Aktualisiert am: 25. Oktober 2022

1. Einführung und Umfang

  1. Dieser Zusatz zur Datenverarbeitung („DPA„) ist ein Zusatz zu den Allgemeinen Geschäftsbedingungen („AGB„). Alle Bestimmungen der Nutzungsbedingungen gelten für diese DPA und sind in diese integriert. Sollte es jedoch einen Konflikt zwischen dieser DPA und den Bestimmungen der Nutzungsbedingungen geben, gelten die Bestimmungen dieser DPA.
  2. Diese DPA gilt für Kunden nur, wenn und soweit (a) Kinsta personenbezogene Daten des Kunden (wie unten definiert) für oder im Namen des Kunden gemäß dem Vertrag verarbeitet (b) und die Datenschutzgesetze auf diese personenbezogenen Daten des Kunden Anwendung finden.
  3. Aktualisierungen der DPA. Wir behalten uns das Recht vor, diese DPA jederzeit nach unserem alleinigen Ermessen zu ändern. Wenn wir Änderungen an dieser DPA vornehmen, werden wir Sie über diese Änderungen informieren, indem wir das Datum am Anfang dieser DPA ändern. Durch die fortgesetzte Nutzung unserer Dienste nach der Benachrichtigung über Änderungen erklären Sie sich mit diesen Änderungen einverstanden. Bitte überprüfen Sie diese DPA regelmäßig auf etwaige Aktualisierungen.

2. Definitionen

Begriffe in Großbuchstaben, die in dieser DPA nicht definiert sind, haben die an anderer Stelle in der Vereinbarung festgelegte Bedeutung. Darüber hinaus gelten die folgenden definierten Begriffe ausschließlich in Bezug auf dieses DPA.

  1. Datenverantwortlicher„, „Datenverarbeiter„, „Betroffene Person„, „Verarbeitung„, „personenbezogene Daten“ und „„personenbezogene Daten betreffender Zwischenfall“ haben die ihnen in den Datenschutzgesetzen zugeschriebene Bedeutung.
  2. Personenbezogene Daten des Kunden“ sind alle den Datenschutzgesetzen unterliegenden personenbezogenen Daten des Endnutzers, die der Kunde Kinsta in Verbindung mit den Diensten zur Verfügung stellt, übermittelt oder zugänglich macht.
  3. Datenschutzgesetze” bezeichnet die EU-Datenschutzgrundverordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (“GDPR”), den UK Data Protection Act 2018 und die UK GDPR, das Schweizer Datenschutzgesetz sowie alle anwendbaren nationalen Umsetzungsgesetze zu diesen Gesetzen, jeweils in der jeweils geänderten, ersetzten oder ersetzten Fassung.

3. Rollen der Parteien

  1. Der Kunde ist der Datenverantwortliche und Kinsta ist der Datenverarbeiter in Bezug auf die personenbezogenen Daten des Kunden. Kinsta verarbeitet personenbezogene Daten des Kunden ausschließlich gemäß den dokumentierten Anweisungen des Kunden, welche die Bestimmungen der Vereinbarung enthalten, es sei denn, die Einhaltung von Datenschutzgesetzen erfordert etwas anderes. Wir werden Sie informieren, wenn Ihre Anweisungen unserer Meinung nach gegen die Datenschutzgesetze verstoßen.
  2. Der Kunde und Kinsta befolgen die Datenschutzgesetze. Der Kunde muss alle erforderlichen Genehmigungen, Zustimmungen, Freigaben oder Erlaubnisse einholen und alle erforderlichen Datenschutzhinweise in Bezug auf die personenbezogenen Daten des Kunden bereitstellen. Zur Klarstellung weisen wir darauf hin, dass der Kunde die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit aller personenbezogenen Daten des Kunden und die Grundlagen, auf denen sie von der betroffenen Person gesammelt werden, trägt.

4. Art, Zweck und Dauer der Verarbeitung

  1. Kinsta verarbeitet die personenbezogenen Daten des Kunden, soweit dies für die Erbringung der Leistungen – die sich im Allgemeinen auf das passive Hosting der Kundenanwendungen und den damit verbundenen Support beschränken – oder zum Schutz der gesetzlichen Rechte von Kinsta erforderlich ist, und zwar für die Dauer des Vertrags, sofern nichts anderes schriftlich vereinbart wurde.
  2. Die Übertragung von personenbezogenen Kundendaten an Kinsta in Verbindung mit den Diensten wird vom Kunden nach seinem eigenem Ermessen bestimmt und kontrolliert.
  3. Kinsta kann die folgenden Kategorien personenbezogener Daten von Kunden verarbeiten: alle personenbezogenen Daten, die von Endnutzern von Kundenanwendungen erhoben, verwendet oder anderweitig verarbeitet werden.
  4. Kinsta kann personenbezogene Daten von Kunden aus den folgenden Kategorien von betroffenen Personen verarbeiten: Endnutzer von Kundenanwendungen.

5. Grenzüberschreitende Transfers

  1. Sie wählen das/die Rechenzentrum(e) der Google Cloud Platform aus, in dem Ihre Kundenanwendungen gehostet werden sollen. Sie bestätigen, stimmen zu und nehmen zur Kenntnis, dass (a) alle persönlichen Daten Ihrer Kunden automatisch in das von Ihnen gewählte Rechenzentrum von Google übertragen und dort gespeichert werden und (b) die persönlichen Daten der Kunden je nach Ihrer Wahl aus dem Europäischen Wirtschaftsraum („EWR“), dem Vereinigten Königreich oder der Schweiz in das Land übertragen werden können, in dem sich das Rechenzentrum von Google befindet.
  2. Kinsta und Google haben den Bedingungen der Google Cloud Platform für Datenverarbeitung und Sicherheit sowie den EU-Mustervertragsklauseln zugestimmt. Weitere Informationen finden Sie in Googles Verpflichtungen bezüglich grenzüberschreitender Übertragungen im Abschnitt „Internationaler Datentransfer“ hier: https://cloud.google.com/security/gdpr/.
  3. Der Kunde autorisiert die Übertragung von persönlichen Kundendaten an eine beliebige Gerichtsbarkeit außerhalb des EWR, einschließlich der Vereinigten Staaten, zum Zweck der Bereitstellung der Dienstleistungen. Als Controller und/oder Exporteur von persönlichen Kundendaten ist der Kunde dafür verantwortlich, dass solche Übertragungen den Datenschutzgesetzen entsprechen.

6. Unterauftragsverarbeiter

  1. Kinsta beauftragt dritte Unterauftragnehmer, die personenbezogene Daten des Kunden verarbeiten („Unterauftragsverarbeiter„), mit der Erbringung der Dienste. Eine aktuelle Liste der Unterauftragsverarbeiter finden Sie in Anhang A der Online-DSGVO von Kinsta, die Sie hier finden: https://kinsta.com/de/legal/nachtrag-datenverarbeitung/ (die „Liste der Unterauftragsverarbeiter„). Der Kunde bevollmächtigt Kinsta, diese Unterauftragsverarbeiter zum Zwecke der Bereitstellung der Dienste zu beauftragen.
  2. Kinsta kann die Liste der Unterauftragsverarbeiter von Zeit zu Zeit aktualisieren, und solche Aktualisierungen sind das einzige Mittel, um den Kunden über Änderungen bei den Unterauftragsverarbeitern zu informieren. Der Kunde ist dafür verantwortlich, die Liste der Unterauftragsverarbeiter regelmäßig zu überprüfen und zu kontrollieren. Widerspricht der Kunde einem neuen Unterauftragsverarbeiter nicht schriftlich innerhalb von vierzehn (14) Tagen, nachdem Kinsta den neuen Unterauftragsverarbeiter in die Liste der Unterauftragsverarbeiter aufgenommen hat, gilt dies als Zustimmung des Kunden zu dem neuen Unterauftragsverarbeiter.
  3. Wenn Kinsta nach eigenem Ermessen feststellt, dass es dem rechtzeitigen Einspruch des Kunden gegen einen Unterauftragsverarbeiter nicht in angemessener Weise nachkommen kann, kann der Kunde nach Mitteilung von Kinsta die Vereinbarung gemäß den Kündigungsklauseln in den Allgemeinen Geschäftsbedingungen kündigen, was das einzige und ausschließliche Rechtsmittel des Kunden darstellt.
  4. Kinsta erlegt seinen Unterauftragsverarbeitern in Form eines schriftlichen Vertrags Verpflichtungen auf, die den in diesem DPA festgelegten Pflichten entsprechen oder ihnen im Wesentlichen gleichwertig sind. Kinsta haftet gegenüber dem Kunden für die Erfüllung der Datenschutzverpflichtungen der Unterauftragsverarbeiter in Bezug auf die personenbezogenen Daten des Kunden.

7. Sicherheit und Folgenabschätzungen

  1. Kinsta stellt sicher, dass für das Personal von Kinsta verbindliche Vertraulichkeitsverpflichtungen in Bezug auf personenbezogene Kundendaten gelten.
  2. Unter Berücksichtigung des Standes der Technik, der Kosten der Umsetzung und der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten der betroffenen Personen setzt Kinsta geeignete technische und organisatorische Maßnahmen um, die ein dem Risiko angemessenes Sicherheitsniveau gewährleisten.
  3. Unter Berücksichtigung der Art der Verarbeitung und der Kinsta zur Verfügung stehenden Informationen unterstützt Kinsta den Kunden dabei, die Einhaltung der Verpflichtungen des Kunden gemäß den Datenschutzgesetzen in Bezug auf Sicherheit, Folgenabschätzungen und Beratungen mit Aufsichts- oder Regulierungsbehörden zu gewährleisten.

8. Verletzungen des Schutzes personenbezogener Daten

  1. Unter Berücksichtigung der Art der Verarbeitung und der Kinsta zur Verfügung stehenden Informationen unterstützt Kinsta den Kunden dabei, die Einhaltung der Verpflichtungen des Kunden gemäß den Datenschutzgesetzen in Bezug auf eine Verletzung des Schutzes von personenbezogenen Daten sicherzustellen.
  2. Im Falle einer festgestellten Verletzung des Schutzes von personenbezogenen Daten wird Kinsta die technischen und kontobezogenen Kontakte des Kunden unverzüglich benachrichtigen und dabei die Möglichkeiten verwenden, die für die routinemäßige kontobezogene Kommunikation eingerichtet wurden.
  3. Unsere Mitteilung enthält die folgenden Informationen, soweit sie Kinsta zum Zeitpunkt der Mitteilung in angemessener Weise zur Verfügung stehen, und Kinsta aktualisiert diese Mitteilung, sobald zusätzliche Informationen in angemessener Weise verfügbar werden: (a) Datum und Uhrzeit der Verletzung des Schutzes von personenbezogenen Daten; (b) die grundlegenden Fakten, die der Aufdeckung der Verletzung des Schutzes von personenbezogenen Daten bzw. der Entscheidung, eine Untersuchung zu einer mutmaßlichen Verletzung des Schutzes von personenbezogenen Daten einzuleiten, zugrunde liegen; (c) eine Beschreibung der personenbezogenen Daten des Kunden, welche die Verletzung des Schutzes von personenbezogenen Daten betrifft, entweder speziell oder unter Bezugnahme auf den/die Datensatz/e, und (d) die geplanten oder laufenden Maßnahmen zur Behebung oder Minderung der Schwachstelle, welche die Verletzung des Schutzes der personenbezogenen Daten verursacht hat.

9. Anfragen von betroffenen Personen

  1. Unter Berücksichtigung der Art der Verarbeitung unterstützt Kinsta den Kunden durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Verpflichtung des Kunden, auf Anfragen zur Ausübung der Rechte der betroffenen Person gemäß den Datenschutzgesetzen zu reagieren.
  2. Kinsta benachrichtigt den Kunden unverzüglich, wenn wir eine Anfrage von einer betroffenen Person erhalten, ihre Rechte in Bezug auf personenbezogene Daten des Kunden geltend zu machen, es sei denn, dies ist nach geltendem Recht verboten; weiterhin werden wir außer in dem durch das geltende Recht vorgeschriebenen Umfang ohne vorherige schriftliche Anweisung des Kunden keine eigenständigen Maßnahmen als Reaktion auf eine Anfrage einer betroffenen Person ergreifen.

10. Prüfung und Inspektion

  1. Vorbehaltlich und gemäß den Bedingungen einer schriftlichen Geheimhaltungsvereinbarung stellt Kinsta dem Kunden die Informationen zur Verfügung, die vernünftigerweise für den Nachweis der Einhaltung der in dieser DPA festgelegten Verpflichtungen erforderlich sind.
  2. Jegliche Prüfungen sind (i) an eine angemessene schriftliche Vorankündigung von mindestens sechzig (60) Tagen an Kinsta gebunden; (ii) an eine schriftliche Vertraulichkeits- und Geheimhaltungsvereinbarung und einen detaillierten schriftlichen Prüfungsplan, der von Kinsta überprüft und vorab genehmigt wurde, gebunden; (iii) auf einmal alle drei (3) Kalenderjahre beschränkt; (iv) auf Kosten des Kunden; (v) in Umfang und Zweck auf die Bewertung eines spezifisch identifizierten mutmaßlichen Versäumnisses von Kinsta, die Bestimmungen dieser DPA einzuhalten, beschränkt und nur, nachdem der Kunde alle anderen angemessenen Mittel, wie von Kinsta bestimmt, ausgeschöpft hat; und (vi) in virtueller oder physischer Anwesenheit eines Vertreters von Kinsta, ohne den Geschäftsbetrieb von Kinsta unangemessen zu stören.

11. Löschung oder Rückgabe von personenbezogenen Kundendaten

Nach ordnungsgemäßer Beendigung des Vertrags und auf schriftliche Anweisung des Kunden wird Kinsta angemessene Maßnahmen ergreifen, um personenbezogene Kundendaten zu löschen oder personenbezogene Kundendaten und Kopien davon an den Kunden zurückzugeben, vorbehaltlich geltendender Gesetze, die eine weitere Speicherung der personenbezogenen Kundendaten durch Kinsta vorschreiben.

Anhang A

Liste der Unterprozessoren

  • Cloudflare: Wir verwenden Cloudflare zur Sicherung und Verbesserung der Leistung der Dienste.
  • Google Cloud Platform: Wir nutzen Google Cloud Platform zum Hosten und Sichern von Kundenanwendungen und zum Speichern von Daten im Zusammenhang mit Kundenanwendungen.
  • Google Workspace: Wir verwenden Google Workspace-Anwendungen, um E-Mail-Kommunikation zu verarbeiten und Online-Dokumente zu verwalten.
  • Intercom: Wir verwenden Intercom, um mit unseren Kunden zu kommunizieren und Support zu leisten.
  • Mailchannels: Mailchannels ist ein SMTP-Anbieter, der transaktionale E-Mails von Kundenanwendungen aus versendet.
  • Migrate Guru: Unser Migrations-Team kann Migrate Guru verwenden, um Kundenanwendungen für Kunden zu migrieren, die verwaltete WordPress-Hosting-Pläne abonniert haben, mit der Erlaubnis des Kunden.