürdiger Partner in den sensibelsten Umgebungen der Welt zurück. Nun haben wir unseren exzellenten Ruf auf unsere Cloud-Angebote ausgeweitet.

 

Integrierte Compliance

Jede einzelne VMware Cloud-Lösung verfügt von Grund auf über integrierte Sicherheitsfunktionen. Dadurch sind unsere Angebote auf führende Compliance-Zertifizierungen abgestimmt und entsprechen branchenweiten Best Practices-Standards.

 

Beschleunigung ohne Kompromisse

Ob Cloud-Migration, Entwicklung moderner Anwendungen, Rechenzentrumsskalierung oder automatisierter Multi-Cloud-Betrieb – Sie profitieren stets von Agilität und Zuverlässigkeit.

 

VMware Cloud-Sicherheitsfunktionen

Softwaresicherheit

Dank erstklassiger Sicherheitspartnerschaften und eines branchenführenden Security Development Lifecycle-Prozesses stellt VMware sicher, dass Kontrollen für Cloud-Betrieb und -Sicherheit den Branchen-Benchmarks sowie Best Practices entsprechen.

Datensicherheit

VMware pflegt strenge Datensicherheitsstandards, um eine angemessene Abwicklung auf sämtlichen Klassifizierungsebenen zu gewährleisten – vom Verarbeiten und Speichern bis zum Übertragen und Vernichten von Daten. Daten in der Cloud unterliegen einer gemeinsamen Verantwortung. Wir definieren Kontrollen und stellen damit sicher, dass Eigentums- und Verwaltungshoheit in Bezug auf Unternehmensdaten beim Kunden verbleiben.



Netzwerksicherheit

VMware Cloud-Lösungen basieren auf der grundlegenden Netzwerksicherheit unserer IaaS-Partner. Netzwerkumgebungen sind logisch voneinander getrennt und werden durch Firewalls geschützt. Damit erfüllen Sie geschäftliche Sicherheitsanforderungen und gewährleisten ordnungsgemäße Absicherung und Isolation.

Identitäts- und Zugriffsmanagement

VMware Cloud-Lösungen basieren auf dem Prinzip minimaler Zugriffsrechte und verwenden Identitäts- und Zugriffsmanagementkontrollen. Damit wird jedem Mitarbeiter der entsprechende Zugriffsumfang gewährt und Ihre Daten und Systeme bleiben geschützt.

 

Schwachstellen- und Patch-Management

Das umfassende VMware-Programm zum Management von Schwachstellen enthält Schwachstellenprüfungen und Penetrationstests von Drittanbietern für Netzwerk-, Anwendungs- sowie lokale Betriebssystemschichten. Damit sind Sie neuen Sicherheitslücken stets einen Schritt voraus.

Betriebsmanagement

VMware Cloud-Lösungen erfassen und überwachen fortlaufend Umgebungsprotokolle im Zusammenhang mit öffentlichen und privaten Bedrohungsfeeds, um verdächtige, unübliche Aktivitäten aufzudecken. Dieser Prozess wird durch den stetigen Kontakt mit Brancheninstitutionen, Risiko- und Compliance-Organisationen, lokalen Behörden sowie Regulierungsstellen unterstützt, um eine schnelle Erfassung neuer Bedrohungen sicherzustellen.

Zugehörige Ressourcen

VMware-Blog zum Thema Sicherheit

Lassen Sie sich von führenden VMware-Sicherheitsexperten über die neuesten Trends, Tipps sowie Technologien informieren und gewährleisten Sie damit einen optimalen Schutz für Ihr Unternehmen.

VMware Cloud Services – Sicherheitsübersicht

Unser White Paper zu den im Rahmen von VMware Cloud Services implementierten Sicherheitskontrollen enthält ausführliche Informationen über den Cloud-Sicherheitsansatz von VMware.

Schutz der von uns als Unternehmen verarbeiteten Daten

Transparenz im Hinblick auf das Erfassen, Nutzen, Offenlegen, Übertragen und Speichern personenbezogener Informationen

Hinweis zu Produkten und Services

Gilt für personenbezogene Daten, die VMware im Zusammenhang mit der Nutzung von VMware-Produkten und -Services erfasst und verwendet, darunter

 

  • Cookies und ähnliche Tracking-Technologien, die beim Bereitstellen von Produkten oder Services zum Einsatz kommen.
  • Daten, die wir zum Verbessern unserer Produkte und Services sowie Ihrer Kundenerfahrung erfassen.

Weitere Informationen zu den VMware Customer Experience Improvement- und Analyseprogrammen in Bezug auf VMware-Produkte und -Services finden Sie hier.

Datenschutzerklärung

Bezieht sich auf von uns erfasste personenbezogene Daten in folgenden Fällen:

 

  • Besuch bzw. Nutzung von oder Interaktion mit unseren Websites, Seiten auf sozialen Medien, mobilen Apps (sofern für die Datenschutzerklärung relevant), Online-Werbungen oder Marketingmitteilungen
  • Besuch bzw. Nutzung von oder Interaktion mit Veranstaltungen sowie Vertriebs-, Marketing- und anderen Offline-Aktivitäten
  • Kauf von VMware-Produkten und -Services und Angabe personenbezogener Kontoinformationen

Cookie-Hinweis

Erläutert den Einsatz von Cookies und ähnlichen Tracking-Technologien, wenn Sie Websites und Online-Ressourcen von VMware nutzen oder mit diesen interagieren.

Zusätzliche Hinweise

VMware hält unter Umständen zusätzliche Datenschutzhinweise für spezifische Websites, Veranstaltungen oder mobile Apps bereit. Dazu zählen u.a. auch Just-in-Time- und produktinterne Datenschutzhinweise. Diese Hinweise können zur Ergänzung oder Erläuterung der VMware-Datenschutzverfahren dienen oder zusätzliche Auswahlmöglichkeiten hinsichtlich der Verarbeitung von Daten durch VMware bieten.

Schutz von Daten als Serviceanbieter

Unterstützung bei der Einhaltung von Datensicherheits- und Datenschutzauflagen

Verarbeitung von Kundeninhalten

VMware verarbeitet, speichert und hostet Inhalte, die Sie oder Ihre Anwender in VMware-Services als „Kundeninhalte“ (gemäß Definition in den VMware-Nutzungsbedingungen oder anderen relevanten Vereinbarungen) bereitstellen. Abhängig von Ihren Anweisungen verarbeitet VMware in Kundeninhalten enthaltene personenbezogene Daten als „Serviceanbieter“ oder „Datenverarbeiter“. Weitere Informationen finden Sie in unseren FAQs.

Ergänzung zur Datenverarbeitung

Die Pflichten von VMware als Datenverarbeiter werden in der Ergänzung zur Datenverarbeitung näher erläutert. VMware verarbeitet in Kundeninhalten enthaltene personenbezogene Daten im Einklang mit dieser Ergänzung zur Datenverarbeitung und entsprechenden Vereinbarungen. Standardvereinbarungen für einzelne Produkte und Services finden Sie in unseren Nutzungsbedingungen.

Verbindliche interne Datenschutzvorschriften

VMware hat die Genehmigung für verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR) als Datenverarbeiter erhalten. Damit wird bestätigt, dass wir die Standards der Datenschutz-Grundverordnung der EU für die internationale Übertragung von in Kundeninhalten enthaltenen personenbezogenen Daten erfüllen.

Unterauftragsverarbeiter

VMware beauftragt möglicherweise Drittanbieterunternehmen, um bestimmte Services in seinem Namen bereitzustellen. Service-Drittanbieter, die in Kundeninhalten enthaltene personenbezogene Daten verarbeiten (Unterauftragsverarbeiter), verfügen über schriftliche Vereinbarungen und Datenübertragungsmechanismen, um personenbezogene Daten gemäß unserer Ergänzung zur Datenverarbeitung zu schützen.

 

VMware Cloud-Sicherheit

VMware pflegt Programme, Richtlinien und Verfahren zum ordnungsgemäßen Schutz von in Kundeninhalten enthaltenen personenbezogenen Daten (einschließlich regelmäßiger Schulungen und Geheimhaltungsvereinbarungen für Mitarbeiter, die diese Daten verarbeiten). Zudem sollen damit Sicherheitsschwachstellen in unseren Produkten und Services aufgedeckt, vermieden und behoben werden. Diese Programme werden fortlaufend überprüft und aktualisiert.

 

 

Einheitliches Endpunktmanagement

VMware bietet Lösungen zum Schutz von Unternehmensinformationen und -systemen, auf die über unternehmenseigene oder private Geräte zugegriffen wird. Dabei kommen Managementkontrollen zum Einsatz. Sehen Sie sich Informationen zum Datenschutz- und Sicherheitsprogramm von Workspace ONE sowie die entsprechende Erklärung in Bezug auf Daten an, die vom Service erfasst und verwendet werden.

 

Zugehörige Ressourcen

CloudHealth by VMware – Datenschutz

Informieren Sie sich, wie VMware personenbezogene Daten auf der vertrauenswürdigen Plattform zur Optimierung von Multi-Cloud-Umgebungen verarbeitet und schützt.

VMware Carbon Black Cloud – Datenschutz

Informieren Sie sich, welche Arten von personenbezogenen Daten von dieser cloudnativen Sicherheitslösung erfasst werden und wie VMware diese Daten verarbeitet und schützt.

VMware SD-WAN by VeloCloud – Datenschutz

Informieren Sie sich, welche Arten von personenbezogenen Daten von dieser Netzwerk-Overlay-Lösung erfasst werden und wie VMware diese Daten schützt.

 

VMware Workspace ONE – Datenschutz

Informieren Sie sich, welche Arten von personenbezogenen Daten von dieser Plattform für digitale Arbeitsplätze erfasst werden und wie VMware diese Daten verarbeitet und schützt.

VMware Cloud on AWS – Datenschutz

Informieren Sie sich, wer für personenbezogene Daten in VMware Cloud on AWS-SDDCs verantwortlich ist und wie VMware alle Daten in seiner Domäne schützt.

Gemeinsames Sicherstellen von Compliance

VMware überprüft fortlaufend sowohl vorhandene als auch neue Sicherheitsstandards und -anforderungen und integriert sie entsprechend in seine Compliance-Programme für Cloud-Services. VMware hilft Ihnen dabei, Compliance zu gewährleisten. Sie als Kunde müssen jedoch sicherstellen, dass das Serviceangebot Ihren Compliance- und regulatorischen Auflagen entspricht.

Falls Sie Fragen zum Thema Compliance haben, wenden Sie sich an Ihren VMware-Vertriebsmitarbeiter und besprechen Ihre geschäftlichen Ziele mit ihm.

Vorhandene Cloud Compliance-Programme

Fortlaufend aktualisierte Informationen zu den für Sie relevantesten Compliance-Programmen.
Wenn Sie weitere Informationen zur Compliance von VMware-Produkten erhalten möchten, klicken Sie hier.
Filter by
Filter by

 

 

Zusätzliche Compliance-Informationen

Vielen Dank für Ihr Interesse am Thema Compliance bei VMware.

Wenden Sie sich für weitere Informationen zu unseren Compliance-Programmen an Ihren VMware-Vertriebsmitarbeiter. Ihr Vertriebsmitarbeiter kann Ihnen außerdem Compliance-Reports zukommen lassen, die nicht unmittelbar zum Download bereitstehen.

Service Status

Service Location

Service Status

Häufig gestellte Fragen

Trust Center

Weitere Details zu VMware Cloud Trust Center erhalten Sie von Ihrem VMware-Vertriebsmitarbeiter. Er kann Ihnen die benötigten Informationen bereitstellen.

Datenschutz

„Ihre Inhalte“ oder „Kundeninhalte“ beziehen sich auf sämtliche Inhalte, die Sie als Kunde in einem im Rahmen Ihrer Vereinbarung mit VMware (z.B. VMware-Nutzungsbedingungennäher definierten Serviceangebot bereitstellen. Dazu zählen sämtliche Text-, Audio-, Video- oder Bilddateien, Software (einschließlich System-Images) oder andere Informationen, die Sie oder einer Ihrer Anwender zu Verarbeitungs-, Speicherungs- oder Hosting-Zwecken über Ihr Konto im Serviceangebot bereitstellen. Beispielsweise umfassen Kundeninhalte Daten, die Sie oder Ihre Anwender in Workspace ONE speichern. Wichtiger Hinweis: Ihre Kontoinformationen, darunter mit Ihrem Konto verknüpfte Namen, Anwendernamen, Telefonnummern und Rechnungsinformationen, zählen nicht zu „Kundeninhalten“. Ebenfalls davon ausgeschlossen sind Nutzungsinformationen in Bezug auf unsere Serviceangebote. Diese Informationen werden von VMware im Einklang mit unserer Datenschutzrichtlinie behandelt.

Sie halten stets die Eigentumsrechte an Ihren Kundeninhalten. Sie bestimmen, welche VMware-Serviceangebote Sie zum Verarbeiten, Speichern und Hosten von Kundeninhalten nutzen und welche Informationen Sie als Kundeninhalte im Serviceangebot bereitstellen. Zudem verwenden wir Ihre Kundeninhalte ausschließlich zu Zwecken, die für eine ordnungsgemäße Bereitstellung des Serviceangebots erforderlich und im Rahmen der VMware-Nutzungsbedingungen festgelegt und zulässig sind. Wir verwenden Kundeninhalte nicht zu Marketing- oder Werbezwecken.

 

VMware geht die folgenden vertraglichen Verpflichtungen in Bezug auf den Umgang mit Vorladungen, gerichtlichen Verfügungen, behördlichen Maßnahmen oder anderen rechtlichen oder regulatorischen Auflagen zur Offenlegung von Kundeninhalten wie im Abschnitt „Erforderliche Offenlegung“ der Nutzungsbedingungen festgelegt ein:

Sofern Kundenbenachrichtigungen gesetzlich zulässig sind, wird VMware Folgendes unternehmen:

– Benachrichtigen des Kunden: Wir benachrichtigen unseren Kunden über jede Aufforderung zur Offenlegung von Kundeninhalten.

– Verweisen der Bundesbehörde an den Kunden: Wir informieren die zuständige Bundesbehörde, dass VMware ein im Auftrag des Kunden handelnder Dienstleister ist und alle Anfragen zum Zugriff auf die Inhalte des Kunden schriftlich an die vom Kunden angegebene Kontaktperson oder die Rechtsabteilung des Kunden zu richten sind. 

– Zugriffsbeschränkung: Wir gestatten nur nach einer entsprechenden Autorisierung durch den Kunden Zugriff auf dessen Inhalte. Auf Verlangen des Kunden werden wir auf dessen Kosten angemessene Schritte unternehmen, um Einspruch gegen die Forderung einzulegen. 

Sind Kundenbenachrichtigungen gesetzlich nicht zulässig, wird VMware Folgendes unternehmen:

– Prüfen der Rechtsgültigkeit: VMware wird prüfen, ob die Offenlegungsforderung rechtlich gültig und bindend ist. 

– Anfechten rechtswidriger Anfragen: VMware wird die Verfügung anfechten, wenn Grund zu der Annahme besteht, dass die Verfügung nicht geltendem Recht entspricht. 

– Begrenzen des Offenlegungsumfangs: VMware wird den Umfang der Offenlegung auf die Informationen beschränken, die wir offenlegen müssen, und die Informationen in Übereinstimmung mit geltendem Recht offenlegen.

VMware verpflichtet sich, die Inhalte seiner Kunden in Einklang mit geltendem Recht zu schützen, und hat sich in seinen VMware-Nutzungsbedingungen (Erforderliche Offenlegung) und verbindlichen internen Datenschutzvorschriften für Datenverarbeiter zu entsprechenden Reaktionen auf behördliche Zugriffsanfragen verpflichtet, die nachfolgende genauer beschrieben werden. VMware hat die VMware-Grundsätze für den Umgang mit behördlichen Anfragen zum Zugriff auf Kundeninhalte ausgearbeitet, um Kunden die Verpflichtungen und Prozesse von VMware zur Bearbeitung von behördlichen Zugriffsanfragen besser zu verdeutlichen, einschließlich der Verpflichtungen, die in den verbindlichen internen Datenschutzvorschriften von VMware festgelegt sind. 

VMware geht insbesondere die folgenden vertraglichen Verpflichtungen hinsichtlich des Umgangs mit behördlichen Zugriffsanfragen ein, wie im Abschnitt „Erforderliche Offenlegung“ der VMware-Nutzungsbedingungen dargelegt:

Sofern Kundenbenachrichtigungen gesetzlich zulässig sind, wird VMware Folgendes unternehmen:

– Benachrichtigen des Kunden: Wir benachrichtigen unseren Kunden über jede Aufforderung zur Offenlegung von Kundeninhalten.

– Verweisen der Bundesbehörde an den Kunden: Wir informieren die zuständige Bundesbehörde, dass VMware ein im Auftrag des Kunden handelnder Dienstleister ist und alle Anfragen zum Zugriff auf die Inhalte des Kunden schriftlich an die vom Kunden angegebene Kontaktperson oder die Rechtsabteilung des Kunden zu richten sind. 

– Zugriffsbeschränkung: Wir gestatten nur nach einer entsprechenden Autorisierung durch den Kunden Zugriff auf dessen Inhalte. Auf Verlangen des Kunden werden wir auf dessen Kosten angemessene Schritte unternehmen, um Einspruch gegen die Forderung einzulegen.

Sind Kundenbenachrichtigungen gesetzlich nicht zulässig, wird VMware Folgendes unternehmen:

– Prüfen der Rechtsgültigkeit: VMware wird prüfen, ob die Offenlegungsforderung rechtlich gültig und bindend ist.

– Anfechten rechtswidriger Anfragen: VMware wird die Verfügung anfechten, wenn Grund zu der Annahme besteht, dass die Verfügung nicht geltendem Recht entspricht.

– Begrenzen des Offenlegungsumfangs: VMware wird den Umfang der Offenlegung auf die Informationen beschränken, die wir offenlegen müssen, und die Informationen in Übereinstimmung mit geltendem Recht offenlegen.

VMware wird in keinem Fall personenbezogene Daten in massiver, unverhältnismäßiger und willkürlicher Weise offenlegen, die über das in einer demokratischen Gesellschaft erforderliche Maß hinausgeht.

Darüber hinaus hat VMware im Anschluss an die Entscheidung des Gerichtshofs der Europäischen Union (EuGH) in der Rechtssache C-311/18, Data Protection Commissioner/Facebook Ireland Ltd und Maximilian Schrems (im Folgenden „Schrems II“), die VMware-Erklärung zur Anwendung von FISA Section 702 und Executive Order 12333 im Hinblick auf Schrems II ausgearbeitet, um Bedenken hinsichtlich des Zugangs von US-Geheimdiensten zu Daten, die von der EU in die USA übertragen werden, auszuräumen und Kunden Einblick in die mögliche Anwendung von Executive Order (EO) 12333 und Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA) zu geben. VMware ist der festen Überzeugung, dass angesichts der Art der angebotenen Dienste eine geringe Wahrscheinlichkeit besteht, dass es in Bezug auf die Bereitstellung der Serviceangebote Abschnitt 702 oder EO 12333 unterliegt.

VMware ist ein weltweit tätiges Unternehmen und unterliegt weltweitem Recht. Die Liste der Länder, in denen in Kundeninhalten enthaltene personenbezogene Daten in Bezug auf ein bestimmtes Serviceangebot verarbeitet werden, ist in den jeweiligen Listen der Unterauftragsverarbeiter aufgeführt, die hier angegeben sind. VMware ist kein geltendes Recht bekannt, das seine Fähigkeit beeinträchtigen würde, seinen Verpflichtungen in Bezug auf behördliche Zugriffsanfragen und erforderliche Offenlegungen gemäß den VMware-Nutzungsbedingungen nachzukommen.

Im Zusammenhang mit der Bereitstellung von VMware-Diensten an einen Kunden kann VMware in Kundeninhalten (entsprechend der Definition in der VMware-Ergänzung zur Datenverarbeitung) enthaltene personenbezogene Daten aus dem Europäischen Wirtschaftsraum (EWR), der Schweiz und dem Vereinigten Königreich in seiner Eigenschaft als Auftragsverarbeiter an Drittländer übertragen. Die Datenschutz-Grundverordnung (DSGVO) wurde in die das nationale Recht des Vereinigten Königreichs aufgenommen und daher gilt der nach der DSGVO zulässige Datenübertragungsmechanismus für die Übermittlung personenbezogener Daten außerhalb des EWR auch für Übermittlungen aus dem Vereinigten Königreich. In Bezug auf die Schweiz folgt das Bundesgesetz über den Datenschutz (DSG) einem ähnlichen Rahmen wie die DSGVO und daher gelten für Übermittlungen aus der Schweiz die gleichen Datenübertragungsmechanismen (mit den notwendigen Änderungen, um etwaige Unterschiede zu berücksichtigen).

Zu den Empfängern oder Importeuren der personenbezogenen Daten des Kunden gehören die Entitäten des VMware-Konzerns und ausgewählte Drittanbieter, die personenbezogene Daten in unserem Auftrag verarbeiten, um unsere Dienstleistungen bereitzustellen („Unterauftragsverarbeiter“). Eine Liste der Entitäten des VMware-Konzerns und der Unterauftragsverarbeiter, die personenbezogenen Daten unserer Kunden im Zusammenhang mit unseren Serviceangeboten und unserem Kundensupport verarbeiten, sowie Einzelheiten zu ihrem Standort finden Sie hier.

Konzerninterne Weitergabe: Wenn VMware in seiner Eigenschaft als Auftragsverarbeiter personenbezogene Daten weitergibt, die aus dem Europäischen Wirtschaftsraum („EWR“) stammen, erfolgt diese Weitergabe gemäß den vom irischen Datenschutzbeauftragten und Kollegen genehmigten verbindlichen internen Datenschutzvorschriften, den so genannten verbindlichen internen Datenschutzvorschriften von VMware für den EWR, die einen angemessenen Schutz dieser personenbezogenen Daten gewährleisten und für die VMware-Gruppe rechtlich bindend sind.

Die verbindlichen internen Datenschutzvorschriften von VMware wurden am 23. Mai 2018 von den europäischen Datenschutzbehörden genehmigt. Die Bestätigung, dass diese Überprüfung nun abgeschlossen ist, finden Sie hier. Weitere Informationen zu den verbindlichen internen Datenschutzvorschriften von VMware und die verbindlichen internen Datenschutzvorschriften von VMware für Datenverarbeiter finden Sie in denverbindlichen internen Datenschutzvorschriften für Datenverarbeiter. Klicken Sie hier, um eine Liste der verbundenen Unternehmen von VMware aufzurufen, die eine konzerninterne Vereinbarung für die verbindlichen internen Datenschutzvorschriften von VMware für den Europäischen Wirtschaftsraum unterzeichnet haben. Weitere Informationen erhalten Sie hier.

Der VMware-Antrag auf verbindliche interne Datenschutzvorschriften im Vereinigten Königreich („VMware UK BCRs“) ist derzeit in Bearbeitung und die VMware-Ergänzung zur Datenverarbeitung wird aktualisiert, sobald die verbindlichen internen Datenschutzvorschriften für das Vereinigte Königreich in Kraft treten. In der FAQ „Welche Datenübertragungsstrategie verfolgt VMware angesichts des Brexits?“ finden Sie weitere Informationen.

Übertragungen an dritte Unterauftragsverarbeiter: VMware hat mit seinen Unterauftragsverarbeitern Vereinbarungen zur Datenverarbeitung (Data Processing Agreements, DPAs) getroffen, die die aktuelle Version der Standardvertragsklauseln zwischen dem für die Datenverarbeitung Verantwortlichen und dem Verarbeiter der Daten beinhalten, um sichere, geschützte und rechtliche zulässige Datenübertragungen aus dem EWR, der Schweiz und dem Vereinigten Königreich sowie geschützte nachfolgende Weiterübertragungen zu gewährleisten. Die Europäische Kommission hat einen neuen Entwurf der Standardvertragsklauseln veröffentlicht, der hier verfügbar ist. Sobald die neuen Standardvertragsklauseln genehmigt sind und in Kraft treten, wird VMware die erforderlichen Schritte unternehmen, um diese neuen Standardklauseln in den Verträgen mit seinen Unterauftragsverarbeitern gemäß allen neuen Anforderungen der Europäischen Kommission zu implementieren.

VMware hat eine hier verfügbare FAQ zum Brexit und internationalen Datenübertragungen erstellt, um Bedenken von Kunden bezüglich der Datenübertragungsstrategie von VMware angesichts des Brexits und insbesondere der Verwendung verbindlicher interne Datenschutzvorschriften (BCRs) und Standardvertragsklauseln auszuräumen.

Weitere Informationen zu den Mechanismen, die VMware implementiert hat, um angemessene Sicherheitsvorkehrungen für die Übertragung personenbezogener Daten zu gewährleisten, finden Sie in der FAQ „Welche Mechanismen hat VMware implementiert, um angemessene Sicherheitsvorkehrungen für die Übertragung personenbezogener Daten außerhalb des EWR, der Schweiz und des Vereinigten Königreichs zu gewährleisten, bei denen VMware als Verarbeiter agiert?“

Die Sicherheit unserer Serviceangebote hat für VMware oberste Priorität. Eine Liste von Sicherheitsmaßnahmen in Bezug auf unsere Serviceangebote finden Sie auf der Trust Center-Sicherheitsseite.

Bei Ihrer Nutzung der Serviceangebote sind Sie dafür verantwortlich, die erforderlichen technischen, organisatorischen und administrativen Kontrollen zur Einhaltung aller für die Nutzung des Serviceangebots geltenden Gesetze zu konfigurieren und zu implementieren, die von den von Ihnen im Rahmen des Serviceangebots verarbeiteten Datentypen abhängen. Ihre Verantwortlichkeiten hinsichtlich der Sicherheit von Kundeninhalten sind in der entsprechenden Vereinbarung festgelegt und umfassen (a) Kontrolle des Anwenderzugriffs, (b) ordnungsgemäße Konfiguration des Serviceangebots, (c) Gewährleisten der Sicherheit von Kundeninhalten während der Übertragung zum und vom Serviceangebot, (d) Verwenden von entsprechender Verschlüsselungstechnologie zum Schutz von Kundeninhalten und (e) Backup von Kundeninhalten.

VMware unterhält ein auf den ISO-Standard 27001 (sofern zutreffend) abgestimmtes Managementprogramm für Informationssicherheit, das mindestens jährlich überprüft wird, um ordnungsgemäße Kontrollen, Methoden und Verfahren zu gewährleisten. Eine Liste von Sicherheitsmaßnahmen in Bezug auf unsere Serviceangebote finden Sie auf der Trust Center-Sicherheitsseite.

VMware beauftragt Dritte mit der Ausführung von Dienstleistungen in seinem Namen im Zusammenhang mit der Bereitstellung von VMware-Serviceangeboten oder Support- und Abonnementservices. Details finden Sie hier. Im Zusammenhang mit der Beauftragung von Drittanbietern, die personenbezogene Daten als Unterauftragsverarbeiter verarbeiten (entsprechend der Definition dieser Begriffe in der Ergänzung zur Datenverarbeitung definiert sind), hat VMware die folgenden Prozesse und Verfahren implementiert:

1. Vertragliche Verpflichtung und internationale Datenübertragungen: VMware schließt mit allen seinen Unterauftragsverarbeitern Datenverarbeitungsvereinbarungen ab, die Unterauftragsverarbeitern zur Wahrung des angemessenen Datenschutzes, der Sicherheit und Vertraulichkeit personenbezogener Daten zu Bedingungen verpflichten, die im Wesentlichen den vertraglichen Verpflichtungen von VMware gegenüber seinen eigenen Kunden in der Ergänzung zur Datenverarbeitung entsprechen. VMware setzt die EU-Standardvertragsklauseln ein, sofern ein anderer legitimer Datenübertragungsmechanismus implementiert ist und der Unterauftragsverarbeiter entsprechende vertragliche Verpflichtungen eingeht.

2. Datenschutzprüfungsprozess und Privacy by Design: Zur Unterstützung der Einhaltung von Compliance-Auflagen hat VMware einen umfassenden, zentralen Prozess für das Drittanbietermanagement eingerichtet, um neue Lieferanten einzubinden, einschließlich der Initiierung, Durchführung und Verfolgung von Datenschutz- und Sicherheitsüberprüfungen von Drittanbietern mit zentralisierten Tools. Das VMware-Datenschutzteam führt detaillierte Datenschutzprüfungen der von Unterauftragsverarbeitern bereitgestellten Dienste durch, einschließlich der Bestimmung der Kategorien der verarbeiteten personenbezogenen Daten und der Verarbeitungszwecke. Die Überprüfungen umfassen das Implementieren von Datenschutzkontrollen, um die Risiken im Zusammenhang mit dem Zugriff und der Verarbeitung personenbezogener Daten durch Unterauftragsverarbeiter zu verringern und die Einhaltung regulatorischer Auflagen sicherzustellen.

3. Sicherheitsüberprüfungsprozess: VMware pflegt eine Richtlinie und einen Prozess zur Durchführung von Sicherheitsüberprüfungen bei Unterauftragsverarbeitern. Das VMware-Sicherheitsteam führt bei jedem neuen Unterauftragsverarbeiter eine erste Sicherheitsüberprüfung gefolgt von einer fortlaufender Überwachung basierend auf der identifizierten Sicherheitsrisikostufe durch.

4. Liste der Unterauftragsverarbeiter und Benachrichtigung über neue Unterauftragsverarbeiter: VMware führt eine Liste der für die einzelnen Dienstangebote und in Bezug auf die Support- und Abonnementservices eingesetzten Unterauftragsverarbeiter. Die Liste für das jeweilige Serviceangebot kann hier abgerufen werden. VMware informiert den Kunden im Voraus über jede neue Beauftragung eines Unterauftragsverarbeiters, sofern der Kunde Benachrichtigungen für einen bestimmten Service über die von VMware bereitgestellten Mechanismen abonniert hat. Wenn Sie Benachrichtigungen über neue Unterauftragsverarbeiter erhalten möchten, aktivieren Sie die Benachrichtigungen für die entsprechende(n) Unterauftragsverarbeiter-Liste(n) hier.

VMware hat ein „Privacy by Design“-Framework implementiert, um sicherzustellen, dass seine On-Premises-Produkte und -Serviceangebote so gestaltet sind, dass sie den geltenden Datenschutzgrundsätzen und gesetzlichen Anforderungen entsprechen. Im Designlebenszyklus der On-Premise-Produkte und -Serviceangebote von VMware wurde ein Datenschutzüberprüfungsprozess implementiert, der dokumentierte Anweisungen zum Einreichen eines Produkts oder einer Dienstleistung für eine Datenschutzüberprüfung, designierte Rechtsberatung für das Durchführen von Datenschutzüberprüfungen, das Abschätzen von Folgen der Datenverarbeitung (wie erforderlich) und allgemeine Datenschutzanforderungen für die Gestaltung von Produkten/Dienstleistungen in Übereinstimmung mit den geltenden Datensicherheits- und Datenschutzgesetzen umfasst.

Darüber hinaus hat VMware zur Unterstützung der Einhaltung von Compliance-Auflagen einen umfassenden, zentralen Prozess für das Drittanbietermanagement eingerichtet, um neue Lieferanten einzubinden, einschließlich der Initiierung, Durchführung und Verfolgung von Datenschutz- und Sicherheitsüberprüfungen von Drittanbietern mit zentralisierten Tools. Das VMware-Datenschutzteam führt detaillierte Datenschutzprüfungen der von Unterauftragsverarbeitern bereitgestellten Dienste durch, einschließlich der Bestimmung der Kategorien der verarbeiteten personenbezogenen Daten und der Verarbeitungszwecke. Die Überprüfungen umfassen das Implementieren von Datenschutzkontrollen, um die Risiken im Zusammenhang mit dem Zugriff und der Verarbeitung personenbezogener Daten durch Unterauftragsverarbeiter zu verringern und die Einhaltung regulatorischer Auflagen sicherzustellen.

VMware hat einen Datenschutzbeauftragten, der Rechtsanwalt und Geschäftsführer einer externen Beratungsfirma für Datenschutz ist. Die Rolle des DSB ist in den Artikeln 38 und 39 der DSGVO beschrieben. Der DSB muss in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden sein, die Organisation hinsichtlich ihrer Pflichten nach der DSGVO beraten, deren Einhaltung überwachen, im Zusammenhang mit einer Datenschutz-Folgenabschätzung beraten und Ansprechpartner für die Aufsichtsbehörden sein. Das VMware-Datenschutzteam beauftragt gegebenenfalls den Datenschutzbeauftragten von VMware. Senden Sie eine E-Mail an dpo@vmware.com, um den Datenschutzbeauftragten von VMware zu kontaktieren. Das VMware-Datenschutzteam wird die Anfrage bearbeiten und/oder gegebenenfalls unseren Datenschutzbeauftragten beauftragen.

Im Rahmen der Datenschutz-Grundverordnung („DSGVO“) der EU agiert VMware im Hinblick auf Kundeninhalte als „Datenverarbeiter“. Die Pflichten von VMware als Datenverarbeiter im Rahmen der DSGVO werden in unserer Ergänzung zur Datenverarbeitung näher erläutert. VMware wird in Kundeninhalten enthaltene personenbezogene Daten gemäß der entsprechenden Vereinbarung und Ergänzung zur Datenverarbeitung verarbeiten. Darüber hinaus hat VMware die Genehmigung für verbindliche interne Datenschutzvorschriften für personenbezogenen Daten erhalten, die VMware als Datenverarbeiter verarbeitet. Eine Kopie der verbindlichen internen Datenschutzvorschriften von VMware finden Sie hier. Der Nachweis für die erteilte Genehmigung kann auf der Website der Europäischen Kommission eingesehen werden.

VMware bietet Unternehmenslösungen, mit denen seine Kunden Anwendungen system- und umgebungsübergreifend erstellen, verwalten, sichern und ausführen können. Obwohl VMware überzeugt ist, dass seine Serviceangebote für Kunden im Allgemeinen keinen direkten behördlichen Zugriff auf Kundeninhalte rechtfertigen, hat VMware die folgenden Schritte unternommen, um der Entscheidung in der Rechtssache Schrems II nachzukommen und Kunden bei ihren eigenen Compliance-Bemühungen in Bezug auf Daten zu unterstützen, die sie als für die Datenverarbeitung Verantwortlicher verarbeiten:

Verstärkte vertragliche Verpflichtungen in Bezug auf behördliche Zugriffsanfragen

VMware hat dem Abschnitt „Erforderliche Offenlegung“ in seinen Nutzungsbedingungen die folgenden Verpflichtungen hinzugefügt, um zu verdeutlichen, wie VMware mit behördlichen Zugriffsanfragen umgeht:

Sofern Kundenbenachrichtigungen gesetzlich zulässig sind, wird VMware Folgendes unternehmen:

– Benachrichtigen des Kunden: Wir benachrichtigen unseren Kunden über jede Aufforderung zur Offenlegung von Kundeninhalten.

– Verweisen der Bundesbehörde an den Kunden: Wir informieren die zuständige Bundesbehörde, dass VMware ein im Auftrag des Kunden handelnder Dienstleister ist und alle Anfragen zum Zugriff auf die Inhalte des Kunden schriftlich an die vom Kunden angegebene Kontaktperson oder die Rechtsabteilung des Kunden zu richten sind.

– Zugriffsbeschränkung: Wir gestatten nur nach einer entsprechenden Autorisierung durch den Kunden Zugriff auf dessen Inhalte. Auf Verlangen des Kunden werden wir auf dessen Kosten angemessene Schritte unternehmen, um Einspruch gegen die Forderung einzulegen.

Sind Kundenbenachrichtigungen gesetzlich nicht zulässig, wird VMware Folgendes unternehmen:

– Prüfen der Rechtsgültigkeit: VMware wird prüfen, ob die Offenlegungsforderung rechtlich gültig und bindend ist.

– Anfechten rechtswidriger Anfragen: VMware wird die Verfügung anfechten, wenn Grund zu der Annahme besteht, dass die Verfügung nicht geltendem Recht entspricht.

– Begrenzen des Offenlegungsumfangs: VMware wird den Umfang der Offenlegung auf die Informationen beschränken, die wir offenlegen müssen, und die Informationen in Übereinstimmung mit geltendem Recht offenlegen.

Transparenz bezüglich des Verfahrens zur Bearbeitung von Zugriffsanfragen von Behörden und der US-amerikanischen Regierung

Um Kunden die Verpflichtungen und den Prozess von VMware zur Bearbeitung von behördlichen Zugriffsanfragen einschließlich der in den verbindlichen internen Datenschutzvorschriften von VMware festgelegten Verpflichtungen zu verdeutlichen, hat VMware die VMware-Grundsätze für den Umgang mit behördlichen Anfragen zum Zugriff auf Kundeninhalte ausgearbeitet.

Darüber hinaus hat VMware im Hinblick auf Schrems II die VMware-Erklärung zur Anwendung von FISA Section 702 und Executive Order 12333 ausgearbeitet, um Bedenken hinsichtlich des Zugangs von US-Geheimdiensten zu Daten, die von der EU in die USA übertragen werden, auszuräumen und Kunden Einblick in die mögliche Anwendung von Executive Order (EO) 12333 und Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA) zu geben. VMware ist der festen Überzeugung, dass angesichts der Art der angebotenen Dienste eine geringe Wahrscheinlichkeit besteht, dass es in Bezug auf die Bereitstellung der Serviceangebote Abschnitt 702 oder EO 12333 unterliegt.

Aktualisierte Verträge mit Unterauftragsverarbeitern, um die Rechtsgrundlage für die Übermittlung personenbezogener Daten zu gewährleisten

Seit der Aufhebung der Datenschutzvereinbarung zwischen der EU und den USA hat VMware in allen Verträgen mit seinen Unterauftragsverarbeitern, für die zuvor die Vereinbarung zwischen der EU und den USA bezüglich der Datenübertragung galt, Standardvertragsklauseln implementiert. In seiner Eigenschaft als Datenverarbeiter beruft sich VMware für die Übertragung personenbezogener Daten außerhalb der EU im Rahmen der Bereitstellung der entsprechenden VMware-Serviceangebote gemäß der VMware-Ergänzung zur Datenverarbeitung auf verbindliche interne Datenschutzvorschriften. Weitere Informationen zu den verbindlichen internen Datenschutzvorschriften von VMware finden Sie hier und im VMware Trust Center

Technische und organisatorische Maßnahmen

VMware bestätigt seine Verpflichtung, geeignete technische und organisatorische Maßnahmen gemäß der VMware-Ergänzung zur Datenverarbeitung zu implementieren und aufrechtzuerhalten. Auf der Website des VMware Trust Center werden die Zertifizierungen und Audits von Drittanbietern beschrieben, die VMware in Bezug auf seine Serviceangebote durchführt. Aufgrund der Art der VMware-Serviceangebote haben Kunden auch die Kontrolle darüber, wie sie die Serviceangebote konfigurieren, und können alle erforderlichen administrativen und technischen Kontrollen implementieren, die erforderlich sind, um die Daten zu schützen, die im Zusammenhang mit der Nutzung des jeweiligen Serviceangebots verarbeitet werden. In vielen Fällen bietet VMware sowohl On-Premises- als auch gehostete Lösungen, aus denen Kunden bei der Verwaltung ihrer Systeme und Infrastruktur wählen können.

Transparenz bezüglich der von VMware Service verarbeiteten Datentypen – Datenblätter

Der Europäische Datenschutzausschuss (EDSA) weist in seinen FAQs zu „Schrems II“ auf die Notwendigkeit hin, die Art der übermittelten Daten als einen Faktor bei der Entscheidung zu berücksichtigen, ob bei der Übermittlung personenbezogener Daten außerhalb der EU ein angemessenes Schutzniveau besteht. Außerdem sollten dass die für die Verarbeitung Verantwortlichen anhand einer eine Einzelfallanalyse die mit einer solchen Übermittlung verbundenen Risiken ermitteln. Um Kunden zu helfen, die Art der Daten zu verstehen, die im Zusammenhang mit der Nutzung von VMware-Serviceangeboten verarbeitet werden, stellt VMware hier Servicebeschreibungen für die einzelnen Serviceangebote und im Datenschutzabschnitt des VMware Trust Center Datenblätter für bestimmte Serviceangebote bereit. Für Workspace ONE-Serviceangebote stellt VMware auch die Workspace ONE-Datenschutzerklärung bereit.

Der California Consumer Privacy Act („CCPA“) gilt für Unternehmen, die Verbrauchern in Kalifornien Services bereitstellen. Er gewährt Einzelpersonen bestimmte Rechte im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten. Im Rahmen des CCPA fungiert VMware in Bezug auf die Verarbeitung von in Kundeninhalten enthaltenen personenbezogenen Daten als „Serviceanbieter“. VMware wird diese personenbezogenen Daten ausschließlich zu Zwecken verwenden, die für eine ordnungsgemäße Bereitstellung von Services erforderlich und im Rahmen der Nutzungsbedingungen festgelegt und zulässig sind. Gemäß unserer Ergänzung zur Datenverarbeitung wird VMware Kunden dabei helfen, auf Anforderungen zur Offenlegung von Daten im Rahmen des CCPA zu antworten. In Fällen, in denen VMware im Rahmen des CCPA als „Unternehmen“ fungiert, bieten der VMware-Datenschutzhinweis für Kalifornien und andere Datenschutzhinweise Informationen dazu, wie VMware solche personenbezogenen Daten als Unternehmen verarbeitet. Dazu zählen auch sämtliche erforderliche Offenlegungen für bestimmte Kategorien von erfassten und verwendeten Daten sowie der Verkauf personenbezogener Daten. Weitere Informationen zur Anwendbarkeit des CCPA auf die Servicebereitstellung durch VMware finden Sie hier.

Sie möchten gleich anfangen?