SurveyMonkey bietet seine Produkte weltweit an und setzt globale Auftragsverarbeiter ein. In unserem Vertrag mit Ihnen verpflichten wir uns, dass jede Übermittlung von personenbezogenen Daten an uns mit den geltenden Datenschutzgesetzen konform ist. Wir übermitteln personenbezogene Daten nur an Unterauftragsverarbeiter, die Ihre personenbezogenen Daten mit ebenso strengen Sicherheitsvorkehrungen schützen wie die Sicherheitsvorkehrungen, die wir für die von uns kontrollierten personenbezogenen Daten anwenden.

Darüber hinaus entsprechen die von uns ergriffenen ergänzenden Maßnahmen dem Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 zu Fall C-311/18, Datenschutzbeauftragter gegen Facebook Ireland Limited und Maximilian Schrems („Schrems II“) und den Richtlinien des Europäischen Datenschutzausschusses („EDSA“) zu ergänzenden Maßnahmen. Ausführliche Informationen finden Sie im Folgenden.

Weitere Informationen darüber, wie wir personenbezogene Daten allgemein verarbeiten, finden Sie in unserer Datenschutzerklärung.

Teil I: Übermittlungen an SurveyMonkey

Teil II: Weiterübermittlungen an Unterauftragsverarbeiter

Falls Sie US-Kunde sind, enthält Ihr Vertrag einen Datenschutznachtrag (Data Protection Addendum, „DPA“) mit der US-Entität von SurveyMonkey: SurveyMonkey Inc. Wenn Sie Benutzer im Europäischen Wirtschaftsraum („EWR“), im Vereinigten Königreich („UK“) oder in der Schweiz haben und daher einen Übermittlungsvorgang für Benutzerdaten an SurveyMonkey benötigen, können Sie von uns verlangen, dass die entsprechenden Übermittlungsmechanismen eingerichtet werden. (Wenn Sie Self-Service-Kunde sind, beachten Sie, dass unser Online-DPA diese Übermittlungsmechanismen automatisch enthält.)

Zusätzlich zu den Standardvertragsklauseln („SVK“) und als sekundäre Methode hat SurveyMonkey Inc. auch eine Selbstzertifizierung nach dem Datenschutzrahmen EU-USA, der UK-Erweiterung des Datenschutzrahmens EU-USA und Datenschutzgrundsätzen zwischen den USA und der Schweiz durchgeführt. Das bedeutet, dass die europäischen, britischen und Schweizer Datenschutzbehörden unsere Verarbeitung im Sinne von Artikel 45 Absatz 3 DSGVO als „angemessen“ eingestuft haben.

Falls Sie Kunde mit Sitz im EWR, in UK oder in der Schweiz sind, umfasst Ihr Vertrag einen Datenschutznachtrag (Data Protection Addendum, „DPA“) mit der irischen Entität von SurveyMonkey: SurveyMonkey Europe UC. Da die Übermittlung von Ihnen an SurveyMonkey zwischen europäischen Entitäten erfolgt, für die kein Übermittlungsmechanismus erforderlich ist (oder die den Schutzniveaustatus der jeweils anderen Seite anerkannt haben), sind keine weiteren Übermittlungsmechanismen erforderlich.

Falls Sie Kunde mit Sitz außerhalb der USA, des EWR, von UK oder der Schweiz sind, Sie aber Benutzer im EWR, in UK oder in der Schweiz haben und sicherstellen müssen, dass ein Übermittlungsmechanismus für die Weiterübermittlung vorhanden ist, umfasst Ihr Vertrag einen DPA mit der irischen Entität von SurveyMonkey, SurveyMonkey Europe UC, und Sie können von uns verlangen, dass wir einen geeigneten Übermittlungsmechanismus hinzufügen. (Wenn Sie Self-Service-Kunde sind, beachten Sie, dass unser Online-DPA diese Übermittlungsmechanismen automatisch enthält.)

Sie übermitteln personenbezogene Daten an SurveyMonkey, damit wir diese für die folgenden Zwecke verarbeiten können:

Sie sollten überprüfen, ob Sie Daten zu anderen Zwecken übermitteln.

Die vom Kunden an SurveyMonkey übermittelten personenbezogenen Daten können so viele oder so wenige personenbezogene Daten enthalten, wie Sie dies in Ihren Umfragen, Formularen und Fragebögen erfassen. Aufgrund der Art der Plattform gehen wir davon aus, dass eine große Vielzahl an personenbezogenen Daten – einschließlich potenzieller Daten spezieller Kategorien – von Ihnen erfasst wird. 

Die von uns erfassten Daten werden in Abschnitt 2 unserer Datenschutzerklärung angegeben.

Wie oben angegeben, gehen Sie je nach Ihrem Ort einen Vertrag mit einer SurveyMonkey-Entität in den USA oder in Irland ein. Basierend auf den Ratschlägen unserer externen Rechtsberater, die auf Datenschutz und die Analyse von Gesetzen spezialisiert sind, denen SurveyMonkey unterliegt, sind wir der Auffassung, dass das mit dem Rechtsregime in den USA verbundene Risiko gering ist und das mit dem Rechtsregime in Irland verbundene Risiko kein wesentliches Risiko für die betroffene Person darstellt. Weitere Informationen insbesondere zum US-Recht finden Sie im Abschnitt „Ergänzende Maßnahmen: organisatorische“.

Selbst wenn aufgrund des Rechtsregimes nur ein geringes oder kein wesentliches Risiko besteht, hat SurveyMonkey ergänzende Maßnahmen implementiert, um personenbezogene Daten zusätzlich zu schützen. Die ergänzenden Maßnahmen sind in drei Kategorien unterteilt: (i) vertragliche; (ii) organisatorische und (iii) technische Schutzmaßnahmen. 

Wie oben angegeben, stimmt SurveyMonkey zu, Standardvertragsklauseln auf Kunden anzuwenden. Das Schrems II-Urteil gibt vor, dass die Parteien Standardvertragsklauseln und (falls angemessen) zusätzliche Schutzmaßnahmen für die Übermittlung von personenbezogenen Daten aus dem Vereinigten Königreich, der Schweiz und dem Europäischen Wirtschaftsraum („Europäische Daten“) in die USA anwenden können. Falls Sie eine Vereinbarung mit SurveyMonkey getroffen haben oder anderweitig Services von SurveyMonkey erhalten, die erfordern, dass SurveyMonkey personenbezogene Daten europäischer betroffener Personen verarbeitet, wird SurveyMonkey (wie je nach der SurveyMonkey-Entität, mit der Sie den Vertrag abschließen, angemessen): 

Weitere Informationen über unsere Zustimmung, uns an die Standardvertragsklauseln zu halten, finden Sie in den Nutzungsbedingungen (für Self-Service-Kunden), dem Rahmenvertrag (für SurveyMonkey Enterprise- oder GetFeedback Digital-Kunden) oder einer anderen Vereinbarung, die Sie mit SurveyMonkey getroffen haben.

Die Bedenken des Europäischen Gerichtshofs über Datenübermittlungen in die USA basierten auf der Datenerfassung durch die US-Bundesregierung nach US Executive Order 12333 („EO 12333“) sowie Paragraph 702 des Foreign Intelligence Surveillance Act („FISA § 702“), insbesondere in Bezug auf „Upstream“-Überwachung gemäß FISA § 702.  Die durch diese US-Gesetzesbestimmungen verursachten Risiken gelten entweder nicht für die Verarbeitung personenbezogener Daten durch SurveyMonkey oder können durch die von SurveyMonkey angebotenen organisatorischen Sicherheitsmaßnahmen ausreichend gemindert werden.

Ferner hat die Europäische Kommission am 10. Juli 2023 ihren Angemessenheitsbeschluss in Bezug auf den Datenschutzrahmen EU-USA gefasst. In dem Angemessenheitsbeschluss wird der Schluss gezogen, dass die Vereinigten Staaten ein mit der EU vergleichbares Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an US-amerikanische Unternehmen übermittelt werden, die am Datenschutzrahmen EU-USA teilnehmen.

Der Angemessenheitsbeschluss folgt auf die Unterzeichnung einer Durchführungsverordnung (Executive Order) zur „Verbesserung der Sicherheitsvorkehrungen für nachrichtendienstliche Aktivitäten der Vereinigten Staaten“ durch die USA, mit der neue verbindliche Sicherheitsvorkehrungen eingeführt wurden, um die vom Gerichtshof der Europäischen Union in seiner Schrems-II-Entscheidung vom Juli 2020 genannten Punkte zu adressieren. Die neuen Verpflichtungen sollen insbesondere sicherstellen, dass US-Geheimdienste nur in dem erforderlichen und verhältnismäßigen Maße auf Daten zugreifen können, und darauf abzielen, ein unabhängiges und unparteiisches Rechtsbehelfsverfahren zu schaffen, in dem Beschwerden von europäischen Bürgerinnen und Bürgern über die Erhebung ihrer Daten zu Zwecken der nationalen Sicherheit bearbeitet und beigelegt werden (siehe: https://EC.Europa.eu/commission/pressCorner/detail/en/qanda_23_3752).

SurveyMonkey ist nicht für den Erhalt von „Upstream“- oder Massenüberwachungsaufträgen gemäß FISA § 702 qualifiziert. SurveyMonkey Inc. fungiert in Verbindung mit bestimmten Services oder Produkteigenschaften, die wir Kunden bieten, zum Teil als elektronischer Kommunikationsservice (Electronic Communications Service, ECS) und potenziell auch als Remote-Computing-Service (RCS)(gemäß Definition in den Abschnitten 2510 bzw. 2711 von Title 18 USC.).  SurveyMonkey Inc. zählt damit zur großen Gruppe von Unternehmen, denen die US-Regierung eine zielgerichtete Direktive gemäß FISA § 702 zukommen lassen könnte.  Gemäß Interpretation und Anwendung von FISA § 702 durch die US-Regierung ist SurveyMonkey aber nicht dafür qualifiziert, diese Art von Anordnung zu erhalten, was ein Haupteinwurf des Europäischen Gerichtshofs im Schrems-II-Urteil darstellte, d. h. eine FISA § 702-Anordnung zu „Upstream“-Überwachung.  Die US-Regierung hat FISA § 702 dahingehend angewendet, dass sie Upstream-Anordnungen nur für Traffic einsetzt, der durch Internet-Backbone-Anbieter fließt, die Internet-Traffic für Dritte übermitteln (d. h. Telekommunikationsanbieter).  Ein Beispiel dafür ist im Bericht des Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act (2. Juli 2014), S. 35–40 zu finden, verfügbar unter https://fas.org/irp/offdocs/pclob-702.pdf.  SurveyMonkey stellt keine derartigen Internet-Backbone-Services bereit, weil wir nur Traffic von und zu unseren eigenen Kunden übermitteln.  Daher sind wir nicht für den Erhalt von Anordnungen dieses Typs qualifiziert, die im Schrems-II-Urteil hauptsächlich angesprochen und als problematisch bewertet wurden.

SurveyMonkey hat keine Direktive unter FISA § 702 erhalten, und es ist unwahrscheinlich, dass wir eine solche erhalten werden. Zum Datum dieser Erklärung hat SurveyMonkey keine Direktive unter FISA § 702 erhalten und hat keinen Grund zu der Annahme, dass eine solche an SurveyMonkey gehen könnte.  Es ist höchst unwahrscheinlich, dass die personenbezogenen Daten, die SurveyMonkey für unsere Kunden verarbeitet (Feedbackdaten), für auslandsnachrichtendienstliche Aktivitäten gemäß FISA § 702 relevant sein könnten.  Darüber hinaus gilt: In dem Fall, dass solche personenbezogene Daten für solche Ermittlungen interessant währen, wird die US-Regierung diese Daten wahrscheinlich über andere rechtsstaatliche Formen zu erwerben suchen (wie z. B. per von einem Richter erteilten Durchsuchungsbefehl), die die hohen Standards des staatlichen Zugriffs aus Daten erfüllen, die im Schrems-II-Urteil beschrieben werden.  Das liegt daran, dass es für die Regierung viel schneller und einfacher wäre, einen Durchsuchungsbefehl unter einem anderen Gesetz als FISA § 702 zu erhalten, statt Mechanismen in Bewegung zu setzen, die notwendig sind, um Direktiven unter FISA § 702 an SurveyMonkey zuzustellen.

SurveyMonkey unterstützt US-Behörden nicht bei der Erfassung von Informationen gemäß Executive Order 12333 und kann dazu auch nicht verpflichtet werden. SurveyMonkey unterstützt US-Behörden, die Überwachung unter EO 12333 durchführen, nicht dabei und wird dies auch nicht tun.  EO 12333 gibt der US-Regierung nicht die Möglichkeit, Unternehmen dazu zu zwingen, diese Aktivitäten zu unterstützen, und SurveyMonkey wird dies auch nicht freiwillig tun.  Daher ergreift SurveyMonkey keine Maßnahmen, um die Art von Massenüberwachung gemäß EO 12333 zu ermöglichen, die im Schrems-II-Urteil als problematisch bewertet wurde, und kann dazu auch nicht verpflichtet werden.

SurveyMonkey bietet eine Reihe von technischen Maßnahmen, die die im Schrems-II -Urteil angesprochenen und oben aufgeführten Kerndefizite (Massenüberwachung gemäß FISA § 702 und massenhaftes Abfangen von Daten gemäß EO 12333) weiterhin ansprechen.  

SurveyMonkey verschlüsselt alle Daten im Ruhezustand in unseren Datenzentren mithilfe AES 256-basierter Verschlüsselung. Darüber hinaus verschlüsselt SurveyMonkey alle Daten bei der Übertragung mittels (i) RSA mit von einer öffentlichen Zertifizierungsstelle generierten Zertifikaten mit einer Schlüssellänge von 2048 Bits für die Kommunikation mit Entitäten außerhalb der Rechenzentren von SurveyMonkey, und (ii) von einer internen Zertifizierungsstelle generierten RSA 256-Zertifikaten für alle Daten im Rechenzentrum. Diese Verschlüsselungsbemühungen dienen dem Ziel, eine nicht autorisierte Akquisition der Daten in lesbarer Form zu verhindern und ein nicht autorisiertes Abhören/eine Manipulation zu verhindern, wenn Daten zwischen zwei Endpunkten im Transit sind. 

Die Daten mancher SurveyMonkey-Kunden (z. B. GetFeedback Digital-Kunden) werden nur in der Europäischen Union gespeichert. In diesen Fällen werden die Daten nicht in den USA gespeichert und es erfolgt nur sehr minimaler Zugriff auf diese Daten zu begrenzten Zwecken in den USA (z. B. um Kundensupport bei Anfragen bereitzustellen, für Rund-um-die-Uhr-Sicherheitssupport bzw. beschränkte technische Ressourcenbeschaffung, um technische Probleme/Programmfehler zu beheben oder Systeme auszubauen).

SurveyMonkey setzt auch strikte administrative, technische und physische Verfahren ein, um die auf den Servern des Unternehmens gespeicherten Daten zu schützen. Der Zugriff auf personenbezogene Informationen wird mittels Anmeldedaten auf die Mitarbeiter beschränkt, die dies für die Wahrnehmung ihrer beruflichen Aufgaben benötigen. SurveyMonkey implementiert Datenminimalisierungstechniken, um die Menge an personenbezogenen Daten zu begrenzen, die aus der EU in Drittrechtsgebiete übermittelt werden, und setzt, sofern angemessen, Pseudonymisierung oder Deidentifizierung ein. Darüber hinaus setzt SurveyMonkey Zugriffskontrollen wie Multi-Faktor-Authentifizierung, Single Sign-On, Zugriff nur bei Bedarf, starke Passwortkontrollen und beschränkten Zugriff auf Administratorkonten ein.  

Darüber hinaus unterliegt SurveyMonkey als ECS/RCS dem US Electronic Communications Privacy Act, 18 USC. § 2701, ff.  („ECPA“), der Kunden von SurveyMonkey schützt.  ECPA verbietet staatlichen Stellen beispielsweise, Informationen über Kunden oder Services wie den von SurveyMonkey einzuholen, außer diese staatlichen Stellen folgen dem angemessenen Rechtsverfahren mit Durchsuchungsbefehl für Informationen außer grundlegenden Abonnenteninformationen.  Auf ähnliche Weise bieten sowohl FISA als auch ECPA den Kunden von SurveyMonkey Abhilfe gegen die US-Regierung (einschließlich finanzieller Entschädigungen oder Disziplinarmaßnahmen gegen die jeweiligen Behörden), falls diese Informationen über sie unrechtmäßig erhalten (siehe 18 USC. § 2712).

Außerdem ist die seit langem für SurveyMonkey tätige externe Rechtsberatung bewandert in der Reaktion auf staatliche Anfragen nach Benutzerdaten durch die USA, darunter US National Security Requests gemäß FISA § 702.  SurveyMonkey eskaliert solche Anfragen an das interne Compliance-Team von SurveyMonkey und bei Bedarf die externe Rechtsberatung zur Überprüfung.  Wenn angemessen, hat SurveyMonkey in dem unwahrscheinlichen Fall, dass SurveyMonkey eine solche Anfrage oder Forderung erhält, vor, Rechtsmechanismen zu nutzen, um Forderungen auf Datenzugriff gemäß FISA § 702 zu begegnen (einschließlich aller Nichtoffenlegungs-Bestimmungen oder Anordnungen, die hier beiliegen).  Die Anfrage oder Forderung würde dann von einem US-Gericht (dem FISA Court) überprüft. 

SurveyMonkey erkennt auch an, dass eine Anordnung zur Bereitstellung von Datenzugriff gemäß FISA § 702 erfordern würde, dass SurveyMonkey seine Kunden benachrichtigt, dass wir den Standardvertragsklauseln nicht mehr entsprechen können, wodurch diese ihre Vereinbarung mit uns kündigen und Datenströme an uns einstellen können.  Wir haben noch nie eine solche Benachrichtigung senden müssen.

Angesichts der oben angegebenen Analyse sind wir der Auffassung, dass für die betroffene Person kein wesentliches Schadenrisiko besteht.

In der nachstehenden Tabelle ist unsere Schlussfolgerung zur Beurteilung der Übermittlungsauswirkungen zu finden.

Ein „unwesentliches“ Risiko bedeutet, dass personenbezogene Daten in ein Rechtsgebiet übermittelt werden, für das die Europäische Kommission ein „angemessenes Schutzniveau“ festgestellt hat (der Rechtsschutz also dem in Europa entspricht) und dass vertragliche, technische und organisatorische Maßnahmen implementiert werden, um die Daten weiter zu schützen.

„Niedrig“ bedeutet, dass personenbezogene Daten in ein Rechtsgebiet übermittelt werden, das einen anderen DSGVO-Kapitel-V-Mechanismus aufweist als „Angemessen“. Der Rechtsschutz entspricht zwar nicht unbedingt dem in Europa, doch wird die Übermittlung trotzdem als gesetzeskonform betrachtet und wird durch vertragliche, technische und organisatorische Maßnahmen zum zusätzlichen Schutz der Daten gestärkt.

Unterauftragsverarbeiter sind SurveyMonkey-Auftragnehmer, die die personenbezogenen Daten Ihrer Benutzer verarbeiten, um SurveyMonkey bei der Bereitstellung des Services an Sie zu unterstützen. Alle SurveyMonkey-Unterauftragsverarbeiter sind vertraglich gebunden, die personenbezogenen Daten mit Maßnahmen zu schützen, die dem Standard entsprechen, den wir auf personenbezogene Daten unter unserer Kontrolle anwenden.

Wenn SurveyMonkey personenbezogene Daten an Unterauftragsverarbeiter übermittelt, führen wir eine Beurteilung der Übermittlungsauswirkungen (Transfer Impact Assessment, TIA) durch, die den oben beschriebenen Schritten ähnelt. Wir möchten damit sicherstellen, dass Ihre personenbezogenen Daten bei jedem Schritt geschützt werden, wie dies durch Datenschutzgesetze und unseren Vertrag mit Ihnen vorgegeben ist. Unten haben wir eine Zusammenfassung der wichtigsten Punkte der TIA für jeden Unterauftragsverarbeiter zusammengestellt.

Bitte beachten Sie, dass nicht alle Unterauftragsverarbeiter bei der Bereitstellung aller unserer Services eingesetzt werden. Unsere Liste der Unterauftragsverarbeiter ist nach spezifischen SurveyMonkey-Services segmentiert. 

Wenn Sie per E-Mail über Aktualisierungen unserer Auftragsverarbeiterliste benachrichtigt werden möchten, abonnieren Sie bitte hier.

Sie können hier eine PDF-Datei unserer aktuellen Unterauftragsverarbeiterliste herunterladen.