Momentive bietet seine Produkte weltweit an und setzt globale Auftragsverarbeiter ein, die uns bei der Bereitstellung dieser Produkte und Services unterstützen. In unserem Vertrg mit Ihnen verpflichten wir uns, dass jede Übermittlung von personenbezogenen Daten an uns mit den Datenschutzgesetzen konform ist. Wir stellen auch sicher, dass der Empfänger bei Weiterübermittlung personenbezogener Daten diese mit Maßnahmen schützt, die dem Standard entsprechen, den wir auf personenbezogene Daten unter unserer Kontrolle anwenden.

Um Ihnen bei der Bestimmung zu helfen, ob ein angemessenes Schutzniveau für an Momentive übermittelte personenbezogene Daten vorhanden ist, stellen wir nachstehend Informationen bereit, wie Ihre Informationen bei der Übermittlung geschützt werden. Dabei werden das Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 zu Fall C-311/18, Datenschutzbeauftragter gegen Facebook Ireland Limited und Maximilian Schrems („Schrems II“) und die Richtlinien des Europäischen Datenschutzausschusses („EDSA“) zu ergänzenden Maßnahmen berücksichtigt.

Weitere Informationen darüber, wie wir personenbezogene Daten allgemein verarbeiten, finden Sie in unserer Datenschutzerklärung.

Teil I: Übermittlungen an Momentive

Teil II: Weiterübermittlungen an Unterauftragsverarbeiter

Falls Sie US-Kunde sind, enthält Ihr Vertrag einen Datenschutznachtrag (Data Protection Addendum, „DPA“) mit der US-Entität von Momentive: Momentive Inc. Falls Sie Benutzer im Europäischen Wirtschaftsraum („EWR“) oder im Vereinigten Königreich (United Kingdom, „UK“) haben und daher einen Mechanismus für die Übermittlung von Benutzerdaten an Momentive benötigen, können Sie anfordern, dass wir EU- bzw. UK-Standardvertragsklauseln hinzufügen.

Falls Sie Kunde mit Sitz im EWR oder UK sind, umfasst Ihr Vertrag einen Datenschutznachtrag (Data Protection Addendum, „DPA“) mit der irischen Entität von Momentive: Momentive Europe UC. Da die Übermittlung von Ihnen an Momentive zwischen europäischen Entitäten erfolgt, für die kein Übermittlungsmechanismus erforderlich ist (oder die den Schutzniveaustatus der jeweils anderen Seite anerkannt haben), sind keine weiteren Übermittlungsmechanismen erforderlich.

Falls Sie Kunde mit Sitz außerhalb der USA, des EWR oder UK sind, Sie aber Benutzer im EWR oder UK haben und sicherstellen müssen, dass es Übermittlungsmechanismus für die Weiterübermittlung vorhanden ist, umfasst Ihr Vertrag einen DPA mit der irischen Entität von Momentive, Momentive Europe UC, und Sie können anfordern, dass wir EU- bzw. UK-Standardvertragsklauseln hinzufügen.

Sie übermitteln personenbezogene Daten an Momentive, damit wir diese für die folgenden Zwecke verarbeiten können:

Sie sollten überprüfen, ob Sie Daten zu anderen Zwecken übermitteln.

Die vom Kunden an Momentive übermittelten personenbezogenen Daten können so viele oder wenige personenbezogene Daten enthalten, wie Sie dies in Ihren Umfragen, Formularen und Fragebögen festlegen. Als Plattform setzen wir voraus, dass Sie eine Vielzahl verschiedener personenbezogener Daten einschließlich solche mit evtl. besonderen Kategorien erfassen. 

Die von uns erfassten Daten werden in Abschnitt 2 unserer Datenschutzerklärung angegeben.

Wie oben angegeben, gehen Sie je nach Ihrem Ort einen Vertrag mit einer Momentive-Entität in den USA oder in Irland ein. Basierend auf den Ratschlägen unserer externen Rechtsberater, die auf Datenschutz und die Analyse von Gesetzen spezialisiert sind, denen Momentive unterliegt, sind wir der Auffassung, dass das mit dem Rechtsregime in den USA verbundene Risiko gering ist und das mit dem Rechtsregime in Irland verbundene Risiko kein wesentliches Risiko für die betroffene Person darstellt. Weitere Informationen insbesondere zum US-Recht finden Sie im Abschnitt „Ergänzende Maßnahmen: organisatorische“.

Selbst wenn aufgrund des Rechtsregimes nur ein geringes oder kein wesentliches Risiko besteht, hat Momentive ergänzende Maßnahmen implementiert, um personenbezogene Daten zusätzlich zu schützen. Die ergänzenden Maßnahmen sind in drei Kategorien unterteilt: (i) vertragliche; (ii) organisatorische und (iii) technische Schutzmaßnahmen. 

Wie oben angegeben, stimmt Momentive zu, Standardvertragsklauseln mit Kunden anzuwenden. Das Schrems II-Urteil gibt vor, dass die Parteien Standardvertragsklauseln und (falls angemessen) zusätzliche Schutzmaßnahmen für die Übermittlung von personenbezogenen Daten aus dem Vereinigten Königreich und dem Europäischen Wirtschaftsraum („Europäische Daten“) in die USA anwenden können. Falls Sie eine Vereinbarung mit Momentive getroffen haben oder anderweitig Services von Momentive erhalten, die erfordern, dass Momentive personenbezogene Daten europäischer betroffener Personen verarbeitet, wird Momentive (wie je nach der Momentive-Entität, mit der Sie den Vertrag abschließen, angemessen): 

Weitere Informationen über unsere Zustimmung, uns an die Standardvertragsklauseln zu halten, finden Sie in den Nutzungsbedingungen (für Self-Service-Kunden), dem Rahmenvertrag (für SurveyMonkey Enterprise- oder GetFeedback Digital-Kunden) oder einer anderen Vereinbarung, die Sie mit Momentive getroffen haben.

Die Bedenken des Europäischen Gerichtshofs über Datenübermittlungen in die USA basierten auf der Datenerfassung durch die US-Bundesregierung nach US Executive Order 12333 („EO 12333“) sowie Paragraph 702 des Foreign Intelligence Surveillance Act („FISA § 702“), insbesondere in Bezug auf „Upstream“-Überwachung gemäß FISA § 702.  Die durch diese US-Gesetzesbestimmungen verursachten Risiken gelten entweder nicht für die Verarbeitung personenbezogener Daten durch Momentive oder können durch die von Momentive angebotenen organisatorischen Sicherheitsmaßnahmen ausreichend gemindert werden.

Momentive ist nicht für den Erhalt von „Upstream“- oder Massenüberwachungsaufträgen gemäß FISA § 702 qualifiziert. Momentive Inc. fungiert in Verbindung mit bestimmten Services oder Produkteigenschaften, die wir Kunden bieten, zum Teil als elektronischer Kommunikationsservice (Electronic Communications Service, ECS) und potenziell auch als Remote-Computing-Service (RCS)(gemäß Definition in den Abschnitten 2510 bzw. 2711 von Title 18 USC.).  Momentive Inc. zählt damit zur großen Gruppe von Unternehmen, denen die US-Regierung eine zielgerichtete Direktive gemäß FISA § 702 zukommen lassen könnte.  Gemäß Interpretation und Anwendung von FISA § 702 durch die US-Regierung ist Momentive aber nicht dafür qualifiziert, diese Art von Anordnung zu erhalten, was ein Haupteinwurf des Europäischen Gerichtshofs im Schrems-II-Urteil darstellte, d. h. eine FISA § 702-Anordnung zu „Upstream“-Überwachung.  Die US-Regierung hat FISA § 702 dahingehend angewendet, dass sie Upstream-Anordnungen nur für Traffic einsetzt, der durch Internet-Backbone-Anbieter fließt, die Internet-Traffic für Dritte übermitteln (d. h. Telekommunikationsanbieter).  Ein Beispiel dafür ist im Bericht des Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act (2. Juli 2014), S. 35–40 zu finden, verfügbar unter https://fas.org/irp/offdocs/pclob-702.pdf.  Momentive stellt keine derartigen Internet-Backbone-Services bereit, weil wir nur Traffic von und zu unseren eigenen Kunden übermitteln.  Daher sind wir nicht für den Erhalt von Anordnungen dieses Typs qualifiziert, die im Schrems-II-Urteil hauptsächlich angesprochen und als problematisch bewertet wurden.

Momentive hat keine Direktive unter FISA § 702 erhalten, und es ist unwahrscheinlich, dass wir eine solche erhalten werden. Zum Datum dieser Erklärung hat Momentive keine Direktive unter FISA § 702 erhalten und hat keinen Grund zu der Annahme, dass eine solche an Momentive gehen könnte.  Es ist höchst unwahrscheinlich, dass die personenbezogenen Daten, die Momentive für unsere Kunden verarbeitet (Feedbackdaten), für auslandsnachrichtendienstliche Aktivitäten gemäß FISA § 702 relevant sein könnten.  Darüber hinaus gilt: In dem Fall, dass solche personenbezogene Daten für solche Ermittlungen interessant währen, wird die US-Regierung diese Daten wahrscheinlich über andere rechtsstaatliche Formen zu erwerben suchen (wie z. B. per von einem Richter erteilten Durchsuchungsbefehl), die die hohen Standards des staatlichen Zugriffs aus Daten erfüllen, die im Schrems-II-Urteil beschrieben werden.  Das liegt daran, dass es für die Regierung viel schneller und einfacher wäre, einen Durchsuchungsbefehl unter einem anderen Gesetz als FISA § 702 zu erhalten, statt Mechanismen in Bewegung zu setzen, die notwendig sind, um Direktiven unter FISA § 702 an Momentive zuzustellen.

Momentive unterstützt US-Behörden nicht bei der Erfassung von Informationen gemäß Executive Order 12333 und kann dazu auch nicht verpflichtet werden. Momentive unterstützt US-Behörden, die Überwachung unter EO 12333 durchführen, nicht dabei und wird dies auch nicht tun.  EO 12333 gibt der US-Regierung nicht die Möglichkeit, Unternehmen dazu zu zwingen, diese Aktivitäten zu unterstützen, und Momentive wird dies auch nicht freiwillig tun.  Daher ergreift Momentive keine Maßnahmen, um die Art von Massenüberwachung gemäß EO 12333 zu ermöglichen, die im Schrems-II-Urteil als problematisch bewertet wurde, und kann dazu auch nicht verpflichtet werden.

Momentive bietet eine Reihe von technischen Maßnahmen, die die im Schrems-II -Urteil angesprochenen und oben aufgeführten Kerndefizite (Massenüberwachung gemäß FISA § 702 und massenhaftes Abfangen von Daten gemäß EO 12333) weiterhin ansprechen.  

Momentive verschlüsselt alle Daten im Ruhezustand in unseren Datenzentren mithilfe AES 256-basierter Verschlüsselung. Darüber hinaus verschlüsselt Momentive alle Daten im Transit mithilfe von (i) RSA mit Zertifikaten auf Basis von 2048-Bit-Schlüssellänge, die von einer öffentlichen Zertifizierungsstelle generiert werden, für die Kommunikation mit Entitäten außerhalb der Datenzentren von Momentive und (ii) RSA 256-Zertifikaten, die von einer internen Zertifizierungsstelle generiert werden, für alle Daten innerhalb des Datenzentrums.  Diese Verschlüsselungsbemühungen dienen dem Ziel, eine nicht autorisierte Akquisition der Daten in lesbarer Form zu verhindern und ein nicht autorisiertes Abhören/eine Manipulation zu verhindern, wenn Daten zwischen zwei Endpunkten im Transit sind. 

Die Daten mancher Momentive-Kunden (z. B. GetFeedback Digital-Kunden) werden nur in der Europäischen Union gespeichert. In diesen Fällen werden die Daten nicht in den USA gespeichert und es erfolgt nur sehr minimaler Zugriff auf diese Daten zu begrenzten Zwecken in den USA (z. B. um Kundensupport bei Anfragen bereitzustellen, für Rund-um-die-Uhr-Sicherheitssupport bzw. beschränkte technische Ressourcenbeschaffung, um technische Probleme/Programmfehler zu beheben oder Systeme auszubauen).

Momentive setzt auch strikte administrative, technische und physische Verfahren ein, um die auf den Servern des Unternehmens gespeicherten Daten zu schützen. Der Zugriff auf personenbezogene Informationen wird mittels Anmeldedaten auf die Mitarbeiter beschränkt, die dies für die Wahrnehmung ihrer beruflichen Aufgaben benötigen. Momentive implementiert Datenminimalisierungstechniken, um die Menge an personenbezogenen Daten zu begrenzen, die aus der EU in Drittrechtsgebiete übermittelt werden, und setzt, sofern angemessen, Pseudonymisierung oder Deidentifizierung ein. Darüber hinaus setzt Momentive Zugriffskontrollen wie Multi-Faktor-Authentifizierung, Single Sign-On, Zugriff nur bei Bedarf, starke Passwortkontrollen und beschränkten Zugriff auf Administratorkonten ein.  

Darüber hinaus unterliegt Momentive als ECS/RCS dem US Electronic Communications Privacy Act, 18 USC. § 2701, ff.  („ECPA“), der Kunden von Momentive schützt.  ECPA verbietet staatlichen Stellen beispielsweise, Informationen über Kunden oder Services wie den von Momentive einzuholen, außer diese staatlichen Stellen folgen dem angemessenen Rechtsverfahren mit Durchsuchungsbefehl für Informationen außer grundlegenden Abonnenteninformationen.  Auf ähnliche Weise bieten sowohl FISA als auch ECPA den Kunden von Momentive Abhilfe gegen die US-Regierung (einschließlich finanzieller Entschädigungen oder Disziplinarmaßnahmen gegen die jeweiligen Behörden), falls diese Informationen über sie unrechtmäßig erhalten (siehe 18 USC. § 2712).

Außerdem ist die seit langem für Momentive tätige externe Rechtsberatung bewandert in der Reaktion auf staatliche Anfragen nach Benutzerdaten durch die USA, darunter US National Security Requests gemäß FISA § 702.  Momentive eskaliert solche Anfragen an das interne Compliance-Team von Momentive und bei Bedarf die externe Rechtsberatung zur Überprüfung.  Wenn angemessen, hat Momentive in dem unwahrscheinlichen Fall, dass Momentive eine solche Anfrage oder Forderung erhält, vor, Rechtsmechanismen zu nutzen, um Forderungen auf Datenzugriff gemäß FISA § 702 zu begegnen (einschließlich aller Nichtoffenlegungs-Bestimmungen oder Anordnungen, die hier beiliegen).  Die Anfrage oder Forderung würde dann von einem US-Gericht (dem FISA Court) überprüft. 

Momentive erkennt auch an, dass eine Anordnung zur Bereitstellung von Datenzugriff gemäß FISA § 702 erfordern würde, dass Momentive seine Kunden benachrichtigt, dass wir den Standardvertragsklauseln nicht mehr entsprechen können, wodurch diese ihre Vereinbarung mit uns kündigen und Datenströme an uns einstellen können.  Wir haben noch nie eine solche Benachrichtigung senden müssen.

Angesichts der oben angegebenen Analyse sind wir der Auffassung, dass für die betroffene Person kein wesentliches Schadenrisiko besteht.

In der nachstehenden Tabelle ist unsere Schlussfolgerung zur Beurteilung der Übermittlungsauswirkungen zu finden.

Ein „unwesentliches“ Risiko bedeutet, dass personenbezogene Daten in ein Rechtsgebiet übermittelt werden, für das die Europäische Kommission ein „angemessenes Schutzniveau“ festgestellt hat (der Rechtsschutz also dem in Europa entspricht) und dass vertragliche, technische und organisatorische Maßnahmen implementiert werden, um die Daten weiter zu schützen.

„Niedrig“ bedeutet, dass personenbezogene Daten in ein Rechtsgebiet übermittelt werden, das einen anderen DSGVO-Kapitel-V-Mechanismus aufweist als „Angemessen“. Der Rechtsschutz entspricht zwar nicht unbedingt dem in Europa, doch wird die Übermittlung trotzdem als gesetzeskonform betrachtet und wird durch vertragliche, technische und organisatorische Maßnahmen zum zusätzlichen Schutz der Daten gestärkt.

Unterauftragsverarbeiter sind Momentive-Auftragnehmer, die die personenbezogenen Daten Ihrer Benutzer verarbeiten, um Momentive bei der Bereitstellung des Services an Sie zu unterstützen. Alle Momentive-Unterauftragsverarbeiter sind vertraglich gebunden, die personenbezogenen Daten mit Maßnahmen zu schützen, die dem Standard entsprechen, den wir auf personenbezogene Daten unter unserer Kontrolle anwenden.

Wenn Momentive personenbezogene Daten an Unterauftragsverarbeiter übermittelt, führen wir eine Beurteilung der Übermittlungsauswirkungen (Transfer Impact Assessment, TIA) durch, die den oben beschriebenen Schritten ähnelt. Wir möchten damit sicherstellen, dass Ihre personenbezogenen Daten bei jedem Schritt geschützt werden, wie dies durch Datenschutzgesetze und unseren Vertrag mit Ihnen vorgegeben ist. Unten haben wir eine Zusammenfassung der wichtigsten Punkte der TIA für jeden Unterauftragsverarbeiter zusammengestellt.

Bitte beachten Sie, dass nicht alle Unterauftragsverarbeiter bei der Bereitstellung aller unserer Services eingesetzt werden. Unsere Liste der Unterauftragsverarbeiter ist nach spezifischen Momentive-Services segmentiert. 

Wenn Sie per E-Mail über Aktualisierungen unserer Auftragsverarbeiterliste benachrichtigt werden möchten, abonnieren Sie bitte hier.

Campaign Monitor, Turbine Room Ltd (FirstOfficer.io) und Salesloft, Inc., die zuvor Unterauftragsverarbeiter für GetFeedback Direct waren, wurden aus der Liste entfernt.