1.     Was sind die Sicherheitsverpflichtungen von ServiceNow hinsichtlich personenbezogener Daten?

ServiceNow setzt sich für den Schutz der von ihnen verarbeiteten personenbezogenen Daten ein, indem es ein robustes Sicherheitsprogramm implementiert und wartet. Abschnitt 4.3 (Datenschutzmaßnahmen) des DPA und Abschnitt 2 (physische, technische und administrative Sicherheitsmaßnahmen) des DSG enthalten die spezifischen technischen, physischen und organisatorischen Sicherheitsmaßnahmen, die ServiceNow zum Schutz Ihrer Daten ergreift.

Als Anbieter eines standardisierten, cloudbasierten Services unterhält ServiceNow ein datenunabhängiges Sicherheitsprogramm. Mit anderen Worten: Wir implementieren dieselben Sicherheitsmaßnahmen, unabhängig von der Kategorie oder Sensibilität der Daten, die Kunden in Ihrer ServiceNow‑Umgebung verarbeiten. Da Sie letztendlich einen exklusiven Einblick in den Inhalt Ihrer Daten haben, obliegt es Ihnen, unser Sicherheitsprogramm zu überprüfen, um festzustellen, ob es für die Daten ausreicht, die Sie in Ihrer Umgebung verarbeiten oder planen, wie in Abschnitt 2.2 (Sicherheitsrisikobewertung) des DPA genauer beschrieben.

2.     Wie unterstützt ServiceNow Kunden bei der Einhaltung von Datenschutzgesetzen?

Die ServiceNow Cloudsoftware bietet Funktionen, die den Zugriff, die Korrektur, die Berichtigung, Löschung und Sperrung personenbezogener Daten erleichtern und es dem Kunden weiter ermöglichen, personenbezogene Daten zu übertragen oder zu portieren.

3.     Welche Audit‑Rechte haben Kunden als Datenverantwortliche?

ServiceNow ist von der Transparenz hinsichtlich seiner Datenschutz‑ und sicherheitsprogramme überzeugt. Gemäß Abschnitt 4.2.1 (Audits) des DSG können aktuelle Kunden Zugriff auf ServiceNow CORE anfordern, ein umfassendes Informations‑und Dokumentationsverzeichnis, einschließlich Richtlinien, Verfahren, sowie unsere vorhandenen Audit‑Berichte von Drittanbietern für international anerkannte Standards wie ISO 27001 und ISO 27018 sowie unabhängige Bewertungen von Drittanbietern für Sicherheitsstandards wie SSAE 18/SOC 1 und SOC 2 Typ 2.

ServiceNow erlaubt Kunden nicht, Vor‑Ort‑Audits oder ‑Inspektionen durchzuführen, da solche Audits oft keine weiteren Einblicke in unsere Datenschutz‑und Sicherheitsprogramme bieten als die Dokumentation in ServiceNow CORE. Darüber hinaus sind Vor‑Ort‑Audits für beide Seiten kostspielig und verursachen möglicherweise unnötige Sicherheitsrisiken.

4.     Verwendet ServiceNow Subprozessoren? Wie werde ich über zukünftige Subprozessoren benachrichtigt, die ServiceNow verwenden möchte?

ServiceNow setzt sich dafür ein, seinen Kunden erstklassigen Service zu bieten, der technischen Live‑Support rund um die Uhr umfasst. Um unseren Service bereitzustellen und zu unterstützen, verfügt ServiceNow über Niederlassungen auf der ganzen Welt, einschließlich in den Vereinigten Staaten, Großbritannien, Australien und Indien.

ServiceNow kann auch eine Drittpartei zur Bereitstellung von Verarbeitungsservices beauftragen. Vor der Beauftragung eines neuen Subprozessors wird ServiceNow Sie jedoch gemäß Abschnitt 8.1.2 (Neue Subprozessoren) des DPA benachrichtigen. Sie können der vorgeschlagenen Verwendung von ServiceNow durch den Subprozessor gemäß Abschnitt 8.2 (Widerspruchsrecht) widersprechen.

5.     Wie benachrichtigt ServiceNow Kunden über Datenschutzverletzungen?

Im Falle eines Sicherheitsvorfalls, der sich auf die Kundendaten auswirkt, stellt ServiceNow dem entsprechenden Kundenkontakt im Kundensupport‑Portal einen Erstbericht zur Verfügung. Die Kunden sind dafür verantwortlich, sicherzustellen, dass die entsprechende Person im Support‑Portal aufgeführt wird.

6.     Welchen rechtlichen Mechanismus verwendet ServiceNow zur Übertragung personenbezogener Daten aus der Europäischen Union?

ServiceNow hat sich mit dem Datenschutzschild‑Framework zertifizieren lassen, um personenbezogene Daten aus der Europäischen Union und der Schweiz rechtmäßig zu übertragen. Erfahren Sie mehr über die Details unserer Zertifizierung auf der Website des US‑Handelsministeriums.

Darüber hinaus verwendeten ServiceNow‑Verarbeitungseinheiten eine gruppeninterne Vereinbarung, die die Begriffe DPA und DSG sowie die Standardvertragsklauseln enthält. Dadurch kann ein Kunde nur mit der ServiceNow‑Verkaufseinheit in eine DPA und DSG eingehen, ohne dass Standardvertragsklauseln mit jedem Verarbeitungseinheiten von ServiceNow verwendet werden müssen. Kunden, die Standardvertragsklauseln lieber direkt mit den einzelnen ServiceNow‑Verarbeitungseinheiten eingehen, lesen und verwenden bitte diese Version von DPA und DSG.

Bitte wenden Sie sich an privacyreview@servicenow.com , falls Sie weitere Fragen zum DPA und DSG von ServiceNow haben.