Dies ist eine Übersetzung der englischen Originalfassung unserer Rechtsdokumente. Obwohl wir alle möglichen Vorsichtsmaßnahmen getroffen haben, eine genaue Übersetzung anzufertigen, ist die englische Fassung maßgebend, wenn es zwischen den zwei Versionen Abweichungen bestehen. Der original Rechtstexte kann hier gefunden werden.

1. Einführung und Umfang

  1. Dieser Nachtrag zur Verarbeitung von Daten (Nachtrag zur Datenverarbeitung – Data Processing Addendum – „DPA“) ist Teil der Nutzungsbedingungen, der Datenschutzrichtlinie und anderer maßgeblicher Richtlinien und Vereinbarungen, die sich auf der Website von Kinsta unter https://kinsta.com/legal/ (die „Vereinbarung“) befinden. Im Falle eines Konflikts zwischen den Bestimmungen diesem DPA und anderen Bestimmungen der Vereinbarung (außer diesem DPA) haben die Bestimmungen dieses DPA Vorrang.
  2. Dieses DPA ist eine verbindliche Vereinbarung zwischen Kinsta und den Kunden von Kinsta, aber nur in dem Umfang, in dem (a) Kinsta personenbezogene Kundendaten (wie nachfolgend definiert) für oder im Namen des Kunden gemäß der Vereinbarung (b) verarbeitet und die Datenschutzgesetze für diese personenbezogenen Kundendaten gelten. Wenn Sie unsere Dienste in irgendeiner Weise nutzen, erklären Sie sich mit den Bedingungen dieses DPA einverstanden.

2. Definitionen

Großgeschriebene Begriffe, die hier nicht definiert sind, haben die Bedeutung, die ihnen an anderer Stelle in der Vereinbarung zugeschrieben ist. Darüber hinaus gelten die folgenden definierten Begriffe ausschließlich in Bezug auf dieses DPA.

  1. Datenverantwortlicher„, „Datenverarbeiter„, „Betroffene Person„, „Verarbeitung„, „personenbezogene Daten“ und „„personenbezogene Daten betreffender Zwischenfall“ haben die ihnen in den Datenschutzgesetzen zugeschriebene Bedeutung.
  2. Personenbezogene Daten des Kunden“ sind alle personenbezogenen Daten, für welche die Datenschutzgesetze gelten und die der Kunde Kinsta im Zusammenhang mit den Diensten zur Verfügung stellt, überträgt oder zugänglich macht.
  3. Datenschutzgesetze“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 und alle ähnlichen oder verwandten Durchführungsvorschriften der Mitgliedstaaten der Europäischen Union oder des Europäischen Wirtschaftsraums, des Vereinigten Königreichs oder der Schweiz.

3. Rollen der Parteien

  1. Der Kunde ist der Datenverantwortliche und Kinsta ist der Datenverarbeiter in Bezug auf die personenbezogenen Daten des Kunden. Kinsta verarbeitet personenbezogene Daten des Kunden ausschließlich gemäß den dokumentierten Anweisungen des Kunden, welche die Bestimmungen der Vereinbarung enthalten, es sei denn, die Einhaltung von Datenschutzgesetzen erfordert etwas anderes. Wir werden Sie informieren, wenn Ihre Anweisungen unserer Meinung nach gegen die Datenschutzgesetze verstoßen.
  2. Der Kunde und Kinsta befolgen die Datenschutzgesetze. Der Kunde muss alle erforderlichen Genehmigungen, Zustimmungen, Freigaben oder Erlaubnisse einholen und alle erforderlichen Datenschutzhinweise in Bezug auf die personenbezogenen Daten des Kunden bereitstellen. Zur Klarstellung weisen wir darauf hin, dass der Kunde die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit aller personenbezogenen Daten des Kunden und die Grundlagen, auf denen sie von der betroffenen Person gesammelt werden, trägt.

4. Art, Zweck und Dauer der Verarbeitung

  1. Kinsta verarbeitet personenbezogene Daten von Kunden, soweit dies für die Erbringung der Dienste, die im Allgemeinen auf das passive Hosting von Kunden-Websites beschränkt sind, oder zum Schutz der gesetzlichen Rechte von Kinsta erforderlich ist, für die Dauer der Vereinbarung, falls nichts anderes schriftlich vereinbart wurde. Die Übertragung von personenbezogenen Kundendaten an Kinsta in Verbindung mit den Diensten wird vom Kunden nach seinem eigenem Ermessen bestimmt und kontrolliert.
  2. Kinsta kann die folgenden Kategorien von personenbezogenen Kundendaten verarbeiten: alle personenbezogenen Daten, die von betroffenen Personen, die Endbenutzer sind, in Verbindung mit Kunden-Websites gesammelt, verwendet oder anderweitig verarbeitet werden.
  3. Kinsta kann personenbezogene Kundendaten aus den folgenden Kategorien von betroffenen Personen verarbeiten: Endbenutzer von Kunden-Websites.

5. Grenzüberschreitende Übertragungen

  1. Sie wählen das Datenzentrum bzw. die Datenzentren der Google Cloud Platform, wo Ihre Websites gehostet werden. Sie betätigen, stimmen zu und verstehen, dass (a) alle Ihre personenbezogenen Kundendaten automatisch übertragen und in dem von Ihnen gewählten Google-Datenzentrum gespeichert werden und (b) die personenbezogenen Kundendaten je nach Ihrer Wahl aus dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich oder der Schweiz in das Land, in dem sich das Google-Datenzentrum befindet, übertragen werden können.
  2. Kinsta und Google haben den Datenverarbeitungs- und Sicherheitsbedingungen der Google Cloud Platform und den EU-Mustervertragsklauseln zugestimmt. Weitere Informationen finden Sie in den Erklärungen von Google in Bezug auf grenzüberschreitende Übertragungen im Abschnitt „Internationaler Datentransfer“ unter dieser Adresse: https://cloud.google.com/security/gdpr/.
  3. Der Kunde ermächtigt Kinsta auch, personenbezogene Kundendaten zum Zweck der Bereitstellung der Dienste an eine Gerichtsbarkeit außerhalb des EWR zu übertragen, wenn entweder (a) eine Angemessenheitsfeststellung im Rahmen der Datenschutzgesetze getroffen wurde, dass die betreffende Gerichtsbarkeit einen angemessenen Schutzniveau bietet, oder (b) andere geeignete Schutzmaßnahmen wie Standardvertragsklauseln oder ein Datenschutzschild, wie jeweils zutreffend, vorhanden sind.

6. Unterauftragsverarbeiter

  1. Kinsta beauftragt externe Subunternehmer („Unterauftragsverarbeiter„), welche die personenbezogenen Daten der Kunden für die Erbringung der Dienste verarbeiten. Eine aktuelle Liste der Unterauftragsverarbeiter steht unten in Anhang A zur Verfügung. Der Kunde bevollmächtigt Kinsta, diese Unterauftragsverarbeiter zum Zwecke der Bereitstellung der Dienste zu beauftragen.
  2. Kinsta kann die Liste der Unterauftragsverarbeiter in Anhang A von Zeit zu Zeit aktualisieren, und solche Aktualisierungen ist die einzige Möglichkeit, den Kunden über Änderungen der Unterauftragsverarbeiter zu informieren. Der Kunde ist dafür verantwortlich, die Liste der Unterauftragsverarbeiter in Anhang A regelmäßig zu überprüfen und zu kontrollieren. Ein Versäumnis des Kunden, innerhalb von vierzehn (14) Tagen nach der Entsendung des neuen Unterauftragsverarbeiters durch Kinsta schriftlich Einspruch gegen einen neuen Unterauftragsverarbeiter zu erheben, stellt die Genehmigung des neuen Unterauftragsverarbeiters durch den Kunden dar.
  3. Wenn Kinsta nach eigenem Ermessen feststellt, dass es dem rechtzeitigen Einspruch des Kunden gegen einen Unterauftragsverarbeiter nicht in angemessener Weise nachkommen kann, kann der Kunde nach Mitteilung von Kinsta die Vereinbarung gemäß den Kündigungsklauseln in den Allgemeinen Geschäftsbedingungen kündigen, was das einzige und ausschließliche Rechtsmittel des Kunden darstellt.
  4. Kinsta erlegt seinen Unterauftragsverarbeitern in Form eines schriftlichen Vertrags Verpflichtungen auf, die den in diesem DPA festgelegten Pflichten entsprechen oder ihnen im Wesentlichen gleichwertig sind. Kinsta haftet gegenüber dem Kunden für die Erfüllung der Datenschutzverpflichtungen der Unterauftragsverarbeiter in Bezug auf die personenbezogenen Daten des Kunden.

7. Sicherheit und Folgenabschätzungen

  1. Kinsta stellt sicher, dass für das Personal von Kinsta verbindliche Vertraulichkeitsverpflichtungen in Bezug auf personenbezogene Kundendaten gelten.
  2. Unter Berücksichtigung des Standes der Technik, der Kosten der Umsetzung und der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten der betroffenen Personen setzt Kinsta geeignete technische und organisatorische Maßnahmen um, die ein dem Risiko angemessenes Sicherheitsniveau gewährleisten.
  3. Unter Berücksichtigung der Art der Verarbeitung und der Kinsta zur Verfügung stehenden Informationen unterstützt Kinsta den Kunden dabei, die Einhaltung der Verpflichtungen des Kunden gemäß den Datenschutzgesetzen in Bezug auf Sicherheit, Folgenabschätzungen und Beratungen mit Aufsichts- oder Regulierungsbehörden zu gewährleisten.

8. Verletzungen des Schutzes personenbezogener Daten

  1. Unter Berücksichtigung der Art der Verarbeitung und der Kinsta zur Verfügung stehenden Informationen unterstützt Kinsta den Kunden dabei, die Einhaltung der Verpflichtungen des Kunden gemäß den Datenschutzgesetzen in Bezug auf eine Verletzung des Schutzes von personenbezogenen Daten sicherzustellen.
  2. Im Falle einer festgestellten Verletzung des Schutzes von personenbezogenen Daten wird Kinsta die technischen und kontobezogenen Kontakte des Kunden unverzüglich benachrichtigen und dabei die Möglichkeiten verwenden, die für die routinemäßige kontobezogene Kommunikation eingerichtet wurden.
  3. Unsere Mitteilung enthält die folgenden Informationen, soweit sie Kinsta zum Zeitpunkt der Mitteilung in angemessener Weise zur Verfügung stehen, und Kinsta aktualisiert diese Mitteilung, sobald zusätzliche Informationen in angemessener Weise verfügbar werden: (a) Datum und Uhrzeit der Verletzung des Schutzes von personenbezogenen Daten; (b) die grundlegenden Fakten, die der Aufdeckung der Verletzung des Schutzes von personenbezogenen Daten bzw. der Entscheidung, eine Untersuchung zu einer mutmaßlichen Verletzung des Schutzes von personenbezogenen Daten einzuleiten, zugrunde liegen; (c) eine Beschreibung der personenbezogenen Daten des Kunden, welche die Verletzung des Schutzes von personenbezogenen Daten betrifft, entweder speziell oder unter Bezugnahme auf den/die Datensatz/e, und (d) die geplanten oder laufenden Maßnahmen zur Behebung oder Minderung der Schwachstelle, welche die Verletzung des Schutzes der personenbezogenen Daten verursacht hat.

9. Anfragen von betroffenen Personen

  1. Unter Berücksichtigung der Art der Verarbeitung unterstützt Kinsta den Kunden durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Verpflichtung des Kunden, auf Anfragen zur Ausübung der Rechte der betroffenen Person gemäß den Datenschutzgesetzen zu reagieren.
  2. Kinsta benachrichtigt den Kunden unverzüglich, wenn wir eine Anfrage von einer betroffenen Person erhalten, ihre Rechte in Bezug auf personenbezogene Daten des Kunden geltend zu machen, es sei denn, dies ist nach geltendem Recht verboten; weiterhin werden wir außer in dem durch das geltende Recht vorgeschriebenen Umfang ohne vorherige schriftliche Anweisung des Kunden keine eigenständigen Maßnahmen als Reaktion auf eine Anfrage einer betroffenen Person ergreifen.

10. Prüfung und Inspektion

  1. Vorbehaltlich und gemäß den Bedingungen einer schriftlichen Geheimhaltungsvereinbarung stellt Kinsta dem Kunden die Informationen zur Verfügung, die vernünftigerweise für den Nachweis der Einhaltung der in dieser DPA festgelegten Verpflichtungen erforderlich sind.
  2. Alle Prüfungen vor Ort (i) unterliegen einer angemessenen schriftlichen Vorankündigung von mindestens sechzig (60) Tagen an Kinsta; (ii) unterliegen einer schriftlichen Geheimhaltungsvereinbarung und einem detaillierten schriftlichen Prüfplan, der von Kinsta untersucht und vorab genehmigt wird; (iii) sind auf eine Prüfung alle drei (3) Kalenderjahre beschränkt; (iv) gehen zu alleinigen Lasten des Kunden; (v) sind in Umfang und Zweck begrenzt, um einen speziell identifizierten Verdacht auf eine Nichteinhaltung der Bestimmungen dieses DPA durch Kinsta zu beurteilen, und nur nachdem der Kunde alle anderen angemessenen Mittel, wie von Kinsta bestimmt, ausgeschöpft hat; und (vi) in Anwesenheit eines Kinsta-Vertreters durchzuführen, ohne die Geschäftstätigkeit von Kinsta unangemessen zu stören.

11. Löschung oder Rückgabe von personenbezogenen Kundendaten

Nach ordnungsgemäßer Beendigung des Vertrags und auf schriftliche Anweisung des Kunden wird Kinsta angemessene Maßnahmen ergreifen, um personenbezogene Kundendaten zu löschen oder personenbezogene Kundendaten und Kopien davon an den Kunden zurückzugeben, vorbehaltlich geltendender Gesetze, die eine weitere Speicherung der personenbezogenen Kundendaten durch Kinsta vorschreiben.

Anhang A

Liste der Unterprozessoren