Aufgrund des jüngsten Schrems II-Urteils erweitert Twilio die Datenschutzmöglichkeiten für EU-Kunden

Aufgrund des jüngsten Schrems II-Urteils erweitert Twilio die Datenschutzmöglichkeiten für EU-Kunden

Die Übermittlung personenbezogener Daten aus der EU in die USA und in andere Drittländer bietet der datenschutzbewussten EU-Kundschaft und EU-Datenschutzbehörden seit langem Anlass zur Sorge. Am 16. Juli 2020 traten diese Bedenken erneut in den Vordergrund, als der Europäische Gerichtshof (EuGH) zu Schrems II urteilte. Wir bei Twilio haben zwar bereits bedeutende Schritte unternommen, um sicherzustellen, dass die von uns verarbeiteten Daten überall auf der Welt während ihrer Verarbeitung angemessen geschützt sind (unter anderem durch unsere verbindlichen unternehmensinternen Vorschriften und die Ausgabe halbjährlicher Transparenzberichte). Wir wissen aber, dass dieses Urteil wichtige Fragen hinsichtlich möglicher Auswirkungen auf Ihr Unternehmen aufwirft.

Im Folgenden erfahren Sie, welche weiteren Maßnahmen Twilio ergreift, damit Kunden mehr Kontrolle über die Übertragung personenbezogener Daten erhalten. Hierzu werden wir auch vierteljährliche Updates liefern.

Twilios Plan

Unsere Teams arbeiten aktiv an einer umfassenden globalen Strategie, mit der wir unsere globale Infrastruktur durch Rechenzentren in der EU und in anderen Ländern und Regionen wie z.B. Australien erweitern werden. Dazu gehört auch die Aktualisierung unserer internen Prozesse zu grenzübergreifenden Übertragungen von personenbezogenen Daten, um potentiellen Problemen im Hinblick auf den Schrems II-Beschluss und auf geltende Datenschutzgesetze vorzubeugen.

Die entsprechende Anpassung unserer Plattformen, Produkte, Dienstleistungen und Prozesse zum Erfüllen dieser Ziele erfordert viele Bemühungen und Ressourcen. Deshalb wird es sich um einen iterativen Prozess handeln. Es gibt jedoch drei Kernelemente, an denen wir momentan aktiv arbeiten:

1. Wir sorgen dafür, dass personenbezogene Daten von Nutzern aus der EU die Europäische Union nicht verlassen müssen.
   Sie erhalten die Kontrolle darüber, wo Ihre Daten erhoben, verarbeitet und gespeichert werden. Dadurch können Sie personenbezogene Daten vollständig innerhalb Ihrer Region aufbewahren und übertragen.
2. Wir führen zusätzliche Sicherheitskontrollen ein, um zu verhindern, dass Twilio-Personal aus Nicht-EU-Staaten auf personenbezogene Daten aus der EU zugreift.
   Beschäftigte von Twilio, die aus Nicht-EU-Staaten stammen, können nur nach ausdrücklicher Genehmigung einer EU-Einrichtung, und nur unter bestimmten Umständen, auf personenbezogene Daten aus der EU zugreifen. Dazu gehört, dass wir Kontrollen einführen, mit denen wir sicherstellen, dass nur pseudonymisierte Daten an Systeme von Twilio außerhalb des Europäischen Wirtschaftsraums (EWR) übertragen werden. Gleichzeitig erweitern wir unser Enterprise Access Control System so, um die Aufsicht und Kontrolle beim Zugriff auf personenbezogene Daten aus der EU zu verbessern.
3. Wir führen zusätzliche Rechtsgarantien für unsere EU-Kunden ein, die mit Twilio einen Vertrag abschließen.
   Wir haben bei Twilio unsere Verträge aktualisiert und so sichergestellt, dass neue EU-Kunden standardmäßig mit unserem Unternehmen in der EU Verträge abschließen. Außerdem arbeiten wir daran, aktuellen EU-Kunden diverse Möglichkeiten zu bieten, auf Anfrage über unser EU-Unternehmen Verträge abzuschließen.

Was wir 2022 bieten

Im Jahr 2021 haben wir mit der Einführung unseres ersten regionalen Pilotprojekts in Australien und der allgemeinen Verfügbarkeit von Regional Voice in Irland erhebliche Fortschritte bei der Linderung von Kundenbedenken im Zusammenhang mit der grenzüberschreitenden Übertragung personenbezogener Daten aus der EU erzielt. Unser Hauptaugenmerk lag in diesem Jahr auf der Isolierung der Endbenutzerdaten unserer Kunden, wie z. B. Anrufdetails und Audioaufzeichnungen – Daten, für die wir gemäß der Datenschutz-Grundverordnung (DSGVO) in erster Linie als Verarbeiter agieren. Darüber hinaus haben wir unsere Niederlassung in Irland eingerichtet, die es neuen Kunden ermöglicht, aus der EU Verträge abzuschließen und Rechnungen abzuwickeln.

Im Jahr 2022 werden wir unsere Bemühungen auf weitere Twilio-Produkte ausweiten und an der Regionalisierung anderer Nicht-Endnutzerdaten wie Rechnungs- und Dienstleistungsdaten, Daten zur Einhaltung von Vorschriften und Business Analytics-Informationen arbeiten. Darüber hinaus arbeiten wir an der Veröffentlichung unserer Datenschutzkontrollen, die sicherstellen sollen, dass betriebliche Endnutzerdaten in anonymisierter Form außerhalb des EWR sicher übertragen werden können.

Wir wollen Sie auf dem Laufenden halten

Transparenz hat bei der Mission von Twilio, bei der es darum geht, die vertrauenswürdigste Kundenkommunikationsplattform der Welt zu sein, einen zentralen Stellenwert. Während wir weiterhin energisch auf die Bereitstellung einer breiten, regionalen Infrastruktur hinarbeiten, verpflichten wir uns, vierteljährlich zusätzliche Updates bereitzustellen.

Fortlaufende Updates zu Twilios Reaktion auf „Schrems II“

Update für Q2 2021

Seit Februar haben die Produkt- und Engineering-Teams von Twilio ihre Arbeit an regionalisierten Produkten und Funktionen beschleunigt, die Ihnen helfen, Gesetzeskonformität zu gewährleisten und das Risiko grenzüberschreitender Datenübertragungen weltweit zu reduzieren.

Wir haben unsere regionalen Bemühungen erheblich beschleunigt, damit Sie proaktiv reagieren können. Gleichzeitig haben wir auch die in unseren Augen einzigartige Gelegenheit genutzt, uns ein für alle Mal künftigen regulatorischen Änderungen zu stellen. Mit Blick auf Q3 möchten wir beginnen, Ihnen den durch diese Bemühungen entstandenen Mehrwert zur Verfügung zu stellen.

Update für Q3 2021

Im Laufe von Q2 und Q3 arbeiteten unsere Teams an wichtigen Initiativen für Produkte, Infrastruktur, Rechnungsstellung und Datenzugriffskontrollen, um alles für den Start des Pilotprogramms in Australien vorzubereiten. Dieses startete im September. Durch dieses Pilotprogramm, das die Produkte Twilio Programmable Voice, Elastic SIP Trunking und Voice Client SDK umfasst, wird die Infrastruktur von Twilio nach Australien erweitert.

Das Pilotprogramm ist ein wichtiger Schritt und ebnet unserem Team den Weg zur Regionalisierung von Twilio an neuen Standorten, insbesondere in Europa Ende des nächsten Quartals. Außerdem wird dadurch sichergestellt, dass jede Interaktion mit Ihren Kunden von dem Vertrauen und der Zuverlässigkeit geprägt sind, die Sie von der Twilio-Plattform erwarten.

Im Rahmen dieser Bemühungen richtet Twilio Rechenzentren an separaten und unterschiedlichen Standorten ein, damit Daten festgelegte Grenzen nicht verlassen müssen, Latenzen verringert und zuverlässige Systeme konfiguriert werden können. So wird das Risiko weiter verringert, dass ein einziges Ereignis globale Auswirkungen auf Twilio-Dienstleistungen hat. So können Sie auch die latenzkritischsten Anwendungen entwickeln und betreiben und gleichzeitig die lokal geltenden Anforderungen an die Ortsgebundenheit von Daten erfüllen.

Darüber hinaus wurde Twilio Ireland als unser neuestes Tochterunternehmen zur Rechnungs- und Vertragsabwicklung eingerichtet. Ab August werden die Geschäfte mit neuen Twilio-Kunden mit einer Telefonnummer oder einem Rechnungsland in Europa automatisch über unsere Tochtergesellschaft Twilio Ireland abgewickelt. Wir arbeiten aktiv daran, dies auf bestehende europäische Kunden auszuweiten und werden Updates zum Status unserer Bemühungen veröffentlichen. So machen wir einen großen ersten Schritt zur Linderung von Bedenken bezüglich Datenschutz für Kunden in Europa.

Update für Q4 2021

In diesem Quartal freuen wir uns bekanntzugeben, dass wir ein Rechenzentrum in Irland eingerichtet haben. Twilio Voice, unser erster öffentlich regionalisierter Kanal im europäischen Raum, ist nun in Irland allgemein verfügbar. Dank dieses Rechenzentrums haben Sie die Möglichkeit zu bestimmen, an welchem Ort Sie Ihre Daten speichern. So müssen personenbezogene Daten die Region Ihrer Wahl nicht verlassen.

Bestehende EU-Kunden können ihre Voice-Anwendungen nun in das Rechenzentrum in Irland migrieren, damit die Daten die Region nicht verlassen müssen. Darüber hinaus können neue Kunden nun Irland als bevorzugte Region für Voice-Anwendungen auswählen. Bei Nutzung des neuen Rechenzentrums in Irland fallen keine zusätzlichen Kosten an. Wenn Sie mehr über die ersten Schritte mit Regional Voice in Irland erfahren möchten, sehen Sie sich unsere Entwicklerdokumente an.

Das Hinzukommen des Rechenzentrums im europäischen Raum bedeutet auch, dass die Datenverarbeitung näher an den Anwendungen von EU-Kunden stattfindet. Dadurch wird die Latenz reduziert und somit die Leistung von sehr interaktiven Echtzeit-Anwendungen (z. B. Voice Dialing, Stummschaltung, Versenden von Chatnachrichten usw.) verbessert. Der Grund dafür ist, dass die Entfernung, die Anwendungsdaten zurücklegen müssen, einen direkten Einfluss auf die Latenz hat. Eine kürzere Paketumlaufzeit bedeutet eine geringere Latenz und somit eine bessere Reaktionszeit und Qualität der Anwendung.

Mit Blick auf das Jahr 2022 freuen wir uns auf die Regionalisierung weiterer Twilio-Produkte in der EU und in anderen Regionen.

Zeitpläne für regionalisierte Twilio-Produkte in Europa

Auf die Einführung von Twilio Voice in Irland folgt die allgemeine Verfügbarkeit von Twilio Voice in Australien sowie die Unterstützung von Conversations (nur per Chat) in Irland. Die Veröffentlichung der Beta-Versionen für verifizierte/ausgehende Anrufer-IDs und Serverless (Funktionen und Assets) in der Region ist für das erste Halbjahr 2022 geplant. Weitere Produkte wie eingehende und ausgehende SMS (Beta), Media Streams, Marketplace, ausgehende E-Mails (Beta) und Flex (Pilot) sollen im zweiten Halbjahr folgen.

Und zu guter Letzt stellen wir sicher, dass die Teams, die andere Twilio-Unternehmen unterstützen (wie Segment, das im November 2020 von Twilio übernommen wurde), die gleichen strengen, von unseren regionalen Teams festgelegten, Standards erfüllen. Das Twilio Segment-Team hat im zweiten Quartal 2021 die regionale Datenerhebung implementiert und wird eine regionale Version von Segment mit regionalen Verbindungen, Protokollen und Personas im ersten Quartal 2022 veröffentlichen. Dies ermöglicht EU-Kunden die Erhebung, Verarbeitung und Speicherung von Daten sowie die Zielgruppenerstellung innerhalb der Region.

Datenschutz und Verträge: weitere Regionalisierung Ihrer Geschäftsabläufe mit Twilio

Zusätzlich zu ihrer Arbeit an der Regionalisierung unserer Produkte und Dienstleistungen arbeiten unsere Teams auch gemeinsam daran, die Art und Weise zu verbessern, wie Sie weltweit mit Twilio Geschäfte machen. Unser Privacy Engineering-Team arbeitet aktiv daran, den Schutz der Datenschutzrechte durch modernste Methoden sicherzustellen, die vom Europäischen Datenschutzausschuss (EDSA) und der Deutschen Gesellschaft für Datenschutz und Datensicherheit (GDD) anerkannt werden. Diese Kontrollen stellen beispielsweise sicher, dass sensible Kundendaten regionalisiert und nur für Beschäftigte von Twilio in der Region zugänglich bleiben und dass diese sensiblen Daten für Beschäftigte von Twilio außerhalb der Region nicht zugänglich sind, außer der Zugriff wurde ausdrücklich genehmigt.

Wir arbeiten auch daran, neue Fakturierungs- und Vertragsmöglichkeiten einzuführen, die, wenn dies gesetzlich erforderlich ist oder auch nur von Ihnen bevorzugt wird, Ihre Geschäftsbeziehung mit Twilio formell innerhalb eines regionalisierten europäischen Unternehmens (Twilio Ireland) schützen. Im dritten Quartal 2021 haben wir unsere Nutzungsbedingungen aktualisiert und Twilio Ireland gegründet, damit neue Kunden nun in der Lage sind, Rechnungen und Verträge mit diesem regionalen Unternehmen abzuwickeln. Dies sind nur zwei Beispiele für die zahlreichen Schutzmaßnahmen, die wir aktiv einführen, damit Sie über die Tools verfügen, die Sie benötigen, um überall auf der Welt durchgängig vorschriftskonform zu arbeiten.

Aufbau einer zukunftssicheren Plattform in der heutigen Zeit

Die globalen Vorschriften verändern sich ständig, und wir sind uns sehr bewusst, dass Urteile (wie Schrems II) wichtige, zeitkritische Aspekte sind, die sorgfältig berücksichtigt werden müssen. Während wir weiterhin ein weltweit regionalisiertes Twilio aufbauen, hat sich unser Team einer Strategie verpflichtet, die zuverlässige, langfristige Lösungen bietet, die wiederum die Anforderungen von heute und weit in der Zukunft erfüllen – und zwar unabhängig davon, wie sich regulatorische Maßnahmen, insbesondere in Bezug auf sensible Kundendaten, in den kommenden Jahren verändern könnten. Es ist ein Versprechen, zu dessen Einhaltung Twilio auf einzigartige Art und Weise in der Lage ist. Und wir freuen uns, Ihnen in den kommenden Quartalen die entsprechenden Updates zu liefern.

Zukunftsgerichtete Aussagen

Dieser Blogbeitrag enthält zukunftsgerichtete Aussagen im Sinne der Bundeswertpapiergesetze, die mit erheblichen Risiken und Unsicherheiten behaftet sind. Zukunftsgerichtete Aussagen beziehen sich in der Regel auf zukünftige Ereignisse oder unsere zukünftige finanzielle oder operative Leistung, Produktentwicklung oder Marketingposition. In einigen Fällen können Sie zukunftsgerichtete Aussagen daran erkennen, dass sie Wörter wie „kann“, „könnte“, „wird“, „würde“, „sollte“, „erwartet“, „plant“, „antizipiert“, „beabsichtigt“, „Ziel“, „Projekte“, „erwägt“, „glaubt“, „schätzt“, „geht davon aus“, „prognostiziert“, „potenziell“ oder „weiterhin“ oder die negative Variante dieser Formulierungen oder ähnliche Ausdrücke bzw. Redewendungen enthalten, die sich auf unsere Strategie, Pläne oder Absichten beziehen. Zu den zukunftsgerichteten Aussagen in diesem Blogbeitrag gehören unter anderem Aussagen zu folgenden Themen: Die Piloteinführung der Voice-Produkte von Twilio, die Regionalisierung von Twilio in Europa, die Erweiterung der Infrastruktur von Twilio nach Australien und die Unterstützung für zusätzliche Produkte in diesen Regionen während der Veröffentlichung öffentlicher Betas für die regionale Datenerfassung und -speicherung. Sie sollten sich nicht auf zukunftsgerichtete Aussagen als Vorhersagen zukünftiger Ereignisse verlassen.

Nicht veröffentlichte Produkte, Eigenschaften, Funktionen oder Roadmaps, auf die in diesem Blogbeitrag verwiesen wird, sind derzeit nicht verfügbar und könnten – ganz nach unserem alleinigen Ermessen – möglicherweise nicht rechtzeitig oder überhaupt nicht geliefert werden. Alle genannten Produkte, Eigenschaften, Funktionen oder Roadmaps stellen keine Versprechen zur Erfüllung, Verpflichtungen oder Pflichten von Twilio dar. Die Kundschaft, die unsere Produkte kauft, sollte ihre Kaufentscheidungen auf der Grundlage von Funktionen treffen, die derzeit allgemein verfügbar sind.

Die in diesem Blogbeitrag enthaltenen zukunftsgerichteten Aussagen unterliegen zudem zusätzlichen Risiken, Unsicherheiten und Faktoren, also u. a. denjenigen, die in den vor Kurzem von Twilio bei der Börsenaufsichtsbehörde eingereichten Dokumenten genauer beschrieben sind. Dies schließt auch das Formular 10-Q für das Quartal ein, das am 31. März 2021 endete. Weitere Informationen über potenzielle Risiken, die sich auf tatsächliche Ergebnisse auswirken könnten, werden in den nachfolgenden regelmäßigen und aktuellen Berichten und anderen Dokumenten enthalten sein, die Twilio der Börsenaufsichtsbehörde von Zeit zu Zeit vorlegt. Twilio agiert außerdem in einem sehr wettbewerbsintensiven und sich rasch verändernden Umfeld und so könnten neue Risiken und Unsicherheiten auftreten, die sich auf die zukunftsgerichteten Aussagen in diesem Blogbeitrag auswirken könnten.

Zukunftsgerichtete Aussagen stellen die Ansichten und Annahmen des Managements von Twilio nur zum Zeitpunkt der Äußerung eben dieser Aussagen dar. Twilio ist nicht verpflichtet, zukunftsgerichtete Aussagen in diesem Blogbeitrag zu aktualisieren, um Ereignisse oder Umstände widerzuspiegeln, die nach dem Erstellungsdatum dieses Blogbeitrags aufgetreten sind. Ebenso besteht keine Verpflichtung, neue Informationen oder das Auftreten unvorhersehbarer Ereignisse widerzuspiegeln, es sei denn, dies ist gesetzlich so vorgeschrieben.