Häufig gestellte Fragen zur DSGVO-Konformität

Ping Identity verfügt über ein umfassendes globales Datenschutz- und Sicherheitsprogramm, das die Einhaltung der DSGVO und anderer weltweit geltender Datenschutzgesetze ermöglicht. Unsere Richtlinien, Verfahren und Kontrollen sind so gestaltet, dass sie den Grundsätzen einer fairen Informationsnutzung, wie z. B. Sammlungsbeschränkung, Datenqualität und Zweckbestimmung, Rechnung tragen und die Grundlage für unser Unternehmensprogramm zum Schutz der Privatsphäre und Daten bilden. Transparenz und Rechenschaftspflicht sind der Kern unseres Programms.

Ping Identity ist ein führender Anbieter von Produkten für Unternehmensidentitäts- und Zugriffsmanagement (IAM) und zugehörigen Sicherheitslösungen für große Unternehmen. Unsere Produkte ermöglichen es unseren Kunden, ihren Mitarbeitern und Kunden einen sicheren Zugang zu ihren Netzwerken und Systemen zu bieten. Unsere Produkte reichen von grundlegenden Single-Sign-On-Lösungen bis hin zu vollständig orchestrierten, risikobasierten, adaptiven Authentifizierungs-Workflows, die verschiedene IAM-Anwendungsfälle wie Betrugserkennung, Identitätsnachweis und Autorisierung unterstützen.

Zur Bereitstellung von IAM-Diensten können personenbezogene Daten der Mitarbeiter und/oder Kunden unserer Kunden routinemäßig an Ping Identity übermittelt und von Ping Identity verarbeitet werden. Diese Daten werden nach Bedarf verarbeitet, um die Dienste bereitzustellen, Benutzeridentitäten zu überprüfen und zu authentifizieren, Zugriffsrechte und -berechtigungen zu verwalten sowie für kompatible Sicherheits- und Zugriffsverwaltungszwecke.

Für die Lösungen von Ping Identity sind grundsätzlich nur nicht sensible Datenelemente wie Vor- und Nachname, Titel, Position, Arbeitgeber, Kontaktdaten (Firma, E-Mail, Telefon, physische Geschäftsadresse), ID- und Gerätedaten, Verbindungsdaten und Lokalisierungsdaten erforderlich. Einige Produkte bieten Kunden und Endbenutzern die Möglichkeit, biometrische Daten für die Authentifizierung und die Multifaktor-Authentifizierung zu verarbeiten:

Für den PingID-Dienst: Der Dienst selbst verarbeitet keine biometrischen Daten, ermöglicht es Benutzern jedoch, sich mithilfe der biometrischen Funktionen ihrer Geräte (wie TouchID) zu authentifizieren.
Für den PingOne Verify Service: Wenn von unserem Kunden implementiert, werden biometrische Daten (Gesichtserkennung) zur Authentifizierung verarbeitet. Der Endbenutzer lädt ein Foto hoch, um diese Funktion zu aktivieren.
Für den PingOne DaVinci Service: Die Orchestrierungsplattform ermöglicht es Kunden, zusätzliche Datenkategorien zu verarbeiten und zu speichern, die spezielle Datenkategorien beinhalten können. Diese werden vom Kunden festgelegt und von Ping Identity nicht benötigt.

Während Ping Identity in erster Linie als Datenverarbeiter im Sinne der DSGVO fungiert, verarbeiten wir Kundendaten im Rahmen der gesetzlichen Bestimmungen für bestimmte, begrenzte interne Geschäftszwecke weiter, und zwar:

Erkennung von Sicherheitsverletzungen und Schutz vor böswilligen, trügerischen, betrügerischen oder illegalen Aktivitäten.
Debugging zum Identifizieren und Beheben von Fehlern, die die beabsichtigte Funktionalität unserer Produkte beeinträchtigen, sowie andere Aktivitäten, die zur Aufrechterhaltung der Qualität und/oder Sicherheit der Produkte und Plattformen erforderlich sind.
Interne betriebliche Tätigkeiten, wie die Beantwortung von Anfragen von Datensubjekten, die Erstellung von Sicherungskopien im Rahmen von Notfallwiederherstellungs-/Geschäftskontinuitätsprogrammen und die Bestätigung von Nutzungsmengen.
Die Verarbeitung ist für die Einhaltung gesetzlicher oder behördlicher Vorschriften erforderlich.

Die Vertraulichkeit, Genauigkeit, Unversehrtheit und Verfügbarkeit der Daten, die wir verarbeiten, ist für Ping Identity von größter Bedeutung. Als führendes Unternehmen in der Branche für Unternehmenssicherheit sind unsere Produkte für unvergleichliche Sicherheit ausgelegt. Umfassende Informationen über das Informationssicherheitsprogramm von Ping Identity finden Sie unter Sicherheit bei Ping Identity und in unserer Sicherheitsausstellung.

Ping Identity ist nach SSAE18 SOC 2 und ISO/IEC 27001:2013 zertifiziert. ISO 27001 ist der internationale Standard, der Best Practices für Informationssicherheits-Managementsysteme beschreibt. Die Einhaltung dieser Standards beweist unser Engagement für ein wiederholbares, kontinuierlich verbessertes, risikobasiertes Sicherheitsprogramm. Das Managementsystem wurde von einer unabhängigen Drittpartei geprüft, die durch das ANSI-ASQ National Accreditation Board (ANAB) akkreditiert ist.

Ping Identity verwendet außerdem eine starke Verschlüsselung für Daten bei der Übertragung und im Ruhezustand, um die Sicherheit und den Schutz der Kundendaten zu verbessern.

Die IAM-Produkte und -Lösungen von Ping Identity wurden mehrfach für IT-Sicherheit, API-Sicherheit und herausragende Plattform ausgezeichnet. Eine Liste unserer Auszeichnungen finden Sie hier.

Ja, Ping Identity verwendet eine starke Verschlüsselung für Daten bei der Übertragung und im Ruhezustand, um die Sicherheit und den Schutz der Kundendaten zu verbessern.

Unser Programm zur Reaktion auf Sicherheitsverletzungen soll uns in die Lage versetzen, (1) mögliche Sicherheitsverletzungen zu erkennen, (2) das Risiko eines Schadens durch die Verletzung zu mindern und (3) die geltenden Gesetze und unsere Verträge einzuhalten. Wenn wir als Auftragsverarbeiter feststellen, dass ein Sicherheitsverstoß die Kundendaten betrifft, würden wir den Kunden unverzüglich benachrichtigen.

Ja, die EWR-Tochtergesellschaften von Ping Identity haben einen Datenschutzbeauftragten ernannt. Der Datenschutzbeauftragte von Ping Identity kann über dpo_privacy@pingidentity.com kontaktiert werden

Für den Fall, dass wir eine Anfrage von einer Person in unserer Eigenschaft als Auftragsverarbeiter erhalten, würden wir die Person an unseren Kunden verweisen.

Ja. Wenn wir als Datenverarbeiter für Kunden agieren, nimmt Ping Identity die verbindlichen Bedingungen in unsere Verträge auf, wie es die Bestimmungen von Artikel 28 Absatz 3 der DSGVO vorschreiben. Unser Zusatz zum Kundendatenschutz ist hier verfügbar. Gesetzlich vorgeschriebene Klauseln sind auch in unseren Verträgen mit unseren Lieferanten und Dienstleistern enthalten.

Wie in unserem Nachtrag zum Datenschutz für Kunden ausführlich beschrieben, werden wir (auf Anfrage des Kunden) die Daten des Kunden entweder an diesen zurückgeben oder die Daten des Kunden löschen, wenn personenbezogene Daten für die in der Kundenvereinbarung festgelegten Zwecke oder zu einem früheren Zeitpunkt auf schriftliche Anfrage des Kunden nicht mehr erforderlich sind – mit Ausnahme von Backups und Überwachungsdaten, die gemäß der Datenaufbewahrungsrichtlinie von Ping Identity gelöscht werden. Alle personenbezogenen Daten, die nicht sofort gelöscht werden, werden weiterhin gemäß DSGVO und unseren Kundendatenschutz geschützt. Unseren Kundendatenschutz finden Sie hier.

Ping Identity unterstützt seine Kunden gerne bei der Durchführung der gesetzlich vorgeschriebenen DPIAs. In der Praxis sind die Verarbeitungstätigkeiten im Zusammenhang mit unseren IAM-Diensten selbst im Allgemeinen nicht mit einem „hohen Risiko“ für die Benutzer verbunden. Als Auftragsverarbeiter ist Ping Identity im Allgemeinen nicht mit Profiling, automatisierter Entscheidungsfindung oder anderen Aktivitäten beschäftigt, die DPIA-Anforderungen auslösen. Ping Identity kann auf Anfrage weitere Informationen bereitstellen.

Ping Identity verfügt über formelle Programme zum Risikomanagement von Drittanbietern, um Risiken im Zusammenhang mit seinen Drittanbietern zu verwalten. Diese Programme umfassen Verfahren für die Qualifizierung von Lieferanten, die Auftragsvergabe, die laufende Überwachung und das Ausscheiden von Lieferanten am Ende der Vertragslaufzeit. Alle Lieferanten, die personenbezogene Daten verarbeiten, müssen entsprechende Vertragsbedingungen akzeptieren, und diejenigen, die auf personenbezogene Daten aus dem EWR zugreifen, sind an Vertragsbedingungen gebunden, die Artikel 28 der DSGVO widerspiegeln. Eine Liste von Drittanbietern, die möglicherweise Zugriff auf die personenbezogenen Daten von Kunden haben, finden Sie hier.

Kundendaten werden physisch in sicheren Rechenzentren der Google Cloud Platform (GCP) und Amazon Web Services (AWS) an den in unserer Datenergänzung aufgeführten Standorten gespeichert. Jeder Kunde wählt während der Implementierung seine Hosting-Region aus, und Kunden aus dem EWR/dem Vereinigten Königreich/der Schweiz können sich dafür entscheiden, ihre Daten im EWR in den AWS-Colocation-Zentren in Deutschland und Irland speichern zu lassen. Die Mitarbeiter von Ping Identity können jedoch bei Bedarf aus der Ferne auf diese Daten zugreifen, um die vertraglich vereinbarten Dienstleistungen und den Support rund um die Uhr zu erbringen. Der Fernzugriff auf Daten aus dem EWR/Vereinigten Königreich/der Schweiz kann von unseren Betriebszentren aus erfolgen, die sich in unserer Datenergänzung befinden.

Unternehmen können Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer verwenden, wenn sie auch die Risiken einer Übermittlung in Länder außerhalb des EWR prüfen. Wie der Europäische Gerichtshof im Schrems II-Gutachten feststellte, geht es in erster Linie um den Zugriff ausländischer Regierungen auf personenbezogene Daten im Zusammenhang mit der nationalen Sicherheit und Strafverfolgung. Der Fernzugriff auf EWR/UK/Schweiz-Daten kann von unseren Betriebszentren aus erfolgen, die sich in unserem Datenzusatz befinden. Kanada, Israel und das Vereinigte Königreich wurden von der Europäischen Kommission als angemessen eingestuft.

Bei Überweisungen in die USA müssen Unternehmen die Risiken bewerten, die sich aus der Executive Order 12333 und Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA) ergeben. Die Risiken des EO 12333 ergeben sich aus der Möglichkeit der US-Regierung, personenbezogene Daten auf dem Weg in die USA zu sammeln, indem sie Daten abfängt, die über transatlantische Kabel übertragen werden. Personenbezogene Daten können durch Sicherheitsmaßnahmen wie Verschlüsselung wirksam vor derartigen Abhörmaßnahmen geschützt werden. Ping Identity verschlüsselt Kundendaten in unseren Diensten während der Übertragung und im Ruhezustand. Die Risiken des FISA 702 ergeben sich aus der Möglichkeit der US-Regierung, Daten von bestimmten Arten von Kommunikationsunternehmen ohne richterliche Anordnung einzusehen. Ping Identity bietet keine Telekommunikations- oder E-Mail-Dienste an.

Darüber hinaus hat die US-Regierung zusätzliche Kontrollen und Schutzmaßnahmen eingeführt, um die vom Schrems-Gericht aufgeworfenen Risiken weiter anzugehen und zu mindern. Am 7. Oktober 2022, Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities^.1 Diese Verordnung:

Fügt weitere Sicherheitsvorkehrungen für US-Signalaufklärungstätigkeiten hinzu, einschließlich der Anforderung, dass solche Tätigkeiten nur in Verfolgung definierter nationaler Sicherheitsziele durchgeführt werden; die Privatsphäre und die bürgerlichen Freiheiten aller Personen, unabhängig von ihrer Nationalität oder ihrem Wohnsitzland, berücksichtigen; und nur durchgeführt werden, wenn dies notwendig ist, um eine validierte Aufklärungspriorität voranzubringen, und nur in dem Umfang und auf eine Weise, die dieser Priorität angemessen ist.

Schreibt den Umgang mit personenbezogenen Daten vor, die im Rahmen von nachrichtendienstlichen Aktivitäten gesammelt wurden, und erweitert die Verantwortlichkeiten von Rechts-, Aufsichts- und Compliance-Beamten, um sicherzustellen, dass geeignete Maßnahmen ergriffen werden, um Verstöße gegen die Vorschriften zu beheben.

Fordert die Elemente der U.S.-Geheimdienste auf, ihre Richtlinien und Verfahren zu aktualisieren, um die in der Anordnung enthaltenen neuen Schutzmaßnahmen für die Privatsphäre und die bürgerlichen Freiheiten zu berücksichtigen.

Schafft einen mehrstufigen Mechanismus für Einzelpersonen, um eine unabhängige und verbindliche Überprüfung und Wiedergutmachung von Ansprüchen zu erhalten, dass ihre persönlichen Daten, die durch US-Signalaufklärung gesammelt wurden, von den Vereinigten Staaten unter Verstoß gegen geltendes US-Recht gesammelt oder verarbeitet wurden, einschließlich der verbesserten Sicherheitsvorkehrungen in der Verordnung.

Fordert das Privacy and Civil Liberties Oversight Board auf, die Richtlinien und Verfahren der Intelligence Community zu überprüfen, um sicherzustellen, dass sie mit der Executive Order vereinbar sind, und eine jährliche Überprüfung des Rechtsbehelfsverfahrens durchzuführen.

In einer ebenfalls am 7. Oktober veröffentlichten Stellungnahme der EU-Kommission² heißt es, dass es sich hierbei um „bedeutende Verbesserungen“ handelt und dass die Kommission auf der Grundlage des Erlasses nun den Entwurf eines Angemessenheitsbeschlusses für den neuen EU-US-Datenschutzrahmen ausarbeiten und das Verfahren zur Annahme des aktualisierten Rahmens einleiten wird.

Ping Identity ist seit Januar 2017 aktiver Teilnehmer an den Privacy Shield-Programmen zwischen der EU und den USA sowie der Schweiz und den USA. Es wird zwar einige Zeit dauern, bis der aktualisierte Rahmen des Privacy Shield für angemessen erklärt wird und für Übermittlungen herangezogen werden kann, aber die Anordnung selbst ist ein klarer Beweis dafür, dass die vom Schrems-Gericht aufgeworfenen Risiken von der US-Regierung gemildert werden, was auch die Angemessenheit von Übermittlungen gemäß den Standardvertragsklauseln unterstützt.

Bei Datenübermittlungen nach Australien und Indien müssen die Unternehmen die Risiken bewerten, die mit den dort geltenden Gesetzen verbunden sind, die den Zugriff von Strafverfolgungsbehörden und nationalen Sicherheitsbehörden auf personenbezogene Daten ermöglichen (und regeln). Beide Länder haben auch verschiedene Datenschutzgesetze, die Schutz für personenbezogene Daten bieten. Darüber hinaus verfügt Ping Identity über mehrere zusätzliche Sicherheits- und Organisationsmaßnahmen, um personenbezogene Daten zu schützen.

Obwohl es letztendlich in der Verantwortung unserer Kunden liegt, das Risiko der Übertragung personenbezogener Daten außerhalb des EWR/Vereinigten Königreichs/der Schweiz zu bewerten, haben wir mehrere Ressourcen vorbereitet, die auf Anfrage erhältlich sind, um unsere Kunden bei der Durchführung dieser Analysen zu unterstützen.

_________________________________________

¹ Anordnung: https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/
Faktenblatt: https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-us-data-privacy-framework/

² https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_6045

Ping Identity hat eine festgelegte Richtlinie in Bezug auf Anfragen von Regierungsbehörden nach personenbezogenen Daten. Wir veröffentlichen auch einen detaillierten Transparenzbericht, der alle behördlichen Anfragen nach Datenzugriff anhand von Vorladungen, Durchsuchungsbefehlen, Gerichtsbeschlüssen, Anfragen zur nationalen Sicherheit und internationalen Anfragen zusammenfasst, zusammen mit der Art der erteilten Antwort, sofern die Veröffentlichung nach lokalem Recht zulässig ist. Bitte beachten Sie: Ping Identity hat keine Anfragen von Regierungsbehörden für den Zugriff auf Kundendaten erhalten und erwartet dies auch nicht.

Nein. Ping Identity hat keine Anfragen von Regierungsbehörden für den Zugriff auf Kundendaten erhalten und erwartet dies auch nicht. Ping Identity bietet keine Telekommunikations- oder elektronischen Nachrichtendienste an. Zur Verdeutlichung: Einige unserer Produkte ermöglichen es unseren Kunden, im Rahmen von Multi-Faktor-Authentifizierungsprozessen (z. B. Text-to-Verify) mit Ping Identity zu kommunizieren. Diese Funktionen sind von dritten Telekommunikationsanbietern abhängig (nämlich dem Netzbetreiber oder ISP des Benutzers), und diese Dritten können Gesetzen wie dem FISA unterliegen. Diese Funktionen sind optional und die Kommunikation mit den Diensten von Ping Identity führt nicht zur Verarbeitung sensibler Daten oder anderer Informationen, die wahrscheinlich als „ausländische Geheimdienstinformationen“ gemäß 50 USC § 1801(e) gelten.

Die Richtlinien von Ping Identity und der aktuelle Transparenzbericht sind hier verfügbar.

Ping Identity hat die mit grenzüberschreitenden Übertragungen verbundenen Risiken bewertet und wir helfen unseren Kunden gerne, die Angemessenheit der Verarbeitung von Daten durch Ping Identity in einer nicht angemessenen Gerichtsbarkeit zu dokumentieren. Weitere Informationen stellen wir Ihnen gerne auf Anfrage zur Verfügung.

Wir freuen uns immer über Fragen oder Kommentare zum Datenschutz. Bei Fragen können Sie sich per E-Mail an privacy@pingidentity.com an das Global Privacy Office von Ping Identity wenden.

Das Engagement von Ping Identity für DSGVO-Konformität

1. Wie hält sich Ping Identity an die DSGVO?

2. Welche Arten von „Verarbeitungsaktivitäten“ werden von Ping Identity durchgeführt?

3. Welche Arten von personenbezogenen Daten verarbeitet Ping Identity bei der Erbringung von Dienstleistungen?

4. Verarbeitet Ping Identity personenbezogene Daten weiterhin für eigene Zwecke?

5. Welche Sicherheitsmaßnahmen verwendet Ping Identity, um personenbezogene Daten zu schützen?

6. Verschlüsselt Ping Identity personenbezogene Daten von Kunden?

7. Wie würde Ping Identity mit einer Sicherheitsverletzung umgehen?

8. Gibt es bei Ping Identity einen Datenschutzbeauftragten im EWR?

9. Wie behandelt Ping Identity Anfragen von Nutzern unserer Kunden zur Ausübung ihrer Datenschutzrechte?

10. Entsprechen die Verträge von Ping Identity den DSGVO-Anforderungen?

11. Wie lange speichert Ping Identity personenbezogene Daten?

12. Wie können wir die Informationen erhalten, die für die Durchführung von Datenschutz-Folgenabschätzungen erforderlich sind?

13. Wie verwaltet Ping Identity Prozessoren und Subprozessoren von Drittanbietern?

14. Welche Schutzmaßnahmen hat Ping Identity für die Übertragung personenbezogener Daten außerhalb Europas getroffen?

15. Welche Auswirkungen hat das Gerichtsurteil Schrems II auf die Dienste von Ping Identity?

16. Wie würde Ping Identity auf eine Anfrage einer Strafverfolgungsbehörde nach Zugriff auf Kundendaten reagieren?

17. Erhält Ping Identity Offenlegungsanordnungen gemäß FISA 702?

18. Hat Ping Identity die mit grenzüberschreitenden Übertragungen verbundenen Risiken bewertet?

19. Wie kann ich Ping Identity in Datenschutzfragen kontaktieren?

Das Engagement von Ping Identity für  DSGVO-Konformität