Internationale Datenübertragungen

Zweck

Smartsheet Inc. (zusammen mit seinen verbundenen Unternehmen „Smartsheet“) verpflichtet sich, auf die Datenschutz- und Sicherheitsbedenken und -anforderungen seiner Kunden in Bezug auf personenbezogene Daten einzugehen. Auf dieser Seite wird die Haltung von Smartsheet in Bezug auf internationale Datenübertragungen personenbezogener Daten genauer beschrieben und Zusicherungen hinsichtlich der Datenverarbeitungspraktiken im Zusammenhang mit seinen Online-Services und -Anwendungen gemacht, einschließlich sämtlicher zugehöriger herunterladbarer Software („Angebote“), seinen Websites, einschließlich www.smartsheet.com („Websites“), und seinem allgemeinen Geschäftsbetrieb.

Diese Seite stellt keine Rechtsauskunft dar. Smartsheet empfiehlt, sich an einen Rechtsberater zu wenden, um sich mit den Gesetzen und Bestimmungen vertraut zu machen, die für Ihre spezifische Situation gelten. 

Die Rollen von Smartsheet in Bezug auf Daten

Wie bei vielen Software-as-a-Service-Anwendungen agiert Smartsheet in Bezug auf personenbezogene Daten in zwei Funktionen: als Datenverantwortlicher und Auftragsverarbeiter.

Als Datenverantwortlicher erhebt Smartsheet technische, statistische, gelernte oder andere Nutzungsdaten sowie Zahlungs-, Abrechnungs-, Profil- und andere Kontodaten im Zusammenhang mit dem Erwerb und der Nutzung der Angebote und Websites. Der Datenschutzhinweis von Smartsheet weist Kunden darauf hin, wie Smartsheet diese Daten für seine rechtmäßigen Geschäftszwecke erhebt, nutzt, weitergibt und anderweitig verarbeitet.

In Bezug auf die Daten, Bilder, Dateien oder anderen Inhalte, die Sie im Rahmen der Angebote von Smartsheet hochladen oder einreichen („Kundeninhalte“), tritt Smartsheet als Auftragsverarbeiter auf. Kunden, die ausdrückliche Bestimmungen für die Verarbeitung personenbezogener Daten innerhalb von Kundeninhalten wünschen, können auf die Durchsetzung eines Addendums zur Datenverarbeitung („Data Processing Addendum, DPA“) bestehen. Das DPA schränkt gemeinsam mit der Vereinbarung zur Nutzung der Angebote durch den Kunden und geltendem Recht die Verarbeitung von Kundeninhalten durch Smartsheet ein und verkörpert die Verarbeitungsanweisungen des Kunden an Smartsheet in schriftlicher Form.
 

Hauptsächliche Verarbeitungsaktivitäten

Trotz internationaler Standorte und Plänen zur weiteren internationalen Expansion werden die betrieblichen Aktivitäten von Smartsheet weiterhin hauptsächlich im Land seines Hauptsitzes, den Vereinigten Staaten, durchgeführt. Dementsprechend überträgt Smartsheet als Datenverantwortlicher im Rahmen seines allgemeinen Geschäftsbetriebs erhobene Nutzungs- und Kontodaten ggf. an Systeme und Personal in den Vereinigten Staaten. Zusätzlich greift Smartsheet als Auftragsverarbeiter ggf. von den Vereinigten Staaten aus auf in sämtlichen Smartsheet-Regionen gehostete Kundeninhalte zu, um Ihre Angebote zu unterstützen und zu pflegen. 

Die von Smartsheet in den Vereinigten Staaten hauptsächlich durchgeführten Verarbeitungsaktivitäten umfassen

  • als Datenverantwortlicher: für den allgemeinen Geschäftsbetrieb und andere rechtmäßige Geschäftszwecke in Bezug auf bei der Interaktion mit Smartsheet oder den Websites erhobene Daten (hier genauer beschrieben) und in Bezug auf zur Nutzung der Angebote erhobene Daten (hier genauer beschrieben) sowie
  • als Auftragsverarbeiter: Hosting des Service, technischer Support, professionelle Services und Entwicklung, jedoch nur im Rahmen Ihrer mit Smartsheet geschlossenen Vereinbarung bezüglich der von Ihnen genutzten Angebote. 
Illustration of a lock on top of a world map

Was ist eine internationale Übertragung personenbezogener Daten? 

Eine internationale Übertragung personenbezogener Daten („internationale Übertragung“) liegt vor, wenn Daten dieser Art außerhalb des Europäischen Wirtschaftsraums („EWR“) zur Verfügung gestellt werden. Internationale Übertragungen können in Form einer Speicherung personenbezogener Daten in einem Land außerhalb des EWR oder auch in Form des Zugriffs auf in der EU gespeicherte personenbezogene Daten durch Unterauftragsverarbeiter außerhalb des EWR (z. B. für Supportservices) stattfinden. 

Was sind die Standardvertragsklauseln der Europäischen Kommission?

Die Standardvertragsklauseln („SVK“) der Europäischen Kommission sind rechtsgültige Verträge, welche von Parteien abgeschlossen werden, die personenbezogene Daten aus der EU in Länder außerhalb der EU ohne ein angemessenes oder gleichwertiges Datenschutzniveau übertragen. Die ersten Standardvertragsklauseln für Übertragungen zwischen Verantwortlichen und Auftragsverarbeitern wurden im Jahr 2010 von der Europäischen Kommission entworfen und verabschiedet. Im Anschluss an das Urteil in der Sache Schrems II entwarf die Europäische Kommission neue Standardvertragsklauseln, die die Bestimmungen der DSGVO und das Schrems II-Urteil berücksichtigten.  Die neuen SVK unterlagen bis zum 10. Dezember 2020 einem Konsultationsverfahren und wurden letztendlich am 7. Juni 2021 verabschiedet.  Die Europäische Kommission gesteht Unternehmen zur Implementierung der neuen SVK in ihre bestehenden Verträge einen Übergangszeitraum von 18 Monaten zu.  Die neu verabschiedeten SVK sind im aktuellen DPA von Smartsheet verankert.

Kunden mit älteren Vereinbarungen ohne Bezug auf die SVK bzw. nur mit der älteren Version der SVK empfehlen wir, das aktualisierte DPA zu prüfen. Wenn Sie ein aktualisiertes DPA durchsetzen möchten, können Sie hier ein Formular einreichen, in dem Sie den Bedingungen des DPA zustimmen. Nach Einreichung des Formulars wird eine Kopie des DPA über DocuSign an den im Formular angegebenen autorisierten Unterzeichner gesendet. Nach der Unterzeichnung wird zu Protokollierungszwecken eine weitere Kopie an die Person gesendet, die das Formular eingereicht hat.

Map with multiple locations highlighted

Welche Mechanismen setzt Smartsheet zur Übertragung personenbezogener Daten ein?

Als Verantwortlicher. Wie im Datenschutzhinweis beschrieben, tritt Smartsheet in Bezug auf von Smartsheet erhobene personenbezogene Daten als Verantwortlicher auf.  In Übereinstimmung mit der DSGVO und unseren Verpflichtungen als Datenverantwortlicher haben wir zweckmäßige Verträge mit anderen Unternehmen abgeschlossen, die die Standardvertragsklauseln („SVK“) für die rechtmäßige Übertragung von Daten zwischen Organisationen berücksichtigen.

Als Auftragsverarbeiter. Infolge des Schrems II-Urteils hat Smartsheet sein DPA um die SVK als Mechanismus für die rechtmäßige Übertragung ergänzt. Wie oben erwähnt, hat Smartsheet kürzlich sein DPA um die neueste Version der SVK ergänzt. Wenn Sie ein DPA durchsetzen möchten, können Sie hier ein Formular einreichen, in dem Sie den Bedingungen des DPA zustimmen. Nach Einreichung des Formulars wird eine Kopie des DPA über DocuSign an den im Formular angegebenen autorisierten Unterzeichner gesendet. Nach der Unterzeichnung wird zu Protokollierungszwecken eine weitere Kopie an die Person gesendet, die das Formular eingereicht hat. 

Wo werden die Angebote gehostet? 

Kunden können entscheiden, wo Ihre Kundeninhalte gehostet werden. Weitere Informationen erhalten Sie im Trust Center oder auf der Seite zu den regionalen Unterschieden. Smartsheet ist stets auf der Suche nach neuen Standorten für das Hosten von Daten. Wenn Sie eine bestimmte Region oder ein bestimmtes Land zur Aufnahme in unser Angebot vorschlagen möchten, können Sie eine Anfrage für eine Smartsheet-Produktverbesserung einreichen. 

Weitergabe personenbezogener Daten – gesetzlichen Anforderungen entsprechend

Wie im Datenschutzhinweis von Smartsheet beschrieben, besteht die Möglichkeit, dass Smartsheet gesetzlichen Anforderungen entsprechend und im Rahmen eines zulässigen rechtlichen Prozesses, z. B. einer Vorladung vor Gericht oder einem Insolvenzverfahren, personenbezogene Daten weitergibt.

Wenn Smartsheet eine Anfrage für den Zugriff auf oder die Aufbewahrung von personenbezogenen Daten erhält, wird Smartsheet einer solchen Anfrage, selbst wenn sie zu Zwecken der nationalen Sicherheit oder anderweitigen Strafverfolgung eingereicht wird, soweit gesetzlich zulässig, widersprechen und den Kunden, dessen Daten betroffen sind, darüber benachrichtigen. In einigen Fällen kann Smartsheet jedoch gesetzlich dazu verpflichtet sein, personenbezogene Daten einer geltenden Rechtsordnung gemäß und ohne entsprechende Benachrichtigung von Kunden weiterzugeben. Dies geschieht allerdings in jedem Fall in Übereinstimmung mit unseren in der Vereinbarung bezüglich der Nutzung der Angebote durch den Kunden enthaltenen Vertraulichkeitsverpflichtungen (d. h. „Erforderliche Offenlegungen“ in der Benutzervereinbarung). 

 

Weitergabe personenbezogener Daten – an Drittanbieter von Services und Infrastruktur 

Wie im Datenschutzhinweis von Smartsheet angegeben, gibt Smartsheet personenbezogene Daten ggf. an unsere Service- und Infrastrukturanbieter weiter. Smartsheet arbeitet nur mit Drittanbietern zusammen, die sich in gleicher Weise für den Schutz der personenbezogenen Daten unserer Kunden einsetzen. Das beinhaltet, dass unsere Erwartungen an den Datenschutz und die Datenverarbeitung durch Anbieter erfüllt oder übertroffen werden. Darüber hinaus hat Smartsheet für Anbieter, die gemäß der DSGVO als „Unterauftragsverarbeiter“ gelten, angemessene Sicherheitsvorkehrungen und vertragliche Verpflichtungen zum Schutz personenbezogener Daten und zur Erfüllung seiner gesetzlichen Verpflichtungen getroffen. Die Liste der aktuellen Unterauftragsverarbeiter von Smartsheet finden Sie hier.

Wenn Smartsheet personenbezogene Daten an einen Drittanbieter weitergibt, geschieht dies in jedem Fall im Rahmen eines rechtskräftigen Vertrags, in den angemessene Datenschutzverpflichtungen und, im Falle einer Übertragung von Daten in Gebiete außerhalb des EWR, die SVK eingebunden sind. 

 

Zugriff durch Regierungsbehörden – nur bei gesetzlicher Verpflichtung

Es kann vorkommen, dass Smartsheet von Regierungs- oder Strafverfolgungsbehörden Anfragen bezüglich des Zugriffs auf Inhalte erhält, die Eigentum von Kunden sind. Wenn wir eine solche Anfrage erhalten, sind wir bestrebt, unsere Kunden zu schützen und gleichzeitig geltende Gesetze einzuhalten. Wenn uns dies von Gesetzes wegen nicht untersagt ist, setzen wir betroffene Kunden über Anfragen dieser Art in Kenntnis. Sofern möglich, bitten wir anfragende Regierungsbehörden, sich direkt an die betroffenen Kunden zu wenden. Smartsheet nimmt in Bezug auf Kundeninhalte nicht die Rolle des Verantwortlichen ein und vertritt die Ansicht, dass Regierungsbehörden, die um Zugriff auf solche Inhalte bitten, entsprechende Anfragen, sofern möglich, direkt an Kunden richten sollten.

Sofern wir nicht gesetzlich dazu verpflichtet sind, gewähren wir Regierungsbehörden weder direkten Zugriff auf Kundeninhalte noch legen wir ihnen diese offen. Darüber hinaus fechten wir unrechtmäßige Anfragen an. Wir prüfen behördliche Anfragen von Fall zu Fall und kommen diesen nur nach, wenn und soweit sie von uns als rechtmäßig anerkannt werden. Bei der Prüfung der Rechtmäßigkeit einer behördlichen Anfrage berücksichtigen wir sämtliches geltendes Recht, einschließlich geltender Gesetze in anderen Rechtsräumen. Wir fordern von Regierungsbehörden, den nach geltendem Recht erforderlichen Rechtsweg zu gehen, also beispielsweise ihre Anfrage in Form einer Vorladung, eines Gerichtsbeschlusses oder eines Durchsuchungsbeschlusses auszustellen. Wenn wir behördliche Anfragen zu Kundeninhalten für ungültig oder unrechtmäßig erachten, versuchen wir, diese anzufechten.

Im Hinblick auf Regierungsbehörden in den USA ist Smartsheet (als Datenimporteur), wenn nicht anderweitig untersagt, durch die SVK dazu verpflichtet, den Datenexporteur umgehend über rechtskräftige Anfragen seitens Strafverfolgungsbehörden zur Offenlegung der personenbezogenen Daten in Kenntnis zu setzen. Smartsheet hat noch nie eine FISA-Anordnung (Foreign Intelligence Surveillance Act) oder ähnliche Anfrage bezüglich von Smartsheet verarbeiteten Daten erhalten, die gegen die Verpflichtungen im Rahmen der SVK verstoßen würde. 

Verbundene Unternehmen von Smartsheet

Es besteht die Möglichkeit, dass Smartsheet im Rahmen seiner globalen Betriebsaktivitäten personenbezogene Daten global überträgt und verbundenen Dienststellen in internationalen Rechtsräumen Zugriff auf ebenjene personenbezogenen Daten gewährt. Bei der Weitergabe personenbezogener Daten an verbundene Unternehmen besteht Smartsheet Inc. auf die Durchsetzung von SVK, um personenbezogene Daten zu schützen und um sicherzustellen, dass zwischen verbundenen Unternehmen von Smartsheet angemessene Datenschutzverpflichtungen bestehen. Weitere Informationen zu den verbundenen Unternehmen von Smartsheet finden Sie hier.

Weitere Informationen und Ressourcen

Testen Sie Smartsheet noch heute.

Wenden Sie sich an Ihren Kundenbetreuer, um weitere Informationen zu erhalten.

Kontakt