Häufig gestellte Fragen zu den ServiceNow‑Programmen für Datenschutz und ‑sicherheit

Im Folgenden finden Sie Informationen zu Datenschutz‑ und Datensicherheitsprogrammen von ServiceNow. Sie dienen dazu, die personenbezogenen Daten zu schützen, die Sie an die Cloud‑Services von ServiceNow übermitteln.

Der standardmäßige Datenverarbeitungsanhang (Data Processing Addendum, DPA) und Datensicherheitsanhang (Data Security Addendum, DSA) von ServiceNow unter https://www.servicenow.com/de/upgrade‑schedules.html behandeln unsere Verpflichtungen als Datenverarbeiter und Ihre Verpflichtungen als Datenverantwortliche gemäß den entsprechenden Datenschutzgesetzen. Hier finden Sie Antworten auf häufig gestellte Fragen zu unserem DPA und DSA sowie Erläuterungen hinsichtlich der Unterschiede, die Sie möglicherweise auf unseren Formularen sehen. Insbesondere durch die von uns bereitgestellten cloudbasierten Services überprüfen oder analysieren wir nicht den Inhalt der Daten, die von Kunden im Rahmen des normalen Betriebs unserer Services eingegeben werden. Daher wissen wir nicht, ob personenbezogene Daten in Ihre Instanz der Services hochgeladen werden. Dementsprechend sind Sie als Kunden und Datenverantwortliche grundsätzlich dafür verantwortlich, den Verpflichtungen aus entsprechenden Datenschutzgesetzen nachzukommen, die eine Überprüfung oder Analyse von Daten erfordern. Aus diesen Gründen werden unser standardmäßiger DPA und DSA so konzipiert, dass sie unsere Kunden bei der Erfüllung ihrer regulatorischen Anforderungen unterstützen und gleichzeitig die operative Realität der von uns bereitgestellten cloudbasierten Services widerspiegeln.

Wie lauten die Sicherheitsverpflichtungen von ServiceNow hinsichtlich personenbezogener Daten?

ServiceNow setzt sich für den Schutz der von uns verarbeiteten personenbezogenen Daten ein, indem wir ein robustes Sicherheitsprogramm implementieren und warten. Der DSA definiert die spezifischen technischen, physischen und organisatorischen Sicherheitsmaßnahmen, die ServiceNow zum Schutz Ihrer Daten ergreift.

Als Anbieter eines standardisierten, cloudbasierten Services unterhält ServiceNow ein datenunabhängiges Sicherheitsprogramm. Mit anderen Worten: Wir implementieren dieselben Sicherheitsmaßnahmen, unabhängig von der Kategorie oder Sensibilität der Daten, die Kunden in ihrer ServiceNow‑Umgebung verarbeiten.

Da Sie letztendlich einen exklusiven Einblick in den Inhalt Ihrer Daten haben, obliegt es Ihnen, unser Sicherheitsprogramm zu überprüfen, um festzustellen, ob es für die Daten ausreicht, die Sie in Ihrer Umgebung verarbeiten oder künftig verarbeiten wollen.

Wie unterstützt ServiceNow Kunden bei der Einhaltung von Datenschutzgesetzen?

Die ServiceNow Cloud‑Software bietet Funktionen, die den Zugriff, die Korrektur, die Berichtigung, Löschung und Sperrung personenbezogener Daten erleichtern und es dem Kunden weiter ermöglichen, personenbezogene Daten zu übertragen oder zu portieren.

Welche Auditrechte haben Kunden als Datenverantwortliche?

ServiceNow ist von der Transparenz hinsichtlich seiner Datenschutz‑ und Datensicherheitsprogramme überzeugt. Gemäß den Auditklauseln im DPA und/oder DSA können aktuelle Kunden Zugriff auf ServiceNow CORE anfordern, ein umfassendes Informations‑ und Dokumentations‑Repository, einschließlich Richtlinien und Verfahren, ebenso wie auf unsere vorhandenen Auditberichte von Drittparteien für international anerkannte Standards wie ISO 27001 und ISO 27018 sowie unabhängige Bewertungen von Drittparteien für Sicherheitsstandards wie SSAE 18/SOC 1 und SOC 2 Typ 2.

Nutzt ServiceNow Unterauftragsverarbeiter? Wie werde ich über zukünftige Unterauftragsverarbeiter benachrichtigt, die ServiceNow nutzen möchte?

ServiceNow setzt sich dafür ein, seinen Kunden erstklassigen Service zu bieten, der technischen Live‑Support rund um die Uhr umfasst. Um unseren Service bereitzustellen und zu unterstützen, beauftragt ServiceNow Tochtergesellschaften auf der ganzen Welt, darunter in den USA, Australien und Indien, sowie andere Unterauftragsverarbeiter für verschiedene Services, wie im DPA aufgeführt. Gemäß den Bedingungen des DPA wird ServiceNow Sie über neue Unterauftragsverarbeiter informieren, und Sie können der von ServiceNow vorgeschlagenen Nutzung solcher Unterauftragsverarbeiter gemäß den Bedingungen des DPA widersprechen.

Dies sollte im Zusammenhang mit Investition von ServiceNow in ein EU‑zentriertes Servicebereitstellungsangebot gelesen werden.

Wie benachrichtigt ServiceNow Kunden über Datenschutzverletzungen?

Im Falle von Security Incidents, die sich auf Kundendaten auswirken, stellt ServiceNow den entsprechenden Kundenkontakten im Kundensupport‑Portal einen Erstbericht zur Verfügung (oder gemäß DPA und DSA). Die Kunden sind dafür verantwortlich, sicherzustellen, dass die entsprechende Person im Support‑Portal aufgeführt wird.

Welchen Rechtsmechanismus verwendet ServiceNow zur Übertragung personenbezogener Daten aus der Europäischen Union?

ServiceNow stützt sich auf die Angemessenheitsbeschlüsse und Standardvertragsklauseln (Standard Contractual Clauses, SCCs) der EU‑Kommission. Weitere Informationen finden Sie in den häufig gestellten Fragen zur internationalen Datenübertragung unter https://www.servicenow.com/de/company/trust.html.