Wichtiger Hinweis: Dieser Vertrag zur Auftragsverarbeitung (die „DPA“) ist Bestandteil der Vereinbarung zwischen Apefo Ltd handelnd unter der Bezeichnung Yhost und dem Kunden, der in der jeweiligen Bestellung, im Kundenkonto, in der Auftragsbestätigung, im Statement of Work oder in einer sonstigen verbindlichen Servicevereinbarung bezeichnet ist („Kunde“, „Sie“). Diese DPA gilt, soweit wir im Zusammenhang mit den Services personenbezogene Daten in Ihrem Auftrag als Auftragsverarbeiter oder Service Provider verarbeiten.
Diese DPA dient der Erfüllung der vertraglichen Anforderungen an die Auftragsverarbeitung gemäß Art. 28 DSGVO, UK GDPR sowie vergleichbarer anwendbarer Datenschutzgesetze. Sie ist zusammen mit unseren Terms of Service und unserer Privacy Policy zu lesen.
Mit der Annahme der Terms of Service, der Aufgabe einer Bestellung, der Nutzung der Services oder der elektronischen Annahme dieser DPA über das Kundenportal erklärt sich der Kunde mit dieser DPA einverstanden. Handelt die diese DPA annehmende Person im Namen einer juristischen Person, sichert diese Person zu und gewährleistet, zur rechtsverbindlichen Verpflichtung dieser juristischen Person befugt zu sein.
In dieser DPA haben die nachstehenden Begriffe, sofern sich aus dem Zusammenhang nichts anderes ergibt, die folgende Bedeutung.
Verweise auf „einschließlich“ sind stets als „einschließlich, jedoch nicht abschließend“ zu verstehen. Überschriften dienen lediglich der besseren Lesbarkeit und berühren die Auslegung nicht. Soweit der Kunde selbst als Auftragsverarbeiter für einen Dritten als Verantwortlichen tätig wird, sichert der Kunde zu, ordnungsgemäß befugt zu sein, den Anbieter als Unterauftragsverarbeiter zu beauftragen und die in dieser DPA vorgesehenen Weisungen zu erteilen.
Diese DPA gilt ausschließlich insoweit, als der Anbieter personenbezogene Daten im Auftrag des Kunden im Zusammenhang mit den Services verarbeitet.
Diese DPA gilt nicht für Verarbeitungsvorgänge, bei denen der Anbieter als eigenständiger Verantwortlicher handelt, insbesondere im Zusammenhang mit Kontoverwaltung, Abrechnung, Betrugsprävention, Verifizierung, Missbrauchsbekämpfung, Supportkommunikation, gesetzlicher Compliance sowie eigenen betrieblichen Unterlagen des Anbieters.
Soweit in dieser DPA nichts Abweichendes geregelt ist, bleibt die Vereinbarung in vollem Umfang in Kraft. Im Fall eines Widerspruchs zwischen dieser DPA und einem anderen Bestandteil der Vereinbarung hat diese DPA ausschließlich in Bezug auf datenschutzrechtliche und datenverarbeitungsbezogene Fragen Vorrang. Im Übrigen gilt die Vereinbarung fort.
Gegenstand, Dauer, Art, Zweck und Kategorien der von dieser DPA erfassten Verarbeitung sind in Anlage 1 beschrieben.
Der Anbieter verarbeitet personenbezogene Daten nur für die Dauer der Services und für einen angemessenen betrieblichen Zeitraum, der erforderlich ist, um personenbezogene Daten im Einklang mit der Vereinbarung, dieser DPA und dem anwendbaren Recht zurückzugeben, zu löschen, zu archivieren, zu sichern oder anderweitig ordnungsgemäß zu verwalten.
Im Verhältnis der Parteien zueinander ist der Kunde Verantwortlicher für die in den Kundendaten enthaltenen personenbezogenen Daten, es sei denn, der Kunde handelt selbst als Auftragsverarbeiter im Auftrag eines anderen Verantwortlichen; in diesem Fall handelt der Anbieter als Unterauftragsverarbeiter des Kunden.
Der Anbieter handelt nur in Bezug auf solche personenbezogenen Daten und nur zu den in der Vereinbarung und in dieser DPA beschriebenen begrenzten Zwecken als Auftragsverarbeiter.
Der Kunde bleibt allein dafür verantwortlich, zu beurteilen, ob die Services für seine beabsichtigten Verarbeitungstätigkeiten geeignet sind, eine Rechtsgrundlage für die Verarbeitung festzulegen, Transparenzpflichten zu erfüllen und auf Anfragen betroffener Personen zu reagieren, soweit der Anbieter nicht nach dieser DPA zur Unterstützung verpflichtet ist.
Der Kunde weist den Anbieter an, personenbezogene Daten ausschließlich zu folgenden Zwecken zu verarbeiten:
Der Kunde ist verantwortlich für:
Der Kunde darf den Anbieter nicht anweisen, personenbezogene Daten in einer Weise zu verarbeiten, die rechtswidrig, unverhältnismäßig oder außerhalb des Umfangs der Services liegt.
Der Anbieter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Kunden, es sei denn, der Anbieter ist nach anwendbarem Recht zu einer anderen Verarbeitung verpflichtet. Soweit der Anbieter nach anwendbarem Recht verpflichtet ist, personenbezogene Daten abweichend von den Weisungen des Kunden zu verarbeiten, wird er den Kunden — soweit rechtlich zulässig — vor Durchführung der betreffenden Verarbeitung über diese rechtliche Verpflichtung informieren.
Der Anbieter stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten befugt sind, einer angemessenen Vertraulichkeitspflicht unterliegen, sei es vertraglich, gesetzlich oder aufgrund interner Regelungen, und dass der Zugang zu personenbezogenen Daten auf diejenigen Personen beschränkt ist, die diesen Zugang zur Erbringung der Services benötigen.
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen wird der Anbieter geeignete technische und organisatorische Maßnahmen implementieren und aufrechterhalten, um personenbezogene Daten gegen zufällige oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugang zu schützen. Eine Zusammenfassung dieser Maßnahmen ist in Anlage 2 enthalten.
Der Anbieter wird personenbezogene Daten des Kunden weder verkaufen noch für andere Zwecke als die nach der Vereinbarung, dieser DPA oder dem anwendbaren Recht zulässigen Zwecke aufbewahren, verwenden oder offenlegen.
Der Anbieter stellt dem Kunden diejenigen Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung dieser DPA durch den Anbieter nachzuweisen, vorbehaltlich von Vertraulichkeit, Sicherheit, rechtlichen Privilegien sowie dem Schutz der Informationen und Systeme anderer Kunden.
Der Kunde erteilt dem Anbieter eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern im Zusammenhang mit der Erbringung der Services.
Der Anbieter wird:
Der Anbieter kann Informationen über Unterauftragsverarbeiter über seine rechtlichen Seiten, Kundendokumentationen oder auf Anfrage über den Support bereitstellen und aktualisieren. Hat der Kunde einen berechtigten und dokumentierten datenschutzrechtlichen Einwand gegen einen neuen Unterauftragsverarbeiter, werden die Parteien diesen Einwand nach Treu und Glauben erörtern. Kann der Einwand nicht zu angemessenen kommerziellen Bedingungen ausgeräumt werden, besteht das einzige Rechtsmittel des Kunden darin, den betroffenen Service nicht weiter zu nutzen oder den betroffenen Service gemäß der Vereinbarung zu kündigen.
Der Kunde erkennt an, dass der Anbieter personenbezogene Daten im Vereinigten Königreich, im Europäischen Wirtschaftsraum und in anderen Rechtsordnungen verarbeiten kann, in denen der Anbieter, seine verbundenen Unternehmen, Infrastrukturpartner oder Unterauftragsverarbeiter tätig sind.
Soweit eine Datenübermittlung mit Beschränkung erfolgt, stellt der Anbieter sicher, dass diese Übermittlung einem geeigneten Übermittlungsmechanismus unterliegt, der nach dem anwendbaren Datenschutzrecht anerkannt ist. Dazu können insbesondere ein Angemessenheitsbeschluss, die SCCs, das UK Addendum, verbindliche interne Datenschutzvorschriften oder ein anderer zulässiger Mechanismus gehören.
Soweit erforderlich, gelten die SCCs und gegebenenfalls das UK Addendum als durch Bezugnahme in diese DPA einbezogen und in einer Weise ausgefüllt, die mit dem anwendbaren Datenschutzrecht, den tatsächlichen Rollen der Parteien und den in den Anlagen 1 und 2 beschriebenen Verarbeitungen und Maßnahmen im Einklang steht.
Unter Berücksichtigung der Art der Verarbeitung und soweit vernünftigerweise möglich, leistet der Anbieter dem Kunden angemessene Unterstützung dabei, Anfragen betroffener Personen zur Ausübung ihrer Rechte nach dem anwendbaren Datenschutzrecht zu beantworten.
Erhält der Anbieter unmittelbar von einer betroffenen Person eine Anfrage in Bezug auf personenbezogene Daten, die er im Auftrag des Kunden verarbeitet, kann der Anbieter die betroffene Person an den Kunden verweisen und wird inhaltlich nicht auf die Anfrage eingehen, es sei denn, dies ist nach anwendbarem Recht erforderlich.
Unter Berücksichtigung der Art der Verarbeitung und der dem Anbieter zur Verfügung stehenden Informationen leistet der Anbieter dem Kunden angemessene Unterstützung in Bezug auf:
jeweils nur insoweit, als dies nach dem anwendbaren Datenschutzrecht erforderlich ist und der Kunde diese Verpflichtungen ohne Unterstützung des Anbieters vernünftigerweise nicht erfüllen kann.
Soweit die Unterstützung nicht deshalb erforderlich ist, weil der Anbieter gegen diese DPA oder gegen anwendbares Datenschutzrecht verstoßen hat, kann der Anbieter für umfangreiche oder wiederholte Unterstützungsleistungen, die den Einsatz rechtlicher, technischer oder spezialisierter Compliance-Ressourcen erfordern, angemessene Gebühren verlangen.
Der Anbieter wird den Kunden unverzüglich, nachdem er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat, die personenbezogene Daten betrifft, welche der Anbieter im Auftrag des Kunden verarbeitet, entsprechend informieren.
Diese Mitteilung umfasst, soweit zum jeweiligen Zeitpunkt bekannt:
Der Anbieter kann Informationen stufenweise zur Verfügung stellen, sobald sie vorliegen. Eine Mitteilung nach dieser Klausel stellt kein Eingeständnis eines Verschuldens oder einer Haftung dar.
Der Kunde ist dafür verantwortlich, Kundendaten vor Beendigung der Services zu exportieren.
Nach Kündigung oder Ablauf der betroffenen Services wird der Anbieter nach Wahl des Kunden, sofern diese vor Beendigung oder innerhalb eines vom Anbieter vernünftigerweise festgelegten Zeitraums mitgeteilt wird:
Der Anbieter kann personenbezogene Daten insoweit aufbewahren, als dies nach anwendbarem Recht erforderlich ist, zur Betrugsprävention, zur Einhaltung abrechnungsbezogener Pflichten, zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder wenn die Aufbewahrung in sicheren Archiven, Protokollen oder Backups für einen begrenzten Zeitraum technisch erforderlich ist, sofern diese Daten weiterhin im Einklang mit dieser DPA geschützt bleiben.
Der Kunde kann höchstens einmal innerhalb von zwölf Monaten Informationen anfordern, die vernünftigerweise erforderlich sind, um die Einhaltung dieser DPA durch den Anbieter nachzuweisen.
Genügen diese Informationen vernünftigerweise nicht und hat der Kunde eine sachlich begründete Grundlage für die Annahme, dass der Anbieter diese DPA in wesentlicher Weise verletzt, kann der Kunde eine Prüfung verlangen, wobei folgende Bedingungen gelten:
Nichts in dieser Klausel verpflichtet den Anbieter zur Offenlegung von Informationen, die einem rechtlichen Privileg, Geschäftsgeheimnissen, infrastrukturellen Sicherheitsbeschränkungen oder Vertraulichkeitspflichten gegenüber Dritten oder anderen Kunden unterliegen.
Jede Partei behandelt alle nicht öffentlichen Informationen, die sie im Zusammenhang mit dieser DPA von der anderen Partei erhält und die als vertraulich gekennzeichnet sind oder vernünftigerweise als vertraulich anzusehen sind, vertraulich und verwendet diese Informationen nur zur Durchführung, Ausübung oder Durchsetzung von Rechten aus der Vereinbarung und dieser DPA.
Diese Klausel gilt nicht für Informationen, die:
Die Haftung jeder Partei aus oder im Zusammenhang mit dieser DPA unterliegt den in der Vereinbarung vorgesehenen Ausschlüssen, Beschränkungen, Haftungsausschlüssen, Rechtsbehelfen und Haftungshöchstgrenzen, soweit dies nach anwendbarem Recht zulässig ist.
Nichts in dieser DPA schließt eine Haftung aus oder beschränkt sie, soweit ein solcher Ausschluss oder eine solche Beschränkung nach anwendbarem Recht unzulässig ist, einschließlich zwingender Rechte oder Rechtsbehelfe nach dem anwendbaren Datenschutzrecht.
Soweit das anwendbare Datenschutzrecht einer betroffenen Person ein unmittelbares Klagerecht gegen eine der Parteien einräumt, bleibt jede Partei für den Teil des Schadens verantwortlich, für den sie rechtlich einzustehen hat. Nichts in dieser DPA ist dahin auszulegen, dass Rückgriffsrechte nach dem anwendbaren Datenschutzrecht ausgeschlossen würden.
Diese DPA tritt an dem Tag in Kraft, an dem der Kunde sie erstmals annimmt oder erstmals Services nutzt, die eine Verarbeitung durch den Anbieter im Auftrag des Kunden umfassen, je nachdem, welches Ereignis früher eintritt, und bleibt so lange in Kraft, wie der Anbieter personenbezogene Daten im Auftrag des Kunden im Rahmen der Vereinbarung verarbeitet.
Die Beendigung oder das Auslaufen der Vereinbarung beendet automatisch auch diese DPA, wobei Klauseln, die ihrer Natur nach fortgelten sollen, so lange fortbestehen, wie der Anbieter personenbezogene Daten auftragsgemäß für den Kunden aufbewahrt.
Der Anbieter kann diese DPA ändern, soweit dies vernünftigerweise erforderlich ist, um Änderungen des anwendbaren Rechts, behördlicher Leitlinien, von Unterauftragsverarbeitern, Übermittlungsmechanismen, Sicherheitspraktiken oder der Services Rechnung zu tragen. Der Anbieter veröffentlicht die jeweils aktualisierte Fassung auf seiner Website oder im Kundenportal und aktualisiert das Gültigkeitsdatum sowie die Versionsnummer.
Keine Änderung darf das Schutzniveau für personenbezogene Daten, die nach dieser DPA verarbeitet werden, wesentlich herabsetzen, es sei denn, dies ist nach anwendbarem Recht oder aufgrund einer bindenden behördlichen oder gerichtlichen Entscheidung erforderlich. Bei wesentlichen Änderungen kann der Anbieter über das Kundenportal, einen Hinweis auf der Website oder per E-Mail informieren.
Für diese DPA gelten dasselbe anwendbare Recht und dieselben Streitbeilegungsregelungen wie für die Vereinbarung. Für Kunden außerhalb der Vereinigten Staaten und vorbehaltlich zwingender Rechte nach anwendbarem Recht unterliegt diese DPA dem Recht von England und Wales, und die Gerichte von England und Wales sind zuständig.
Diese DPA kann elektronisch abgeschlossen werden, einschließlich durch Click-Acceptance im Kundenportal, digitale Signatur oder jede andere nach anwendbarem Recht zulässige elektronische Methode. Ein solcher Abschluss ist in demselben Umfang rechtsverbindlich wie eine eigenhändig unterzeichnete Papierfassung.
Die Erbringung von Hosting-, Infrastruktur-, Plattform-, Migrations-, Backup-, Wiederherstellungs-, Support-, Monitoring-, Sicherheits- und verbundenen Leistungen im Rahmen der Vereinbarung.
Für die Laufzeit der jeweiligen Services sowie für einen angemessenen betrieblichen Zeitraum, der erforderlich ist, um personenbezogene Daten im Einklang mit der Vereinbarung, dieser DPA und dem anwendbaren Recht zu exportieren, zurückzugeben, zu löschen, zu sichern, zu archivieren oder anderweitig zu verwalten.
Erhebung, Erfassung, Organisation, Strukturierung, Speicherung, Hosting, Anpassung, Abruf, Einsichtnahme, Übermittlung, Offenlegung durch Übermittlung, sofern vom Kunden veranlasst, Einschränkung, Abgleich, Backup, Wiederherstellung, Löschung und sonstige Verarbeitungen, die zur Erbringung und Absicherung der Services unbedingt erforderlich sind.
Zur Erbringung der Services für den Kunden; zum Hosting und zur Bereitstellung der Kundendaten; zur Aufrechterhaltung von Servicekontinuität, Belastbarkeit und Sicherheit; zur Erbringung vom Kunden angeforderter Supportleistungen; zur Durchführung angeforderter Migrations- und Wiederherstellungsmaßnahmen; sowie zur Einhaltung anwendbaren Rechts.
Der Anbieter verlangt für die Nutzung der Services nicht, dass der Kunde besondere Kategorien personenbezogener Daten oder sonstige besonders sensible Daten hochlädt. Entscheidet sich der Kunde dennoch für die Verarbeitung solcher Daten über die Services, bleibt er allein dafür verantwortlich, sicherzustellen, dass die Services, die Sicherheitskonfiguration und die Rechtsgrundlage für eine solche Nutzung geeignet sind.
Die nachstehenden Maßnahmen beschreiben den allgemeinen Sicherheitsansatz des Anbieters. Konkrete Kontrollen können je nach Service-Tier, gebuchten Funktionen, Infrastrukturdesign sowie der Rolle autorisierter Infrastrukturpartner und Unterauftragsverarbeiter variieren.
Falls Sie eine unterzeichnete PDF-Fassung dieser DPA, zusätzliche Compliance-Informationen oder eine aktuelle Liste der Unterauftragsverarbeiter benötigen, kontaktieren Sie uns bitte über das Kundenportal oder unter [email protected].
Abonnieren Sie, um exklusive Angebote und Updates per E-Mail zu erhalten
Der Hosting-Anbieter Yhost nutzt die neuesten Technologien, um Ihnen die leistungsstärksten Server zur Verfügung zu stellen. Beste Web- und VPS-Hosting-Dienste, Cloud und NVMe VPS.
Copyright © 2014‐2026 Yhost Hosting. All Rights Reserved
