BlnBDI Da- tum: 23. April 2020 501.175.2 Videokonferenzdienste: Prüfung des AVV der Zoom Video Communications, Inc. Das „Zoom Global Processing Addendum“ – folgend: „GPA“ (https://zoom.us/docs/doc/Zoom_GLOBAL_DPA_December_19.pdf) und Weiteres habe ich nicht vollständig geprüft, da bereits bei einer Kurzprüfung folgende teilweise schwerwiegen- de Verstöße gegen das Datenschutzrecht aufgefallen sind: Einsatz von Subunternehmern Ziff. 5.1 Satz 1 GPA verweist für den Einsatz von weiteren Auftragsverarbeitern auf einen URL, wobei unklar ist, welchen Inhalt der Update-Vorbehalt haben soll (URL oder Inhalt?). In jedem Fall besteht für den Auftraggeber ein Problem im Hinblick auf Art. 5 Abs. 2 und Art. 24 Abs. 1 DS-GVO, da die Liste der Subunternehmer zum Zeitpunkt des Vertragsschlusses nicht mit einer eventuell durch den Auftraggeber gesicherten Fassung übereinstimmen muss. Das Verfahren der Benachrichtigung über weitere Subunternehmer als Pull-Verfahren ge- nügt nicht den Anforderungen des Art. 28 Abs. 2 DS-GVO, das Push-Verfahren ist optional. Ziff. 5.2.1 GPA macht es dem Auftraggeber faktisch unmöglich, gegen neue Subunterneh- mer Einspruch einzulegen, weil der Auftraggeber nur ein Kündigungsrecht für das GPA hat, aber seine Zahlungsverpflichtungen nach dem Hauptvertrag fortbestehen. (Nicht geprüft: ob der Hauptvertrag und die Verarbeitung personenbezogener Daten dann auch rechtswidrig ohne AVV fortgesetzt werden.) Verstoß gegen Art. 28 Abs. 3 UAbs. 1 lit. g DS-GVO Ziff. 3.4 Satz 1 GPA schließt die Löschung der verarbeiteten personenbezogenen Daten nach Vertragsende in größerem Umfang aus als nach Art. 28 Abs. 3 UAbs. 1 lit. g DS-GVO zulässig. Verstoß gegen Art. 28 Abs. 3 UAbs. 1 lit. h DS-GVO Ziff. 9.3 und 9.4 verstoßen gegen Art. 28 Abs. 3 UAbs. 1 lit. h DS-GVO.

-2- Mögliche Einschränkungen der Pflichten aus Art. 32 DS-GVO Ziff. 3.4 Satz 2 und Ziff. 4.3 GPA könnten als Spezialregelungen Ziff. 6 GPA vorgehen, wi- dersprechen jedenfalls Ziff. 6 GPA. Ziff. 6 GPA darf allerdings nicht eingeschränkt werden, da sonst ein Verstoß gegen Art. 32 DS-GVO vorliegen würde. Unzulässige Abweichungen von den Standardvertragsklauseln Ziff. 3.4 letzter Satz, Ziff. 5.6 a. E. und Ziff. 9.4 weichen negativ von den Standardvertrags- klauseln ab und schränken die dortigen Verpflichtungen von Zoom unzulässig ein. Damit sind die Standardvertragsklauseln nicht als Rechtfertigung für den Datenexport heranzuzie- hen. Privacy Shield Die Selbstzertifizierung bezieht sich nur auf Non-HR-Daten und ist inhaltlich jedenfalls er- staunlich. Third Party Content Die Website lädt auch ohne Einwilligung diverse Dritt-Inhalte einschließlich Tracking- Diensten. Die vermeintliche Einwilligung ist unwirksam, da es keine Möglichkeit zur Ableh- nung gibt; in den Detail-Einstellungen gibt es zwar ein „Abbrechen“, das aber nur zur allge- meinen Cookie-Abfrage führt. Selbst in den Details gibt es nur Opt-Out-Lösungen. Die Texte täuschen umfassend über die tatsächlich erfolgenden massiven Tracking-Maßnahmen. Je nachdem, wo man sich auf der Website befindet, gibt es nicht einmal einen Link, um die vermeintliche Einwilligung zu widerrufen, geschweige denn, dass dieser Widerruf so einfach wäre wie die Erteilung. Zweifel an der Zuverlässigkeit Der bisherige Umgang des Unternehmens mit den Themen Datenschutz und Datensicher- heit weckt Zweifel, ob es sich um einen Auftragsverarbeiter handelt, der hinreichend Garan- tien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchge- führt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet (Art. 28 Abs. 1 DS-GVO).