FAQ zur Einhaltung der FAQ zur Einhaltung der DSGVO

Ping Identity kann mit seinem umfassenden globalen Datenschutz- und Sicherheitsprogramm die Einhaltung der DSGVO und anderer weltweit geltender Datenschutzgesetze umsetzen. Unsere Richtlinien, Verfahren und Kontrollen sind mit Blick auf die Grundsätze des fairen Umgangs mit Informationen erstellt. Dies betrifft z. B. Einschränkungen bei der Datenerhebung, Datenqualität und Angabe des Verwendungszwecks. Sie bilden die Grundlage für unser Programm zum Schutz der Privatsphäre und der Daten in Unternehmen. Transparenz und Rechenschaftspflicht sind wichtige Pfeiler unseres Programms.

Ping Identity ist ein führender Anbieter von IAM-Produkten (Identity and Access Management) und von den entsprechenden Sicherheitslösungen für große Unternehmen. Mit unseren Produkten können Kunden ihren Mitarbeitern und Kunden den sicheren Zugang zu ihren Netzwerken und Systemen bereitstellen. Unsere Produktpalette reicht von grundlegenden Single-Sign-on-Lösungen bis hin zu vollständig orchestrierten, risikobasierten, adaptiven Authentifizierungs-Workflows, die unterschiedliche IAM-Anwendungsfälle wie Betrugserkennung, Feststellung der Identität und Autorisierung unterstützen.

Um IAM-Dienste bereitzustellen, können personenbezogene Daten von Kundenmitarbeitern und/oder Kunden routinemäßig an Ping Identity übermittelt und von Ping Identity verarbeitet werden. Diese Datenverarbeitung erfolgt im Bedarfsfall, um Dienste bereitzustellen, Benutzeridentitäten zu verifizieren und authentifizieren, Zugriffsrechte und Privilegien zu verwalten und für damit kompatibles Sicherheits- und Zugriffsmanagement.

Die Lösungen von Ping Identity benötigen normalerweise nur nicht-sensible Datenelemente, wie zum Beispiel den Vor- und Nachnamen von Personen, Titel, Position, Arbeitgeber, Kontaktinformationen (Firma, E-Mail, Telefon, physische Geschäftsadresse), ID- und Gerätedaten, Daten über die Verbindung und den Standort. Einige Produkte bieten Kunden und Endnutzern die Möglichkeit, biometrische Daten für die Authentifizierung und Multi-Faktor-Authentifizierung zu verarbeiten:

Für PingID: Der Dienst selbst verarbeitet keine biometrischen Daten, sondern ermöglicht es den Nutzern, sich mit den biometrischen Funktionen ihrer Geräte (zum Beispiel TouchID) zu authentifizieren.
Für PingOne Verify: Wenn unsere Kunden diesen Dienst implementieren, werden biometrische Daten (Gesichtserkennung) für die Authentifizierung verarbeitet. Der Endnutzer lädt ein Foto hoch, um diese Funktion zu aktivieren.

Für PingOne DaVinci: Die Orchestrierungs-Plattform ermöglicht den Kunden das Verarbeiten und Speichern zusätzlicher und gegebenenfalls auch spezieller Datenkategorien, die vom Kunden festgelegt aber nicht für Ping Identity vorausgesetzt werden.

Obwohl Ping Identity in erster Linie als Datenverarbeiter im Sinne der DSGVO fungiert, verarbeiten wir Kundendaten im Rahmen der gesetzlichen Bestimmungen für bestimmte, begrenzte interne Geschäftszwecke weiter, und zwar:

Aufspüren von Sicherheitsverletzungen und Schutz vor böswilligen, betrügerischen oder illegalen Aktivitäten.
Fehlersuche zum Ermitteln und Beheben von Schwachstellen, die vorgesehene Funktionalitäten unserer Produkte beeinträchtigen, sowie andere Maßnahmen zum Erhalt der Qualität und/oder Sicherheit der Produkte und Plattformen.
Interne Prozesse, wie die Beantwortung von Anfragen von betroffenen Personen, die Erstellung von Sicherungskopien im Rahmen von Desaster-Recovery-/Geschäftskontinuitäts-Programmen sowie die Bestätigung von Verbrauchszahlen.
Datenverarbeitung zum Einhalten von Gesetzen bzw. Vorschriften.

Dass wir Daten vertraulich, akkurat, seriös und verfügbar verarbeiten ist für Ping Identity von größter Bedeutung. Als führendes Unternehmen in der Sicherheitsbranche sind unsere Produkte darauf ausgerichtet, unübertroffene Sicherheit zu bieten. Umfassende Informationen über das Programm für Informationssicherheit von Ping Identity finden Sie unter Sicherheit bei Ping Identity und in unserem Security Exhibit.

Ping Identity verfügt über die Zertifizierungen SSAE18 SOC 2 und ISO/IEC 27001:2013. ISO 27001 ist der internationale Standard, der die Best Practices für Informationssicherheits-Managementsysteme umreißt. Die Einhaltung dieser Standards demonstriert unseren Einsatz für ein wiederholbares, risikobasiertes Sicherheitsprogramm, das kontinuierlich verbessert wird. Die Auditierung des Managementsystems erfolgte durch einen unabhängige Drittanbieter mit Akkreditierung vom ANSI-ASQ National Accreditation Board (ANAB).

Ping Identity nutzt weiterhin eine starke Verschlüsselung bei der Übermittlung wie auch bei der Speicherung von Daten, um die Sicherheit und den Schutz der Kundendaten zu verbessern.

Die IAM-Produkte und -Lösungen von Ping Identity wurden vielfach für ihre IT- und API-Sicherheit ausgezeichnet sowie für ihre hervorragende Plattform. Eine Liste unserer Auszeichnungen finden Sie hier.

Ja. Ping Identity nutzt eine starke Verschlüsselung bei der Datenübermittlung wie auch bei der Speicherung, um die Sicherheit und den Schutz der Kundendaten zu verbessern.

Unser Programm zur Reaktion auf Sicherheitsverletzungen (Data-Breach-Response) ist so konzipiert, dass wir der Lage sind, 1. mögliche Sicherheitsverletzungen zu erkennen, 2. das Risiko eines Schadens durch die Datenschutzverletzung zu mindern und 3. die geltenden Gesetze und unsere Verträge einzuhalten. Als Datenverarbeiter benachrichtigen wir den betroffenen Kunden umgehend, wenn uns eine Datenschutzverletzung auffällt.

Ja, die Tochtergesellschaften von Ping Identity im EWR haben einen Datenschutzbeauftragten (DSB) bestimmt. Der DSB von Ping Identity kann per E-Mail über dpo_privacy@pingidentity.com kontaktiert werden.

Im Falle, dass wir in unserer Funktion als Datenverarbeiter eine Anfrage von einer Einzelperson erhalten, werden wir diese an unseren Kunden verweisen.

Ja. Wenn Ping Identity als Datenverarbeiter für Kunden tätig ist, nehmen wir die obligatorischen Bestimmungen in unsere Verträge auf, wie in Artikel 28 Absatz 3 der Datenschutz-Grundverordnung vorgeschrieben. Unseren Nachtrag zum Schutz der Kundendaten (Data Privacy Addendum, DPA) können Sie hier abrufen. Die Verträge mit unseren Lieferanten und Dienstleistern enthalten ebenfalls die gesetzlich vorgeschriebenen Bedingungen.

Wie in unserem Nachtrag zum Schutz der Kundendaten dargelegt, werden wir die personenbezogenen Daten des Kunden (auf seinen Wunsch hin) entweder an diesen zurückgeben oder sie löschen, sobald sie nicht länger für die im Kundenvertrag festgelegten Zwecke erforderlich sind, oder zu einem früheren Zeitpunkt, wenn der Kunde dies schriftlich verlangt. Davon ausgenommen sind Sicherungs- und Überwachungsdaten, die Ping Identity gemäß seinen Datenaufbewahrungs-Richtlinien löschen wird. Alle personenbezogenen Daten, die nicht unmittelbar gelöscht werden, bleiben weiterhin gemäß der DSGVO und unserem DPA geschützt. Unsere Kunden-DPA finden Sie hier.

Ping Identity unterstützt seine Kunden gerne bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA), wenn dies gesetzlich erforderlich ist. In der Praxis stellen die Vorgänge der Verarbeitung im Zusammenhang mit unseren IAM-Diensten allgemein kein „hohes Risiko“ für die Nutzer dar. Als Datenverarbeiter ist Ping Identity generell nicht am Erstellen von Profilen, automatisierter Entscheidungsfindung oder anderen Aktivitäten beteiligt, die eine DSFA erforderlich machen. Ping Identity erteilt auf Anfrage gerne weitere Auskünfte.

Ping Identity verwaltet die Risiken im Zusammenhang mit seinen Drittanbietern mithilfe von offiziellen Programmen für das Drittanbieter-Risikomanagement. Diese Programme sehen Verfahrensweisen für die Qualifizierung von Anbietern, die Auftragsvergabe, die laufende Überwachung und das Ausscheiden von Anbietern am Ende der Vertragslaufzeit vor. Alle Anbieter, die personenbezogene Daten verarbeiten, müssen entsprechende Vertragsbedingungen akzeptieren, und diejenigen, die auf personenbezogene Daten aus dem EWR zugreifen, sind an Vertragsbedingungen laut Artikel 28 der DSGVO gebunden. Eine Liste der Drittverarbeiter, die Zugang zu personenbezogenen Daten der Kunden haben können, finden Sie hier.

Die Kundendaten werden physisch in sicheren Datenzentren von Amazon Web Services (AWS) an den in unserem Datenanhang .aufgeführten Standorten gespeichert. Jeder Kunde wählt seine Hosting-Region im Zuge der Implementierung selbst aus. Kunden aus dem EWR, Großbritannien und der Schweiz haben die Option, ihre Daten im EWR in den AWS-Colocation-Zentren in Deutschland und Irland speichern zu lassen. Die Mitarbeiter von Ping Identity können bei Bedarf aus der Ferne auf diese Daten zugreifen, wenn dies für das Erbringen der vertraglich vereinbarten Dienstleistungen und des 24/7-Kundendienstes erforderlich sein sollte. Der Fernzugriff auf Daten im EWR, in Großbritannien und der Schweiz kann von unseren Betriebszentren aus erfolgen, die in unserem Datenanhang gelistet sind.

Unternehmen können Standardvertragsklauseln für den Transfer personenbezogener Daten in Drittländer verwenden, wenn sie ebenfalls die Risiken des Transfers in Nicht-EWR-Länder bewerten. Wie der Europäische Gerichtshof in seinem Gutachten zu „Schrems II“ feststellte, geht es in erster Linie um den Zugriff ausländischer Regierungsbehörden auf personenbezogene Daten im Zusammenhang mit der nationalen Sicherheit und Strafverfolgung. Der Fernzugriff auf Daten im EWR, in Großbritannien und der Schweiz kann von unseren Betriebszentren aus erfolgen, die in unserem Datenanhang gelistet sind. Kanada, Israel und das Vereinigte Königreich wurden von der Europäischen Kommission als Länder mit angemessenem Datenschutz eingestuft.

Bei Datentransfers in die USA müssen die Unternehmen die Risiken bewerten, die sich aus der Executive Order 12333 und aus Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA) ergeben. Die Risiken laut der Executive Order 12333 bestehen in der Möglichkeit der US-Regierung, personenbezogene Daten, die über transatlantische Kabel übertragen werden, während ihrer Übermittlung abzufangen. Personenbezogene Daten können vor dieser Art des Abfangens wirkungsvoll durch Sicherheitsmaßnahmen (wie z. B. Verschlüsselung) geschützt werden. Ping Identity verschlüsselt die Kundendaten in unseren Diensten während des Transfers (Data in motion) und bei der Speicherung (Data at rest). Die Risiken laut des Foreign Intelligence Surveillance Act Section 702 (FISA 702) bestehen in der Möglichkeit der US-Regierung, Daten bestimmter Arten von Kommunikationsunternehmen ohne richterliche Anordnung einzusehen. Ping Identity bietet keine Telekommunikations- oder elektronischen Nachrichtendienste an.

Bei Transfers nach Australien und Indien müssen die jeweiligen Unternehmen die Risiken im Zusammenhang mit den lokalen Gesetzen bewerten, welche den Zugriff der Behörden für Strafverfolgung und nationale Sicherheit auf personenbezogene Daten vorsehen (und regeln). In beiden Ländern gibt es verschiedene Datenschutzgesetze, die den Schutz personenbezogener Daten gewährleisten. Darüber hinaus verfügt Ping Identity über verschiedene zusätzliche sicherheitsbezogene und organisatorische Mittel zum Schutz persönlicher Daten.

Obwohl die Einschätzung der Risiken beim Transfer personenbezogener Daten in Länder außerhalb des EWR/Großbritanniens/der Schweiz letztendlich in der Verantwortung unserer Kunden liegt, haben wir verschiedene Informationsmaterialien vorbereitet, die auf Anfrage erhältlich sind und unsere Kunden bei der Durchführung dieser Analysen unterstützen sollen.

Ping Identity hat für den Umgang mit Regierungsanfragen nach personenbezogenen Daten ein klares Regelwerk erstellt. Wir veröffentlichen außerdem einen detaillierten Transparenzbericht, der alle behördlichen Aufforderungen zur Datenfreigabe in Zusammenhang mit Vorladungen, Durchsuchungsbefehlen, gerichtlichen Anordnungen, nationalen Sicherheitsanfragen und internationalen Anfragen gemeinsam mit der erteilten Antwort zusammenfasst, sofern eine Veröffentlichung nach lokalem Recht zulässig ist. Bitte beachten Sie: Ping Identity wurde bisher nicht von Regierungsbehörden zur Offenlegung von Kundendaten aufgefordert, und erwartet auch in Zukunft keine Aufforderungen dieser Art.

Nein. Ping Identity hat keine Aufforderungen seitens Regierungsbehörden zur Freigabe von Kundendaten erhalten und erwartet dies auch nicht. Ping Identity bietet keine Telekommunikations- oder elektronischen Nachrichtendienste an. Der Klarheit halber sei erwähnt, dass Kunden über einige unserer Produkte mit Ping Identity-Diensten im Rahmen von Multi-Faktor-Authentifizierungen (wie z. B. Text-to-Verify) kommunizieren können. Die betreffenden Funktionen sind von Drittanbietern für Telekommunikation abhängig (d.h. von dem Netzbetreiber oder Internetdienstanbieter des Nutzers), und diese Dritten unterliegen möglicherweise Gesetzen wie z. B. dem FISA. Diese Funktionen sind jedoch optional, und die Kommunikation mit den Ping Identity-Diensten führt nicht zur Verarbeitung sensibler Daten oder anderer Informationen, die als „Informationen ausländischer Nachrichtendienste“ gemäß 50 U.S.C. § 1801(e) eingestuft werden könnten.

Das Regelwerk von Ping Identity sowie den aktuellen Transparenzbericht können Sie hier abrufen.

Ping Identity hat die mit grenzüberschreitenden Datentransfers verbundenen Risiken bewertet. Wir werden Kunden gerne dabei unterstützen, zu dokumentieren, ob es angebracht ist, Ping Identity die Verarbeitung von Daten in einer nicht angemessenen Gerichtsbarkeit zu gestatten. Auf Anfrage stellen wir Ihnen gerne zusätzliche Informationen zur Verfügung.

Wir freuen uns immer über Fragen oder Kommentare zum Datenschutz. Bei Fragen zu diesem Thema können Sie das Global Privacy Office von Ping Identity per E-Mail an privacy@pingidentity.com erreichen.

Ping Identity verpflichtet sich zur Einhaltung der DSGVO

1. In welcher Weise hält Ping Identity die DSGVO ein?

2. Welcher Art sind die „Verarbeitungstätigkeiten“ von Ping Identity?

3. Welche Arten von personenbezogenen Daten verarbeitet Ping Identity bei der Erbringung seiner Dienstleistungen?

4. Verarbeitet Ping Identity personenbezogene Daten für seine eigenen Zwecke weiter?

5. Mit welchen Sicherheitsmaßnahmen schützt Ping Identity personenbezogene Daten?

6. Verschlüsselt Ping Identity personenbezogene Kundendaten?

7. Wie würde Ping Identity mit einer Datenschutzverletzung umgehen?

8. Hat Ping Identity einen Datenschutzbeauftragten im Europäischen Wirtschaftsraum (EWR) bestimmt?

9. Wie behandelt Ping Identity die Anfragen von betroffenen Personen, wenn die Nutzer der Kunden ihr Recht auf Datenschutz ausüben möchten?

10. Entsprechen die Verträge von Ping Identity den Anforderungen der DSGVO?

11. Wie lange bewahrt Ping Identity personenbezogene Daten auf?

12. Wie erhalten wir die erforderlichen Informationen, um eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen?

13. Wie hat Ping Identity die Datenverarbeitung durch Dritte oder ihre Subunternehmen geregelt?

14. Welche Sicherheitsvorkehrungen hat Ping Identity für den Transfer personenbezogener Daten außerhalb Europas getroffen?

15. Wie wirkt sich das Urteil „Schrems II“ auf die Dienste von Ping Identity aus?

16. Wie geht Ping Identity vor, wenn Strafverfolgungsbehörden den Zugriff auf Kundendaten anfordern?

17. Erhält Ping Identity Aufforderungen zur Offenlegung gemäß FISA 702?

18. Hat Ping Identity die Risiken bewertet, die mit grenzüberschreitenden Datentransfers verbunden sind?

19. Wie kann ich Ping Identity bei Fragen zum Datenschutzes kontaktieren?