Yovale Daten-verarbeitungsvertrag

„Dienst" bezeichnet den von Yovale verwalteten WordPress-Hosting-Dienst, der im Rahmen des Yovale-Endbenutzer-Lizenzvertrags bereitgestellt wird.

„Kundendaten" bezeichnet personenbezogene Daten, die Yovale im Auftrag des Kunden im Zusammenhang mit dem Dienst verarbeitet.

„Betroffene Person" bezeichnet eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten in den Kundendaten enthalten sind.

„Unterauftragsverarbeiter" bezeichnet jeden Dritten, der von Yovale zur Verarbeitung von Kundendaten im Zusammenhang mit dem Dienst beauftragt wird.

Nicht hier definierte Begriffe — einschließlich „Verantwortlicher", „Auftragsverarbeiter", „Personenbezogene Daten", „Verarbeitung", „Datenpanne" und „Aufsichtsbehörde" — haben die Bedeutung gemäß Art. 4 DSGVO.

Der Kunde ist Verantwortlicher für die Kundendaten. Der Kunde bestimmt die Zwecke und Mittel der Verarbeitung.

Yovale ist Auftragsverarbeiter der Kundendaten. Yovale verarbeitet Kundendaten ausschließlich auf dokumentierte Anweisungen des Kunden, einschließlich der in der vom Kunden über das Yovale-Dashboard festgelegten Dienstkonfiguration enthaltenen Anweisungen.

Wenn Yovale personenbezogene Daten direkt von Einzelpersonen für eigene Zwecke erhebt — beispielsweise in der Beziehung mit dem Kontoinhaber — handelt Yovale als Verantwortlicher für diese Daten, und diese Verarbeitung unterliegt der Yovale-Datenschutzrichtlinie und nicht diesem DVV.

Gegenstand der Verarbeitung ist das Hosting, die Speicherung, Übertragung, Sicherung und operative Wartung von Kundendaten in den WordPress-Websites des Kunden und den damit verbundenen Dashboard-Oberflächen.

Die Dauer der Verarbeitung entspricht der Dauer des Dienstes. Die Verpflichtungen von Yovale aus diesem DVV gelten bis zur Löschung oder Rückgabe aller Kundendaten gemäß Abschnitt 10.

Die Art der Verarbeitung umfasst die Erhebung, Erfassung, Organisation, Strukturierung, Speicherung, Abfrage, Übertragung, das Hosting und die Löschung von Kundendaten, soweit zur Erbringung des Dienstes erforderlich.

Zweck der Verarbeitung ist es, dem Kunden den Betrieb der über den Dienst gehosteten WordPress-Website(s) zu ermöglichen, einschließlich der Bereitstellung von Website-Inhalten für Besucher, der Entgegennahme von Formularübermittlungen, der Bereitstellung des administrativen Dashboards, der Erstellung von Backups, der Bereitstellung von Protokollen und der Unterstützung kundengewählter Integrationen.

Kategorien von Kundendaten: Identifikationsdaten (Namen, E-Mail-Adressen, Kontoidentifikatoren), über Formulare auf Kunden-Websites übermittelte Kontaktdaten, von Kunden-Nutzern verfasste Inhalte, Transaktionsdaten in WooCommerce-Websites soweit zutreffend, technische Signale (IP-Adressen, User Agents, Zeitstempel) sowie sonstige personenbezogene Daten, die der Kunde im Dienst speichern möchte.

Kategorien betroffener Personen: eigene Nutzer und Mitarbeiter des Kunden, Website-Besucher des Kunden, Kunden und Mitglieder des Kunden sowie sonstige natürliche Personen, deren personenbezogene Daten der Kunde über den Dienst verarbeiten möchte.

Besondere Kategorien personenbezogener Daten: Der Kunde sollte besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO nicht ohne vorherige schriftliche Benachrichtigung von Yovale hochladen.

Yovale verarbeitet Kundendaten ausschließlich auf dokumentierte Anweisungen des Kunden. Die Anweisungen sind: (i) dieser DVV, (ii) der Yovale-Endbenutzer-Lizenzvertrag, (iii) die vom Kunden über das Dashboard festgelegte Dienstkonfiguration und (iv) etwaige weitere schriftliche Anweisungen, die der Kunde per E-Mail an dpo@yovale.com erteilt.

Ist Yovale nach EU- oder mitgliedstaatlichem Recht verpflichtet, Kundendaten entgegen den Anweisungen des Kunden zu verarbeiten, wird Yovale den Kunden vor der Verarbeitung über diese rechtliche Anforderung informieren, sofern das betreffende Recht diese Mitteilung nicht aus Gründen des wichtigen öffentlichen Interesses untersagt.

Yovale stellt sicher, dass das zur Verarbeitung von Kundendaten autorisierte Personal durch geeignete Vertraulichkeitsverpflichtungen gebunden ist, sei es durch Arbeitsverträge oder gleichwertige schriftliche Verpflichtungen.

Der Zugriff auf Kundendaten bei Yovale ist auf Personal beschränkt, das diesen Zugriff für die Ausübung seiner Tätigkeit benötigt, und wird zu Prüfungszwecken protokolliert.

Netzwerk: TLS 1.2 oder höher für alle Daten im Transit. Cloudflare DDoS-Schutz für jede Kunden-Website. WAF-Regeln auf WordPress-Bedrohungsmuster abgestimmt.

Compute: Jede WordPress-Website des Kunden läuft in einem dedizierten Docker-Container mit isoliertem Dateisystem, Arbeitsspeicherobergrenzen und dedizierten PHP-FPM-Workern. Kein gemeinsam genutztes PHP-Runtime zwischen Kunden.

Speicher: Verschlüsselung im Ruhezustand für Backup-Speicher (Cloudflare R2) mittels AES-256. Verschlüsselungsschlüssel werden im Rahmen des Standard-Provider-Schlüsselverwaltungsvertrags verwaltet.

Authentifizierung: Der Dashboard-Zugriff erfordert E-Mail-verifizierte Anmeldedaten. Dienstübergreifende Aufrufe zwischen dem Dashboard und den VPS-Agenten sind HMAC-signiert mit server-individuellen Geheimnissen.

Überwachung: Aktivitätsprotokolle pro Website und KI-Crawler-Protokolle, die dem Kunden-Dashboard angezeigt werden; Infrastruktur-Metriken werden gespeichert und zur Anomalieerkennung ausgewertet.

Yovale unterhält eine schriftliche Informationssicherheitsrichtlinie, die mindestens jährlich überprüft wird.

Personal mit Zugang zu Produktionssystemen unterliegt einem dokumentierten Onboarding- und Offboarding-Prozess, einschließlich Ausgabe, Widerruf und Überprüfung von Zugangsdaten.

Änderungen an der Produktionsinfrastruktur werden überprüft und protokolliert. Kritische Änderungen werden vor dem Einsatz in einer Staging-Umgebung validiert.

Backups werden mindestens vierteljährlich auf Wiederherstellbarkeit getestet.

Yovale führt regelmäßige Tests, Bewertungen und Evaluierungen der Wirksamkeit seiner technischen und organisatorischen Maßnahmen durch, einschließlich Schwachstellen-Scanning des Produktions-Stacks und Überprüfung von Zugriffsprotokollen.

Durch Tests identifizierte wesentliche Schwachstellen werden über den Change-Management-Prozess von Yovale behoben. Für Kunden relevante Erkenntnisse — beispielsweise Schwachstellen im gehosteten WordPress Core — werden Kunden über das Dashboard oder per E-Mail mitgeteilt.

Der Kunde genehmigt Yovale, Unterauftragsverarbeiter zur Verarbeitung von Kundendaten zu beauftragen, vorbehaltlich der Bedingungen in diesem Abschnitt 5. Yovale unterhält die aktuelle Liste der Unterauftragsverarbeiter auf seiner Trust-Seite und gibt mindestens 30 Tage im Voraus Kenntnis von Hinzufügungen oder Ersetzungen.

Infrastruktur: Hetzner (DE), OVH (FR, CA, DE), Vultr (mehrere Regionen), Cloudflare (globale Edge, DNS, WAF, R2-Speicher).

E-Mail-Zustellung: Postmark, wenn der Kunde von Yovale versendete Transaktions-E-Mails aktiviert. Konfiguriert der Kunde seinen eigenen SMTP-Anbieter, ist dieser kein Yovale-Unterauftragsverarbeiter.

Zahlungen: Razorpay (primär), PayPal (sekundär), Stripe (soweit zutreffend). Zahlungsdienstleister erhalten nur die für die Transaktionsabwicklung erforderlichen Daten.

Kundensupport: Kontaktdaten und Support-Kommunikation des Kunden werden im internen Helpdesk-System von Yovale verarbeitet.

Jeder Unterauftragsverarbeiter wird auf der Grundlage eines schriftlichen Vertrags beauftragt, der Datenschutzverpflichtungen enthält, die inhaltlich denen in diesem DVV entsprechen, einschließlich der Sicherheitsverpflichtungen gemäß Art. 32 DSGVO.

Erhebt der Kunde innerhalb von 30 Tagen nach Benachrichtigung begründeten Widerspruch gegen einen neuen Unterauftragsverarbeiter aus Datenschutzgründen, werden die Parteien den Widerspruch in gutem Glauben erörtern. Kann keine Lösung gefunden werden, kann der Kunde den betroffenen Teil des Dienstes aus wichtigem Grund ohne Vertragsstrafe kündigen, mit Wirkung ab dem geplanten Onboarding-Datum des Unterauftragsverarbeiters.

Der Kunde kann im Dienst gespeicherte Kundendaten direkt über das Yovale-Dashboard, den WP-CLI-Zugang und die WordPress-Administrationsoberfläche exportieren, ändern oder löschen.

Diese Self-Service-Werkzeuge reichen in der Regel aus, damit der Kunde Anfragen auf Auskunft, Berichtigung, Löschung, Einschränkung und Datenübertragbarkeit gemäß Art. 15–20 DSGVO beantworten kann.

Sind die Self-Service-Werkzeuge unzureichend — beispielsweise bei der Wiederherstellung von Daten aus einer gelöschten Umgebung — kann der Kunde eine schriftliche Anfrage an dpo@yovale.com richten. Yovale leistet angemessene Unterstützung innerhalb von 10 Werktagen nach Eingang, vorbehaltlich rechtlicher und technischer Einschränkungen und ohne zusätzliche Gebühren, sofern die Anfrage keinen unverhältnismäßig hohen Aufwand erfordert.

Wendet sich eine betroffene Person direkt an Yovale bezüglich der Kundendaten, wird Yovale inhaltlich nicht auf die Anfrage eingehen und sie stattdessen unverzüglich an den betreffenden Kunden weiterleiten.

Yovale wird den Kunden über jede bestätigte Datenpanne, die Kundendaten betrifft, unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Bestätigung informieren.

Die Meldung wird an die E-Mail-Adresse des Kundenkontos gesendet. Ist dieser Kanal nicht verfügbar, wird Yovale versuchen, die Meldung über das Yovale-Dashboard und etwaige alternative Kontaktdaten zu übermitteln.

Jede Meldung wird, soweit zu diesem Zeitpunkt bekannt, die Art der Datenpanne, die Kategorien und die ungefähre Anzahl der betroffenen Personen und personenbezogenen Datensätze, die wahrscheinlichen Auswirkungen der Datenpanne sowie die ergriffenen oder geplanten Maßnahmen zu ihrer Behebung und Eindämmung beschreiben.

Innerhalb des ersten 72-Stunden-Fensters noch nicht verfügbare Informationen werden in nachfolgenden Updates bereitgestellt. Yovale wird mit dem Kunden bei der Erfüllung etwaiger Pflichten des Kunden zur Benachrichtigung von Aufsichtsbehörden oder betroffenen Personen gemäß Art. 33 und 34 DSGVO zusammenarbeiten.

Yovale stellt dem Kunden die Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung von Art. 28 DSGVO nachzuweisen, einschließlich dieses DVV, der öffentlichen Liste der Unterauftragsverarbeiter und der auf /security veröffentlichten Yovale-Sicherheitsübersicht.

Auf begründete schriftliche Anfrage wird Yovale innerhalb von 30 Tagen auf spezifische Fragen antworten, die vernünftigerweise erforderlich sind, um dem Kunden die Erfüllung seiner eigenen DSGVO-Pflichten zu ermöglichen.

Ist der Kunde der begründeten Ansicht, dass die obigen Informationen keinen hinreichenden Nachweis der Compliance liefern, kann er eine Prüfung der Verarbeitungstätigkeiten von Yovale beantragen. Prüfungen sind auf einmal pro Zwölfmonatszeitraum beschränkt, müssen während der üblichen Geschäftszeiten durchgeführt werden, dürfen den Betrieb von Yovale nicht stören oder die Sicherheit anderer Kunden beeinträchtigen, und müssen vom Kunden oder einem unabhängigen Drittprüfer unter einer für Yovale akzeptablen Vertraulichkeitsverpflichtung durchgeführt werden.

Der Kunde trägt die Kosten jeder von ihm nach diesem Abschnitt veranlassten Prüfung, es sei denn, die Prüfung ergibt eine wesentliche Verletzung dieses DVV durch Yovale; in diesem Fall trägt Yovale die angemessenen Prüfungskosten.

Kunden können ihre Hosting-Region bei der Bereitstellung auswählen. Yovale betreibt Infrastruktur in der Europäischen Union (Hetzner DE, OVH FR/DE) und mehreren Nicht-EU-Regionen. Kundendaten verbleiben in der vom Kunden gewählten Region, vorbehaltlich des notwendigen Edge-Cache-Verhaltens von Cloudflare und der globalen Reichweite der Dashboard-Kontrollebene.

Werden Kundendaten außerhalb des Europäischen Wirtschaftsraums, des Vereinigten Königreichs oder der Schweiz in ein Land übertragen, das keinem anwendbaren Angemessenheitsbeschluss unterliegt, so unterliegt der Transfer den EU-Standardvertragsklauseln (2021/914) und dem UK International Data Transfer Addendum, die durch Verweis in diesen DVV einbezogen sind und automatisch auf solche Transfers anwendbar sind.

Yovale und etwaige Nicht-EWR-Unterauftragsverarbeiter fungieren für die Zwecke der Standardvertragsklauseln jeweils als Datenexporteur und Datenimporteur. Yovale stellt auf Anfrage eine Kopie der einschlägigen Klauseln zur Verfügung.

Bei Beendigung des Dienstes kann der Kunde innerhalb von 30 Tagen nach dem Beendigungsdatum die Rückgabe der Kundendaten über die im Dashboard verfügbaren Standard-Exportwerkzeuge beantragen oder Yovale um deren Löschung bitten.

Nach Ablauf dieser 30-Tage-Frist wird Yovale Kundendaten innerhalb weiterer 30 Tage endgültig löschen, soweit keine EU- oder mitgliedstaatliche Rechtspflicht zur Aufbewahrung besteht; in diesem Fall wird Yovale die Sicherheits- und Vertraulichkeitsverpflichtungen aus diesem DVV für die Dauer der Aufbewahrung weiterhin einhalten.

Routinemäßige Backups der Produktionsumgebung können restliche Kopien gelöschter Kundendaten bis zu 90 Tage nach dem Löschungsdatum enthalten. Diese Restdaten unterliegen denselben Sicherheitsverpflichtungen und werden nicht für andere Zwecke verwendet.

Die Haftung im Rahmen dieses DVV unterliegt den im Yovale-Endbenutzer-Lizenzvertrag festgelegten Beschränkungen.

Soweit eine Bestimmung dieses DVV mit dem Yovale-Endbenutzer-Lizenzvertrag in einer Frage des Datenschutzes in Konflikt steht, hat dieser DVV im Umfang des Konflikts Vorrang.

Kontakt zum Datenschutzbeauftragten: dpo@yovale.com. Allgemeine Datenschutzanfragen können auch an support@yovale.com gesendet werden.

Der EU-Vertreter von Yovale kann auf Anfrage über dpo@yovale.com kontaktiert werden.