Kostenlos beraten
Zendesk DSGVO und ADV-Vertrag Compliance fuer Unternehmen in Deutschland
tools

Zendesk DSGVO & ADV-Vertrag: Leitfaden fuer Unternehmen in Deutschland

Ist Zendesk DSGVO-konform fuer Unternehmen in Deutschland?

Zendesk kann DSGVO-konform eingesetzt werden, erfordert aber einen AVV/ADV-Vertrag, Pruefung der EU-Datenspeicherort-Optionen, Bewertung der Subprozessoren und sorgfaeltige Handhabung von Kundendaten und Agenten-Monitoring-Funktionen.

  • Zendesk bietet einen AVV/ADV-Vertrag nach Art. 28 DSGVO — schliessen Sie ihn ab und pruefen Sie Subprozessoren, Transferklauseln und Loeschfristen.
  • EU-Datenspeicherung fuer Ticket- und Kundendaten ist fuer qualifizierende Enterprise-Tarife verfuegbar — Standardtarife verarbeiten Daten in den USA.
  • Zendesk-Funktionen zur Agenten-Leistungsauswertung, CSAT-Reporting und KI-Analyse koennen in Deutschland eine Betriebsrats-Einbindung erfordern.

Zendesk DSGVO in Deutschland erfordert mehr als einen abgeschlossenen ADV-Vertrag (Auftragsdatenverarbeitungsvertrag) beziehungsweise AVV (Auftragsverarbeitungsvertrag) — beides gaengige Bezeichnungen in Deutschland. Als fuehrende Customer-Service-Plattform verarbeitet Zendesk Ticketdaten, Kundenkontaktdatensaetze, Konversationsverlaeufe und zunehmend KI-gestutzte Insights, die saemtlich personenbezogene Daten enthalten koennen. Deutsche Unternehmen muessen EU-Datenspeicherort, Subprozessoren, Transfermechanismen und die arbeitsrechtlichen Implikationen von Agenten-Monitoring-Funktionen pruefen, bevor Zendesk eingefuehrt oder ausgebaut wird. Einen Ueberblick ueber weitere Kundenservice- und Produktivitaetstools bietet die KI-Tools-Uebersicht.

Kurzantwort

Ja, aber mit sorgfaeltiger Konfiguration und AVV-Pruefung.

  • Schliessen Sie den Zendesk AVV/ADV-Vertrag ab und pruefen Sie Datenkategorien, Subprozessoren und Residency-Setup.
  • EU-Datenspeicherung erfordert einen Enterprise-Tarif — Standardtarife verarbeiten Ticket-Daten in den USA.
  • Zendesk-Agenten-Analytics, CSAT-Reporting und KI-Funktionen mit Mitarbeiterbezug erfordern in Deutschland regelmaessig eine Betriebsratseinbindung.

Dieser Beitrag bietet allgemeine Informationen und ersetzt keine Rechtsberatung fuer einen konkreten Einsatz. Fuer angrenzende Anwendungsfaelle sind auch unsere Beitraege zu AI Customer Service Compliance, HubSpot DSGVO und Zapier DSGVO relevant.

Hat Zendesk einen AVV oder ADV-Vertrag nach DSGVO?

Ja. Zendesk stellt einen Auftragsverarbeitungsvertrag (AVV) — in Deutschland auch als ADV-Vertrag (Auftragsdatenverarbeitungsvertrag) bezeichnet — bereit, der seine Rolle als Auftragsverarbeiter regelt, soweit es im Auftrag seiner Kunden personenbezogene Daten verarbeitet. Art. 28 DSGVO verlangt zwingend einen schriftlichen Vertrag zwischen Verantwortlichem und Auftragsverarbeiter.

Deutsche Unternehmen sollten insbesondere pruefen:

  • dass der AVV/ADV-Vertrag fuer das konkrete Konto und den Tarif wirksam einbezogen oder unterzeichnet ist
  • dass er alle Datenkategorien abdeckt, die in Ihren Workflows durch Zendesk fliessen — Tickets, Kundenprofil, Chat-Protokolle, Anhaenge
  • wie Zendesk seine Subprozessoren offenlegt — einschliesslich Cloud-Infrastruktur, Analytics-Anbieter und KI-Modell-Lieferanten
  • welche Retentions- und Loeschfristen fuer Ticketdaten, Kundendatensaetze, Anhaenge und exportierte Daten nach Vertragsende gelten
  • ob die Transferklauseln die konkreten grenzueberschreitenden Datenfluesse Ihrer Zendesk-Konfiguration erfassen
  • wie Zendesk bei Sicherheitsvorfaellen benachrichtigt und welche Pflichten Ihnen verbleiben

Unternehmen, die mehrere Zendesk-Produkte nutzen (Zendesk Support, Zendesk Chat, Zendesk Sell, Zendesk KI), sollten bestaetigen, ob derselbe AVV alle genutzten Produkte abdeckt.

Wo speichert Zendesk Daten? EU-Datenspeicherort-Optionen

Der Datenspeicherort ist eine zentrale DSGVO-Frage fuer deutsche Unternehmen, die Zendesk evaluieren. Die Antwort haengt vom Tarif ab:

TarifebeneDatenspeicherortStandard-Verarbeitungsort
Standard-/Suite-TarifeUSA (mit SCC-Transfermechanismus)USA
Enterprise-/qualifizierende TarifeEU-Datenspeicherort-Option verfuegbarKonfigurierbar

Standardtarife und Suite-Tarife: Kunden- und Ticketdaten werden standardmaessig in den USA verarbeitet. Internationale Transfers sind durch Standardvertragsklauseln (SCCs) im Rahmen des Zendesk-AVV abgedeckt, aber Daten liegen nicht standardmaessig im EWR.

Enterprise-Tarife mit EU-Datenspeicherung: Zendesk bietet fuer qualifizierende Enterprise-Kunden EU-Datenspeicherung an. Bei Aktivierung werden Kundenkonto-Daten, Ticketdaten und zugehoerige Inhalte in EU-Rechenzentren gespeichert und verarbeitet. Das ist die Konfiguration, die die meisten deutschen Unternehmen mit strengen Residency-Anforderungen benoetigen.

Fuer Unternehmen mit erheblichen Kundendatenmengen in Zendesk — insbesondere in regulierten Branchen — ist die schriftliche Bestaetigung des Datenspeicherorts bei Zendesk eine praktische Compliance-Notwendigkeit.

Zendesk und DSGVO: Pflichten fuer deutsche Unternehmen

Datenkategorien in Zendesk

Zendesk verarbeitet typischerweise mehrere Datenkategorien, die jeweils eigene Rechtsgrundlagen erfordern:

  • Kundenkontaktdaten — Namen, E-Mail-Adressen, Telefonnummern, Kontoinformationen
  • Ticket- und Konversationsinhalte — der Inhalt von Kundenanfragen, Support-Verlauf, Freitextnachrichten
  • Anhaenge und Dateien — die von Kassenbelegen bis zu medizinischen Unterlagen reichen koennen
  • Kundenzufriedenheitsdaten (CSAT) — Umfrageantworten und Bewertungen, die einzelnen Tickets zugeordnet sind
  • Agenten-Aktivitaetsdaten — Antwortzeiten, Ticket-Handling-Metriken, Chat-Protokolle, Leistungsdaten

Ticket- und Konversationsinhalte sind oft die hoechistriskante Datenkategorie, da Kunden in Support-Kontexten haeufig sensible persoenliche Informationen teilen — Gesundheitsangaben, Finanzdaten, Zugangsdaten oder besondere Kategorien personenbezogener Daten —, die Ihr Unternehmen nicht explizit angefordert hat, aber dennoch nach DSGVO verwalten muss.

Datenminimierung und Ticket-Design

Eine praktische DSGVO-Massnahme fuer Zendesk ist das Workflow- und Formular-Design:

  • Kundenseitige Formulare so konfigurieren, dass nur die fuer die Support-Bearbeitung erforderlichen Daten erhoben werden
  • pruefen, welche Ticket-Felder Pflichtfelder sind und welche optional
  • Prozesse implementieren, um sensible Daten aus Ticket-Inhalten zu entfernen oder zu schwschwaerzen, die fuer die laufende Bearbeitung nicht mehr benoetigt werden
  • pruefen, ob E-Mail-zu-Ticket-Konfigurationen mehr personenbezogene Daten einbringen als beabsichtigt (z. B. vollstaendige E-Mail-Verlaeufe mit Drittparteien)

Subprozessoren und Drittintegrationen

Zendesk nutzt mehrere Subprozessoren fuer Cloud-Infrastruktur, Support-Betrieb und Analytics. Jede Zendesk-Integration — CRM, E-Commerce-Plattform, Kommunikationstool — schafft zusaetzliche Auftragsverarbeiter- oder Verantwortlichen-Beziehungen.

Deutsche Unternehmen sollten:

  • die Zendesk-Subprozessorenliste auf grenzueberschreitende Offenlegungen pruefen
  • jede Zendesk-App oder -Integration als eigenstaendige Datenverarbeitungs-Beziehung bewerten
  • pruefen, ob KI-gestuetzte Zendesk-Funktionen (Zendesk KI, intelligente Triage, vorgeschlagene Antworten) Daten an zusaetzliche Subprozessoren oder KI-Modellanbieter leiten

Zendesk DSGVO-konform konfigurieren

Ein DSGVO-Compliance-Ansatz fuer Zendesk sollte folgende Punkte umfassen:

  1. AVV/ADV-Vertrag abschliessen. Bestaetigen Sie, dass der Vertrag fuer Ihren Tarif, Ihre Datenkategorien und Subprozessoren gilt.

  2. Datenspeicherort bestaetigen. Wenn EU-Datenspeicherung erforderlich ist, verifizieren Sie, dass Ihr Tarif und Ihre Konto-Konfiguration Ticketdaten in EU-Rechenzentren leitet. Holen Sie diese Bestaetigung schriftlich von Zendesk ein.

  3. Retention-Einstellungen pruefen. Konfigurieren Sie Ticket-Retention-Richtlinien entsprechend Ihren DSGVO-Aufbewahrungspflichten. Zendesk ermoeglichts die Konfiguration automatischer Ticket-Loeschung, aber Standards koennen Daten laenger vorhalten als erforderlich.

  4. Loeschanfragen verwalten. Nach Art. 17 DSGVO haben Kunden ein Recht auf Loeschung. Zendesk bietet Tools zum Loeschen von Kundendatensaetzen und zur Anonymisierung von Ticketdaten. Stellen Sie einen dokumentierten Prozess fuer Loeschanfragen sicher, einschliesslich Daten in Anhaengen und Exporten.

  5. Datenschutzhinweise konfigurieren. Ihre Datenschutzerklaerung muss Kunden ueber Zendesk als Auftragsverarbeiter, die Datenkategorien und die Transferbasis informieren. Bei Zendesk Chat oder kundenseitigen Bots: Datenschutzhinweis vor Datenerhebung sicherstellen.

  6. Agenten-Analytics und Monitoring bewerten. Zendesk zeigt detaillierte Metriken zur Agenten-Aktivitaet — Antwortzeiten, Bearbeitungszeiten, CSAT-Scores, Ticket-Volumina. In Deutschland stellen diese Daten Mitarbeiterueberwachung im DSGVO- und arbeitsrechtlichen Sinne dar (siehe unten).

  7. Verarbeitungsverzeichnis aktualisieren. Dokumentieren Sie Zendesk als Verarbeitungsaktivitaet in Ihrem VVT nach Art. 30 DSGVO mit Datenkategorien, Auftragsverarbeiter-Beziehung, Transferbasis und Aufbewahrungsfristen.

Fuer Zendesk-Deployments, die mit Automatisierungstools wie Zapier oder Make.com integriert sind, erzeugen die kombinierten Workflows zusaetzliche Datenfluesse, die gemeinsam bewertet werden muessen.

Zendesk Advanced Compliance und CSAT-Daten

Zendesk bietet Advanced Compliance als optionales Add-on fuer Enterprise-Kunden an. Relevante Funktionen:

  • erweiterte Datenverschluesselung und Key-Management
  • granulare Daten-Retention- und Loeschrichtlinien
  • Audit-Logging fuer administrative Aktionen
  • zusaetzliche Kontrollen fuer regulierte Branchen (Healthcare, Finanzdienstleistungen)

Fuer deutsche Unternehmen in regulierten Branchen — Krankenversicherung, Banking, Rechtsdienstleistungen — verringert Advanced Compliance den Abstand zwischen Standard-Zendesk-Konfiguration und dem Compliance-Stand, der fuer sensible Kundendaten erforderlich ist.

CSAT-Daten verdienen besondere Aufmerksamkeit. Kundenzufriedenheitsumfragen und -bewertungen sind direkt mit einzelnen Tickets und Agenten verknuepft. Sie sind personenbezogene Daten sowohl von Kunden (ihre Meinung und Serviceerfahrung) als auch von Mitarbeitern (ihre Leistung, die in den Bewertungen reflektiert wird). Das Management von CSAT-Daten unter der DSGVO erfordert:

  • eine Rechtsgrundlage fuer die Verarbeitung von Kundenzufriedenheitsdaten (regelmaessig berechtigte Interessen)
  • Transparenz gegenueber Kunden ueber die Verwendung von CSAT-Daten
  • angemessene Aufbewahrungsgrenzen
  • Vorsicht beim Einsatz von CSAT-Daten in der Mitarbeiterleistungsbeurteilung — was Betriebsratsfragen aufwirft

Betriebsrat und Agenten-Monitoring-Risiken

Deutsche Unternehmen unterschaetzen haeufig die arbeitsrechtliche Dimension von Zendesk-Deployments.

Zendesk erzeugt detaillierte Agenten-Leistungsdaten — Antwortzeiten, First-Reply-Times, Ticket-Bearbeitungszeiten, Kundenzufriedenheitsscores und Loesungsquoten. Selbst wenn diese Daten nicht aktiv zur Mitarbeiterbeurteilung verwendet werden, kann die technische Moeglichkeit zur individuellen Agenten-Ueberwachung Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG ausloesen.

Bestimmte Zendesk-Funktionen, die regelmaessig einer Betriebsrats-Pruefung beduerften:

  • Explore Analytics-Dashboards mit Metriken auf Agenten-Ebene
  • CSAT-Reports aufgeschluesselt nach Agenten
  • Queue- und Kapazitaets-Reporting, das individuelle Arbeitslasten und Reaktionsmuster zeigt
  • Zendesk-KI-Funktionen, die Agenten-Antworten bewerten oder bewerten
  • Quality-Assurance-Integrationen (QA-Tools), die Agenten-Konversationen automatisch bewerten

Das bedeutet nicht, dass diese Funktionen nicht genutzt werden duerfen. Es bedeutet, dass in Deutschland die Einfuehrung oder Erweiterung von Zendesk in einer Weise, die individuelle Agenten-Ueberwachung ermoeglicht, eine Betriebsrats-Konsultation, eine klare interne Richtlinie zum Umgang mit Leistungsdaten und idealerweise eine Betriebsvereinbarung umfassen sollte, die zullaessige Analytics-Praktiken definiert. Das Bundesdatenschutzgesetz (BDSG) mit seinen besonderen Anforderungen fuer Beschaeftigtendaten nach § 26 BDSG ist neben der DSGVO stets zu beachten.

Wann rechtliche Beratung sinnvoll ist

Allgemeine Hinweise reichen regelmaessig nicht aus, wenn Ihr Zendesk-Einsatz:

  • gesundheitliche, finanzielle oder andere sensible Kundendaten durch Support-Tickets verarbeitet
  • Zendesk-KI-Funktionen nutzt, um Antworten mit Bezug zu personenbezogenen Daten zu triage, vorzuschlagen oder zu automatisieren
  • grosse Mengen an Kundendaten oder Verarbeitung fuer Profiling-Zwecke umfasst
  • regulierte Branchen beruehrt — Versicherungen, Healthcare, Finanzdienstleistungen, Rechtsdienstleistungen
  • Betriebsrats-Verhandlungen zu Agenten-Analytics oder QA-Tools erfordert

Dann lautet die eigentliche Frage nicht mehr, ob Zendesk die DSGVO unterstuetzt. Sondern ob Ihre konkrete Implementierung, Ihr AVV/ADV-Vertrag, Ihre Datenspeicherort-Konfiguration und Ihre internen Praktiken einer Pruefung durch die zustaendige Datenschutzbehoerde standhalten.

Compound Law beraet Unternehmen und Gruender in Deutschland zu DSGVO, Arbeitsrecht, Commercial Contracts und KI-Compliance. Wenn Sie einen Zendesk AVV pruefen, Ticket-Datenpraktiken bewerten oder eine Betriebsvereinbarung fuer Customer-Service-Software vorbereiten moechten, kontaktieren Sie uns.

FAQ: Zendesk und deutsches Datenschutzrecht

Ist Zendesk DSGVO-konform fuer Unternehmen in Deutschland?

Zendesk kann DSGVO-konform genutzt werden, aber die Plattform macht Ihren Einsatz nicht automatisch rechtskonform. AVV, Datenspeicherort-Konfiguration, Subprozessoren, Ticket-Inhalt-Management und Agenten-Analytics-Praktiken muessen fuer Ihre konkrete Implementierung geprueft werden.

Hat Zendesk einen AVV oder ADV-Vertrag fuer DSGVO-Zwecke?

Ja, Zendesk stellt einen Auftragsverarbeitungsvertrag (AVV/ADV-Vertrag) bereit, der Art.-28-DSGVO-Anforderungen abdecken soll. Unternehmen sollten ihn abschliessen und Subprozessoren, Transferklauseln, Loeschfristen und Datenspeicherort-Konfiguration fuer ihren Tarif pruefen.

Wo speichert Zendesk Daten fuer EU-Kunden?

Standardtarife verarbeiten Daten in den USA, abgesichert durch Standardvertragsklauseln. EU-Datenspeicherung ist fuer qualifizierende Enterprise-Tarife verfuegbar und muss explizit konfiguriert werden. Unternehmen sollten ihr konkretes Datenspeicherort-Setup schriftlich von Zendesk bestaetigen lassen.

Brauchen deutsche Unternehmen eine Betriebsvereinbarung fuer Zendesk?

In den meisten deutschen Unternehmen mit aktivierten Agenten-Analytics-Funktionen ja. Agenten-Leistungsmetriken, CSAT-Reporting und QA-Tools erzeugen individuelle Ueberwachungsmoeglichkeiten, die Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG ausloesen koennen. Eine fruehzeitige Betriebsratseinbindung ist dringend zu empfehlen.

Kann Zendesk fuer sensible Kundendaten genutzt werden?

Das haengt von der Datenkategorie, Konfiguration und dem Tarif ab. Fuer gesundheitliche, finanzielle oder besondere Kategorien personenbezogener Daten in Support-Tickets sind eine tiefere DSGVO-Pruefung und gegebenenfalls Zendesk-Advanced-Compliance-Kontrollen erforderlich. Standard-Zendesk-Konfigurationen sind ohne zusaetzliche Schutzmassnahmen nicht fuer besondere Kategorien personenbezogener Daten ausgelegt.

Weitere Tool-Guides

GitHub Copilot AVV DSGVO Datenschutz Leitfaden für deutsche Unternehmen
tools

GitHub Copilot AVV und DSGVO: Leitfaden für deutsche Unternehmen

GitHub Copilot enthält einen AVV über Microsofts Standard-DPA. Leitfaden zu Datenschutz, EU-Datenhaltung, DSGVO und BetrVG für Deutschland.
Notion AVV und DSGVO-Konformität für deutsche Unternehmen
tools

Notion AVV & DSGVO: Können deutsche Unternehmen Notion rechtssicher nutzen?

Notion AVV, DSGVO-Konformität, EU-Datenhaltung und Anforderungen für deutsche Unternehmen. Praxisleitfaden für Legal-, Datenschutz- und IT-Teams.
Microsoft 365 Copilot DSGVO-Compliance für deutsche Unternehmen
tools

Microsoft 365 Copilot DSGVO? AVV, Betriebsrat & Checkliste

Microsoft 365 Copilot DSGVO: AVV mit Microsoft, EU Data Boundary, Betriebsrat und Compliance-Checkliste für Unternehmen in Deutschland.
KI Tools Anwalt BRAO DSGVO Datenschutz Verschwiegenheit
tools

KI-Tools fuer Anwaelte: Was BRAO und DSGVO erlauben (und was nicht)

KI API BRAO-konform einsetzen: Was §43a BRAO, DSGVO Art. 28 und BRAK-Empfehlungen fuer Rechtsanwaelte bedeuten — mit Checkliste und Tool-Vergleich.
Make.com AVV und DSGVO-Compliance für deutsche Unternehmen
tools

Make.com AVV: Hat Make einen Auftragsverarbeitungsvertrag?

Make.com stellt einen AVV für kostenpflichtige Tarife bereit. Was deutsche Unternehmen vor dem Einsatz für DSGVO, EU-Datenspeicherung und BetrVG prüfen müssen.
Zapier DSGVO Deutschland — AVV, Datentransfer und Workflow-Compliance fuer deutsche Unternehmen
tools

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung & Sicherheit

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung, SCCs und Sicherheit fuer deutsche Unternehmen — praktischer Compliance-Leitfaden.

Mehr KI-Tools durchsuchen

Häufige Fragen

Hat Zendesk einen AVV oder ADV-Vertrag nach DSGVO?

Ja, Zendesk stellt einen Auftragsverarbeitungsvertrag (AVV/ADV-Vertrag) bereit, der Art.-28-DSGVO-Anforderungen abdecken soll. Unternehmen sollten ihn abschliessen und Subprozessoren, EU-Datenspeicherort-Konfiguration, Transfermechanismen und Loeschfristen pruefen.

Ist Zendesk DSGVO-konform fuer Unternehmen in Deutschland?

Zendesk kann DSGVO-konform genutzt werden, aber die Bewertung haengt vom Tarif, AVV, Datenspeicherort-Einstellungen, Subprozessoren, Datenkategorien im Ticket-Inhalt und der Konfiguration von Agenten-Analytics-Funktionen ab.

Wo speichert Zendesk Daten fuer EU-Kunden?

Standardtarife verarbeiten Daten in den USA. EU-Datenspeicherung — bei der Ticket- und Kundendaten in der EU gespeichert werden — ist fuer qualifizierende Enterprise-Tarife verfuegbar und muss explizit konfiguriert werden.

Was ist das groesste DSGVO-Risiko bei Zendesk?

Zendesk als Standard-SaaS zu behandeln und nicht zu pruefen, welche personenbezogenen Daten Ticket-Inhalte, Chat-Protokolle und Anhange tatsaechlich enthalten. Sensible Kundendaten in Support-Tickets und breite Agenten-Aktivitaets-Analytics stellen DSGVO-Fragen, die ueber eine einfache AVV-Pruefung hinausgehen.

Kostenlos beraten