Richtlinie von ServiceNow® zum Datenschutzrahmen

Mit dieser Richtlinie soll die Compliance von ServiceNow, Inc. („ServiceNow“) hinsichtlich des Datenschutzrahmens (DPF, Data Privacy Framework) EU‑USA (DPF EU‑USA), der Erweiterung des DPF EU‑USA für das Vereinigte Königreich und des Datenschutzrahmens Schweiz‑USA (DPF Schweiz‑USA) sichergestellt werden, wie vom US‑amerikanischen Handelsministerium (DoC) in Bezug auf die Erhebung, Nutzung und Speicherung personenbezogener Daten, die aus der Europäischen Union, dem Vereinigten Königreich (und Gibraltar) und der Schweiz in die USA übermittelt werden, dargelegt. Der Inhalt der Richtlinie (zusammenfassend als „DPF‑Richtlinie“ bezeichnet) wird in diesem Dokument näher beschrieben. Diese DPF‑Richtlinie stellt unsere Verpflichtung zur Einhaltung der DPF‑Grundsätze (die „Grundsätze“) dar und beschreibt unsere Methoden zur Implementierung der Grundsätze.

ServiceNow erfüllt die Vorschriften des Datenschutzrahmens EU‑USA (DPF EU‑USA), der Erweiterung des DPF EU‑USA für das Vereinigte Königreich und des Datenschutzrahmens Schweiz‑USA (DPF Schweiz‑USA), wie vom DoC dargelegt. ServiceNow hat dem DoC zertifiziert, dass es sich an die Grundsätze des Datenschutzrahmens EU‑USA (EU‑US‑DPF‑Grundsätze) in Bezug auf die Verarbeitung personenbezogener Daten hält, die aus der Europäischen Union in Übereinstimmung mit dem DPF EU‑USA und aus dem Vereinigten Königreich (und Gibraltar) gemäß der Erweiterung des DPF EU‑USA für das Vereinigte Königreich empfangen werden. ServiceNow hat dem DoC zertifiziert, dass es sich an die Grundsätze des Datenschutzrahmens Schweiz‑USA (Schweiz‑USA‑DPF‑Grundsätze) in Bezug auf die Verarbeitung personenbezogener Daten hält, die aus der Schweiz gemäß dem DPF Schweiz‑USA empfangen werden. Bei jeglichen Konflikten zwischen den Bestimmungen in dieser Datenschutzrichtlinie und den EU‑USA‑DPF‑Grundsätzen, den Grundsätzen der Erweiterung des DPF EU‑USA für das Vereinigte Königreich und/oder den Grundsätzen des DPF Schweiz‑USA gelten die Grundsätze. Weitere Informationen zum Datenschutzrahmen (DPF)‑Programm des DoC und die DPF‑Zertifizierung von ServiceNow finden Sie hier. Die DoC‑Datenschutzrahmenliste finden Sie hier. ServiceNow hält die Grundsätze in Bezug auf die personenbezogenen Daten, die es von seinen Kunden oder deren Benutzern in der Europäischen Union, im Vereinigten Königreich (und Gibraltar) und in der Schweiz erhält, im Zusammenhang mit der Verwendung von Folgendem ein: (i) auf das Mobilgerät eines Benutzers heruntergeladenen Anwendungen („Mobile Anwendungen“) und (ii) den von ServiceNow gehosteten Softwareanwendungen (dem „Abonnementservice“) und damit verbundenen Supportservices („Supportservices“) sowie Expertenservices (die professionelle Services, Schulungen und Zertifizierungen einschließen) („Expertenservices“), die wir Kunden und Benutzern bereitstellen. In dieser DPF‑Richtlinie werden der Abonnementservice, die Supportservices und die Expertenservices zusammen als „Service“ bezeichnet.

ServiceNow speichert und verarbeitet Kundendaten, einschließlich aller darin enthaltenen personenbezogenen Daten, als Auftragsverarbeiter entsprechend der Weisungen der Kunden von ServiceNow.

ServiceNow erhebt auch verschiedene andere Arten von Daten von seinen Kunden und kann diese Daten als Verantwortlicher verarbeiten. Dies bezieht sich auf: 

• Informationen und Korrespondenz, die uns unsere Kunden und Benutzer in Verbindung mit Supportservices und Expertenservices oder anderen Anfragen im Zusammenhang mit unserem Service übermitteln.
• Informationen, die wir direkt von Kunden oder von unseren Geschäftspartnern im Zusammenhang mit der Nutzung des Service durch unsere Kunden und Benutzer oder mit von unseren Geschäftspartnern in deren Auftrag erbrachten Services wie Konfiguration des Abonnementservice erhalten.
• Informationen in Bezug auf die Nutzung der mobilen Anwendungen durch Benutzer, einschließlich der geografischen Positionsdaten und Informationen hinsichtlich der Benutzergeräte mit Betriebssystemidentifikation, Zugangsdaten, Sprache und Zeitzone.
• Allgemeine Daten über Kunden, einschließlich Firmenname und ‑adresse des Kunden, Kreditkarteninformationen und Kontaktangaben der Vertreter des Kunden („Allgemeine Daten“) für Rechnungen sowie Marketing‑ und Vertragszwecke.

ServiceNow kann die von unseren Kunden und Benutzern übermittelten personenbezogenen Daten nach Bedarf verwenden, um den Service sowie mobile Anwendungen bereitzustellen, einschließlich der Aktualisierung, Verbesserung, Sicherung und Erhaltung des Abonnementservice und der mobilen Anwendungen sowie der Durchführung der vertraglichen Verpflichtungen von ServiceNow seinen Kunden gegenüber. ServiceNow erhebt auch allgemeine Informationen im Zusammenhang mit der Bereitstellung des Service und der Pflege der Beziehungen mit seinen Kunden. Die Daten werden gemäß unseren internen Richtlinien zur Aufbewahrung von Daten aufbewahrt, sofern nichts anderes gesetzlich oder vertraglich vorgeschrieben ist.

Wir können personenbezogene Daten, die unsere Kunden und Benutzer an unseren Service und unsere mobilen Anwendungen übermitteln, für folgende Entitäten offenlegen: 

• unsere Tochtergesellschaften und verbundenen Unternehmen;
• Auftragnehmer, Geschäftspartner und Dienstleister, die wir zur Unterstützung unseres Service heranziehen;
• im Falle des Verkaufs oder der Übertragung des gesamten oder eines Teils des Unternehmens oder der Vermögenswerte von ServiceNow (einschließlich Fusion, Übernahme, Gemeinschaftsunternehmen, Reorganisation, Auflösung oder Liquidation), in welchem Fall von uns gespeicherte personenbezogene Daten über Benutzer oder über unsere Kunden zu den an den Käufer übertragenen Vermögenswerten zählen können;
• wenn dies gesetzlich oder im Zuge eines rechtlichen Verfahrens erforderlich ist;
• als Reaktion auf gesetzliche Anforderungen von Behörden, einschließlich zum Zweck der nationalen Sicherheit, des öffentlichen Interesses und der Strafverfolgung.
• Der Datenverarbeitungsanhang und der Datensicherheitsanhang von ServiceNow, die hier zu finden sind, enthalten weitere Informationen zu den Anforderungen bezüglich des Datenschutzes und der Benachrichtigung bei Verstößen im Zuge der Bereitstellung des Abonnementservice.

Personen in der Europäischen Union, dem Vereinigten Königreich (und Gibraltar) und der Schweiz haben in der Regel das Recht auf Zugang zu ihren personenbezogenen Daten. Als Auftragsverarbeiter, der personenbezogene Daten im Namen seiner Kunden im Rahmen der Bereitstellung des Abonnementservice verarbeitet, besitzt oder kontrolliert ServiceNow diese Daten nicht und steht in keiner direkten Beziehung zu den Benutzern, deren personenbezogene Daten im Zusammenhang mit der Bereitstellung des Abonnementservice verarbeitet werden können. Da jeder Kunde selbst bestimmt, welche Informationen, einschließlich von personenbezogenen Daten, er von seinen Benutzern erhebt, wie diese Daten verwendet und offengelegt werden und wie sie geändert werden können, sollten Benutzer des Abonnementservice Anfragen zum Zugang zu und zur Korrektur von personenbezogenen Daten, die in den Kundendaten enthalten sind, an den zuständigen Administrator beim Kunden richten. Sofern ein Benutzer eine Anfrage bezüglich Zugang oder Korrektur an ServiceNow richtet, leiten wir die Anfrage an den entsprechenden ServiceNow‑Kunden weiter und unterstützen diesen Kunden wie erforderlich bei der Reaktion auf jede Anfrage.

Um zu den vom Kunden bereitgestellten allgemeinen Informationen oder anderen personenbezogenen Daten, für die ServiceNow als Verantwortlicher fungiert, Zugang zu erhalten, muss sich die betreffende Person direkt an ihren ServiceNow‑Kundenbetreuer wenden oder eine E‑Mail senden an: privacy@servicenow.com.

Vorbehaltlich des folgenden Absatzes bietet ServiceNow Kunden und Benutzern in Übereinstimmung mit den Grundsätzen jetzt die Möglichkeit, von ServiceNow zu verlangen, die Nutzung und Offenlegung ihrer personenbezogenen Daten in dem Umfang einzuschränken, in dem ServiceNow: (i) ihre personenbezogenen Daten an Verantwortliche von Drittparteien weitergibt, oder (ii) ihre personenbezogenen Daten für einen Zweck verwendet, der sich wesentlich von den Zwecken unterscheidet, zu denen die personenbezogenen Daten ursprünglich erhoben wurden, oder die anschließend vom Kunden oder Benutzer autorisiert wurden. In dem in den Grundsätzen und den geltenden Gesetzen festgelegten erforderlichen Ausmaß holt ServiceNow bei bestimmten Verwendungen oder Offenlegungen von vertraulichen Daten auch Opt‑in‑Zustimmung ein. Sofern ServiceNow unter den geltenden Gesetzen und den Grundsätzen nichts anderes erlaubt ist, verwendet ServiceNow personenbezogene Daten nur für Zwecke, die im Wesentlichen den in dieser Richtlinie angegebenen entsprechen.

ServiceNow kann personenbezogene Daten von Kunden und Benutzern ohne die Möglichkeit eines Opt‑out offenlegen und kann verpflichtet sein, die personenbezogenen Daten offenzulegen, (i) für Auftragsverarbeiter von Drittparteien, die ServiceNow zur Erbringung von Services in ihrem Namen und gemäß ihren Anweisungen beauftragt, (ii) wenn dies gesetzlich oder im Zuge eines rechtlichen Verfahrens erlaubt oder erforderlich ist; oder (iii) als Reaktion auf gesetzliche Anforderungen von Behörden, einschließlich zum Zweck der nationalen Sicherheit, des öffentlichen Interesses und der Strafverfolgung. ServiceNow behält sich auch das Recht vor, personenbezogene Daten im Falle einer Prüfung oder des Verkaufs oder der Übertragung des gesamten oder eines Teils des Unternehmens oder der Vermögenswerte (einschließlich Fusion, Übernahme, Gemeinschaftsunternehmen, Reorganisation, Auflösung oder Liquidation) zu übermitteln.

ServiceNow hält sich an den DPF‑Grundsatz hinsichtlich der Verantwortlichkeit für Weiterübermittlungen, wie in unseren Kundenvereinbarungen und Vereinbarungen mit Unterauftragsverarbeitern und Lieferanten dargelegt. ServiceNow haftet entsprechend den Grundsätzen, wenn die Empfänger der Weiterübermittlung die personenbezogenen Daten in einer Art und Weise verarbeiten, die nicht im Einklang mit den Grundsätzen steht, es sei denn, ServiceNow weist nach, dass es nicht für das schadensverursachende Ereignis verantwortlich ist.

Wenn ServiceNow Ihre personenbezogenen Daten in einem der Services verwaltet, die unter unsere DPF‑Zertifizierung fallen, können Sie Anfragen oder Beschwerden bezüglich unserer DPF‑Konformität richten an: privacy@servicenow.com. ServiceNow antwortet innerhalb von 45 Tagen.

Wenn Ihre Beschwerde nicht über die internen Prozesse von ServiceNow gelöst werden kann, arbeitet ServiceNow mit der International Centre for Dispute Resolution‑American Arbitration Association (ICDR‑AAA) gemäß den geltenden ICDR‑AAA‑Verfahren zusammen, die auf der ICDR‑AAA‑Website hier verfügbar sind. In Übereinstimmung mit dem DPF EU‑USA und der Erweiterung des DPF EU‑USA für das Vereinigte Königreich und dem DPF Schweiz‑USA verpflichtet sich ServiceNow, ungelöste Beschwerden über unseren Umgang mit personenbezogenen Daten, die wir gemäß dem DPF EU‑USA und der Erweiterung des DPF EU‑USA für das Vereinigte Königreich und dem DPF Schweiz‑USA erhalten haben, an die International Centre for Dispute Resolution‑American Arbitration Association (ICDR‑AAA) weiterzuleiten, eine alternative Schlichtungsstelle in den USA. Wenn Sie keine rechtzeitige Bestätigung Ihrer Beschwerde im Zusammenhang mit den DPF‑Grundsätzen von uns erhalten oder wenn wir Ihre Beschwerde im Zusammenhang mit den DPF‑Grundsätzen nicht zu Ihrer Zufriedenheit bearbeitet haben, finden Sie hier weitere Informationen oder können eine Beschwerde einreichen. Die Services der ICDR‑AAA werden Ihnen kostenlos zur Verfügung gestellt.

Das alternative Streitbeilegungsverfahren der ICDR‑AAA kann gemäß den einschlägigen ICDR‑AAA‑Regeln und ‑Verfahren eingeleitet werden. Die neutrale Person bei der ICDR‑AAA kann geeignete Maßnahmen vorschlagen, wie z. B. Löschung der entsprechenden personenbezogenen Daten, öffentliche Bekanntgabe der Nichteinhaltung, Zahlung einer Entschädigung für Verluste infolge der Nichteinhaltung oder Einstellung der Verarbeitung personenbezogener Daten des Kunden oder Benutzers, der die Beschwerde eingebracht hat. Die neutrale Person der ICDR‑AAA, der Kunde oder der Benutzer kann die Angelegenheit auch an die US‑amerikanische Federal Trade Commission (FTC) verweisen. Da die FTC für die Einhaltung des DPF EU‑USA, der Erweiterung des DPF EU‑USA für das Vereinigte Königreich und des DPF Schweiz‑USA rechtlich zuständig ist, unterliegt ServiceNow den Untersuchungs‑ und Durchsetzungsbefugnissen der FTC. Unter bestimmten Umständen können Kunden und Benutzer ein verbindliches Schiedsverfahrens einleiten, um Beschwerden über die Einhaltung der Grundsätze seitens ServiceNow zu behandeln. Weitere Informationen dazu, wann ein verbindliches Schiedsverfahren im Rahmen des DPF eingeleitet werden kann, finden Sie hier.

In Übereinstimmung mit dem DPF EU‑USA und der Erweiterung des DPF EU‑USA für das Vereinigte Königreich und dem DPF Schweiz‑USA verpflichtet sich ServiceNow, Beschwerden im Zusammenhang mit DPF‑Grundsätzen über unsere Erfassung und Nutzung Ihrer personenbezogenen Daten zu lösen. Personen aus der EU, dem Vereinigten Königreich und der Schweiz mit Anfragen (einschließlich der Frage, ob Sie Ihre Daten aktualisieren, ändern oder entfernen müssen) oder Beschwerden bezüglich unseres Umgangs mit personenbezogenen Daten, die wir gemäß dem DPF EU‑USA, der Erweiterung des DPF EU‑USA für das Vereinigte Königreich und des DPF Schweiz‑USA erhalten haben, müssen sich zuerst an ServiceNow wenden unter: privacy@servicenow.com.

Wenn Sie ServiceNow nicht unter privacy@servicenow.com kontaktieren können, können Sie sich per Post an folgende Adresse wenden:

ServiceNow, Inc.
Attn: Privacy
2225 Lawson Lane
Santa Clara, CA 95054

Alternativ können Postsendungen an unsere in der Europäischen Union ansässige Tochtergesellschaft, ServiceNow Nederland B.V. adressiert werden: 

ServiceNow Nederland B.V.
Attn: Legal Department
Hoekenrode 3
1102 BR Amsterdam
Niederlande

Alle ServiceNow‑Mitarbeiter und ‑Auftragnehmer müssen alle bestehenden ServiceNow‑Richtlinien, ‑Verfahren und ‑Standards in der jeweils neuesten Fassung einhalten. Das Versäumnis, dies zu tun, wird als Grund für Disziplinarmaßnahmen bis hin zur Kündigung betrachtet. ServiceNow und seine unten aufgeführten US‑Rechtsträger und/oder US‑Tochtergesellschaften halten sich an die Grundsätze:

ServiceNow Delaware LLC

Das Unternehmen beabsichtigt, alle ServiceNow‑Richtlinien im Richtlinienverwaltungssystem zu speichern und aktive ServiceNow‑Richtlinien im Mitarbeiterportal sowie auf den entsprechenden Intranet‑ und externen Websites verfügbar zu machen. Bestimmte ServiceNow‑Richtlinien erfordern möglicherweise, dass die Parteien, für die die Richtlinie gilt, Schulungen absolvieren oder bestätigen, dass sie die Richtlinie gelesen und verstanden haben und sich zu ihrer Einhaltung verpflichten. Alle derartigen Schulungen, Nachweise oder Mitteilungen werden vom Richtlinienverantwortlichen und der verantwortlichen Abteilung festgelegt und verwaltet.

Diese Richtlinie enthält allgemeine Leitlinien zur Einhaltung des Datenschutzrahmens EU‑USA, der Erweiterung des Datenschutzrahmens EU‑USA für das Vereinigte Königreich und des Datenschutzrahmens Schweiz‑USA, die vom US‑Handelsministerium in Bezug auf die Erfassung, Verwendung und Aufbewahrung von personenbezogenen Daten dargelegt wurden, welche aus der Europäischen Union, dem Vereinigten Königreich (und Gibraltar) und der Schweiz in die USA übermittelt werden. Genauere Informationen über die Rolle und die Verantwortlichkeiten von ServiceNow in Bezug auf die Datenübermittlung finden Sie in unseren Kundenvereinbarungen. 

Die folgenden Rollen, Abteilungen und Teams sind an der Implementierung dieser Richtlinie wesentlich beteiligt. Dazu gehören die Parteien, die für die Durchführung der in diesem Dokument beschriebenen Aktivitäten verantwortlich sind, und/oder diejenigen, die diese Richtlinie durchsetzen, verteilen oder einhalten müssen.

Die folgenden Begriffe sind in diesem Dokument enthalten.

• Verantwortliche/r: eine Person oder Organisation, die allein oder gemeinsam mit anderen Zwecke und Mittel der Verarbeitung von personenbezogenen Daten bestimmt.
• Kunde: jede juristische Person, die Folgendes erwirbt:
• Kundendaten: die elektronischen Daten, die von oder für Kunden oder ihre autorisierten Benutzer in den Abonnementservice hochgeladen werden.
• Gerät: ein mobiles Gerät.
• ICDR‑AAA: International Centre for Dispute Resolution‑American Arbitration Association
• Personenbezogene Daten: alle Informationen, einschließlich sensibler Daten, die (i) sich auf eine identifizierte oder identifizierbare Person beziehen und (ii) von ServiceNow in den USA aus der Europäischen Union, dem Vereinigten Königreich und der Schweiz in Verbindung mit dem Service empfangen werden.
• Auftragsverarbeiter: jede natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.
• Sensible Daten: personenbezogene Daten über medizinische oder gesundheitliche Befindlichkeit, rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Sexualleben, angebliche oder tatsächliche Strafhandlungen, Verfahren zu begangenen oder angeblich begangenen Strafhandlungen der Einzelperson bzw. Verfügungen dieser Rechtsverfahren oder der Urteilsspruch eines Gerichts in diesen Rechtsverfahren.
• Benutzer: eine Person, die vom Kunden zum Zugriff auf und zur Nutzung des Abonnementservice autorisiert wurde.
• Richtlinie: Ein Dokument, das Kernprinzipien und eine allgemeine Absicht darlegt und die allgemeine Managementausrichtung und die Unternehmensziele festlegt. Der Zweck besteht darin, die gegenwärtige und zukünftige Entscheidungsfindung im Einklang mit der Philosophie, den Zielen und den strategischen Plänen zu beeinflussen und zu leiten, die von den Managementteams des Unternehmens aufgestellt wurden (d. h. Gründe für das Bestehen von Programmen oder Prozessen).