Datenschutz VMware – Dem Schutz Ihrer Daten verpflichtet

„Kundeninhalte“ („Ihre Inhalte“) sind alle Inhalte, die Sie als Kunde oder Ihre Mitarbeiter in einen Cloud-Service hochladen, um sie in Verbindung mit Ihrem Konto zu verarbeiten, zu speichern oder zu hosten. Im Kontext von Supportservices sind „Kundeninhalte“ alle Inhalte, die Sie VMware im Zusammenhang mit Supportservices zur Verfügung stellen. Die Definition von „Kundeninhalten“ finden Sie in den Allgemeinen Geschäftsbedingungen von VMware. Beispielsweise umfassen Kundeninhalte Daten, die Sie oder Ihre Mitarbeiter in Workspace ONE speichern. Wichtiger Hinweis: Ihre Kontoinformationen, darunter mit Ihrem Konto verknüpfte Namen, Anwendernamen, Telefonnummern und Rechnungsinformationen, zählen nicht zu „Kundeninhalten“. Ebenfalls davon ausgeschlossen sind Informationen, die VMware im Zusammenhang mit Ihrer Nutzung von Cloud-Services erfasst. Diese Informationen werden von VMware im Einklang mit seinem Datenschutzhinweis behandelt.

Sie halten stets die Eigentumsrechte an Ihren Kundeninhalten. Sie bestimmen, welche VMware Cloud Services Sie zum Verarbeiten, Speichern und Hosten von Kundeninhalten verwenden und welche Informationen Sie als Kundeninhalte in Cloud-Services hochladen. Zudem verwendet VMware Ihre Kundeninhalte ausschließlich zu Zwecken, die für eine ordnungsgemäße Bereitstellung von Cloud-Services erforderlich und im Zuge der Allgemeinen Geschäftsbedingungen von VMware festgelegt und zulässig sind. VMware nutzt Kundeninhalte nicht zu Marketing- oder Werbezwecken.

VMware bietet Enterprise-Lösungen, mit denen Sie Anwendungen system- und umgebungsübergreifend erstellen, verwalten, schützen und ausführen können. Obwohl VMware überzeugt ist, dass seine Serviceangebote im Allgemeinen keinen direkten behördlichen Zugriff auf Kundeninhalte rechtfertigen, hat VMware die folgenden Schritte unternommen, um der Entscheidung in der Rechtssache Schrems II nachzukommen und Sie bei Ihren eigenen Compliance-Bemühungen in Bezug auf Daten zu unterstützen, die Sie als Verantwortlicher verarbeiten:

Verschärfte vertragliche Verpflichtungen hinsichtlich Zugriffsanfragen von Behörden
VMware hat dem Abschnitt „Erforderliche Offenlegung“ in den Allgemeinen Geschäftsbedingungen von VMware die folgenden Verpflichtungen hinzugefügt, um klarzustellen, wie VMware mit Zugriffsanfragen von Behörden umgeht:

Sofern Kundenbenachrichtigungen gesetzlich zulässig sind, wird VMware Folgendes unternehmen:

• Benachrichtigung von Kunden: Wir benachrichtigen unsere Kunden über jede Aufforderung zum Offenlegen von Kundeninhalten.

• Verweisen von Bundesbehörden an Kunden: Wir informieren zuständige Bundesbehörden, dass VMware ein im Auftrag von Kunden handelnder Serviceanbieter ist und alle Anfragen zum Zugriff auf Inhalte von Kunden schriftlich an die von Kunden angegebene Kontaktperson oder die Rechtsabteilung von Kunden zu richten sind.

• Zugriffsbeschränkung: Wir gestatten nur nach einer entsprechenden Autorisierung durch Kunden Zugriff auf deren Inhalte. Auf Verlangen von Kunden werden wir auf deren Kosten angemessene Schritte unternehmen, um Einspruch gegen Forderungen einzulegen.

Sind Kundenbenachrichtigungen gesetzlich nicht zulässig, wird VMware Folgendes unternehmen:

• Prüfen der Rechtsgültigkeit: VMware wird prüfen, ob die Offenlegungsforderung rechtlich gültig und bindend ist.

• Anfechten rechtswidriger Anfragen: VMware wird Verfügungen anfechten, wenn Grund zu der Annahme besteht, dass sie nicht geltendem Recht entsprechen.

• Begrenzen des Offenlegungsumfangs: VMware wird den Umfang von Offenlegungen auf die Informationen beschränken, die wir offenlegen müssen, und die Informationen in Übereinstimmung mit geltendem Recht offenlegen.

Transparenz hinsichtlich des Umgangs mit behördlichen Zugriffsanfragen und US-amerikanischen Behörden

Wir möchten Ihnen besseren Einblick in die Verpflichtungen von VMware und den Prozess zur Bearbeitung von behördlichen Zugriffsanfragen, einschließlich der in den verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules, BCRs) von VMware festgelegten Verpflichtungen, geben. Daher hat VMware Richtlinien für den Umgang mit Anfragen von Behörden bezüglich des Zugriffs auf Kundeninhalte vorbereitet.

Darüber hinaus hat VMware im Hinblick auf Schrems II die VMware-Erklärung zur Anwendung von FISA Section 702 und Executive Order 12333 ausgearbeitet, um Bedenken hinsichtlich des Zugriffs von US-Geheimdiensten auf Daten, die von der EU in die USA übertragen werden, auszuräumen und Ihnen Einblick in die mögliche Anwendung von Executive Order (EO) 12333 und Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA) zu geben. VMware ist der festen Überzeugung, dass angesichts der Art der angebotenen Services eine geringe Wahrscheinlichkeit besteht, dass es in Bezug auf die Bereitstellung der Serviceangebote Abschnitt 702 oder EO 12333 unterliegt.

Aktualisierte Verträge mit Unterauftragsverarbeitern zur Sicherstellung der Rechtsgrundlage für die Übertragung personenbezogener Daten

Seit der Aufhebung der Datenschutzvereinbarung zwischen der EU und den USA hat VMware in allen Verträgen mit seinen Unterauftragsverarbeitern, für die zuvor die Vereinbarung zwischen der EU und den USA bezüglich der Mechanismen für die Datenübertragung galt, Standardvertragsklauseln implementiert. In seiner Eigenschaft als Datenverarbeiter beruft sich VMware für die Übertragung personenbezogener Daten außerhalb der EU in Verbindung mit der Bereitstellung der entsprechenden VMware-Serviceangebote gemäß der VMware-Ergänzung zur Datenverarbeitung auf verbindliche interne Datenschutzvorschriften.

Technische und organisatorische Maßnahmen

VMware bestätigt seine Verpflichtung, geeignete technische und organisatorische Maßnahmen gemäß der VMware-Ergänzung zur Datenverarbeitung zu implementieren und aufrechtzuerhalten. Im VMware Trust Center werden die Zertifizierungen und Audits von Drittanbietern beschrieben, die VMware in Bezug auf seine Serviceangebote durchführt. Aufgrund der Art der VMware-Serviceangebote können Sie selbst steuern, wie Sie Serviceangebote konfigurieren, und alle erforderlichen administrativen und technischen Kontrollen implementieren, um die Daten zu schützen, die im Zusammenhang mit der Nutzung des jeweiligen Serviceangebots verarbeitet werden. In vielen Fällen bietet VMware sowohl On-Premises- als auch gehostete Lösungen, aus denen Sie beim Management Ihrer Systeme und Infrastruktur wählen können.

Datentransfer-Folgenabschätzungen
VMware hat einen Prozess für die Durchführung von Datentransfer-Folgenabschätzungen implementiert, der in den entsprechenden FAQ näher erläutert wird. Darüber hinaus hat VMware seine von den Aufsichtsbehörden genehmigten verbindlichen internen Datenschutzvorschriften für Auftragsverarbeiter (Binding Corporate Rules for Processors, BCR-Ps) aktualisiert und die Verpflichtung zur Durchführung von Datentransfer-Folgenabschätzungen darin aufgenommen. Nähere Erläuterungen zum VMware-Verfahren für Datentransfer-Folgenabschätzungen finden Sie in den BCR-Ps.

Transparenz hinsichtlich der Art der von VMware-Services verarbeiteten Daten – Datenblätter
Der Europäische Datenschutzausschuss (EDSA) weist in seinen FAQ zu „Schrems II“ auf die Notwendigkeit hin, die Art der übermittelten Daten als einen Faktor bei der Entscheidung zu berücksichtigen, ob bei der Übertragung personenbezogener Daten außerhalb der EU ein angemessenes Schutzniveau besteht. Außerdem sollten Verantwortliche anhand einer Einzelfallanalyse die mit einer solchen Übertragung verbundenen Risiken ermitteln. Um Ihnen einen besseren Einblick in die Daten zu geben, die im Zusammenhang mit der Nutzung von VMware-Serviceangeboten verarbeitet werden, stellt VMware Servicebeschreibungen für die einzelnen Serviceangebote und im Abschnitt „Datenschutz“ des VMware Trust Center Datenblätter für bestimmte Serviceangebote bereit. Für Workspace ONE-Serviceangebote stellt VMware außerdem die Workspace ONE-Datenschutzerklärung bereit.

VMware beauftragt Dritte, in seinem Namen Services im Zusammenhang mit der Bereitstellung von VMware-Serviceangeboten oder Support- und Abonnementservices auszuführen. Im Zusammenhang mit der Beauftragung von Drittanbietern, die personenbezogene Daten als Unterauftragsverarbeiter verarbeiten (entsprechend der Definition dieser Begriffe in der Ergänzung zur Datenverarbeitung), hat VMware die folgenden Prozesse und Verfahren implementiert:

1. Vertragliche Verpflichtung und internationale Datenübertragungen: VMware schließt mit allen seinen Unterauftragsverarbeitern Datenverarbeitungsvereinbarungen ab, die Unterauftragsverarbeiter zur Wahrung des angemessenen Datenschutzes, der Sicherheit und der Vertraulichkeit personenbezogener Daten zu Bedingungen verpflichten, die im Wesentlichen den vertraglichen Verpflichtungen von VMware gegenüber seinen eigenen Kunden in der Ergänzung zur Datenverarbeitung entsprechen. VMware wendet die EU-Standardvertragsklauseln an, sofern kein anderer legitimer Mechanismus für die Datenübertragung implementiert ist und der Unterauftragsverarbeiter entsprechende vertragliche Verpflichtungen eingeht.
   
   
2. Prozess zur Datenschutzüberprüfung und Privacy by Design: VMware hat zur Unterstützung der Einhaltung von Compliance-Auflagen einen umfassenden, zentralen Prozess für das Drittanbietermanagement eingerichtet, um neue Anbieter zu integrieren, einschließlich der Initiierung, Durchführung und Erfassung von Datenschutz- und Sicherheitsüberprüfungen von Drittanbietern mit zentralen Tools. Das VMware-Datenschutzteam führt detaillierte Datenschutzüberprüfungen der von Unterauftragsverarbeitern bereitgestellten Services durch, einschließlich der Bestimmung der Kategorien von verarbeiteten personenbezogenen Daten und der Verarbeitungszwecke. Die Überprüfungen umfassen das Implementieren von Datenschutzkontrollen, um Risiken im Zusammenhang mit dem Zugriff auf personenbezogene Daten und deren Verarbeitung durch Unterauftragsverarbeiter zu verringern und die Einhaltung regulatorischer Auflagen sicherzustellen.
   
   
3. Prozess zur Sicherheitsüberprüfung: VMware pflegt eine Richtlinie und einen Prozess zur Durchführung von Sicherheitsüberprüfungen bei Unterauftragsverarbeitern. Das VMware-Sicherheitsteam führt bei jedem neuen Unterauftragsverarbeiter eine anfängliche Sicherheitsüberprüfung durch, gefolgt von einer fortlaufenden Überwachung auf Basis der ermittelten Sicherheitsrisikostufe.
   
   
4. Liste der Unterauftragsverarbeiter und Benachrichtigung über neue Unterauftragsverarbeiter: VMware führt eine Liste der Unterauftragsverarbeiter, die für einzelne Serviceangebote und im Zusammenhang mit Support- und Abonnementservices eingesetzt werden. VMware informiert Kunden, die Benachrichtigungen für einen bestimmten Service abonniert haben, vorab über jede Beauftragung eines neuen Unterauftragsverarbeiters.

VMware verfügt über einen internen Prozess zum Erfassen, Analysieren und Bewerten neuer Gesetze, Vorschriften, verbindlicher Richtlinien und Präzedenzfälle, die VMware möglicherweise beim Bereitstellen seiner Services oder im Geschäftsbetrieb beachten muss. Das Datenschutzteam vertraut auf externe Berater, externe Datenschutzrecherche-Tools und Benachrichtigungen von Anwaltskanzleien, um über das Inkrafttreten neuer Gesetze und Vorschriften informiert zu werden.

Sobald festgestellt wurde, dass ein bestimmtes Datenschutzgesetz für VMware gilt, was z. B. in China und Japan sowie in den US-amerikanischen Bundesstaaten Kalifornien, Colorado, Virginia und Utah der Fall war, erfasst VMware die rechtlichen Anforderungen und implementiert einen Projektplan, um Compliance sicherzustellen. Im Zuge des Implementierungsprozesses ermittelt das VMware-Datenschutzteam gemeinsam mit relevanten internen Stakeholdern die Prozesse und Kontrollen, die aktualisiert werden müssen, um die neuen rechtlichen Anforderungen zu erfüllen. Das VMware-Datenschutzteam stützt sich auf sein Ökosystem von Datenschutzberatern aus verschiedenen Funktionsbereichen des Unternehmens wie Marketing, HR oder Sales, um Anpassungen an neue oder geänderte Gesetze zeitnah und effizient vorzunehmen.

Das VMware-Datenschutzteam stellt zudem mit seinen standardmäßigen Datenschutzschulungen und anderen unternehmensinternen Schulungen sicher, dass alle Mitarbeiter und Auftragnehmer ordnungsgemäß für neue rechtliche Anforderungen geschult werden, die sich auf ihre Geschäftsfunktionen auswirken können. Im Zuge der Einhaltung seiner verbindlichen internen Datenschutzvorschriften für Auftragsverarbeiter hat VMware beispielsweise die erforderlichen Schulungen in seine jährlichen Pflichtfortbildungen zur Schärfung des Sicherheitsbewusstseins integriert und seinen Verhaltenskodex an die neuen Anforderungen angepasst.

Die Sicherheit seiner Cloud-Services hat für VMware oberste Priorität. Weitere Informationen dazu, wie VMware seine Cloud-Services schützt, finden Sie auf der Trust Center-Seite „Sicherheit“. VMware unterhält ein auf den ISO-Standard 27001 abgestimmtes Managementprogramm für Informationssicherheit, das mindestens jährlich überprüft wird, um ordnungsgemäße Kontrollen, Methoden und Verfahren sicherzustellen.

Bei Ihrer Nutzung von VMware Cloud Services sind Sie dafür verantwortlich, die erforderlichen technischen, organisatorischen und administrativen Kontrollen zur Einhaltung aller für die Nutzung von Cloud-Services geltenden Gesetze zu konfigurieren und zu implementieren. Diese hängen möglicherweise vom Typ der Daten ab, die Sie im Rahmen der Nutzung des Service verarbeiten. Ihre Verpflichtungen hinsichtlich der Sicherheit Ihrer Kundeninhalte sind in der entsprechenden Vereinbarung festgelegt und umfassen (a) Kontrolle des Anwenderzugriffs, (b) ordnungsgemäße Konfiguration von Cloud-Services, (c) Gewährleisten der Sicherheit von Kundeninhalten während der Übertragung zu und von Cloud-Services, (d) Verwenden von entsprechender Verschlüsselungstechnologie zum Schutz von Kundeninhalten und (e) Backup von Kundeninhalten.