Inkrafttreten: März 2026 · Letzte Aktualisierung: März 2026
Dieses Dokument stellt einen öffentlichen DPA-Rahmen für Unternehmenskunden bereit. Je nach Leistungsumfang, Standort oder regulatorischen Verpflichtungen können ergänzende vertragliche Regelungen erforderlich sein.
1. Parteien und Rollen
Dieser DPA ist Bestandteil des Dienstleistungsvertrags zwischen Unifics Limited, die unter der Marke RYSTAT tätig ist, und dem Kunden.
- Kunde: Verantwortlicher hinsichtlich personenbezogener Daten oder, soweit erforderlich, Auftragsverarbeiter
- RYSTAT: Auftragsverarbeiter oder Unterauftragsverarbeiter, je nach Art der Leistung
RYSTAT nimmt die Stellung eines Auftragsverarbeiters oder Unterauftragsverarbeiters ein und handelt bei der Verarbeitung personenbezogener Daten im Rahmen der Leistungserbringung ausschließlich nach Weisung des Kunden. Der Kunde ist als Verantwortlicher für die Erfüllung aller gesetzlichen Pflichten in Bezug auf die verarbeiteten Daten verantwortlich.
2. Gegenstand, Laufzeit und Zweck
RYSTAT verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen, zur Aufrechterhaltung der Sicherheit, zur Bereitstellung von Support sowie zur Ausführung dokumentierter Weisungen des Kunden.
3. Datenkategorien und betroffene Personen
| Kategorie | Beispiele |
|---|---|
| Gruppen betroffener Personen | Mitarbeiter des Kunden, Endnutzer, Personen in Support-Anfragen, Besucher |
| Datenkategorien | Identitäts- und Kontaktdaten, Kontodaten, Protokolldaten, Support-Aufzeichnungen, vom Kunden hochgeladene Inhalte |
| Verarbeitungstätigkeiten | Hosting, Speicherung, Zugriff, Übermittlung, Support, Protokollierung, Sicherheitsüberwachung, Datensicherung |
4. Weisungen des Kunden
RYSTAT verarbeitet personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Kunden, es sei denn, das anwendbare Recht oder eine behördliche Entscheidung verpflichtet zu einer abweichenden Verarbeitung. In einem solchen Fall unterrichtet RYSTAT den Kunden, sofern dies rechtlich nicht untersagt ist.
5. Vertraulichkeit und Autorisierung von Personal
RYSTAT beschränkt den Zugang zu personenbezogenen Daten auf Personal und autorisierte Dienstleister, die diese Daten zur Erfüllung ihrer Aufgaben benötigen. Alle zugriffsberechtigten Personen unterliegen Vertraulichkeitspflichten, die den Anforderungen des Datenschutzrechts entsprechen, und werden regelmäßig in Fragen der Datensicherheit geschult.
6. Technische und organisatorische Maßnahmen
- Zugangskontrollen und Authentifizierungsmechanismen
- Protokollierung, Ereignisüberwachung und Sicherheitsalarmprozesse
- Netzwerksegmentierung, Patch-Management und Schwachstellenverwaltung
- Verschlüsselung oder gleichwertige Schutzmaßnahmen
- Datensicherungs- und Notfallpläne
- Physische Sicherheitsmaßnahmen
RYSTAT setzt technische und organisatorische Maßnahmen nach dem Stand der Technik ein, um die Sicherheit personenbezogener Daten zu gewährleisten. Keine Übertragung über das Internet und keine elektronische Speichermethode kann jedoch absolute Sicherheit garantieren. Der Kunde ist für die Sicherheit seiner eigenen Systeme und Anwendungen sowie für die Erstellung eigener Sicherungskopien verantwortlich.
7. Unterauftragsverarbeiter
RYSTAT kann zur Erbringung der Leistungen Unterauftragsverarbeiter einsetzen. Unterauftragsverarbeiter können Anbieter aus den Bereichen Hosting, Rechenzentrum, Netzwerk, Support, Monitoring, Kommunikation und Abrechnung sein.
RYSTAT schließt mit Unterauftragsverarbeitern Verträge ab, die gleichwertige Datenschutzverpflichtungen gemäß Art. 28 Abs. 4 DSGVO enthalten, und übt eine angemessene Aufsicht aus. Der Kunde erteilt eine allgemeine Genehmigung für den Einsatz von Unterauftragsverarbeitern durch RYSTAT (Art. 28 Abs. 2 DSGVO).
Beabsichtigt RYSTAT, einen neuen Unterauftragsverarbeiter einzusetzen oder einen bestehenden Unterauftragsverarbeiter wesentlich zu ändern, informiert RYSTAT den Kunden — sofern rechtlich nicht untersagt — mindestens 14 Kalendertage im Voraus schriftlich. Der Kunde kann innerhalb dieser Frist begründeten Widerspruch einlegen. Wird der Widerspruch als berechtigt anerkannt, einigen sich die Parteien auf eine angemessene Lösung, einschließlich der Aussetzung oder Beendigung des Vertrags.
Der aktuelle öffentliche Unterauftragsverarbeiter-Rahmen wird auf der Seite Unterauftragsverarbeiter-Rahmen veröffentlicht. Detailliertere Informationen für Unternehmenskunden sind auf Anfrage erhältlich.
8. Internationale Datenübermittlungen (DSGVO Kapitel V — Art. 44–49)
Unifics Limited ist in der Sonderverwaltungsregion Hongkong eingetragen. Die Europäische Kommission hat für Hongkong keinen Angemessenheitsbeschluss erlassen (Art. 45 DSGVO). Für Datenübermittlungen zwischen dem EWR und Hongkong gelten daher geeignete Garantien gemäß Art. 46 DSGVO.
Angewandte Übermittlungsmechanismen
- Standardvertragsklauseln (SCC): Die von der Europäischen Kommission mit Durchführungsbeschluss 2021/914/EU vom 4. Juni 2021 verabschiedeten Standardvertragsklauseln (SCC) werden je nach Art der Leistungsbeziehung in dem einschlägigen Modul angewandt:
- Modul 2 (Verantwortlicher → Auftragsverarbeiter): Gilt für Übermittlungen zwischen dem Kunden (Verantwortlicher) und RYSTAT (Auftragsverarbeiter), wenn RYSTAT als Auftragsverarbeiter handelt.
- Modul 3 (Auftragsverarbeiter → Unterauftragsverarbeiter): Gilt, wenn RYSTAT Unterauftragsverarbeiter außerhalb des EWR einsetzt.
- Transfer Impact Assessment (TIA): RYSTAT führt im Rahmen der Empfehlung 01/2020 des EDSA Folgenabschätzungen für Drittlandsübermittlungen durch, sofern erforderlich. Eine Zusammenfassung der verfügbaren Bewertungen kann auf Anfrage zur Verfügung gestellt werden.
- Ergänzende technische Maßnahmen: Zur Erhöhung der Übermittlungssicherheit werden Verschlüsselung, Datenminimierung und privilegierte Zugangskontrolle eingesetzt.
Auf Servern in EU-Mitgliedstaaten gespeicherte Daten stehen unter dem Schutz der DSGVO und erfordern keinen zusätzlichen Übermittlungsmechanismus.
Der Kunde stimmt zu, dass RYSTAT internationale Datenübermittlungen unter Anwendung der in diesem Abschnitt beschriebenen Übermittlungsmechanismen durchführt.
9. Anfragen betroffener Personen und Unterstützung
RYSTAT unterstützt den Kunden im Rahmen der Verarbeitungstätigkeit und der Dienstarchitektur in angemessener Weise bei der Beantwortung von Anfragen betroffener Personen. Die abschließende Beurteilung und Beantwortung obliegt grundsätzlich dem Verantwortlichen. Erhält RYSTAT eine Anfrage direkt von einer betroffenen Person, leitet RYSTAT diese — sofern rechtlich nicht untersagt — an den Kunden weiter.
10. Verletzungen des Schutzes personenbezogener Daten
RYSTAT meldet Verletzungen des Schutzes personenbezogener Daten, die in seinem Kontrollbereich festgestellt werden und Daten des Kunden betreffen, dem Kunden unverzüglich gemäß den anwendbaren Rechtsvorschriften und der Art des Vorfalls. Die Meldung enthält Angaben zur Art der Verletzung, zu den betroffenen Datenkategorien, zur Anzahl der betroffenen Personen, zu den ergriffenen Maßnahmen und zu möglichen Folgen. RYSTAT unterstützt den Kunden in angemessenem Umfang bei der Untersuchung und Eindämmung der Verletzung.
11. Prüfungsrechte und Auskunftspflichten
RYSTAT beantwortet angemessene Auskunftsersuchen des Kunden im Rahmen vertretbarer Vertraulichkeits- und Sicherheitsgrenzen. Vor-Ort-Prüfungen werden nach vorheriger Abstimmung und in einer Weise durchgeführt, die die Dienstsicherheit, die Vertraulichkeit anderer Kunden und Geschäftsgeheimnisse nicht beeinträchtigt. RYSTAT kann anstelle einer Prüfung unabhängige Prüfberichte oder Zertifizierungen Dritter vorlegen.
12. Rückgabe oder Löschung bei Vertragsende
Nach Beendigung des Vertragsverhältnisses werden die Daten gemäß dem Vertrag, der Dienstarchitektur und den gesetzlichen Aufbewahrungspflichten gelöscht, anonymisiert oder dem Kunden zurückgegeben. Die Löschung aus technischen Sicherungskopien kann im Rahmen der regulären Systemzyklen erfolgen. Der Kunde ist dafür verantwortlich, seine Daten vor Beendigung des Dienstes zu sichern.
13. Vorrang und Kollision
Im Falle von Widersprüchen zwischen diesem Dokument und anderen Vertragsunterlagen gilt die folgende Rangfolge:
- Unterzeichneter Unternehmensvertrag, Bestellformular oder Angebotsnachtrag
- Produktspezifische Servicebedingungen
- Acceptable Use Policy (AUP)
- Service Level Agreement (SLA)
- Dieser Auftragsverarbeitungsvertrag (DPA) (ausschließlich in Bezug auf Datenverarbeitungsfragen)
- Nutzungsbedingungen
- Datenschutzerklärung
- Rückerstattungsrichtlinie
- Öffentliche Erklärungsdokumente (z. B. Unterauftragsverarbeiter-Rahmen)
Unterzeichnete Unternehmensverträge, Bestellformulare oder Angebote haben stets Vorrang vor diesen öffentlichen Dokumenten. Im Kollisionsfall gilt das spezifischste und aktuellste unterzeichnete Dokument.
14. Kontakt
privacy@rystat.com
15 (Neu). Managed / Self-Service VDS — Produktspezifische Rollenzuordnung
15.1 Managed VDS
Bei Managed-VDS-Diensten handelt RYSTAT als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und KVKK Art. 3/1-(ı) in Bezug auf die operativen Daten, die RYSTAT zwingend zur Erbringung der Leistung verarbeitet. Diese Daten umfassen:
- Server-Gesundheits-, Kapazitäts- und Sicherheitsmetriken (CPU, RAM, Disk-I/O, Netzwerkverkehrsmuster)
- Betriebssystem-Protokolldaten (auth.log, syslog, Kernel-Log) — zur Erkennung von Sicherheitsvorfällen
- Off-Site-Backup-Metadaten (Zeitstempel, Größe, Erfolgsstatus des Backups)
- Inhalt von Support-Tickets (Tickets, die über das RYSTAT-Panel eröffnet wurden)
In Bezug auf Anwendungen, Datenbankinhalte, Endnutzerdatensätze und Anwendungsdateien, die der Kunde auf dem Server hostet, handelt RYSTAT weiterhin als Auftragsverarbeiter und verarbeitet diese Daten nach den dokumentierten Weisungen des Kunden. RYSTAT greift auf diese Daten nur in den folgenden Fällen zu: (a) wenn ein vom Kunden eröffnetes Support-Ticket dies erfordert, (b) wenn die Untersuchung eines Sicherheitsvorfalls dies erforderlich macht oder (c) wenn eine zuständige Behörde eine rechtmäßige Anordnung erlässt. Jeder solche Zugriff wird im AuditLog dokumentiert und ist für den Kunden über das Kundenportal einsehbar.
Für Daten, die RYSTAT in seiner Rolle als Verantwortlicher im Rahmen des Managed-VDS verarbeitet, hält RYSTAT die Datenschutzerklärung / Informationspflicht ein und sichert die vollständige Einhaltung der Sicherheitsmaßnahmen gemäß Abschnitt 6 dieses DPA zu.
15.2 Self-Service VDS
Bei Self-Service-VDS-Diensten greift RYSTAT nicht auf die auf dem Server des Kunden gehosteten Anwendungsdaten zu und nimmt keine Verarbeitungstätigkeit an diesen Daten vor. In dieser Servicekategorie:
- gilt RYSTAT in Bezug auf personenbezogene Daten innerhalb der Anwendung des Kunden nicht einmal als Unterauftragsverarbeiter; RYSTAT handelt ausschließlich als technischer Infrastrukturanbieter;
- ist RYSTAT nicht der Verantwortliche für Anwendungsdaten — der Kunde ist alleiniger Verantwortlicher für die personenbezogenen Daten innerhalb seiner eigenen Anwendung;
- verarbeitet RYSTAT lediglich Metriken auf Infrastrukturebene (Hardware-Gesundheit, aggregierter Netzwerkverkehr, Abrechnungsdaten); diese sind operative Daten, die RYSTAT in eigener Zuständigkeit als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO verarbeitet.
Mit dem Erwerb eines Self-Service-VDS erkennt der Kunde an, dass er allein verantwortlich ist für die Erfüllung folgender Pflichten in Bezug auf seine eigene Anwendungsschicht: Bereitstellung von Informationspflichten nach KVKK, Verwaltung der ausdrücklichen Einwilligung, Beantwortung von Anfragen betroffener Personen, Meldung von Verletzungen und Anwendung technischer Maßnahmen.
15.3 Verweis auf Abschnitt 5 — Für RYSTAT zugängliche Daten
Im Sinne von Abschnitt 5 (Autorisierung von Personal) dieses DPA unterscheiden sich die Datenkategorien, auf die RYSTAT-Mitarbeiter zugreifen können, je nach Produktmodell:
| Datentyp | Managed VDS | Self-Service VDS |
|---|---|---|
| Hardware-Metriken (CPU/RAM/Disk) | Zugänglich | Zugänglich |
| Betriebssystem-Protokolldaten | Zugänglich (Betrieb) | Nicht zugänglich (Kunde sammelt) |
| Server-Konsole (Rescue/KVM) | Zugänglich (planmäßige Wartung + Notfall) | Nur auf Anfrage des Kunden |
| Inhalt von Off-Site-Backup-Snapshots | Gespeichert; Inhalt wird nur auf Anfrage des Kunden oder rechtlicher Verpflichtung eingelesen | Keine Backups vorgehalten |
| Inhalt der Anwendungsdatenbank | Nur im Rahmen eines Support-Tickets / Sicherheitsvorfalls, AuditLog-erfasst | Nicht zugänglich |
| Abrechnungs- und Kontodaten | Zugänglich (RYSTAT-Verantwortlicher) | Zugänglich (RYSTAT-Verantwortlicher) |
Alle in der Tabelle aufgeführten Datentypen unterliegen den in Abschnitt 6 dargelegten Sicherheitsmaßnahmen sowie den anwendbaren KVKK-/DSGVO-Bestimmungen. Wünscht der Kunde, den Zugriff Dritter auf Daten innerhalb der Anwendung zu kontrollieren, kann er ein „Customer Key (BYOK)" oder ein Add-on für Ende-zu-Ende-Verschlüsselung anfordern.