Update: Am 12. Oktober 2023 wurde die New Relic Zertifizierung gemäß dem Datenschutzrahmen EU-USA (einschließlich des Datenschutzrahmens Schweiz-USA und der Erweiterung für das Vereinigte Königreich) vom United States Department of Commerce formell genehmigt. Dies bedeutet, dass personenbezogene Daten aus der EU, dem Vereinigten Königreich und der Schweiz von dort aus durch New Relic Kund:innen an New Relic in den USA übermittelt werden können. Der Datenschutzrahmen EU-USA ersetzt das Privacy-Shield-Abkommen und wie beim Privacy-Shield-Abkommen können personenbezogene Daten an Unternehmen in den USA übertragen werden, ohne dass zusätzliche Datenübertragungsmechanismen wie Standardvertragsklauseln (Standard Contractual Clauses; SCCs) oder verbindliche interne Datenschutzvorschriften (Binding Corporate Rules; BCRs) erforderlich sind.
Hintergrund zum Schrems-II-Urteil
New Relic ist dazu da, Daten für Engineers zu liefern. Wir möchten, dass Sie darauf vertrauen können, dass Ihre Daten von New Relic sicher und in Übereinstimmung mit den weltweit besten Praktiken verarbeitet werden. Mit der Schrems-II-Entscheidung aus dem Jahr 2020 wurde das Privacy-Shield-Abkommen, das lange Zeit als Grundlage für die Einhaltung der Vorschriften bei der Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten diente, für ungültig erklärt. Wir haben diesen Beitrag vorbereitet, um Ihnen Informationen zu Schrems II und zum von der EU-Kommission genehmigten Datenschutzrahmen EU-USA (für Transfers in die USA) sowie zu den Standardvertragsklauseln (SCCs 2021) für alle internationalen Datentransfers zu geben. Wir nutzen diese Gelegenheit auch, um zu erläutern, wie New Relic die kontinuierliche Einhaltung von Datenschutzpraktiken fördert, um unseren Tausenden von Kund:innen weltweit gerecht zu werden. Wenn Sie weitere Fragen haben, können Sie sich an Ihr Account-Team oder an privacy@newrelic.com wenden.
Am 16. Juli 2020 entschied der Gerichtshof der Europäischen Union (EuGH), dass die Übermittlung personenbezogener Daten aus der EU in die USA gemäß der Datenschutz-Grundverordnung (DSGVO) unter dem Privacy-Shield-Abkommen nicht mehr zulässig ist. Dieses Schrems-II-Urteil hat in der Wirtschaft große Wellen geschlagen. Viele Unternehmen verließen sich beim Datentransfer zwischen der EU und den USA auf das Privacy-Shield-Abkommen. Wir möchten unsere Services und Dokumentation stets auf dem neuesten Stand halten, um den sich wandelnden Anforderungen unserer Kund:innen im Hinblick auf den globalen Datentransfer gerecht zu werden.
Schrems II hatte zwar weitreichende Auswirkungen, aber die von der Europäischen Kommission im Beschluss 2010/87/EU genehmigten EU-Standardvertragsklauseln (SCC) für die Datenübermittlung in Länder außerhalb der EU wurden dadurch nicht außer Kraft gesetzt. Nach dem Schrems II-Urteil behielten die SCCs ihren Status als gültiger Mechanismus für die Übermittlung personenbezogener und anderer Daten bei, allerdings mit ein paar Einschränkungen. Am 4. Juni 2021 veröffentlichte die Europäische Kommission eine Reihe neuer Standardvertragsklauseln (SCCs 2021) für die Verarbeitung personenbezogener Daten zwischen Verantwortlichen und Auftragsverarbeitern, die an die DSGVO gebunden sind.
Die aktualisierten SCCs von 2021 berücksichtigen die komplexen Datenverarbeitungsvorgänge, die sich seit der Veröffentlichung der ersten SCCs im Jahr 2010 entwickelt haben. Die SCCs 2021 enthalten vier verschiedene Module, so dass sie speziell auf die jeweilige Übermittlungsart zugeschnitten werden können. Beispielsweise umfassen die SCCs 2021 Situationen, in denen zur Verarbeitung der Transfer personenbezogener Daten von einem Auftragsverarbeiter (wie New Relic in der Regel) an einen (Sub-)Auftragsverarbeiter gehört.
Alle Verträge ab dem 27. September 2021 mussten die neuen SCCs für 2021 für Datenübermittlungen verwenden. Wir haben unseren New Relic Auftragsverarbeitungsvertrag (AVV) aktualisiert und die SCCs von 2021 angewandt, um die Bedürfnisse unserer Kund:innen zu erfüllen (einschließlich der Kund:innen, die nach dem Brexit den britischen SCCs unterliegen). Unser AVV wurde ab Oktober 2023 aktualisiert, um den neuen Datenschutzrahmen EU-USA als Übermittlungsmechanismus für personenbezogene Daten aus der EU, dem Vereinigten Königreich und der Schweiz in die Vereinigten Staaten aufzunehmen. Unser AVV verwendet auch die 2021 SCCs für internationale Datentransfers in andere Länder als die USA. Der aktualisierte New Relic AVV wurde so erstellt, dass die 2021 SCCs automatisch auf internationale Transfers in die USA angewendet werden, falls der Datenschutzrahmen EU-USA nicht mehr gilt. Dies bedeutet, dass Datenübermittlungen in die USA sofort wieder unter die SCCs von 2021 fallen würden, ohne dass unsere Kund:innen einen neuen AVV unterzeichnen müssten.
Übermittlung personenbezogener Daten im Kontext unseres Fokus auf Telemetriedaten
New Relic ist in einer daten- und branchenagnostischen B2B-Umgebung tätig, in der Unternehmen Telemetriedaten zu Technologien an New Relic senden. Die Daten, die wir verarbeiten, sind in der Regel für die Bewertung der technischen Performance relevant. New Relic Services sind sicher, und New Relic hat Zertifizierungen von unabhängigen Audit-Organisationen erhalten, wie z. B. SOC2, ISO27001 und HITRUST. Die Dienste von New Relic sind darauf ausgelegt, Telemetriedaten über die Performance von Anwendungen, Systemen, Netzwerken und Infrastruktur zu empfangen und zu verarbeiten und die Performance von Software – nicht von Menschen – zu bewerten. Aus diesen Gründen verarbeitet New Relic nur in begrenztem Umfang personenbezogene Daten. Diese Tatsache sollte bei Bedenken hinsichtlich Schrems II berücksichtigt werden.
Alle New Relic Kund:innen haben Zugang zur New Relic Plattform, die auf den vier grundlegenden Telemetriedatentypen aufbaut, die für eine vollständige und effektive Systemüberwachung notwendig sind: Metriken, Events, Logs und Traces („MELT-Daten“). Unsere Plattform und Systeme gewährleisten die sichere Speicherung aller Kundendaten für jede dieser Datenarten. New Relic wendet strenge technische und administrative Sicherheitsmaßnahmen an, um die Daten seiner Kund:innen zu schützen, einschließlich, soweit zutreffend, Verschlüsselung bei der Übertragung, im Ruhezustand und auf der Anwendungsebene sowie FIPS 140-2-Verschlüsselung für die Konnektivität zwischen Rechenzentren. Unsere Sicherheitsmaßnahmen stehen, wie in Artikel 25 und 32 der DSGVO gefordert, in einem angemessenen Verhältnis zu den Risiken, die mit dieser Art von Daten verbunden sind.
Warum der Fokus auf diese vier Arten von Daten? MELT-Daten helfen den Kund:innen, ein grundlegendes, praktisches Wissen über die Beziehungen und Abhängigkeiten innerhalb ihrer Systeme zu erlangen und detaillierte Berichte über die Performance und Health ihrer Softwareumgebungen zu erstellen. Bei der Nutzung von New Relic senden die Kund:innen MELT-Daten. Um die damit verbundenen Risiken gering zuhalten, stellt New Relic Tools zur Verfügung, um die an New Relic gesendeten Daten angemessen einzuschränken und während sowie nach der Übertragung zu sichern.
New Relic Browser-Monitoring und Mobile-Monitoring verarbeiten vorübergehend IP-Adressen, um eine Stadt und ein Bundesland abzuleiten. Die IP-Adressen werden anschließend verworfen. Bis auf diese zwei spezifischen Ausnahmen sammeln die New Relic Agents für Metriken, Events und Traces standardmäßig keine persönlichen Daten.
Logs werden aufgrund der Art ihres Inhalts anders behandelt. Im Gegensatz zu Metriken, Events und Traces bestehen Logs aus unstrukturierten Daten, die von den verschiedenen kundenseitigen Systemen erzeugt werden, größtenteils aus diesen stammen und sich auf sie beziehen. Systeme, die für die Verarbeitung personenbezogener Daten ausgelegt sind, erzeugen mit hoher Wahrscheinlichkeit Logs, die personenbezogene Daten enthalten. Das Monitoring dieser Systeme mit New Relic kann dazu führen, dass New Relic in Ihrem Namen solche persönlichen Daten in Logs erfasst. Unser Logmanagementdienst verwendet eine automatische Verschleierung für bestimmte Datenelemente, z. B. Kreditkartennummern und ähnliches. Auf unserer Sicherheitsseite finden Sie weitere Informationen dazu. Sie können Drop-Filter konfigurieren, um zu verhindern, dass sensible oder persönliche Daten in New Relic gespeichert werden.
Wir haben es auch einfach gemacht, die Übermittlung personenbezogener Daten durch Logs zu unterbinden. Wenn Sie nicht möchten, dass Ihre Logs standardmäßig verarbeitet werden, macht New Relic es Ihnen leicht, die Logs von den APM Agents auf der New Relic Kontoebene schnell zu deaktivieren, und zwar durch einen Schieberegler in der New Relic Benutzeroberfläche (UI), die allen Kund:innen zur Verfügung steht. Ist diese Option aktiviert, werden keine personenbezogenen Daten über die Logs übermittelt.
Sind Ihre Daten für Überwachungsbehörden von Interesse?
Schrems II warf viele Fragen zum Datenschutz auf. Wir möchten unsere Kund:innen auffordern, sich selbst zu fragen: Ist es wahrscheinlich, dass Überwachungsbehörden an Daten über die Performance meiner Software oder Hardware interessiert sind? Auch wenn der Schutz vor Datenüberwachung von grundlegender Bedeutung ist, sind nicht alle Daten für Nachrichtendienste nützlich (oder sogar lesbar). Wir ermutigen unsere Kund:innen, die Art und das Format der Telemetriedaten, die sie zur Verarbeitung an New Relic senden möchten, zu bewerten und die erforderlichen Anpassungen vorzunehmen. Die New Relic Plattform ermöglicht es Ihnen, beliebige Daten zu übermitteln, aber immer unter Ihrer Kontrolle. Wenn diese Daten für die nationalen Überwachungsbehörden von Interesse sein könnten, würden sie dann auch in den Bereich der personenbezogenen Daten fallen, auf die sich Schrems II bezieht? Wenn Sie Bedenken hinsichtlich einer bestimmten Teilmenge von Daten haben, die Sie bereits an unseren Service übermitteln oder zu übermitteln beabsichtigen, können Sie die Übermittlung dieser Teilmenge von Daten einstellen. Der jüngste Angemessenheitsbeschluss der EU-Kommission in Bezug auf den Datenschutzrahmen EU-USA bedeutet jedoch, dass einige der Schrems-II-Bedenken in Bezug auf die Vereinigten Staaten als Zielland für den Datentransfer ausgeräumt wurden.
Die wichtigsten Punkte des Datenschutzrahmens EU-USA
Der Datenschutzrahmen EU-USA führt neue verbindliche Garantien ein, um alle vom EuGH aufgeworfenen Bedenken auszuräumen, einschließlich der Beschränkung des Zugriffs auf EU-Daten durch US-Nachrichtendienste auf ein notwendiges und verhältnismäßiges Maß sowie der Einrichtung eines Gerichts zur Datenschutzüberprüfung (DPRC), zu dem EU-Bürger:innen Zugang haben werden. Der neue Rahmen bringt erhebliche Verbesserungen im Vergleich zu dem Mechanismus, der unter dem Privacy-Shield-Abkommen bestand. Stellt das Gericht beispielsweise fest, dass Daten unter Verstoß gegen die neuen Garantien erhoben wurden, kann es die Löschung der Daten anordnen. Die neuen Garantien hinsichtlich des behördlichen Zugriffs auf Daten werden zusätzlich zu den Regularien gelten, die US-Unternehmen beim Import von Daten aus der EU befolgen müssen. EU-Bürger:innen können mehrere Rechtsmittel einlegen, falls ihre Daten von US-Unternehmen falsch behandelt werden. Dazu gehören unentgeltliche unabhängige Streitbeilegungsmechanismen und eine Schiedsstelle. Diese neuen von den USA eingeführten Garantien werden auch den transatlantischen Datenverkehr im weiteren Sinne erleichtern, da sie auch bei der Übermittlung von Daten im Rahmen anderer Instrumente wie der SCC 2021 und der Binding Corporate Rules (BCR) gelten. Die Datenschutzrahmen-Zertifizierung von New Relic gemäß dem Datenschutzrahmen EU-USA beinhaltet auch den Datenschutzrahmen Schweiz-USA sowie die Erweiterung für das Vereinigte Königreich, um Transfers in die USA aus der Schweiz bzw. dem Vereinigten Königreich zu erleichtern.
Wie würde New Relic auf die von Schrems erwartete Art von Überwachungsanfragen reagieren?
Wie in der Zusammenfassung des EuGH dokumentiert, ging es bei der ursprünglichen Schrems-Beschwerde um die Anfechtung des Zugriffs nationaler Überwachungsbehörden auf personenbezogene Daten von EU-Bürger:innen zu Überwachungszwecken in den USA. Als Unternehmen mit Sitz in den USA unterliegt New Relic den US-Gesetzen, aber wir haben noch nie eine Anfrage nach Kundendaten von einer nationalen Überwachungsbehörde erhalten. Abschnitt 14 unseres vorunterzeichneten AVV erläutert, wie New Relic Anfragen von Strafverfolgungsbehörden in Bezug auf persönliche Daten bearbeiten würde, sollte eine nationale Sicherheitsbehörde uns kontaktieren und Kundendaten anfordern.
Unser vorunterzeichneter AVV verpflichtet New Relic zur Einhaltung bestimmter Abläufe, falls diese Art von Anfrage jemals auftreten sollte. Gemäß unserem AVV verweist New Relic die Überwachungsbehörde an den betreffenden New Relic Kunden, um diese Daten direkt von dort anzufordern. Wenn New Relic letztendlich gezwungen ist, persönliche Daten an diese Überwachungsbehörde weiterzugeben, informiert New Relic den Kunden über das Ersuchen, um dem Kunden die Möglichkeit zu geben, eine Schutzverfügung oder ein anderes geeignetes Rechtsmittel zu beantragen, es sei denn, es ist New Relic gesetzlich verboten, den Kunden zu informieren (und nur solange dies gilt).
Diese Aspekte sind von entscheidender Bedeutung und müssen berücksichtigt werden, werden aber durch die Tatsache ausgeglichen, dass die Telemetriedaten, auf die sich unsere Kund:innen zur Optimierung der Observability verlassen, für Überwachungsbehörden im Allgemeinen irrelevant sind. Die meisten personenbezogenen Daten, die von New Relic verarbeitet werden, dienen nur dem Hauptzweck des Unternehmens, und wir speichern keine personenbezogenen Daten, die für Überwachungsbehörden von Interesse sein könnten. Schließlich erlaubt die hochgradig anpassbare Natur der New Relic Software den Kund:innen, jederzeit zu kontrollieren, ob sie persönliche Daten an New Relic übermitteln oder nicht, und die Übermittlung von Daten zu stoppen oder anzupassen, wenn ihre Analyse berechtigte Überwachungsbedenken aufzeigt.
Wie kommen wir unseren Verpflichtungen Ihnen und Ihren Kund:innen gegenüber gemäß der DSGVO nach?
Die Sicherheit Ihrer Daten ist für uns von größter Bedeutung. Unsere engagierten Sicherheits- und Datenschutzteams setzen sich mit Leidenschaft für die Bereitstellung und Aufrechterhaltung eines erstklassigen Sicherheits-/Datenschutzprogramms ein. Wir bauen unsere Programme zum Schutz von Kundendaten ständig aus und stellen sicher, dass wir angesichts der sich ständig wandelnden Sicherheitsbedrohungen und rechtlichen Verpflichtungen die DSGVO-Vorschriften einhalten.
● Unsere Compliance-Programme werden von unabhängiger Seite geprüft, um sicherzustellen, dass Sie sich für einen DSGVO-konformen Service Provider entscheiden: New Relic hat Zertifizierungen von unabhängigen Prüforganisationen erhalten, wie z. B. SOC2, ISO27001 und HITRUST. Diese unabhängigen Organisationen haben das Sicherheitsprogramm von New Relic anhand ihrer strengen Anforderungen geprüft, und wir sind stolz darauf, die Zertifizierungen auf unserer Sicherheitsseite aufzuführen. Wir arbeiten mit unseren Kund:innen und deren Einkaufsabteilungen zusammen, um Fragebögen zur Informationssicherheit und zu Audits zu beantworten, die bestätigen, dass wir unseren Verpflichtungen als Auftragsverarbeiter nachkommen.
● Wir haben solide technische und organisatorische Maßnahmen eingeführt, um unsere Kund:innen bei der Erfüllung ihrer Compliance-Anforderungen zu unterstützen: Viele unserer Kund:innen unterliegen den Compliance-Verpflichtungen der DSGVO, einschließlich der Beantwortung von Anfragen von betroffenen Personen und der Erstellung von Datenschutz-Folgenabschätzungen. Als Auftragsverarbeiter unterstützt New Relic seine Kund:innen bei der effizienten und effektiven Erfüllung ihrer Verpflichtungen als Verantwortlicher oder Auftragsverarbeiter. Kund:innen können als betroffene Personen Anträge auf Datenauskunft an PersonalDataRequests@NewRelic.com oder über dieses Formular stellen. Weitere Informationen finden Sie in der Dokumentation über New Relic Auskunftsanträge zu personenbezogenen Daten.
● Wir passen uns an, um Ihren individuellen Anforderungen zuvorzukommen: New Relic hat seine Sicherheitsmerkmale neu strukturiert, um sie mit den 18 Kategorien der Standardvertragsklauseln von 2021 in Einklang zu bringen und Ihnen die Überprüfung unserer Sicherheitsvorkehrungen zu erleichtern. New Relic bietet Sicherheit in Übereinstimmung mit den hier beschriebenen anerkannten Industriestandards und Sicherheit für die personenbezogenen Daten, die es verarbeitet, wie in der Ergänzung zur Datenverarbeitung beschrieben. Zusätzlich stellt New Relic ein EU-basiertes Rechenzentrum für Kund:innen zur Verfügung, die ihre Daten in der EU speichern möchten.
● Jede:r von uns verpflichtet sich, Ihre Daten vertraulich zu behandeln: Unser Informationssicherheitsteam sorgt dafür, dass wir alle Branchenstandards und bewährten Verfahren für eine sichere und vertrauliche Datenverarbeitung einhalten. Diese Verpflichtung zur Vertraulichkeit gilt für ganz New Relic. Die Gewährleistung der Vertraulichkeit von Kundendaten ist für alle unsere Mitarbeiter:innen bindend und eine grundlegende Voraussetzung für ihre Beschäftigung bei New Relic. Darüber hinaus werden alle unsere Mitarbeiter:innen, die Zugang zu Kunden- und Kontodaten haben, vor der Einstellung und auch danach laufend auf ihre Zuverlässigkeit überprüft.
● Wir verwenden unsererseits nur seriöse und zugelassene Subauftragsverarbeiter: Alle unsere Subauftragsverarbeiter werden einer strengen Sicherheits- und Datenschutzprüfung durch die internen Sicherheits- und Datenschutzbeauftragten von New Relic unterzogen. Wir führen vor der Aufnahme einer Tätigkeit eine gründliche Due-Diligence-Prüfung durch und stellen sicher, dass die entsprechenden vertraglichen Bestimmungen vorliegen. Wir werden Sie im Voraus benachrichtigen, wenn wir planen, einen neuen Subauftragsverarbeiter hinzuzufügen. New Relic übernimmt zu jeder Zeit die Verantwortung für die Arbeit unserer Subauftragsverarbeiter.
● Wir stehen Ihnen im Falle einer Datenschutzverletzung zur Seite: Wir messen uns an den höchsten Standards, nicht nur hinsichtlich der Sicherheit, um Datenschutzverstöße zu verhindern, sondern auch hinsichtlich der Compliance bei der Handhabung eines Verstoßes. Sollte es zu einer Datenschutzverletzung kommen, bei der Ihre Daten betroffen sind, werden wir Sie so rechtzeitig über die Verletzung informieren, dass Sie Ihren Meldepflichten gegenüber den Aufsichtsbehörden nachkommen können. Wir informieren Sie über die Einzelheiten des Verstoßes, damit Sie die möglichen Auswirkungen auf Ihr Unternehmen einschätzen können.
Erfahren Sie mehr über unsere Compliance-Programme und Zertifizierungen.
Sollten Sie einen AVV unterschreiben, wenn Sie New Relic benutzen?
New Relic ist dazu da, Daten für Engineers zu liefern. Sie sollten in der Lage sein, uns bedenkenlos die Daten zu übermitteln, die Sie benötigen, um Full-Stack-Observability zu erreichen. Wenn Sie zusätzliche personenbezogene Daten an die New Relic Plattform senden müssen, können Sie den bereits von New Relic unterzeichnete AVV mit integrierten SCCs herunterladen und die FAQs zur Datenverarbeitung einsehen.
Die in diesem Blog geäußerten Ansichten sind die des Autors und spiegeln nicht unbedingt die Ansichten von New Relic wider. Alle vom Autor angebotenen Lösungen sind umgebungsspezifisch und nicht Teil der kommerziellen Lösungen oder des Supports von New Relic. Bitte besuchen Sie uns exklusiv im Explorers Hub (discuss.newrelic.com) für Fragen und Unterstützung zu diesem Blogbeitrag. Dieser Blog kann Links zu Inhalten auf Websites Dritter enthalten. Durch die Bereitstellung solcher Links übernimmt, garantiert, genehmigt oder billigt New Relic die auf diesen Websites verfügbaren Informationen, Ansichten oder Produkte nicht.