So schließt du einen Auftragsverarbeitungsvertrag mit „zoom“

Wegen des Corona-Virus ist die Nutzung von Online-Meeting-Tools geradezu explodiert. Viele nutzen „zoom“ oder wollen „zoom“ nutzen.

Wenn du „zoom“ als Unternehmen nutzen möchtest, musst du einen sog. Auftragsverarbeitungsvertrag i.S.d. Art. 28 DSGVO mit dem Anbieter von „zoom“ (Zoom Video Communications, Inc.) schließen.

Da ich schon sehr häufig gefragt wurde, wie das geht…kommt hier Anleitung. Das ist eigentlich nicht so schwer, denn genau genommen steht das auch alles auf der betreffenden Support-Seite von „zoom“ zum Data Processing Addendum. Ist aber nicht so leicht zu finden. Also, das hier sind die Schritte (Stand: 24.03.2020):

1. Schritt

Lade dir hier den Auftragsverarbeitungsvertrag herunter: https://zoom.us/data-processing

2. Schritt

Der Auftragsverarbeitungsvertrag sieht an mehreren Stellen Unterschriften der Vertragsparteien vor. „zoom“ hat jeweils schon unterschrieben. Es fehlen also die Angaben zu deinem Unternehmen bzw. deiner öffentlichen Stellen sowie Unterschriften von vertretungsberechtigten Personen deiner Organisation. Also ab zum nächsten Schritt.

3. Schritt

Erste Vertragsangaben und erste Unterschrift auf dem Vertrag machen. Nach Ziff. 9 des Auftragsverarbeitungsvertrages sind Angaben zum „Customer“ zu machen. Das Ganze kann in meinem Fall so aussehen:

4. Schritt

Im Vertrag folgen dann die sog. Exhibits A-C, in denen der Gegenstand der Datenverarbeitung und die technischen und organisatorischen Maßnahmen definiert werden.

Die nächste Aktion muss dann im Exhibit C folgen. Im Exhibit C befinden sich die sog. „Standard Contractual Clauses“, also die EU-Standardvertragsklauseln, die zusätzlich zur Privacy Shield Zertifizierung von „zoom“ ein angemessenes Datenschutzniveau in den USA garantieren soll.

Hintergrund: Nach der DSGVO muss bei einer Verarbeitung von Daten im Drittland garantiert werden, dass bei der Verarbeitung von Daten im Drittland ein angemessenes Datenschutzniveau besteht. Juristisch machen wir das z.B. durch die Verwendung der sog. EU-Standardvertragsklauseln. Oder im Falle einer Datenverarbeitung in den USA z.B. durch eine sog. „Privacy Shield“-Zertifizierung.

Jedenfalls muss du jetzt zu Beginn der EU-Standardvertragsklauseln auch hier wieder Angaben zu deiner Organisation als Vertragspartner machen. Wichtig zu wissen. Bei den EU-Standardvertragsklauseln gibt es einen „Daten-Exporteur“ und einen „Daten-Importeur“. Der Auftraggeber bei der Auftragsverarbeitung ist der Daten-Exporteur. Das ist also deine Organisation. Als Daten-Importeur hat „zoom“ bereits Angaben für sich eingetragen. Also machst du auch hier deine Angaben. Für meinen Fall könnte das z.B. so aussehen:

5. Schritt

Noch weitere Unterschriften sind erforderlich. Und zwar hinter Clause 12 der EU-Standardvertragsklauseln (S. 24 des Auftragsverarbeitungsvertrages). Hier muss eine vertretungsberechtigte Person angegeben werden und unterzeichnen. Bei mir könnte das so aussehen:

6. Schritt

Jetzt ist es fast geschafft. Nur noch eine Unterschrift ist erforderlich. Und zwar fast am Ende des Vertrages (S. 26 – vor dem Appendix 2). Hier gibst du den Namen des Data Exporters an, und ein Vertretungsberechtigter muss unterschreiben. Bei mir könnte das so aussehen:

7. Schritt

So…der Vertrag ist jetzt fertig unterzeichnet. Jetzt muss er aber noch an „zoom“ zurückgesendet werden. Um das machen zu können, musst du deine „zoom“-Account-Nummer ausfindig machen. Die findest du aber z.B. auf der Rechnung von „zoom“ oder vor allem auch in deinem Kontenprofil.

Dann sendest du den Vertrag unter Angabe deiner Account-Nummer an diese E-Mail-Adresse: dpa@zoom.us

„zoom“ wird dir den Erhalt des Vertrages danach bestätigen. Er ist aber schon gültig mit Zugang des Vertrages bei „zoom“.