SITEGROUND DATENVERARBEITUNGSVEREINBARUNG

Diese Datenverarbeitungsvereinbarung (diese „DVV“) wird zwischen SiteGround Spain S.L. („SiteGround“, „wir“) und dem Kunden („Kunde“, „Sie“) geschlossen, gemeinsam als „Parteien“ bezeichnet. Diese Vereinbarung („DVV“) bildet einen integralen Bestandteil der Diensleistungsbedingungen, der Datenschutzerklärung und anderer relevanter Richtlinien, die hier verfügbar sind. Der Kunde, der diesen Bedingungen zustimmt, tritt in diese DVV in seinem eigenen Namen und in dem Umfang ein, der nach den geltenden Datenschutzbestimmungen und -gesetzen erforderlich ist und soweit SiteGround Kundendaten auf Anweisung des für die Verarbeitung Verantwortlichen (wie in Abschnitt 1 definiert) verarbeitet.

Im Rahmen der Erbringung der Dienstleistungen für den Kunden kann SiteGround Kundendaten im Namen des Kunden verarbeiten. Die Parteien verpflichten sich, die folgenden Bestimmungen in Bezug auf die Kundendaten einzuhalten, wobei sie jeweils angemessen und in gutem Glauben handeln. 

1. Begriffsbestimmungen

Sofern in dieser DVV nicht anders definiert, haben diese Begriffe die nachstehend angegebene Bedeutung:

„Vereinbarung“ bezeichnet die auf unserer Website veröffentlichten Diensleistungsbedingungen und andere relevante Richtlinien, zusammen mit Ihrem Auftrag für den Erwerb von Dienstleistungen und der von SiteGround gesendeten Auftragsbestätigung. 

“Auftrag” bezeichnet den Kundenauftrag zum Erwerb der jeweiligen Dienstleistungen. 

“Website” bezeichnet die SiteGround Website und alle Dienstleistungen, die wir über unsere Website anbieten.

“Dienstleistungen” bezeichnet alle von uns angebotenen und vom Kunden erworbenen Hosting-Services, die die Verarbeitung personenbezogener Daten durch SiteGround beinhalten könnten.

“Partner” bedeutet jedes Unternehmen, das direkt oder indirekt die SiteGround Gesellschaft kontrolliert, von SiteGround kontrolliert wird oder unter gemeinsamer Kontrolle mit SiteGround steht. „Kontrollieren“ bedeutet im Rahmen dieser Definition die direkte oder indirekte Eigentümerschaft bzw. die Kontrolle über mehr als 50 % der Stimmrechtsanteile an dem betreffenden Rechtssubjekt.

“Zusätzliche Produkte” bedeutet alle Funktionen, Produkte, Software, Programme, Add-Ons, Plugins, Skripte, Tools oder jegliche Software oder Inhalte von Dritten, die nicht Teil der Dienstleistungen sind, aber über den SiteGround-Benutzerbereich oder das Control Panel zugänglich sind, vom Kunden installiert werden oder anderweitig für die Nutzung der Services verwendet werden können.

„DSGVO“ bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

“Verantwortlicher“ ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von Kundendaten entscheidet;    

“Kundendaten“ sind alle „personenbezogenen Daten“, die SiteGround vom Kunden oder im Namen des Kunden durch die Nutzung der Dienstleistungen zur Verfügung gestellt werden und die im Konto des Kunden gespeichert sind (um Zweifel auszuschließen, werden personenbezogene Daten, die Teil des Auftrags des Kunden zum Erwerb des jeweiligen Service sind, nicht als Kundendaten behandelt). Kundendaten können Kundendaten im Sinne der DSGVO umfassen, sind aber nicht darauf beschränkt.

“Personenbezogene Daten” hat die Bedeutung, die in Artikel 4 der DSGVO angegeben ist. 

“Datenschutzbestimmungen und -gesetze“ bezeichnet alle Bestimmungen und Gesetze, einschließlich der Gesetze und Bestimmungen der Europäischen Union, des Europäischen Wirtschaftsraums und ihrer Mitgliedsstaaten, der Schweiz und des Vereinigten Königreichs, die auf die Verarbeitung von Kundendaten im Rahmen dieser DVV anwendbar sind.

“Betroffene Person“ bezeichnet die identifizierte oder identifizierbare Person, auf die sich die Kundendaten beziehen.

“Datum des Inkrafttretens” bedeutet gegebenenfalls:

  1. der 25. Mai 2018, wenn der Kunde die Bestellung(en) ausgeführt und die Vereinbarungen akzeptiert hat oder die Parteien dieser DVV in Bezug auf die jeweilige Vereinbarung vor oder an diesem Datum anderweitig zugestimmt haben; oder 

  2. das Datum, an dem der Kunde geklickt hat, um den Vertrag anzunehmen, oder die Parteien dieser DVV in Bezug auf den betreffenden Vertrag anderweitig zugestimmt haben, wenn dieses Datum nach dem 25. Mai 2018 liegt.

“Verarbeitung”  hat die Bedeutung, die in Artikel 4 der DSGVO angegeben ist.

“Auftragsverarbeiter” bezeichnet die juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

“SiteGround” bezeichnet die SiteGround-Entität, die eine Partei dieser DVV ist, wie im Abschnitt angegeben, eine im Königreich Spanien eingetragene Gesellschaft (Registrierungsnummer CIF: B87194171), mit Anschrift: Calle de Prim 19, 28004 Madrid, Spanien.

“SiteGround Unternehmensgruppe” bezeichnet SiteGround und die mit ihr verbundenen Parteien, die an der Verarbeitung von Kundendaten beteiligt sind:

“Standardvertragsklauseln” oder “SVK” sind die Standarddatenschutzklauseln für die Übertragung von Kundendaten, wie in Artikel 46, S. 2, c) der DSGVO, Anhang 1 zu dieser DVV beschrieben.

“Unterauftragsverarbeiter” bezeichnet jeden von SiteGround oder einem Mitglied der SiteGround Gruppe beauftragten Auftragsverarbeiter.

“Aufsichtsbehörde” ist eine unabhängige öffentliche Einrichtung im Hoheitsgebiet eines EU-Mitgliedstaates und mit Sitz in Spanien gemäß der DSGVO. 

“Laufzeit” bezeichnet den Zeitraum vom Datum des Inkrafttretens bis zum Ende der Bereitstellung der Dienstleistungen durch SiteGround im Rahmen der jeweiligen Vereinbarung, einschließlich, falls zutreffend, eines Zeitraums, in dem die Dienstleistungen möglicherweise ausgesetzt wurden, und eines Zeitraums nach der Beendigung (nämlich 60 Kalendertage), in dem SiteGround die Dienstleistungen zu Übergangszwecken weiterhin bereitstellen kann.

“Datenschutzverluste” bezeichnet alle Verbindlichkeiten, einschließlich: 

  1. Kosten (einschließlich Rechtskosten);

  2. Ansprüche, Forderungen, Klagen, Vergleiche, Gebühren, Verfahren, Ausgaben, Verluste und Schäden (unabhängig davon, ob es sich um materielle oder immaterielle Schäden handelt, und einschließlich seelischer Schäden);

  3. in dem nach geltendem Recht zulässigen Umfang:

    1. von einer Datenschutzaufsichtsbehörde oder einer anderen Aufsichtsbehörde verhängte Bußgelder, Strafen, Sanktionen, Belastungen oder sonstige Rechtsmittel;

    2. die von einer Datenschutzaufsichtsbehörde angeordnete Entschädigung für eine betroffene Person;

    3. die angemessenen Kosten für Untersuchungen zur Einhaltung der Vorschriften durch eine Datenschutzaufsichtsbehörde oder eine andere relevante Aufsichtsbehörde; und

  4. die Kosten für das Hochladen von Kundendaten und den Ersatz von Material und Ausrüstung des Kunden, soweit diese verloren gehen oder beschädigt werden sowie für den Verlust oder die Veränderung von Kundendaten, einschließlich der Kosten für die Berichtigung oder Wiederherstellung von Kundendaten;

“Benachrichtigungs-E-Mail-Adresse” bezeichnet die E-Mail-Adresse, die der Kunde im Abschnitt „Meine Details“ im Benutzer-Bereich angegeben hat, um bestimmte Mitteilungen von SiteGround zu erhalten.

2. Datenverarbeitung

2.1. Geltungsbereich 

Diese DVV gilt, wenn und nur soweit SiteGround im Rahmen der Erbringung der Dienstleistungen personenbezogene Daten im Auftrag des Kunden verarbeitet und diese personenbezogenen Daten den Datenschutzgesetzen der Europäischen Union, des Europäischen Wirtschaftsraums und/oder ihrer Mitgliedsstaaten, der Schweiz und/oder des Vereinigten Königreichs unterliegen (im Folgenden als „Kundendaten“ bezeichnet). 

Wenn der Kunde, der diese DVV akzeptiert, bereits Kunde ist, ist diese DVV Teil der Vereinbarung, der Datenschutzerklärung und anderer relevanter Richtlinien und Dokumente, die auf unserer Website enthalten sind. In diesem Fall wird die SiteGround-Entität  als Partei dieser DVV betrachtet.

Diese DVV ist nur für das Kundenkonto gültig, für das sie vereinbart wurde. Verfügt der Kunde über mehrere Konten, wird für jedes einzelne Konto eine DVV separat abgeschlossen.

Diese DVV ist nur für die physische/juristische Person gültig und rechtsverbindlich, die in dem Konto im Benutzer-Bereich angegeben ist, und nur für die Dienstleistungen, die direkt von SiteGround innerhalb des jeweiligen Kontos erworben wurden. 

Wenn die Kundenentität, die dieser DVV zustimmt, weder eine Partei eines Auftrags noch der Vereinbarung ist, ist diese DVV nicht gültig und rechtlich nicht bindend. Diese Entität sollte die Kundenentität, die Partei der Vereinbarung ist, auffordern, diese DVV auszuführen.

Diese DVV einschließlich ihrer Anhänge, mit Ausnahme der Klauseln in der Datenschutzerklärung, tritt in Kraft und ersetzt alle zuvor geltenden Bestimmungen zum Datenschutz, zur Datenverarbeitung und/oder zur Datensicherheit

2.2. Einhaltung von Gesetzen 

Wenn die Datenschutzgesetze der Europäischen Union auf dieses DVV Anwendung finden, wird jede Partei die für sie geltenden Verpflichtungen gemäß den europäischen Datenschutzgesetzen in Bezug auf die Verarbeitung dieser Kundendaten einhalten.

2.3. Gegenstand und Einzelheiten der Datenverarbeitung

2.3.1 Gegenstand

SiteGround verarbeitet die Daten des Kunden, soweit dies für die Erbringung der Dienstleistungen, den damit verbundenen technischen Support und sonstige Anfragen erforderlich ist, in Übereinstimmung mit dem Vertrag und gemäß den bei der Nutzung der Dienstleistungen erteilten Anweisungen des Kunden.

2.3.2. Dauer der Verarbeitung

Vorbehaltlich des Abschnitts 11 entspricht die Dauer der Datenverarbeitung der im Auftrag und in der jeweiligen Vereinbarung festgelegten Laufzeit. 

2.3.3. Art und Zweck der Verarbeitung

SiteGround verarbeitet Kundendaten zum Zwecke der Erbringung der Dienstleistungen und des damit verbundenen technischen Supports für den Kunden in Übereinstimmung mit der Vereinbarung, dieser DVV und anderen relevanten Richtlinien.

2.3.4. Kategorien von betroffenen Personen

Der Kunde kann im Zuge der Nutzung der Dienstleistungen Kundendaten übermitteln, deren Umfang vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird und die personenbezogene Daten der folgenden Kategorien von betroffenen Personen umfassen können, aber nicht darauf beschränkt sind:

2.3.5. Kategorien von personenbezogenen Daten

Der Kunde kann im Zuge der Nutzung der Dienstleistungen Kundendaten übermitteln, deren Umfang vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird und die unter anderem personenbezogene Daten zu den folgenden Kategorien personenbezogener Daten enthalten können, jedoch nicht darauf beschränkt sind:

2.4. Funktionen der Parteien

Parteien erkennen an und vereinbaren, dass:

  1. SiteGround ist ein Verarbeiter der Kundendaten gemäß der europäischen Datenschutzgesetzgebung;

  1. Der Kunde ist ein für die Verarbeitung Verantwortlicher bzw. ein Auftragsverarbeiter der Kundendaten gemäß der europäischen Datenschutzgesetzgebung und hat alle nach den Datenschutzgesetzen erforderlichen Zustimmungen und Rechte eingeholt, damit SiteGround die Kundendaten verarbeiten und die Dienstleistungen gemäß der Vereinbarung und dieser DVV erbringen kann.

2.5. Anweisungen zur Datenverarbeitung 

SiteGround verarbeitet die Kundendaten gemäß dieser DVV, die die vollständigen und endgültigen Anweisungen des Kunden an SiteGround in Bezug auf die Verarbeitung von Kundendaten darstellt. Eine Verarbeitung außerhalb des Geltungsbereichs dieser DVV (sofern vorhanden) bedürft eine vorherige schriftliche Vereinbarung zwischen SiteGround und dem Kunden über zusätzliche Verarbeitungsanweisungen. Durch den Abschluss dieser DVV weist der Kunde SiteGround an, die Kundendaten nur in Übereinstimmung mit dem geltenden Recht zu verarbeiten:

  1. zur Erbringung der Dienstleistungen und die damit verbundene technische und sonstige Unterstützung;

  2. auf Veranlassung des Kunden und der Endnutzer bei der Nutzung der Dienstleistungen; 

  3. wie in der Vereinbarung, den Dienstleistungsbedingungen, der Datenschutzerklärung und anderen relevanten Richtlinien für die Bereitstellung der Dienstleistungen und der damit verbundenen technischen Unterstützung angegeben.

2.6. Zugriff oder Nutzung

SiteGround ist nicht berechtigt, auf Kundendaten zuzugreifen oder diese zu verwenden, es sei denn, dies ist erforderlich, um die Dienstleistungen und den damit verbundenen technischen Support für den Kunden in Übereinstimmung mit der DVV, dem Vertrag und anderen relevanten Richtlinien zu erbringen.

2.6.1. Verarbeitung durch den Kunden 

Der Kunde muss bei der Nutzung der Dienstleistungen seine Daten in Übereinstimmung mit den Anforderungen der für ihn geltenden Datenschutzgesetze und -vorschriften verarbeiten. Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit seiner Daten sowie für die Mittel, mit denen er diese Daten erworben hat.

2.6.2. Verarbeitung von Kundendaten durch SiteGround 

SiteGround verarbeitet Kundendaten nur im Auftrag und in Übereinstimmung mit den dokumentierten Anweisungen des Kunden für die folgenden Zwecke: 

  1. Verarbeitung zur Erbringung der Dienstleistungen und der damit verbundenen technischen Unterstützung in Übereinstimmung mit dieser DVV und den geltenden Aufträgen;

  2. Verarbeitung auf Veranlassung der Benutzer bei der Nutzung der Dienstleistungen;

  3. Verarbeitung, die zur Aufrechterhaltung und Verbesserung der Dienstleistungen erforderlich ist.

2.6.3. Einhaltung der Anweisungen durch SiteGround  

Ab dem Datum des Inkrafttretens hält sich SiteGround an die oben im Abschnitt „Anweisungen zur Datenverarbeitung“ beschriebenen Instruktionen, auch in Bezug auf Datenübertragungen, es sei denn, das Recht der EU oder der EU-Mitgliedstaaten, dem SiteGround unterliegt, schreibt eine andere Verarbeitung von Kundendaten durch SiteGround vor; in diesem Fall informiert SiteGround den Kunden über die Website oder die Benachrichtigungs-E-Mail-Adresse (es sei denn, dieses Recht verbietet SiteGround dies aus wichtigen Gründen des öffentlichen Interesses).

SiteGround, autorisierte Nutzer und Unterauftragsverarbeiter können auf Kundendaten zugreifen und diese verarbeiten, um die Verpflichtungen aus dieser DVV und der jeweiligen Vereinbarung zu erfüllen oder um bestimmte Dienstleistungen im Namen von SiteGround zu erbringen. Eine solche Verarbeitung erfolgt unter Einhaltung der in den Abschnitten 3 und 7 sowie in Anhang 2 beschriebenen Sicherheitsmaßnahmen.

2.7. Rechte der betroffenen Personen

2.7.1. Zugriff, Berichtigung, eingeschränkte Verarbeitung, Übertragbarkeit

Während der geltenden Laufzeit ermöglicht SiteGround dem Kunden in einer Weise, die mit der Funktionalität der Dienstleistungen vereinbar ist, den Zugang, die Berichtigung und die Einschränkung der Verarbeitung von Kundendaten, einschließlich der Löschung aller oder eines Teils der Kundendaten unter seinem Konto oder der Löschung des gesamten Kontos wie in Abschnitt 2.6. (Rückgabe und Löschung von Kundendaten) beschrieben, sowie durch den Export von Kundendaten.

2.7.2. Anträge der betroffenen Person.

2.7.2.1. Verantwortung des Kunden für Anträge 

Wenn SiteGround während der geltenden Laufzeit einen Antrag einer betroffenen Person erhält, um das Recht der betroffenen Person auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung („Recht auf Vergessenwerden“), Datenübertragbarkeit, Widerspruch gegen die Verarbeitung oder ihr Recht, keiner automatisierten individuellen Entscheidungsfindung unterworfen zu werden („Antrag der betroffenen Person“), auszuüben, wird SiteGround der betroffenen Person raten, ihren Antrag an den Kunden zu richten, und der Kunde ist für die Beantwortung eines solchen Antrags verantwortlich, einschließlich, falls erforderlich, durch Nutzung der Funktionalität der Dienstleistungen. SiteGround wird, soweit gesetzlich zulässig, wirtschaftlich angemessene Schritte unternehmen, um den Kunden über solche Anträge zu informieren.

2.7.2.2. Unterstützung von SiteGround bei Anträgen von betroffenen Personen  

Unter Berücksichtigung der Art der Verarbeitung erklärt sich der Kunde damit einverstanden, dass SiteGround im Rahmen des Möglichen angemessene technische und organisatorische Unterstützung leistet, um die Verpflichtung des Kunden zur Beantwortung von Anträgen der betroffenen Personen zu erfüllen, einschließlich, falls zutreffend, der Verpflichtung des Kunden zur Beantwortung von Anfragen zur Ausübung der in Kapitel III der DSGVO festgelegten Rechte der betroffenen Person, durch:

(a) Bereitstellung von Dokumentationsressourcen in Form von Tutorials und Wissensartikeln, Funktionen und/oder Steuerelementen im Control Panel, die der Kunde verwenden kann, um die Dienstleistungen ordnungsgemäß zu konfigurieren und auf sichere Weise zu nutzen.

(b) Bereitstellung von Merkmalen, Funktionalitäten und/oder Steuerelementen im Control Panel, die der Kunde zum Abrufen, Korrigieren oder Löschen von Kundendaten aus den Dienstleistungen nutzen kann.

(c) die Einhaltung der in dieser DVV dargelegten Verpflichtungen.

(d) Soweit der Kunde bei der Nutzung der Dienstleistungen nicht in der Lage ist, einen Antrag der betroffenen Person zu beantworten, wird SiteGround auf Antrag des Kunden wirtschaftlich angemessene Anstrengungen unternehmen, um den Kunden bei der Beantwortung eines solchen Antrags der betroffenen Person zu unterstützen, soweit SiteGround rechtlich dazu befugt ist und die Beantwortung eines solchen Antrags der betroffenen Person nach den Datenschutzgesetzen und -vorschriften erforderlich ist. Soweit gesetzlich zulässig, ist der Kunde für alle Kosten verantwortlich, die durch die Bereitstellung einer solchen Hilfeleistung durch SiteGround entstehen.

Der Kunde trägt die angemessenen Kosten von SiteGround für die Hilfeleistung gemäß Abschnitt 2.7.2.2.

2.8. Rückgabe und Löschung von Kundendaten

SiteGround ermöglicht dem Kunden die Löschung von Kundendaten während der geltenden Laufzeit in einer Weise, die mit der Funktionalität der Dienstleistungen und den Merkmalen gemäß dem jeweiligen Auftrag vereinbar ist. Nutzt der Kunde die Services, um Kundendaten abzurufen oder zu löschen, und können die Kundendaten nicht abgerufen werden, so stellt dies eine Anweisung an SiteGround dar, die entsprechenden Kundendaten, die auf Sicherungssystemen archiviert sind, in Übereinstimmung mit geltendem Recht und innerhalb einer Frist von maximal 60 Kalendertagen zu löschen.  

Die Deaktivierung der Dienstleistungen oder der Ablauf der geltenden Laufzeit stellt eine Anweisung an SiteGround dar, die Kundendaten und die auf Backup-Systemen archivierten relevanten Kundendaten innerhalb eines Zeitraums von maximal 60 Kalendertagen zu löschen. 

Nichts in diesem Abschnitt 2.8 impliziert oder ändert die Verpflichtung von SiteGround, einige oder alle Kundendaten aufzubewahren, wenn dies erforderlich ist, um dem Gesetz oder einer gültigen und verbindlichen Anordnung einer Strafverfolgungsbehörde (wie eine Vorladung oder ein Gerichtsbeschluss) nachzukommen. 

2.9. Offenlegung 

SiteGround gibt keine Kundendaten an Regierungen, Strafverfolgungsbehörden und andere Behörden weiter, es sei denn, dies ist erforderlich, um das Gesetz oder eine gültige und verbindliche Anordnung einer Strafverfolgungsbehörde (wie eine Vorladung oder ein Gerichtsbeschluss) einzuhalten.  

2.10. SiteGround-Mitarbeiter

SiteGround untersagt ihren Mitarbeitern die Verarbeitung von Kundendaten ohne Genehmigung von SiteGround. Der Zugang zu den Kundendaten ist auf diejenigen beschränkt, die in Übereinstimmung mit der Vereinbarung eine Rolle und Verantwortung übernehmen.

SiteGround erlegt seinen Mitarbeitern angemessene vertragliche Verpflichtungen auf, einschließlich der entsprechenden Verpflichtungen in Bezug auf Vertraulichkeit, Datenschutz und Datensicherheit. SiteGround stellt sicher, dass diese Vertraulichkeitsverpflichtungen auch nach Beendigung des Arbeitsverhältnisses fortbestehen.

2.11. Datenschutzbeauftragter

Mitglieder der SiteGround-Gruppe haben für die Zwecke Datenschutzerklärung und dieser DVV einen Datenschutzbeauftragten ernannt, der unter privacy@siteground.com erreichbar ist.

3. Unterauftragsverarbeiter  

3.1. Zustimmung zur Beauftragung von Unterauftragsverarbeitern/Einstellung von Unterauftragsverarbeitern 

Der Kunde erkennt an und stimmt zu, dass: 

(a) Die Partner von SiteGround als Unterauftragsverarbeiter beauftragt werden können; und 

(b) SiteGround und SiteGround Partner jeweils Unterauftragsverarbeiter in Verbindung mit der Erbringung der Dienstleistungen beauftragen können. SiteGround hat mit jedem Unterauftragsverarbeiter einen schriftlichen Vertrag abgeschlossen, der Datenschutzverpflichtungen enthält, die nicht weniger schützend sind als die in dieser DVV   in Bezug auf den Schutz der Kundendaten, soweit dies auf die Art der von diesen Unterauftragsverarbeitern erbrachten Dienstleistungen zutrifft. Wenn der Kunde Standardvertragsklauseln (Anhang 1) abgeschlossen hat, wie in Abschnitt 5 (Datenübertragungen aus dem EWR) beschrieben, stellen die oben genannten Genehmigungen die vorherige schriftliche Zustimmung des Kunden zur Untervergabe der Verarbeitung von Kundendaten durch SiteGround dar, wenn eine solche Zustimmung gemäß den Standardvertragsklauseln erforderlich ist.

3.2. Informationen zu Unterauftragsverarbeitern/ Benachrichtigung über neue Unterauftragsverarbeiter

3.2.1. SiteGround gibt Informationen über Sie an Unterauftragsverarbeiter weiter, wie z. B. die SiteGround-Unternehmensgruppe, die mit der Erbringung der vertragsgegenständlichen Dienstleistungen betraut ist und ihren Sitz in der Europäischen Union und den Vereinigten Staaten hat, an Unterauftragsverarbeiter/Auftragsverarbeiter, die die Dienstleistungen Ihres Vertrags erbringen und ihren Sitz in der Europäischen Union und den Vereinigten Staaten haben, sowie an Datenzentrumsdienstleister, die ihren Sitz in der Europäischen Union, den Vereinigten Staaten und Singapur haben. Diese Unterauftragsverarbeiter verarbeiten die zur Verfügung gestellten Daten nach den Anweisung von SiteGround und in Übereinstimmung mit unserer Datenschutzerklärung und dieser DVV. Wir ermächtigen die Unterauftragsverarbeiter nicht, Ihre personenbezogenen Daten für sekundäre Zwecke aufzubewahren, weiterzugeben, zu speichern oder zu verwenden. 

3.2.2. Wenn ein neuer externer Unterauftragsverarbeitermit der Verarbeitung von Kundendaten im Zusammenhang mit der Bereitstellung der entsprechenden Dienstleistungen während der für diese DVV geltenden Laufzeit beauftragt wird, informiert SiteGround den Kunden über diesen Auftrag, einschließlich der Kategorie und des Standorts des betreffenden Unterauftragsverarbeiters und der von ihm durchzuführenden Tätigkeiten, mindestens 10 Kalendertage vor der Autorisierung des neuen externer Unterauftragsverarbeiter entweder durch Senden einer E-Mail an die Benachrichtigungs-E-Mail-Adresse oder über den User-B ereich.

3.3. Anforderungen für die Beauftragung von Unterauftragsverarbeitern

Bei der Beauftragung eines Unterauftragsverarbeiters muss SiteGround:

(a) durch einen schriftlichen Vertrag sicherstellen, dass:

(i) der Unterauftragsverarbeiter nur in dem Maße auf Kundendaten zugreift und diese verwendet, wie es zur Erfüllung der an ihn übertragenen Verpflichtungen erforderlich ist, und dies in Übereinstimmung mit der geltenden Vereinbarung (einschließlich dieses Ergänzungsantrags für Datenverarbeitung) und den von SiteGround abgeschlossenen Standardvertragsklauseln oder der von SiteGround angenommenen Alternativen Übertragungslösung, wie in Abschnitt 5 (Transfers persönlicher Daten nach außerhalb des EWR) beschrieben, geschieht; und

(ii) wenn die DSGVO auf die Verarbeitung von Kundendaten anwendbar ist, werden dem Unterauftragsverarbeiter die in Artikel 28(3) der DSGVO dargelegten Datenschutzverpflichtungen auferlegt, wie in diesem Ergänzungsantrag für Datenverarbeitung beschrieben; und

(b) in vollem Umfang für alle ihr übertragenen Verpflichtungen sowie für alle Handlungen und Unterlassungen des Unterauftragsverarbeiters haften bleibt.

3.4. Widerspruchsrecht gegen neue Unterauftragsverarbeiter 

3.4.1. Der Kunde kann jedem neuen Unterauftragsverarbeiter widersprechen, indem er die betreffende Vereinbarung durch schriftliche Mitteilung an SiteGround mit sofortiger Wirkung kündigt, unter der Bedingung, dass der Kunde diese Mitteilung innerhalb von 10 Kalendertagen, nachdem er über die Beauftragung des Unterauftragsverarbeiters informiert wurde, einreicht. Dieses Kündigungsrecht ist das einzig gültige und ausschließliche Rechtsmittel des Kunden, wenn er einen neuen Unterauftragsverarbeiter ablehnt.

3.4.2. SiteGround erstattet dem Kunden alle im Voraus gezahlten Gebühren für die verbleibende Laufzeit des Auftrags bzw. der Aufträge nach dem Datum der wirksamen Kündigung in Bezug auf die gekündigten Dienstleistungen, ohne dem Kunden eine Strafe für die Kündigung aufzuerlegen.

4. Folgenabschätzungen, Beratungen, Speicherung 

4.1. Folgenabschätzungen und Beratungen

Auf Anfrage des Kunden gewährt SiteGround dem Kunden die angemessene Zusammenarbeit und Unterstützung, die erforderlich ist, um die Verpflichtung des Kunden gemäß der DSGVO zur Durchführung einer Datenschutz-Folgenabschätzung in Bezug auf die Nutzung der Dienstleistungen durch den Kunden zu erfüllen, vorausgesetzt, dass der Kunde nicht anderweitig Zugang zu den relevanten Informationen hat und soweit diese Informationen SiteGround zur Verfügung stehen. SiteGround unterstützt den Kunden in angemessener Weise bei der Zusammenarbeit oder vorherigen Beratung mit der Aufsichtsbehörde bzw. bei der vorherigen Konsultation mit dieser im Rahmen dieser DVV durchgeführten Arbeiten, wie in der DSGVO vorgesehen.

5. Transfers persönlicher Daten nach außerhalb des EWR

5.1. Datenzentrum und Speicherung

SiteGround speichert und verarbeitet Kundendaten in Datenzentren, die sich innerhalb und außerhalb der Europäischen Union befinden. Informationen über die Standorte unserer Datenzentren sind verfügbar unter: https://de.siteground.com/datacenters und SiteGround behält sich das Recht vor, diese regelmäßig zu aktualisieren.

Der Kunde kann den Standort des Datenzentrums spezifizieren, in dem seine Kundendaten gespeichert werden. Der Kunde erklärt sich damit einverstanden, dass SiteGround die Standorte der Datenzentren ändern und die Kundendaten in ein anderes Datenzentrum verlegen kann. SiteGround informiert den Kunden mindestens 10 Kalendertage vor der Verlagerung der Kundendaten in ein neues Datenzentrum entweder durch Versand einer E-Mail an die Benachrichtigungs-E-Mail-Adresse oder über den Benutzer-Bereich. Wenn der Wechsel des Datenzentrums die Speicherung der Kundendaten in einer anderen Gerichtsbarkeit zur Folge hat, kann der Kunde dieser Änderung durch eine schriftliche Mitteilung an SiteGround mit sofortiger Wirkung widersprechen, vorausgesetzt, dass der Kunde diese Mitteilung innerhalb von 10 Kalendertagen, nachdem er über den Wechsel des Datenzentrums informiert wurde, übermittelt.

Der Kunde kann sein Konto und seine Kundendaten jederzeit an einen anderen Datenzentrumsstandort verschieben, sofern die Funktionalität der Dienstleistungen dies zulässt und gegen zusätzliche Gebühren. Sobald der Kunde einen Datenzentrumsstandort innerhalb der Europäischen Union innerhalb der Europäischen Union ausgewählt und angegeben hat, speichert SiteGround keine Kundendaten außerhalb der Grenzen der Europäischen Union, es sei denn, dies ist erforderlich, um das Gesetz einzuhalten oder der gültigen und verbindlichen Anordnung einer zuständigen Behörde (wie eine Vorladung oder ein Gerichtsbeschluss) nachzukommen.

5.2. Verarbeitungsstandorte

Unter der Voraussetzung, dass der Kunde ein Datenzentrum außerhalb des Europäischen Wirtschaftsraums angegeben hat und soweit SiteGround die Dienstleistungen und den damit verbundenen technischen und sonstigen Unterstützung erbringt, erklärt sich der Kunde damit einverstanden, dass SiteGround vorbehaltlich Abschnitt 5 auf Kundendaten im EWR, in den Vereinigten Staaten und in allen anderen Ländern zugreifen und diese verarbeiten darf, in denen SiteGround und/oder seine Partner und Unterauftragsverarbeiter über Datenzentren und Einrichtungen verfügen oder Datenverarbeitungsvorgänge unterhalten. Wenn die Speicherung und/oder Verarbeitung von Kundendaten die Verarbeitung von Kundendaten außerhalb des EWR beinhaltet und die europäische Datenschutzgesetzgebung Anwendung findet, erklärt sich der Kunde damit einverstanden, dass SiteGround vernünftigerweise vom Kunden verlangt, Mustervertragsklauseln in Übereinstimmung mit solchen Übertragungen gemäß Abschnitt 5.2 und Anhang 1 abzuschließen, und der Kunde erklärt sich damit einverstanden, daran gebunden zu sein.

5.3. Mechanismus der Übertragung

Soweit SiteGround im Rahmen dieser DVV Kundendaten aus der Europäischen Union, dem Europäischen Wirtschaftsraum und/oder deren Mitgliedsstaaten und der Schweiz in oder an Länder, die kein angemessenes Datenschutzniveau im Sinne der geltenden Datenschutzgesetze der vorgenannten Gebiete gewährleisten, verarbeitet oder überträgt (direkt oder durch Weiterleitung), vereinbaren die Parteien, dass:

  1. die Standardvertragsklauseln (Anhang 1) für Kundendaten, die übertragen werden, gültig bleiben;

  2. es davon ausgegangen wird, dass SiteGround durch die Bereitstellung der Standardvertragsklauseln (Anhang 1) als Übertragungsmechanismus angemessene Garantien zum Schutz der Kundendaten bietet;

  3. der Kunde sich damit einverstanden erklärt, dass dass Kundendaten von solchen Bestimmungsorten außerhalb des Europäischen Wirtschaftsraums, die den oben genannten Maßnahmen unterliegen, übertragen werden oder zugänglich sind.

  4. 6. Verarbeitung von Aufzeichnungen

Der Kunde nimmt zur Kenntnis, dass SiteGround gemäß der DSGVO verpflichtet ist,:

(a) Aufzeichnungen über bestimmte Informationen, einschließlich des Namens und der Kontaktdaten jedes Auftragsverarbeiters und/oder des für die Verarbeitung Verantwortlichen, für den SiteGround tätig ist, sowie gegebenenfalls des lokalen Vertreters und des Datenschutzbeauftragten des Auftragsverarbeiters oder des für die Verarbeitung Verantwortlichen, zu erheben und aufzubewahren; und 

(b) diese Informationen den Aufsichtsbehörden zur Verfügung zu stellen. Wenn die DSGVO auf die Verarbeitung von Kundendaten Anwendung findet, muss der Kunde SiteGround diese Informationen auf Anfrage über die Website oder andere von SiteGround bereitgestellte Mittel zur Verfügung stellen und die Website oder diese anderen Mittel nutzen, um sicherzustellen, dass alle bereitgestellten Informationen korrekt und aktuell sind.

7.  Sicherheitsverantwortung von SiteGround

7.1. SiteGround implementiert und unterhält technische und organisatorische Maßnahmen zum Schutz der Kundendaten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unberechtigter Offenlegung oder unberechtigtem Zugriff, wie in Ahang 2 beschrieben (die „Sicherheitsmaßnahmen“). Wie in Anhang 2 beschrieben, umfassen die Sicherheitsmaßnahmen Maßnahmen zur verschlüsselten Übertragung von Kundendaten außerhalb der Serviceumgebung, zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Flexibilität der Systeme und Dienstleistungen von SiteGround, zur rechtzeitigen Wiederherstellung von Kundendaten aus einer verfügbaren Sicherungskopie, die entweder von SiteGround Backup Services oder der eigenen Sicherungskopie des Kunden nach einem Vorfall bereitgestellt wird, und zur regelmäßigen Überprüfung der Wirksamkeit. SiteGround ist berechtigt, die Sicherheitsmaßnahmen zu aktualisieren oder zu ändern, sofern diese Aktualisierungen und Änderungen nicht zu einer Beeinträchtigung der allgemeinen Sicherheit der Dienstleistungen führen. 

7.2. Sicherheitsverantwortung und -bewertung des Kunden

Der Kunde stimmt zu, dass unbeschadet der Verpflichtungen von SiteGround gemäß Abschnitt 7. (Sicherheitsverantwortung von SiteGround) und anderen relevanten Abschnitten in dieser DVV: 

  1. Der Kunde ist allein verantwortlich für seine Nutzung der Dienstleistungen, einschließlich:

    1. der angemessenen Nutzung der Dienstleistungen zur Gewährleistung eines dem Risiko angemessenen Sicherheitsniveaus in Bezug auf die Kundendaten;

    2. der Sicherung der Authentifizierungsdaten, Systeme und Geräte, die der Kunde für den Zugang zu den Dienstleistungen verwendet; 

    3. der Sicherstellung, dass alle auf dem Konto installierten Programme, Skripte, Add-Ons, Plugins und andere Software sicher sind und ihre Nutzung kein Sicherheitsrisiko in Bezug auf die Kundendaten und das Konto selbst mit sich bringt;

    4. der Sicherung aller installierten Programme, Skripte, Add-Ons, Plugins und sonstiger Software, deren Konfiguration und deren regelmäßige Wartung;

    5. aller Inhalte des Kontos;  

    6. aller Aktionen und Aktivitäten auf dem Konto; und

    7. der Sicherung Ihrer Kundendaten; und

  1. SiteGround ist nicht verpflichtet, Kundendaten zu schützen, die der Kunde außerhalb der Systeme von SiteGround und seinen Unterauftragsverarbeitern speichert oder überträgt (z. B. Offline- oder On-Premise-Speicherung), oder Kundendaten durch die Implementierung oder Aufrechterhaltung zusätzlicher Sicherheitskontrollen zu schützen, es sei denn, der Kunde hat sich für deren Verwendung entschieden.

  1. Der Kunde ist allein dafür verantwortlich, die Dokumentation zu prüfen und zu bewerten, ob die Dienstleistungen, die Sicherheitsmaßnahmen, die Verpflichtungen von SiteGround gemäß diesem Abschnitt und den folgenden Bestimmungen den Bedürfnissen des Kunden entsprechen, einschließlich etwaiger Sicherheitsverpflichtungen des Kunden gemäß der europäischen Datenschutzgesetzgebung und/oder der außereuropäischen Datenschutzgesetzgebung, soweit anwendbar

  1. Der Kunde erkennt an und stimmt zu, dass (unter Berücksichtigung der Implementierungskosten und der Art, des Umfangs, des Kontexts und des Zwecks der Verarbeitung von Kundendaten sowie der Risiken für Einzelpersonen) die von SiteGround gemäß Abschnitt 7.1. implementierten und aufrechterhaltenen Sicherheitsmaßnahmen das erforderliche, dem Risiko in Bezug auf die Kundendaten angemessene Maß an Sicherheit bieten.

  1. Es liegt in der Verantwortung des Kunden, die Kundendaten und alle im Konto gespeicherten Daten und Einwilligungen zu sichern, um einen möglichen Datenverlust vorzubeugen.

    1. SiteGround Backup Services werden „wie besehen“ bereitgestellt und unterliegen allen Haftungsbeschränkungen, die der jeweiligen Vereinbarung festgelegt sind.

    2. Selbst wenn der Kunde Backup-Services erwirbt, erklärt er sich damit einverstanden, dass er seine eigenen Backups unabhängig von denen, die SiteGround unterhält, erstellt und dass die einzige Verpflichtung von SiteGround darin besteht, den Kontobereich wieder in seinen Betriebszustand zu versetzen. Im Falle eines Zwischenfalls, eines Hardware- oder Softwarefehlers oder einer zufälligen Datenbeschädigung oder eines Datenverlustes kann SiteGround Unterstützung leisten, aber es ist die alleinige Verpflichtung des Kunden, die Kundendaten wiederherzustellen.

    3. Im Falle eines teilweisen oder vollständigen Verlustes oder einer Beschädigung von Daten und für den Fall, dass der Kunde mit dem Ergebnis der Wiederherstellung durch die SiteGround Backup Services nicht zufrieden ist oder die Sicherungskopie von SiteGround nicht aktuell oder für die Wiederherstellung nicht geeignet ist, ist es die alleinige Pflicht des Kunden, die Kundendaten, seine Dateien und alle Daten innerhalb des Kontos von der eigenen Sicherungskopie des Kunden wiederherzustellen.

8. Prüfung und Überprüfung der Einhaltung

Wenn die europäische Datenschutzgesetzgebung auf die Verarbeitung von Kundendaten anwendbar ist:

  1. hat der Kunde das Recht, die Einhaltung der Verpflichtungen von SiteGround im Rahmen dieser DVV zu überprüfen, indem er eine Überprüfung der Dokumentation oder ein Audit, einschließlich Inspektionen, durch den Kunden oder einen vom Kunden beauftragten unabhängigen Prüfer durchführt, indem er einen spezifischen Antrag an SiteGround in schriftlicher Form an die in den jeweiligen Servicebedingungen angegebene Adresse stellt; 

  1. wird SiteGround darüber hinaus auf alle angemessenen Anträge des Kunden schriftlich antworten und kann für eine Überprüfung oder ein Audit eine Gebühr erheben. SiteGround wird die anfallenden Gebühren im Vorfeld einer solchen Prüfung mitteilen, und der Kunde ist für die von einem Prüfer erhobenen Gebühren und die mit der Durchführung einer Prüfung verbundenen Gebühren verantwortlich. Die Berichte über eine solche Prüfung werden SiteGround ohne Einschränkung des Verwendungszwecks zur Verfügung gestellt;

  1. kann SiteGround gegenüber dem Kunden oder einem vom Kunden mit der Durchführung einer Prüfung beauftragten Wirtschaftsprüfer schriftlich Einspruch erheben und diese ablehnen, wenn der Kunde oder der Wirtschaftsprüfer nach angemessener Einschätzung von SiteGround nicht ausreichend qualifiziert oder unabhängig, ein Konkurrent von SiteGround oder anderweitig offensichtlich ungeeignet ist;

  1. und wenn SiteGround sich weigert, einer vom Kunden oder einem Prüfer im Rahmen einer ordnungsgemäß angeforderten Audit oder Inspektion verlangten Anweisung Folge zu leisten, ist der Kunde berechtigt, diese DVV und die Dienstleistungs-bedingungen zu kündigen.

Keine der Bestimmungen dieses Abschnitts 8 (Prüfung und Überprüfung der Einhaltung) ändert die Rechte oder Pflichten des Kunden oder von SiteGround im Rahmen von Mustervertragsklauseln, wie sie in den Abschnitten 5 (Datenübertragungen aus dem EWR).

9.  Benachrichtigung über Sicherheitsverletzungen 

9.1. SiteGround unterhält Richtlinien und Verfahren für das Management von Sicherheitsvorfällen und benachrichtigt den Kunden unverzüglich, nachdem SiteGround Kenntnis von der versehentlichen oder unrechtmäßigen Zerstörung, dem Verlust, der Änderung, der unbefugten Offenlegung oder dem Zugriff auf Kundendaten, einschließlich Kundendaten, die von SiteGround oder seinen Unterauftragsverarbeitern übertragen, gespeichert oder anderweitig verarbeitet werden, erlangt hat (ein „Kundendatenvorfall“). SiteGround unternimmt angemessene Anstrengungen, um die Ursache eines solchen Kundendatenvorfalls zu ermitteln, und ergreift die von SiteGround als notwendig und angemessen erachteten Maßnahmen, um die Ursache eines solchen Kundendatenvorfalls zu beheben, soweit die Behebung in der angemessenen Kontrolle von SiteGround liegt. Die hierin enthaltenen Verpflichtungen gelten nicht für Vorfälle, die durch den Kunden, die Nutzung der Dienstleistungen durch den Kunden, die Handlungen oder Aktivitäten des Kunden oder der Benutzer des Kunden verursacht wurden.

9.2. Meldungen gemäß diesem Abschnitt müssen, soweit möglich, die Einzelheiten des Datenvorfalls beschreiben, einschließlich der Schritte, die zur Minderung der potenziellen Risiken unternommen wurden, und der Schritte, die SiteGround dem Kunden zur Behebung des Datenvorfalls empfiehlt. 

9.3. Die Benachrichtigung(en) über einen Datenvorfall erfolgt an die Benachrichtigungs-E-Mail-Adresse oder nach Ermessen von SiteGround durch direkte Kommunikation (z.B. per Telefonanruf). Der Kunde ist allein dafür verantwortlich, dass die Benachrichtigungs-E-Mail-Adresse und die Kontaktinformationen aktuell und gültig sind.

9.4. SiteGround wertet den Inhalt der Kundendaten nicht aus, um Informationen zu identifizieren, die besonderen rechtlichen Anforderungen unterliegen. Der Kunde ist allein verantwortlich für die Einhaltung der für ihn geltenden Gesetze zur Meldung von Vorfällen und für die Einhaltung der Meldepflichten gegenüber Dritten im Zusammenhang mit einem Datenvorfall.

9.5. Die Benachrichtigung von SiteGround über einen Datenvorfall oder die Reaktion auf einen Datenvorfall gemäß diesem Abschnitt 9 ist nicht als Anerkenntnis eines Verschuldens oder einer Haftung von SiteGround in Bezug auf den Datenvorfall auszulegen.

10. Haftung und Entschädigung

10.1. Der Kunde hält SiteGround schadlos in Bezug auf alle Datenschutzverletzungen und Verluste, die erlitten werden oder aus folgenden Gründen oder in Verbindung mit diesen entstehen:

(a) der Verletzung von Datenschutzgesetzen und -vorschriften durch den Kunden;

(b) einem Verstoß des Kunden gegen seine datenschutzrechtlichen Verpflichtungen aus dieser Vereinbarung; 

10.2. SiteGround haftet für Datenschutzverletzungen und -verluste, die durch die Verarbeitung von Kundendaten verursacht werden, nur in dem Umfang, der sich direkt aus der Nichteinhaltung der Verpflichtungen von SiteGround als Datenverarbeiter gemäß den Datenschutzgesetzen und -vorschriften ergibt.

11. Beendigung

Diese DVV gilt ab dem Datum des Inkrafttretens bis zum Ende der Erbringung der Dienstleistungen durch SiteGround im Rahmen der jeweiligen Vereinbarung, einschließlich, falls zutreffend, eines Zeitraums, in dem die Dienstleistungen ausgesetzt wurden, und eines Zeitraums nach der Beendigung (nämlich 60 Kalendertage), in dem SiteGround die Dienstleistungen zu Übergangszwecken weiter erbringen kann („Laufzeit“). Die DVV erlischt automatisch mit der Löschung aller Kundendaten durch SiteGround.

12.  Rechtswirkung

Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen den Bestimmungen dieser DVV und dem Rest der geltenden Vereinbarung in Bezug auf die Verarbeitung von Kundendaten sind die Bestimmungen dieser DVV maßgeblich. Vorbehaltlich etwaiger Änderungen in dieser DVV bleibt diese Vereinbarung in vollem Umfang in Kraft. Wenn der Kunde mehr als eine Vereinbarung abgeschlossen hat, ändert diese DVV der Klarheit halber jede der Vereinbarungen einzeln.


Anhang 1

STANDARDVERTRAGSKLAUSELN (AUFTRAGSVERARBEITER)

Für die Zwecke von Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übertragung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten

Die in der Datenverarbeitungsvereinbarung als “Kunde” bezeichnete Entität

(der Datenexporteur)

Und

SiteGround Spain S.L.

(der Datenimporteur)

Einzeln „Partei“, gemeinsam „die Parteien“,

SIND über die folgenden Vertragsklauseln (die Klauseln) ÜBEREINGEKOMMEN, um ausreichende Garantien in Bezug auf den Schutz der Privatsphäre und der Grundrechte und -freiheiten natürlicher Personen bei die Übertragung der in Anhang 1 aufgeführten personenbezogenen Daten durch den Datenexporteur an den Datenimporteur zu schaffen.

Klausel 1

Begriffsbestimmungen

Für die Zwecke dieser Klauseln:

(a) „personenbezogene Daten“, „besondere Kategorien von personenbezogenen Daten“, „Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Aufsichtsbehörde“ haben die gleiche Bedeutung wie in der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;

(b) „Datenexporteur“ ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt;

(c) „Datenimporteur“ ist ein Auftragsverarbeiter, der sich bereit erklärt, personenbezogene Daten vom Exporteur zu erhalten, um sie im Auftrag des Exporteurs gemäß dessen Anweisungen und den Bestimmungen der Klauseln weiterzuverarbeiten, und der nicht einem Drittlandssystem unterliegt, das einen angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;

(d) „Unterauftragsverarbeiter“ ist jeder vom Datenimporteur oder einem anderen Unterauftragsverarbeiter des Datenimporteurs beauftragte Auftragsverarbeiter, der sich damit einverstanden erklärt, vom Datenimporteur oder einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich zum Zwecke der Weiterverarbeitung im Auftrag des Datenexporteurs gemäß dessen Anweisungen, den Bestimmungen der Klauseln und den Bedingungen des schriftlich geschlossenen Vertrags zu erhalten;

e) „anwendbares Datenschutzrecht“ bezeichnet die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihres Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die für den für die Verarbeitung Verantwortlichen in dem Mitgliedstaat gelten, in dem der Datenexporteur niedergelassen ist;

(f) „technische und organisatorische Sicherheitsmaßnahmen“ sind die Maßnahmen zum Schutz personenbezogener Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übertragung von Daten über Netzwerke umfasst, und gegen jede andere Form der unrechtmäßigen Verarbeitung.

Klausel 2

Einzelheiten der Übertragung

Die Einzelheiten der Übertragung und insbesondere die besonderen Kategorien personenbezogener Daten, sofern zutreffend, sind in Anhang 1 aufgeführt, der Bestandteil dieser Klauseln ist.

Klausel 3

Drittbegünstigungsklausel

1. Die betroffene Person kann die vorliegenden Klausel, Klausel 4 Buchstaben b) bis i), Klausel 5 Buchstaben a) bis e) und g) bis j), Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 und die Klauseln 9 bis 12 als Drittbegünstigter gegenüber dem Datenexporteur geltend machen.

2. Die betroffene Person kann die vorliegenden Klausel, Klausel 5 Buchstaben a) bis e) und g), Klausel 6, Klausel 7, Klausel 8 Absatz 2 und die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn der Datenexporteur de facto verschwunden ist oder rechtlich nicht mehr existiert, es sei denn, eine Nachfolgeentität hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder von Rechts wegen übernommen, wodurch sie in die Rechte und Pflichten des Datenexporteurs eintritt; in diesem Fall kann die betroffene Person diese gegenüber der Entität geltend machen.

3. Die betroffene Person kann die vorliegenden Klausel, Klausel 5 Buchstaben a) bis e) und g), Klausel 6, Klausel 7, Klausel 8 Absatz 2 und die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl der Datenexporteur als auch der Datenimporteur de facto verschwunden sind oder rechtlich nicht mehr existieren, es sei denn, eine Nachfolgeentität ist vertraglich oder kraft Gesetzes in alle rechtlichen Verpflichtungen des Datenexporteurs eingetreten, wodurch sie die Rechte und Pflichten des Datenexporteurs übernimmt; in diesem Fall kann die betroffene Person diese gegenüber der Entität geltend machen. Die Haftung des Unterauftragsverarbeiters gegenüber Dritten ist auf seine eigenen Verarbeitungen gemäß den Klauseln beschränkt.

4. Die Parteien haben keine Einwände dagegen, daß eine betroffene Person durch einen Verband oder eine andere Einrichtung vertreten wird, wenn die betroffene Person dies ausdrücklich wünscht und das nationale Recht dies zuläßt.

Klausel 4

Pflichten des Datenexporteurs

Der Datenexporteur verpflichtet sich und gewährleistet:

(a) dass die Verarbeitung der personenbezogenen Daten, einschließlich der Übertragung selbst, in Übereinstimmung mit den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts erfolgt ist und weiterhin erfolgen wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, gemeldet wurde) und nicht gegen die einschlägigen Bestimmungen dieses Staates verstößt;

(b) dass er den Datenimporteur angewiesen hat und während der gesamten Dauer der personenbezogenen Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem geltenden Datenschutzrecht, den vorliegenden Klauseln und dem nationalen Recht zu verarbeiten;

(c) dass der Datenimporteur ausreichende Garantien hinsichtlich der technischen und organisatorischen Sicherheitsmaßnahmen gemäß Anhang 2 zu diesem Vertrag bietet;

(d) dass die Sicherheitsmaßnahmen nach Prüfung der Anforderungen des anwendbaren Datenschutzrechts geeignet sind, personenbezogene Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übertragung von Daten über ein Netzwerk umfasst, und gegen jede andere Form der unrechtmäßigen Verarbeitung zu schützen, und dass diese Maßnahmen unter Berücksichtigung des Stands der Technik und der Kosten ihrer Durchführung ein Schutzniveau gewährleisten, das den mit der Verarbeitung verbundenen Risiken und der Art der zu schützenden Daten angemessen ist;

(e) dass er für die Einhaltung der Sicherheitsmaßnahmen Sorge tragen wird;

(f) dass, falls die Übertragung besondere Datenkategorien betrifft, die betroffene Person vor oder so bald wie möglich nach der Übertragung darüber informiert wurde oder wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das keinen angemessenen Schutz im Sinne der Richtlinie 95/46/EG bietet;

(g) jede vom Datenimporteur oder einem Unterauftragsverarbeiter gemäß Klausel 5 Buchstabe b und Klausel 8 Absatz 3 erhaltene Benachrichtigung an die Datenschutzaufsichtsbehörde weiterzuleiten, wenn der Datenexporteur beschließt, die Übertragung fortzusetzen oder die Aussetzung aufzuheben;

(h) den betroffenen Personen auf Anfrage ein Exemplar der vorliegenden Klauseln, mit Ausnahme von Anhang 2, und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie ein Exemplar jedes Vertrags über Unterauftragsverarbeitungsdienstleistungen, der gemäß den Klauseln geschlossen werden muss, zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall kann er diese Geschäftsinformationen löschen;

(i) dass im Falle einer Unterauftragsverarbeitung die Verarbeitungstätigkeit gemäß Klausel 11 von einem Unterauftragsverarbeiter durchgeführt wird, der mindestens das gleiche Maß an Schutz der personenbezogenen Daten und der Rechte der betroffenen Person bietet wie der Datenimporteur gemäß diesen Klauseln, und

(j) dass er die Umsetzung von Klausel 4 Buchstaben a) bis i) in der Praxis umgesetzt.

Klausel 5

Pflichten des Datenimporteurs [1]

Der Datenimporteur verpflichtet sich und garantiert:

(a) die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und diesen Klauseln zu verarbeiten; sollte er dies, aus welchen Gründen auch immer, nicht leisten, wird er den Datenexporteur unverzüglich informieren; in diesem Fall hat der Datenexporteur das Recht, die Übertragung der Daten auszusetzen und/oder den Vertrag zu kündigen;

(b) dass er keinen Grund zu der Annahme hat, dass die für ihn geltenden Rechtsvorschriften ihn daran hindern, die vom Datenexporteur erhaltenen Anweisungen und seine Verpflichtungen aus dem Vertrag zu erfüllen, und dass er im Falle einer Änderung dieser Rechtsvorschriften, die erhebliche nachteilige Auswirkungen auf die in den Klauseln vorgesehenen Garantien und Verpflichtungen haben könnte, den Datenexporteur unverzüglich über die Änderung informieren wird, sobald er davon Kenntnis hat; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen;

(c) dass er vor der Verarbeitung der übertragenen personenbezogenen Daten die in Anhang 2 genannten technischen und organisatorischen Sicherheitsmaßnahmen getroffen hat;

(d) den Datenexporteur unverzüglich zu unterrichten über:

(i) jeden rechtsverbindlichen Antrag einer Strafverfolgungsbehörde um Offenlegung der personenbezogenen Daten, sofern dies nicht anderweitig untersagt ist, wie z. B. ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit einer strafrechtlichen Untersuchung;

(ii) jeden zufälligen oder unbefugten Zugriff und

(iii) alle unbeantworteten Anfragen, die direkt von den betroffenen Personen eingehen, es sei denn, sie wurden anderweitig genehmigt;

(e) alle Anträge des Datenexporteurs in Bezug auf die Verarbeitung der personenbezogenen Daten, die Gegenstand der Übertragung sind, innerhalb der vorgeschriebenen Fristen und ordnungsgemäß zu beantworten und den Rat der Aufsichtsbehörde in Bezug auf die Verarbeitung der übertragenen Daten zu befolgen;

(f) auf Ersuchen des Datenexporteurs seine Datenverarbeitungsanlagen für eine Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung zu stellen, die vom Datenexporteur oder einer Aufsichtsbehörde durchgeführt wird, die sich aus unabhängigen und zur Verschwiegenheit verpflichteten Mitgliedern zusammensetzt, die vom Datenexporteur gegebenenfalls im Einvernehmen mit der Aufsichtsbehörde ausgewählt wurden;

(g) der betroffenen Person auf Anfrage eine Kopie dieser Klauseln oder eines bestehenden Vertrags über die Unterverarbeitung zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall kann er diese Geschäftsinformationen löschen, mit Ausnahme von Anhang 2, der durch eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen ersetzt wird, wenn die betroffene Person diese nicht direkt vom Datenexporteur erhalten kann;

(h) dass er im Falle einer Unterverarbeitung den Datenexporteur zuvor informiert und dessen vorherige schriftliche Zustimmung eingeholt wurde;

(i) dass die vom Unterauftragsverarbeiter erbrachten Verarbeitungsleistungen im Einklang mit Klausel 11 durchgeführt werden;

(j) dass er dem Datenexporteur unverzüglich eine Kopie jedes Vertrags mit Unterauftrags-verarbeitern, die er gemäß den Klauseln abschließt, zukommen lässt.

Klausel 6

Haftung

1. Die Parteien kommen überein, dass betroffene Personen, die infolge einer Verletzung der in Klausel 3 oder in Klausel 11 genannten Verpflichtungen durch eine Partei oder einen Unterauftragsverarbeiter einen Schaden erlitten hat, Anspruch auf Ersatz des erlittenen Schadens durch den Datenexporteur haben.

2. Ist eine betroffene Person nicht in der Lage, einen Schadensersatzanspruch gemäß Absatz 1 gegen den Datenexporteur geltend zu machen, der sich aus einem Verstoß des Datenimporteurs oder seines Unterauftragsverarbeiters gegen eine der in Klausel 3 oder in Klausel 11 genannten Verpflichtungen ergibt, weil der Datenexporteur de facto verschwunden ist oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist, so erklärt sich der Datenimporteur damit einverstanden, dass die betroffene Person den Datenimporteur anstelle des Datenexporteurs verklagen kann, es sei denn, eine Nachfolgeentität hat alle rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder von Rechts wegen übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegenüber diese Entität geltend machen.

Der Datenimporteur kann sich nicht darauf berufen, dass ein Unterauftragsverarbeiter seinen Verpflichtungen nicht nachkommt, um sich seiner eigenen Verantwortung zu entziehen.

3. Ist eine betroffene Person nicht in der Lage, einen Anspruch gegen den Datenexporteur oder den Datenimporteur gemäß den Absätzen 1 und 2 geltend zu machen, der sich aus einem Verstoß des Unterauftragsverarbeiters gegen eine der in Klausel 3 oder in Klausel 11 genannten Verpflichtungen ergibt, weil sowohl der Datenexporteur als auch der Datenimporteur de facto verschwunden ist, rechtlich nicht mehr existiert oder zahlungsunfähig ist, erklärt sich der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person den Unterauftragsverarbeiter in Bezug auf ihre eigenen Datenverarbeitungsvorgänge gemäß den Klauseln anstelle des Datenexporteurs oder Datenimporteurs verklagen kann, es sei denn, eine Nachfolgeentität hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs vertraglich oder von Rechts wegen übernommen; in diesem Fall können die betroffenen Personen ihre Rechte gegenüber dieser Entität geltend machen. Die Haftung des Unterauftragsverarbeiters beschränkt sich auf seine eigenen Datenverarbeitungsvorgänge nach Maßgabe der vorliegenden Klauseln.

Klausel 7

Mediation und Gerichtsbarkeit

1. Der Datenimporteur erklärt sich damit einverstanden, dass wenn die betroffene Person sich gegenüber dem Datenimporteur auf die Rechte eines Drittbegünstigten beruft und/oder Schadensersatzansprüche gemäß diesen Klauseln geltend macht, er die Entscheidung der betroffenen Person akzeptiert:

(a) den Streitfall der Schlichtung durch eine unabhängige Person oder gegebenenfalls durch die Aufsichtsbehörde zu überlassen;

(b) die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit der Streitigkeit zu befassen.

2. Die Parteien sind sich darüber einig, daß die Wahl der betroffenen Person die materiellen Rechte oder Verfahrensrechte letzterer, Rechtsbehelfe nach anderen Bestimmungen des nationalen oder internationalen Rechts einzulegen, nicht beeinträchtigen wird.

Klausel 8

Zusammenarbeit mit den Aufsichtsbehörden

1. Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn diese es verlangt oder wenn die Hinterlegung durch die geltenden Datenschutzvorschriften vorgeschrieben ist.

2. Die Parteien vereinbaren, dass die Aufsichtsbehörde das Recht hat, beim Datenimporteur und bei allen Unterauftragsverarbeitern ein Audit durchzuführen, das den gleichen Umfang hat und den gleichen Bedingungen unterliegt, wie sie für ein Audit des Datenexporteurs nach dem geltenden Datenschutzrecht gelten würden.

3. Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn die auf ihn oder einen Unterauftragsverarbeiter anwendbaren Rechtsvorschriften ein Audit des Datenimporteurs oder der Unterauftragsverarbeiter gemäß Absatz 2 nicht zulassen. In einem solchen Fall ist der Datenexporteur berechtigt, die in Klausel 5 Buchstabe b) vorgesehenen Maßnahmen zu ergreifen

Klausel 9

Anwendbares Recht

Die vorliegenden Klauseln unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

Klausel 10

Änderung des Vertrages

Die Parteien verpflichten sich, diese Klauseln nicht zu ändern oder zu ergänzen. Dies schließt nicht aus, dass die Parteien bei Bedarf Klauseln, die sich auf ihr Geschäft beziehen, hinzufügen, sofern sie nicht im Widerspruch zu den vorliegenden Klauseln stehen.

Klausel 11

Unterauftragsverarbeitung

1. Der Datenimporteur darf ohne vorherige schriftliche Zustimmung des Datenexporteurs keine seiner im Namen des Datenexporteurs gemäß den vorliegenden Klauseln durchgeführten Verarbeitungen an Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Zustimmung des Datenexporteurs Unteraufträge im Rahmen dieser Klauseln, so darf er dies nur im Wege eines schriftlichen Vertrags mit dem Unterauftragsverarbeiter tun, die dem Unterauftragsverarbeiter dieselben Verpflichtungen auferlegt wie dem Datenimporteur gemäß den Klauseln (3). Kommt der Unterauftragsverarbeiter seinen datenschutzrechtlichen Verpflichtungen aus einer solchen schriftlichen Vereinbarung nicht nach, so bleibt der Datenimporteur dem Datenexporteur gegenüber in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus dieser Vereinbarung haftbar.

2. Der vorherige schriftliche Vertrag zwischen dem Datenimporteur und dem Unterauftragsverarbeiter sieht auch eine Drittbegünstigungsklausel gemäß Klausel 3 für den Fall vor, dass die betroffene Person nicht in der Lage ist, den in Klausel 6 Absatz 1 genannten Schadensersatzanspruch gegen den Datenexporteur oder den Datenimporteur geltend zu machen, weil diese de facto verschwunden sind oder rechtlich nicht mehr bestehen oder zahlungsunfähig geworden sind und keine Nachfolgeentität die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder des Datenimporteurs vertraglich oder kraft Gesetzes übernommen hat. Die Drittschuldnerhaftung des Unterauftragsverarbeiters ist auf seine eigenen Datenverarbeitungsvorgänge nach Maßgabe der Klauseln beschränkt.

3. Die Bestimmungen über die datenschutzrechtlichen Aspekte der Unterauftragsverarbeitung des in Absatz 1 genannten Vertrags unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, nämlich ...

4. Der Datenexporteur führt ein Verzeichnis der gemäß den Klauseln geschlossenen und vom Datenimporteur gemäß Klausel 5 Buchstabe j gemeldeten Unterverarbeitungsverträge, das mindestens einmal jährlich zu aktualisieren ist. Die Liste wird der Datenschutzaufsichtsbehörde des Datenexporteurs zur Verfügung gestellt.

Klausel 12

Pflichten nach Beendigung der Verarbeitung personenbezogener Daten

1. Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Erbringung von Datenverarbeitungsdienstleistungen nach Wahl des Datenexporteurs alle übermittelten personenbezogenen Daten und die Kopien davon an den Datenexporteur zurückgeben oder alle personenbezogenen Daten vollständig vernichten und dies dem Datenexporteur gegenüber bescheinigen, es sei denn, das für den Datenimporteur geltende Recht hindert ihn daran, die übermittelten personenbezogenen Daten ganz oder teilweise zurückzugeben oder zu vernichten. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleisten und die übermittelten personenbezogenen Daten nicht mehr aktiv verarbeiten wird.

2. Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Ersuchen des Datenexporteurs und/oder der Aufsichtsbehörde ihre Datenverarbeitungsanlagen für die Prüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.

[1] Zwingende Anforderungen der für den Datenimporteur geltenden nationalen Rechtsvorschriften, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft aufgrund eines der in Artikel 13 Absatz 1 der Richtlinie 95/46/EG aufgeführten Interessen erforderlich ist, d. h. wenn sie notwendig ist für Schutz der nationalen Sicherheit; der Landesverteidigung; der öffentlichen Sicherheit; für Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder von Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen; für Schutz eines wichtigen wirtschaftlichen oder finanziellen Interesse des Mitgliedstaats oder der betroffenen Person oder der Rechte und Freiheiten anderer Personen; und nicht im Widerspruch zu den Standardvertragsklauseln stehen. Einige Beispiele für solche zwingenden Anforderungen, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig ist, sind unter anderem international anerkannte Sanktionen, steuerliche Meldepflichten oder Meldepflichten zur Bekämpfung der Geldwäsche.

Zusatz 1 zu den Standardvertragsklauseln

Datenexporteur

Der Datenexporteur ist die Entität, die in der Datenverarbeitungsvereinbarung als „Kunde“ bezeichnet wird.

Datenimporteur

Der Datenimporteur ist SiteGround Spain S.L.

Betroffene Personen

Die personenbezogenen Daten beziehen sich auf die in Abschnitt 2.3.4. der Datenverarbeitungsvereinbarung definierten Kategorien von betroffenen Personen.

Kategorien von Daten

Personenbezogene Daten beziehen sich auf die in Abschnitt 2.3.5. der Datenverarbeitungsvereinbarung definierten Kategorien von Daten.

Verarbeitungsvorgänge

Die Verarbeitungsvorgänge sind in Abschnitt 2 der Datenverarbeitungsvereinbarung definiert.

 

Zusatz 2  zu den Standardvertragsklauseln

Dieser Zusatz ist Teil der Klauseln. Mit dem Erwerb von Dienstleistungen von SiteGround und der Vereinbarung über die Datenverarbeitung wird davon ausgegangen, dass die Parteien diesen Zusatz 2 akzeptiert und ausgeführt haben.

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die vom Datenimporteur gemäß Klauseln 4(d) und 5(c) umgesetzt werden (bzw. beigelegten Dokumenten/Gesetzvorschriften):

Die vom Datenimporteur ergriffenen technischen und organisatorischen Sicherheitsmaßnahmen entsprechen der Beschreibung in der Datenverarbeitungsvereinbarung und im Anhang 2 Sicherheitsmaßnahmen

Anhang 2

Sicherheitsmaßnahmen

SiteGround ergreift und unterhält angemessene technische und organisatorische Sicherheitsmaßnahmen für die Verarbeitung personenbezogener Daten, einschließlich der im Zusatz 2 zur Datenverarbeitungsvereinbarung dargelegten Maßnahmen. Diese Maßnahmen dienen dem Schutz personenbezogener Daten vor versehentlichem oder unbefugtem Verlust, Zerstörung, Änderung, Weitergabe oder Zugriff sowie vor allen anderen unrechtmäßigen Formen der Verarbeitung. In der Vereinbarung können zusätzliche Maßnahmen und Informationen über solche Maßnahmen festgelegt werden, einschließlich Sicherheitsmaßnahmen und -praktiken, die für die vom Kunden angeforderten besonderen Dienstleistungen gelten.  

SiteGround ist berechtigt, diese Sicherheitsmaßnahmen regelmäßig zu aktualisieren oder zu ändern, sofern diese Aktualisierungen und Änderungen nicht zu einer Beeinträchtigung der Gesamtsicherheit der Dienstleistungen führen. 

Die von SiteGround getroffenen technischen und organisatorischen Sicherheitsmaßnahmen stehen im Einklang mit Ziffer 4(c) und 5(c) der Standardvertragsklauseln.

Mitarbeiter und Vertraulichkeit

SiteGround ergreift angemessene Maßnahmen, um sicherzustellen, dass keine Person von SiteGround mit der Verarbeitung personenbezogener Daten beauftragt wird, es sei denn, diese Person:

  1. ist kompetent und qualifiziert, die ihr von SiteGround zugewiesenen spezifischen Aufgaben zu erfüllen;

  2. wurde von SiteGround autorisiert; und

  3. wurde unterrichtet von SiteGround über die einschlägigen Anforderungen, die für die Erfüllung der Verpflichtungen von SiteGround gemäß diesen Klauseln relevant sind, insbesondere über den Zweck und die Beschränkungen der Verarbeitung der Daten.

Die Mitarbeiter von SiteGround sind verpflichtet, Richtlinien des Unternehmens in Bezug auf Vertraulichkeit, Ethik, angemessene Nutzung und professionelle Standards zu respektieren und befolgen. SiteGround führt im Rahmen des rechtlich Zulässigen und in Übereinstimmung mit dem geltenden lokalen Arbeitsrecht und den gesetzlichen Vorschriften angemessene Zuverlässigkeitsüberprüfungen durch. Die Mitarbeiter müssen eine Vertraulichkeitserklärung unterzeichnen und den Erhalt der Datenschutz- und Vertraulichkeitsrichtlinien von SiteGround bestätigen und diese einhalten. Es werden Schulungen angeboten, und Mitarbeiter, die mit personenbezogenen Daten umgehen, müssen zusätzliche Anforderungen erfüllen, die ihrer Rolle entsprechen. 

Physische Sicherheit 

SiteGround nutzt geografisch verteilte Datenzentren und speichert alle Produktionsdaten in physisch sicheren Datenzentren. Die Produktionsrechenzentren des SiteGround Sub-Processors setzen Maßnahmen zur Sicherung des Zugangs zu den Datenverarbeitungssystemen ein. Sie verfügen über ein Zugangssystem, das den Zutritt zum Datenzentrum kontrolliert. Dieses System erlaubt nur autorisiertem Personal den Zugang zu sicheren Bereichen. Die Einrichtungen sind so konzipiert, dass sie widrigen Witterungsverhältnissen und anderen vernünftigerweise vorhersehbaren natürlichen Gegebenheiten standhalten. Sie sind rund um die Uhr durch Wachpersonal, CCTV-Überwachung durch , Zugangskontrollen und begleitete Zugänge gesichert und werden bei einem Stromausfall durch Notstromgeneratoren vor Ort unterstützt.

Die Stromversorgungssysteme des Datenzentrums sind so konzipiert, dass sie redundant sind und gewartet werden können, ohne den kontinuierlichen 24/7-Betrieb zu beeinträchtigen. In den meisten Fällen werden sowohl eine primäre als auch eine alternative Stromquelle für kritische Infrastrukturkomponenten im Rechenzentrum bereitgestellt. Die Notstromversorgung erfolgt über verschiedene Mechanismen, wie z. B. unterbrechungsfreie Stromversorgungen (USV) oder Dieselgeneratoren, die in der Lage sind, eine Notstromversorgung oder einen zuverlässigen Stromschutz bei Spannungsabfälle, Stromausfälle, Überspannung, Unterspannung und Frequenzüberschreitungen außerhalb des Toleranzbereichs zu gewährleisten.

Die Infrastruktursysteme wurden so konzipiert, dass einzelne Fehlerquellen ausgeschlossen und die Auswirkungen der zu erwartenden Umweltrisiken minimiert werden. Die Produktionsanlagen und Einrichtungen der SiteGround Unterauftragsverarbeiter verfügen über dokumentierte Verfahren zur vorbeugenden Wartung, in denen das Verfahren und die Häufigkeit der vorbeugenden Wartung gemäß den Spezifikationen des Herstellers festgelegt sind. Die vorbeugende und korrigierende Wartung der Ausrüstung des Datenzentrums wird durch einen Standardänderungsprozess gemäß den dokumentierten Verfahren geplant.

Zugangskontrollsystem

SiteGround-Server verwenden eine Linux-basierte Implementierung, die für die Dienstleistungen angepasst wurde. SiteGround wendet einen Überprüfungsprozess an, um die Sicherheit der für die Bereitstellung der Dienstleistungen verwendeten Betriebssysteme zu erhöhen und die Sicherheitsprodukte in Produktionsumgebungen zu verbessern.

SiteGround hat eine Sicherheitspolitik für ihre Mitarbeiter eingeführt und hält diese aufrecht. Das Infrastruktur-, Entwicklungs- und Supportpersonal von SiteGround ist für die ständige Überwachung der Sicherheit der Infrastruktur von SiteGround, die Überprüfung der Dienstleistungen und die Reaktion auf Sicherheitsvorfälle verantwortlich.

Die internen Zugriffsprozesse und -richtlinien von SiteGround sollen verhindern, dass unbefugte Personen und/oder Systeme Zugang zu Systemen erhalten, die Kundendaten, einschließlich personenbezogener Daten, verarbeiten. SiteGround zielt darauf ab, ihre Systeme so zu gestalten, dass: (i) nur befugten Personen der Zugriff auf Daten ermöglicht wird, zu denen sie berechtigt sind; und (ii) sichergestellt wird, dass personenbezogene Daten während der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. SiteGround setzt ein Zugriffsmanagementsystem ein, um den Zugang des Personals zu den Produktionsservern zu kontrollieren, und gewährt nur autorisiertem Personal Zugang. Je nach beauftragten Leistungen kommen u.a. folgende Kontrollen zum Einsatz: Identifizierung über Passwörter und/oder Zwei-Faktor-Identifizierung, SSH-Schlüssel, Genehmigungsverfahren, Änderungsverwaltung, Zugang zu den Datenzentren ist eingeschränkt und durch Firewall/VLAN geschützt, und der Zugang wird auf verschiedenen Ebenen protokolliert. Die Gewährung oder Änderung von Zugriffsrechten basiert auf: den beruflichen Verantwortlichkeiten des autorisierten Personals, den für die Ausführung der autorisierten Aufgaben erforderlichen Anforderungen und der Notwendigkeit, diese zu kennen. Die Erteilung oder Änderung von Zugriffsrechten muss außerdem in Übereinstimmung mit den internen Datenzugriffsrichtlinien von SiteGround erfolgen. 

Zugangskontrolldienstleistungen

Kunden und Endnutzer müssen sich durch ein Identifikationssystem ausweisen, um die Dienstleistungen nutzen zu können. Jede Anwendung prüft die Anmeldedaten, um dem autorisierten Endnutzer die Einsicht in die Daten zu ermöglichen.

Je nach den vertraglich vereinbarten Dienstleistungen werden unter anderem folgende Kontrollen durchgeführt: Identifizierung über ein Passwort und/oder einen doppelten Identifizierungsfaktor, SHH-Schlüssel, Genehmigungsverfahren, Änderungsverwaltungsverfahren, Protokollierung des Zugriffs auf verschiedenen Ebenen. Je nach den spezifischen Dienstleistungen können die folgenden Kontrollen zur Anwendung kommen: eindeutige Kennungen, die der verantwortlichen Person zugeordnet werden, Mechanismen zur Verweigerung des Zugangs bei aufeinanderfolgenden fehlgeschlagenen Anmeldeversuchen und Sperrfristen, Mechanismen zum Ablauf und zur Rücksetzung von Passwörtern sowie Anforderungen an die Passwortsicherheit.

Datenzugangskontrolle 

SiteGround speichert Daten in einer mandantenfähigen Umgebung, was bedeutet, dass die Installationen mehrerer Kunden auf derselben physischen Hardware gespeichert sind. SiteGround verwendet logische Isolierung, um die Daten jedes Kunden zu trennen und trennt die Daten jedes Kunden logisch von denen der anderen. Dies ermöglicht die Größenordnung und verhindert gleichzeitig, dass Kunden gegenseitig auf ihre Daten zugreifen.

Der Kunde erhält die Kontrolle über spezifische Kontrollen für das Teilen des Zugriffs auf die Daten für Endnutzer zu bestimmten Zwecken in Übereinstimmung mit der Funktionalität der Dienstleistungen. Der Kunde hat die Möglichkeit, von diesen Kontrollen Gebrauch zu machen. SiteGround stellt bestimmte Logging-Funktionen zur Verfügung.

Der direkte Zugang zu den Kundendaten ist eingeschränkt, und falls dies erforderlich ist, werden Zugriffsrechte nur für ordnungsgemäß autorisiertes Personal eingerichtet und durchgesetzt, zusätzlich zu den in den vorhergehenden Abschnitten dargelegten Zugriffskontrollregeln. 

Kontrolle der Übertragung

Datenzentren sind in der Regel über private Hochgeschwindigkeitsverbindungen miteinander verbunden, um eine sichere und schnelle Datenübertragung zwischen den Datenzentren zu gewährleisten. Dadurch soll verhindert werden, dass Daten bei der elektronischen Übertragung, beim Transport, bei der Aufzeichnung auf Datenträgern oder beim Austausch innerhalb des Datenzentren unbefugt gelesen, kopiert, verändert oder gelöscht werden können. 

SiteGround verwendet für die Datenübertragung zwischen den Kundengeräten und den Services und Datenzentren von SiteGround sowie innerhalb der Datenzentren selbst branchenübliche Transportprotokolle wie SSL und TLS. Sofern für die Dienstleistungen nicht anders angegeben (u.a. in dem Antrag, der jeweiligen Vereinbarung oder der Benutzerdokumentation der Dienstleistungen), werden Daten außerhalb der Serviceumgebung verschlüsselt übertragen. Einige Funktionalitäten der Dienstleistungen können es dem Kunden ermöglichen, unverschlüsselte Kommunikation bei der Nutzung der Dienstleistung zu wählen. Der Kunde trägt die alleinige Verantwortung für die Ergebnisse, wenn er sich für die Verwendung unverschlüsselter Kommunikation oder Übertragungen entscheidet. 

Eingabekontrolle

Die Quelle der personenbezogenen Daten unterliegt der Kontrolle des Kunden, und die Integration der personenbezogenen Daten in das System erfolgt durch gesicherten Dateitransfer, über Webdienste oder durch Eingabe in die Anwendung durch den Kunden. Wie im obigen Abschnitt „Kontrolle der Übertragung“ dargelegt, erlauben einige Funktionalitäten der Services dem Kunden, unverschlüsselte Dateiübertragungsprotokolle zu verwenden. In solchen Fällen trägt der Kunde die alleinige Verantwortung, wenn er sich für die Verwendung solcher unverschlüsselten Übertragungsprotokolle entscheidet. 

Die Dienstleistungen bringen keine Viren in die Kundendaten ein; die Dienstleistungen scannen jedoch nicht nach Viren, die in Anhängen oder anderen persönlichen Daten enthalten sein könnten, die vom Kunden in die Services hochgeladen werden. Solche hochgeladenen Anhänge werden in den Services nicht ausgeführt und können daher das Service nicht beschädigen oder gefährden.

Netzwerk-Kontrolle

SiteGround blockiert unbefugten Datenverkehr zu und innerhalb der Datenzentren mit Hilfe verschiedener Technologien wie Firewalls, NAT-Mechanismen, partitionierte lokale Netzwerke und die physische Trennung von Backend-Servern von öffentlichen Schnittstellen.

SiteGround setzt mehrere Schichten von Netzwerkgeräten und Intrusion Detection ein, um ihre externe Angriffsfläche zu schützen. SiteGround berücksichtigt potenzielle Angriffsvektoren und und integriert zu diesem Zweck speziel entwickelte Technologien in ihre externen Systeme.

SiteGround und autorisiertes Personal überwachen die Dienstleistungen auf unbefugtes Eindringen mit Hilfe von netzwerkbasierten Intrusion Detection Mechanismen. Die Erkennung von Eindringungen soll Einblick in laufende Angriffsaktivitäten geben und angemessene Informationen liefern, um auf Vorfälle zu reagieren. Die Intrusion Detection von SiteGround umfasst eine strenge Kontrolle der Angriffsfläche für die Netzwerkkommunikation durch präventive Maßnahmen wie Firewalls, den Einsatz intelligenter Erkennungskontrollen an Dateneingangspunkten und den Einsatz von Technologien, die bestimmte gefährliche Situationen automatisch beheben.

Reaktion auf Vorfälle

SiteGround unterhält Richtlinien und Verfahren für das Management von Sicherheitsvorfällen und überwacht eine Vielzahl von Kommunikationskanälen für Sicherheitsvorfälle. Die Mitarbeiter von SiteGround reagieren umgehend auf bekannte Vorfälle und benachrichtigen den Kunden unverzüglich, wenn SiteGround Kenntnis von einer tatsächlichen oder vermuteten unbefugten Offenlegung personenbezogener Daten erhält.

System-Protokolle

SiteGround stellt sicher, dass Verarbeitungssysteme, die zur Speicherung von Kundendaten verwendet werden, Informationen in dem jeweiligen Systemprotokolldienstprogramm aufzeichnen. Die Log-Einträge werden für den Fall gespeichert, dass ein unzulässiger Zugriff vermutet wird und eine Analyse erforderlich ist. Das Protokoll wird sicher aufbewahrt, um Manipulationen zu verhindern.

Zuverlässigkeit und Backups

SiteGround stellt sicher, dass für die Dienstleistungen regelmäßig Backups erstellt werden. Die Backups werden durch eine Kombination von technischen und physischen Kontrollen gesichert. 

SiteGround stellt sicher, dass die Systeme, auf denen Kundendaten gespeichert sind, über eine Disaster-Recovery-Einrichtung verfügen und im Rahmen des Notfallwiederherstellungsplans geregelt sind. Für den Fall, dass die Produktionsanlagen nicht mehr verfügbar sind, führt SiteGround Wiederherstellungspläne aus, um den Betrieb zeitnah wiederherzustellen. SiteGround hat ihre Disaster-Recovery-Pläne entworfen und entwickelt, und testet sie regelmäßig.

Datenvernichtung

Wenn Kunden Daten löschen oder den Service verlassen, stellt SiteGround sicher, dass die Daten gemäß den Bedingungen des jeweiligen Vertrags gelöscht werden. Bei bestimmten Festplatten befolgt SiteGround strenge Standards, die das Überschreiben von Speicherressourcen vor der Wiederverwendung sowie die physische Entsorgung von stillgelegter Hardware vorschreiben. In den Produktionsdatenzentren der SiteGround Unterauftragsverarbeiter werden strenge Verfahren für die Wiederverwendung, Umverteilung, Datenvernichtung und Stilllegung von Festplatten und Hardware angewandt.

Sicherheit von Unterauftragsverarbeitern

Vor der Einbindung von Unterauftragsverarbeitern führt SiteGround eine Prüfung der Sicherheits- und Datenschutzpraktiken der Unterauftragsverarbeiter durch, um sicherzustellen, dass die Unterauftragsverarbeiter ein Sicherheits- und Datenschutzniveau bieten, das ihrem Zugang zu Daten und dem Umfang der Dienstleistungen, für die sie unter Vertrag genommen wurden, entspricht. Der Unterauftragsverarbeiter ist verpflichtet, die geeigneten Sicherheits-, Vertraulichkeits- und Datenschutzbedingungen einzuhalten.

Systemänderungen und –erweiterungen

SiteGround kann die Dienstleistungen während der Laufzeit der Vereinbarung verbessern und Änderungen vornehmen. Sicherheitskontrollen, -verfahren, -richtlinien und -charakteristiken können sich ändern oder hinzugefügt werden. SiteGround stellt Sicherheitskontrollen bereit, die ein Sicherheitsniveau bieten, das nicht wesentlich geringer ist als das zum Zeitpunkt des Inkrafttretens bereitgestellte.

Zusatz 3: Liste der Unterauftragsverarbeiter

Auf Anfrage erhältlich.

Fenster schlie├čen