Datenschutznachtrag für US-Bundesstaaten

Dieser Datenschutznachtrag für US-Bundesstaaten („Nachtrag“) ergänzt die Bestimmungen Ihres Rahmen-Abonnementvertrags, der Nutzungsbedingungen oder der Nutzungsbedingungen für Wiederverkäufer-Kunden (wie jeweils zutreffend, die „Vereinbarung“) und legt bestimmte Datenschutzrechte und -verpflichtungen im Zusammenhang mit bestimmten Gesetzen von US-Bundesstaaten dar. Groß geschriebene Begriffe, die hierin verwendet werden, aber nicht definiert sind, haben die Bedeutung, die ihnen in der Vereinbarung zugeschrieben wurde.

Abschnitt A – Allgemeine Vorschriften. Der vorliegende Abschnitt A des Nachtrags gilt für die Bereitstellung der Dienste durch Zoom und deren Nutzung durch den Kunden, soweit dieser Kunde ein Unternehmen oder Verantwortlicher ist und Zoom persönliche Informationen oder personenbezogene Daten des Kunden gemäß CCPA oder anderen anwendbaren Datenschutzgesetzen des Bundesstaates verarbeitet bzw. aktuell verarbeitet.

1. Definitionen. Der Begriff „Kunde“ bezeichnet in diesem Nachtrag ein Unternehmen oder einen Verantwortlichen, der Zoom Dienste abonniert. Groß geschriebene Begriffe, die in diesem Abschnitt A verwendet werden, aber nicht anderweitig definiert sind, haben die Bedeutung, die ihnen in den Abschnitten B(1) und C(1) unten zugeschrieben wird.
2. Audits und Bewertungen.
   1. Zoom lässt Prüfungen von Dritten durchführen, um die Rahmenbedingungen von ISO 27001 und SOC 2 Typ II zu bestätigen wie folgt:
      1. Zoom führt jährlich eine Prüfung der Sicherheits-, Verfügbarkeits- und Datenschutzkriterien im SOC-2-Audit durch.
      2. Audits werden gemäß den Standards und Regeln der Aufsichts- oder Akkreditierungsbehörde durchgeführt, die für den jeweiligen Kontrollstandard oder -rahmen zuständig ist.
      3. Audits werden von qualifizierten, unabhängigen, externen Sicherheitsprüfern nach Wahl und auf Kosten von Zoom durchgeführt.
      4. Jeder Audit führt zur Generierung eines kundenorientierten Auditberichts („Zoom Auditbericht“), den Zoom auf Nachfrage jährlich dem Kunden zur Verfügung stellt. Der Zoom Auditbericht wird als vertrauliche Daten von Zoom betrachtet.
3. Beschränkungen der Informationsannahme. Nichts in diesem Nachtrag begründet eine Verpflichtung von Zoom, folgende Informationen offenzulegen: (a) Daten und Informationen von anderen Zoom Kunden oder Dritten; (b) interne Buchhaltungs- und Finanzinformationen; (c) Geschäftsgeheimnisse von Zoom; oder (d) Informationen, die nach der begründeten Auffassung von Zoom zu (i) einer Kompromittierung der Sicherheit der Netzwerke, der Systeme oder des Betriebsgeländes von Zoom, (ii) Verstößen seitens Zoom gegen Sicherheits- und Datenschutzverpflichtungen gegenüber Dritten oder (iii) Informationsersuchen aus anderen als den im Nachtrag dargelegten Gründen führen könnten. Zoom darf voraussetzen, dass der Kunde angemessenen allgemeinen Geschäftsbedingungen von Zoom (oder dessen externen Prüfern oder Bewertern) zustimmt, ehe der Zoom Auditbericht an ihn übergeben wird.
4. Löschung von Daten. Zoom wird (a) gemäß den anwendbaren Datenschutzgesetzen des Bundesstaates, die für den Kunden gelten, und auf Weisung des Kunden am Ende der Bereitstellung der Dienste alle personenbezogenen Daten löschen oder an den Kunden zurückgeben oder (b) wie im CCPA vorgeschrieben nach Kündigung oder Ablauf der Geschäftsbeziehung zwischen Zoom und dem Kunden die Speicherung, Nutzung und Offenlegung von personenbezogenen Daten einzustellen. Nichts in diesem Abschnitt A(4) (Löschung von Daten) begründet eine Verpflichtung von Zoom, (i) Daten zu löschen oder zurückzugeben, zu deren Aufbewahrung Zoom nach geltendem Recht verpflichtet ist, oder (ii) personenbezogene Daten zurückzugeben, anstatt sie zu vernichten, soweit diese Rückgabe technisch nicht machbar ist oder Zoom erhebliche Belastungen und/oder Kosten auferlegen würde.

Abschnitt B – Kalifornien.  Der vorliegende Abschnitt B des Nachtrags gilt für die Bereitstellung der Dienste durch Zoom und deren Nutzung durch den Kunden, soweit dieser Kunde ein Unternehmen ist und Zoom persönliche Informationen im Auftrag des Kunden gemäß CCPA verarbeitet.

1. Definitionen. Gemäß vorliegendem Abschnitt B des Nachtrags (a) bezeichnet „CCPA“ den California Consumer Privacy Act von 2018 in seiner durch den California Privacy Rights Act von 2020 ergänzten Fassung sowie alle in diesem Zusammenhang veröffentlichten Vorschriften; (b) haben die Begriffe „Unternehmen“, „geschäftlicher Zweck“, „gewerblicher Zweck“, „Verbraucher“, „Verarbeitung“, „Verkauf“, „Dienstleister“ und „Freigabe“ jeweils die Bedeutung, die ihnen im CCPA zugeschrieben wird; und (c) hat der Begriff „persönliche Informationen“ die im CCPA festgelegte Bedeutung, jedoch nur in dem Umfang, in dem Zoom die persönlichen Informationen aufgrund seiner Erbringung von Dienstleistungen an den Kunden in seiner Funktion als Unternehmen im Rahmen der Vereinbarung erhebt, einholt, entgegennimmt, verwendet, offenlegt, darauf zugreift oder sie anderweitig verarbeitet.
2. Bestätigungen und Verpflichtungen. Zoom (a) erkennt an, dass der Kunde persönliche Informationen nur für den begrenzten und spezifischen Zweck der Erbringung der in einem Bestellformular beschriebenen Dienstleistungen und für die in der Vereinbarung beschriebenen Zwecke offenlegt; (b) erfüllt alle Verpflichtungen, die im Rahmen des CCPA für Dienstleister gelten, und bietet mindestens das im CCPA vorgeschriebene Datenschutzniveau für persönliche Informationen, einschließlich das von Unternehmen geforderte Datenschutzniveau; (c) stimmt zu, dass der Kunde in Einklang mit Abschnitt A(2) dieses Dokuments vernünftige und angemessene Maßnahmen ergreifen darf, um sicherzustellen, dass Zooms Nutzung von persönlichen Informationen mit den Verpflichtungen des Kunden gemäß CCPA vereinbar ist; (d) informiert den Kunden umgehend, wenn Zoom feststellt, dass es seinen Verpflichtungen gemäß CCPA nicht länger nachkommen kann; und (e) stimmt zu, dass der Kunde nach vorheriger Mitteilung vernünftige und angemessene Maßnahmen ergreifen darf, um die unbefugte Nutzung von persönlichen Informationen in Übereinstimmung mit und gemäß geltenden Vorschriften zu beenden und zu beheben, indem er von Zoom eine angemessene Dokumentation anfordert, die bestätigt, dass Zoom keine persönlichen Informationen mehr aufbewahrt oder verwendet, die Gegenstand eines gültigen Löschungsantrags sind.
3. Beschränkungen. Es ist Zoom nicht gestattet, (a) persönliche Informationen zu verkaufen oder zu teilen; (b) persönliche Informationen für andere als die in Abschnitt B(2)(a) oben beschriebenen oder anderweitig gemäß CCPA zulässigen Zwecke aufzubewahren, zu nutzen oder offenzulegen; dies umfasst auch die Aufbewahrung, Nutzung oder Offenlegung von persönlichen Informationen für einen gewerblichen Zweck, der nicht unter diese Zwecke fällt und nicht der Abdeckung eines anderen Unternehmens dient; (c) persönliche Informationen außerhalb der unmittelbaren Geschäftsbeziehung zwischen Zoom und dem Kunden aufzubewahren, zu nutzen oder offenzulegen, außer soweit dies gemäß CCPA zulässig ist; oder (d) die gemäß Vereinbarung erhaltenen persönlichen Informationen mit persönlichen Informationen zu kombinieren, die Zoom von einer anderen Partei oder aus seinen eigenen Interaktionen mit dem betreffenden Kunden erhalten hat, es sei denn, es ist Dienstleistern im Rahmen des CCPA gestattet, dies zu tun. Zoom bescheinigt hiermit, dass es seine Verpflichtungen im Rahmen dieses Nachtrags versteht und sich zu ihrer Einhaltung verpflichtet.
4. Audits, Prüfungen und Bewertungen. Vorbehaltlich angemessener Anforderungen und schriftlicher Übereinkünfte, wie sie von Zoom verlangt werden, und in Übereinstimmung mit dem CCPA darf der Kunde Zoom auf alleinige Kosten höchstens einmal alle 12 Monate einem Audit, einer Prüfung oder einer Bewertung gemäß Abschnitt A(2) (Audits und Bewertungen) oben unterziehen.
5. Verbraucheranfragen. Nachdem er eine Verbraucheranfrage erhalten und verifiziert hat, benachrichtigt der Kunde umgehend Zoom und stellt Zoom alle benötigten Informationen zur Verfügung; Zoom ergreift umgehend alle Maßnahmen und stellt alle Informationen zur Verfügung, die der Kunde vernünftigerweise zu persönlichen Informationen eines Verbrauchers anfordern kann, um den Kunden bei der Bearbeitung von Anträgen betroffener Personen auf Ausübung ihrer Rechte zu unterstützen, einschließlich, jedoch nicht beschränkt auf Auskunfts-, Berichtigungs- und Löschanträge, Anträge auf Abmeldung vom Verkauf oder der Freigabe von persönlichen Informationen oder Anträge auf Erhalt der persönlichen Informationen über die eigene Person. Wenn Zoom einen Antrag direkt von einem oder mehreren Verbrauchern des Kunden erhält, ist Zoom berechtigt, entweder (i) dem Verbraucher zu raten, einen solchen Antrag direkt an den Kunden zu richten oder (ii) den Kunden zu kontaktieren, damit dieser dem Verbraucher direkt antwortet.

Abschnitt C – Virginia, Colorado, Utah und andere Bundesstaaten. Der vorliegende Abschnitt C des Nachtrags gilt für die Bereitstellung der Dienste durch Zoom und deren Nutzung durch den Kunden, soweit der Kunde ein Verantwortlicher für personenbezogene Daten ist und Zoom personenbezogene Daten des Kunden gemäß den anwendbaren Datenschutzgesetzen des Bundesstaates verarbeitet.

1. Definitionen. Wie in diesem Abschnitt C des Nachtrags verwendet: (a) “Geltende Datenschutzgesetze des Bundesstaates” bezeichnet (i) den Colorado Privacy Act von 2021, den Virginia Consumer Data Protection Act von 2021 oder den Utah Consumer Privacy Act von 2022 in seiner jeweils ergänzten Fassung oder (ii) alle anderen geltenden Gesetze des Bundesstaates, die zum Zwecke des Schutzes personenbezogener Daten verabschiedet werden, wobei der Kunde ein Verantwortlicher und Zoom ein Auftragsverarbeiter ist und die Bedingungen dieses Nachtrags den Gesetzen des Bundesstaates entsprechen; (b) “Verantwortlicher, ” “personenbezogene Daten,” “Verarbeitung” und “Verarbeiter” haben jeweils die Bedeutung, die ihnen in den geltenden Datenschutzgesetzen des Bundesstaates zugewiesen wurde; und (c) “Anweisungen” hat die unten angegebene Bedeutung.
2. Verarbeitung personenbezogener Daten: Rollen, Umfang und Zuständigkeiten.
   1. Die Parteien erklären sich mit Folgendem einverstanden: Der Kunde ist der Verantwortliche für die personenbezogenen Daten des Kunden. Zoom ist der Auftragsverarbeiter der personenbezogenen Daten des Kunden.
   2. Nur im erforderlichen und angemessenen Maße weist der Kunde als Verantwortlicher Zoom an, die folgenden Aktivitäten als Auftragsverarbeiter in seinem Auftrag zu verrichten (gemeinsam die „Anweisungen“):
      1. Erbringung und Aktualisierung der Services so, wie sie vom Kunden und dessen Benutzern lizenziert, konfiguriert und genutzt werden. Dies bezieht sich auch auf die Nutzung der Zoom Einstellungen durch Kunden, die Bedienelemente von Administratoren und andere Funktionen der Services;
      2. Sichere Überwachung der Services in Echtzeit;
      3. Behebung von Problemen, Bugs und Fehlern;
      4. Auf Anfrage Support für Kunde erbringen und dabei unter anderem Erkenntnisse aus einzelnen Supportanfragen allen Kunden von Zoom zugutekommen zu lassen. Dies gilt jedoch nur insofern, als diese Erkenntnisse in anonymisierter Form vorliegen; und
      5. Verarbeitung von personenbezogenen Daten des Kunden wie in der Vereinbarung (einschließlich dieser Nachtrag und dessen Anhang A) dargelegt sowie alle anderen dokumentierten Anweisungen, die vom Kunden bereitgestellt werden und die Zoom als Anweisungen anerkennt.
   3. Soweit Zoom als Auftragsverarbeiter für personenbezogene Daten des Kunden handelt, verarbeitet Zoom personenbezogene Daten des Kunden nur in Übereinstimmung mit den Anweisungen des Kunden. Der Kunde stellt sicher, dass seine Anweisungen an Zoom allen Gesetzen, Regeln und Vorschriften entsprechen, die auf seine personenbezogenen Daten anwendbar sind, und dass die Verarbeitung personenbezogener Daten des Kunden nach Anweisung des Kunden nicht dazu führt, dass Zoom gegen geltende Datenschutzgesetze des Bundesstaates verstößt. Der Kunde ist allein verantwortlich für die Richtigkeit, Qualität und Rechtmäßigkeit (i) der personenbezogenen Daten des Kunden, die Zoom vom oder im Auftrag des Kunden zur Verfügung gestellt wurden; (ii) der Art und Weise, wie er seine personenbezogenen Daten erhalten hat und (iii) der Anweisungen bezüglich der Verarbeitung seiner personenbezogenen Daten, die er an Zoom herausgegeben hat. Der Kunde darf seine personenbezogenen Daten nicht Zoom zur Verfügung stellen und nicht für Zoom verfügbar machen, wenn dies gegen die Vereinbarung oder diesen Nachtrag verstoßen würde.
   4. Der Kunde ermächtigt Zoom, unter bestimmten Umständen Scans und Berichte zu personenbezogenen Daten zu erstellen (z. B. um Inhalte mit sexuellem Kindesmissbrauch zu erkennen und zu melden; um andere geltende Gesetze einzuhalten; um die Einhaltung der Zoom Richtlinien zur zulässigen Nutzung zu gewährleisten).
3. Befugte Personen. Zoom stellt sicher, dass alle Personen, die zur Verarbeitung der personenbezogenen Daten des Kunden befugt sind, über die vertrauliche Natur der personenbezogenen Daten des Kunden aufgeklärt werden und in Bezug auf die Daten einer Vertraulichkeitsverpflichtung unterliegen.
4. Unterauftragnehmer und Unterauftragsverarbeiter. Soweit Zoom ein Auftragsverarbeiter ist, erteilt der Kunde Zoom hiermit eine allgemeine Befugnis, Unterauftragnehmer und Unterauftragsverarbeiter gemäß diesem Abschnitt C(4) zu beauftragen.
   1. Der Kunde stimmt zu, dass Zoom die unter https://explore.zoom.us/de/subprocessors/ genannten Anbieter mit der Verarbeitung der personenbezogenen Daten des Kunden beauftragen darf.
   2. Zoom ist berechtigt, Anbieter zu entfernen oder zu ersetzen oder zusätzliche Anbieter zu ernennen. Unter der Voraussetzung, dass der Kunde Aktualisierungen unter https://explore.zoom.us/de/subprocessors/ abonniert, benachrichtigt Zoom den Kunden über jegliche Änderungen dieser Anbieterbeauftragungen. Wo dies nach anwendbaren Datenschutzgesetzen des Bundesstaates erforderlich ist, bietet Zoom dem Kunden auch die Möglichkeit, der Beauftragung in Übereinstimmung mit den Abschnitten C(4)(d) und C(4)(e) dieses Nachtrags zu widersprechen.
   3. Bei einem Notfall bezüglich der Verfügbarkeit oder Sicherheit der Services ist Zoom nicht verpflichtet, den Kunden vorab über die Entfernung, den Ersatz oder die Ernennung von Unterauftragsverarbeitern zu benachrichtigen, muss eine solche Benachrichtigung aber innerhalb von sieben (7) Werktagen nach Änderung eines Unterauftragsverarbeiters bereitstellen.
   4. In jedem Fall ist der Kunde berechtigt, der Beauftragung eines Unterauftragsverarbeiters innerhalb von fünfzehn (15) Werktagen nach Erhalt der vorgenannten Benachrichtigung zu widersprechen.
   5. Wenn der Kunde der Beauftragung eines neuen Unterauftragsverarbeiters widerspricht, hat Zoom das Recht, den Widerspruch durch eine der folgenden Optionen (Auswahl nach alleinigem Ermessen von Zoom) zu heilen:
      1. Zoom darf seine Pläne, den Unterauftragsverarbeiter im Hinblick auf die personenbezogenen Daten des Kunden zu verwenden, abbrechen.
      2. Zoom darf die Korrekturmaßnahmen ergreifen, die der Kunde in seinem Widerspruch gefordert hat (wodurch der Widerspruch des Kunden entfernt wird), und damit fortfahren, den Unterauftragsverarbeiter im Hinblick auf die personenbezogenen Daten des Kunden zu verwenden.
      3. Zoom darf die Bereitstellung des bestimmten Aspektes des Services einstellen, der den Einsatz eines solchen Unterauftragsverarbeiters im Hinblick auf die personenbezogenen Daten des Kunden erfordern würde; der Kunde stimmt gegebenenfalls zu, die Nutzung dieses Aspektes (vorübergehend oder dauerhaft) einzustellen. Zoom stellt dem Kunden eine schriftliche Beschreibung von wirtschaftlich vertretbaren Alternativen zu einer solchen Beauftragung zur Verfügung, sofern diese vorhanden sind; dazu gehören unter anderem auch Änderungen der Services. Wenn Zoom solche Alternativen nicht nach alleinigem Ermessen bereitstellen kann oder der Kunde den bereitgestellten Alternativen nicht zustimmt, können Zoom und der Kunde die Vereinbarung einschließlich dieses Nachtrags mit einer Frist von sechzig (60) Tagen schriftlich kündigen. Die Kündigung befreit den Kunden nicht von Gebühren oder Abgaben, die er Zoom für die Services schuldet, die bis zum Datum des Inkrafttretens der Kündigung gemäß Vereinbarung erbracht wurden.
      4. Wenn der Kunde der Beauftragung eines neuen Unterauftragsverarbeiters nicht innerhalb von 15 Werktagen nach Erhalt der Benachrichtigung von Zoom widerspricht, so gilt dieser neue Unterauftragsverarbeiter als angenommen.
   6. Zoom beauftragt einen Unterauftragsverarbeiter, der personenbezogene Daten des Kunden ausschließlich gemäß einem schriftlichen Vertrag verarbeitet, und fordert den Unterauftragsverarbeiter auf, allen Verpflichtungen nachzukommen, die Zoom in Hinblick auf diese personenbezogenen Daten als Unterauftrag vergibt. Zoom bleibt gegenüber dem Kunden haftbar, wenn der Unterauftragsverarbeiter es versäumt, bei der Erfüllung seiner Pflichten seinen Datenschutzverpflichtungen in demselben Maße nachzukommen, in dem Zoom selbst unter diesem Nachtrag bei solchen Handlungen oder Unterlassungen haftbar wäre.
5. Informationssicherheit. Unter Berücksichtigung des Kontextes der Verarbeitung erhält Zoom im Hinblick auf personenbezogene Daten des Kunden angemessene technische und organisatorische Sicherheitsmaßnahmen aufrecht, um ein dem Risiko entsprechendes Sicherheitsniveau gemäß diesem Nachtrag und wie an anderer Stelle in dieser Vereinbarung ausdrücklich angegeben zu gewährleisten.
6. Compliance-Informationen. Auf zumutbare Anfrage des Kunden hin stellt Zoom dem Kunden in zumutbarem Maße mit geltendem Recht vereinbare und übereinstimmende Informationen in seinem Besitz zur Verfügung, die erforderlich sind, um Zooms Einhaltung seiner Verpflichtungen gemäß diesem Nachtrag nachzuweisen.