ChinaSiteReady ChinaSiteReady
Kostenlose Prüfung
Startseite · AVV

Auftragsverarbeitungsvertrag

Unser Standard-DPA, das automatisch für Kunden des Dienstes gilt.

Dieses Dokument ist eine Übersetzung zu Informationszwecken. Bei Widersprüchen zwischen Übersetzung und englischer Fassung gilt die englische Fassung. Englische Fassung anzeigen →

Stand: 26.05.2026 · Version 1.0

Geltung dieses DPA. Diese Seite ist die Standard-Auftragsverarbeitungs-Vereinbarung, die wir Kunden des ChinaSiteReady-Dienstes anbieten. Mit Annahme unseres EULA und der Nutzung des Dienstes — und soweit gesetzlich gefordert (üblicherweise DSGVO, UK GDPR oder vergleichbare Regime) — gilt dieses DPA zwischen dem Kunden (Verantwortlicher) und Warp Engine Tech (Auftragsverarbeiter) für die im Rahmen des Dienstes vorgenommene Verarbeitung personenbezogener Daten. Verlangt Ihre Rechtsordnung eine unterschriebene Papierfassung, schreiben Sie an chinasiteready@autoinfra.cn — wir stellen sie bereit.

1. Begriffsbestimmungen

Die Begriffe «personenbezogene Daten», «Verarbeitung», «Verantwortlicher», «Auftragsverarbeiter» und «betroffene Person» haben die in der Verordnung (EU) 2016/679 (DSGVO) festgelegte Bedeutung; entsprechende Begriffe in anderen anwendbaren Datenschutzgesetzen haben die jeweils äquivalente Bedeutung. «Dienst», «Kunden-Materialien», «Anbieter» und «Kunde» haben die in unserem EULA festgelegte Bedeutung.

2. Gegenstand und Dauer

Der Anbieter verarbeitet personenbezogene Daten im Auftrag des Kunden ausschließlich zur Erbringung des im EULA beschriebenen Dienstes. Dieses DPA gilt, solange der Anbieter im Auftrag des Kunden personenbezogene Daten verarbeitet, und bleibt nach Beendigung für jeden Zeitraum wirksam, in dem personenbezogene Daten gemäß den Übergangsregeln des EULA noch vorgehalten werden.

3. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst: Entgegennahme der Inhalte der Kundenwebsite; Spiegelung ausgewählter Seiten; Auslieferung der China-Spiegel-Website an Besucher aus Festlandchina; Erhebung von Betriebs-Logs und aggregierter Analytics; Betrieb der China-Spiegel-Website einschließlich gesetzlich verlangter Mitteilungen an Behörden.

4. Kategorien betroffener Personen und personenbezogener Daten

Der Dienst ist für statische, informationelle Marketing-Inhalte vorgesehen. Die verarbeiteten personenbezogenen Daten beschränken sich auf:

  • IP-Adressen der Besucher und daraus abgeleitete grobe Geo-Informationen.
  • In Standard-HTTP-Headern enthaltene Browser-, Geräte- und Betriebssystem-Kennungen.
  • Outreach-Codes und URL-Parameter, die der Kunde oder seine Beauftragten in Links zur Website setzen (z. B. ?biz=, ?source=, ?utm_*).
  • Personenbezogene Daten, die der Kunde aktiv in den gespiegelten Seiteninhalt einbettet (z. B. ein namentlicher Ansprechpartner im Footer). Der Kunde verantwortet die Rechtmäßigkeit einer solchen Einbettung.

Der Dienst ist nicht für die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO), Zahlungsdaten, Authentifizierungsdaten, Gesundheits- oder biometrischer Daten vorgesehen. Der Kunde übermittelt solche Kategorien nicht über den Dienst, sofern keine ergänzende Vereinbarung unterzeichnet ist.

5. Pflichten des Anbieters als Auftragsverarbeiter

Der Anbieter:

  • verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, auch hinsichtlich internationaler Übermittlungen, es sei denn, die Verarbeitung ist gesetzlich gefordert; in diesem Fall informiert der Anbieter den Kunden vor der Verarbeitung über diese Verpflichtung, sofern das Recht dies nicht untersagt;
  • stellt die Vertraulichkeit sicher. Zur Verarbeitung befugtes Personal ist zur Vertraulichkeit verpflichtet;
  • setzt geeignete technische und organisatorische Maßnahmen gemäß unserer Sicherheits-Seite um, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Risiken für die betroffenen Personen;
  • unterstützt den Kunden mit geeigneten technischen und organisatorischen Maßnahmen, soweit möglich, bei der Erfüllung der Pflichten zur Beantwortung von Anfragen betroffener Personen;
  • stellt alle Informationen zur Verfügung, die für den Nachweis der Einhaltung dieses DPA vernünftigerweise erforderlich sind, und ermöglicht Audits einschließlich Vor-Ort-Prüfungen durch den Kunden oder einen von ihm beauftragten Prüfer und unterstützt diese (vorbehaltlich Abschnitt 9);
  • benachrichtigt den Kunden unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wurde, die Daten des Kunden betrifft; eine erste Benachrichtigung wird innerhalb von zweiundsiebzig (72) Stunden nach Bestätigung angestrebt.

6. Unterauftragsverarbeiter

Der Kunde ermächtigt den Anbieter, Unterauftragsverarbeiter einzusetzen, soweit dies für die Erbringung des Dienstes erforderlich ist. Die aktuelle Liste wird dem Kunden auf Anfrage zur Verfügung gestellt und bei wesentlichen Änderungen aktualisiert. Der Anbieter:

  • verpflichtet jeden Unterauftragsverarbeiter vertraglich auf Schutzniveaus, die denen dieses DPA nicht unterschreiten;
  • bleibt dem Kunden gegenüber für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters voll verantwortlich;
  • benachrichtigt den Kunden über jede beabsichtigte Hinzunahme oder Ersetzung eines Unterauftragsverarbeiters mit angemessener Vorlaufzeit (typischerweise 30 Tage) und gibt dem Kunden Gelegenheit, aus sachlichem Grund zu widersprechen. Bei berechtigtem Widerspruch unternimmt der Anbieter wirtschaftlich zumutbare Anstrengungen, eine geeignete Alternative bereitzustellen; gelingt dies nicht, kann der Kunde aus diesem Grund den betroffenen Dienst kündigen.

7. Internationale Übermittlungen

Der Anbieter sitzt in Festlandchina und nutzt Unterauftragsverarbeiter in den USA, der EU und anderswo. Für Übermittlungen aus dem EWR, dem Vereinigten Königreich oder der Schweiz an den Anbieter oder in Länder ohne Angemessenheitsbeschluss inkorporieren die Parteien per Verweis die Standardvertragsklauseln (Modul 2: Verantwortlicher an Auftragsverarbeiter) der Europäischen Kommission, beschlossen in 2021/914, in der jeweils geltenden Fassung. Soweit einschlägig, gelten der UK International Data Transfer Addendum (IDTA) bzw. die schweizerischen Anpassungen mit der jeweiligen Rechts- und Aufsichtsbehörden-Wahl.

Der Kunde akzeptiert, dass die Erbringung des Dienstes naturgemäß Hosting in Festlandchina umfasst. Für etwaige Offenlegungs-, Einwilligungs- oder Anmeldepflichten zu grenzüberschreitenden Übermittlungen in seiner eigenen Rechtsordnung bleibt der Kunde gegenüber seinen Besuchern verantwortlich.

8. Rechte betroffener Personen

Der Anbieter unterstützt den Kunden zu wirtschaftlich angemessenen Bedingungen und soweit technisch möglich bei der Beantwortung verifizierter Anfragen betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragbarkeit hinsichtlich der unter diesem DPA verarbeiteten Daten. Anfragen betroffener Personen sind primär an den Kunden zu richten; dieser ist der Hauptansprechpartner.

9. Audit

Der Kunde kann höchstens einmal pro 12 Monate mit mindestens 30 Tagen schriftlicher Vorankündigung dokumentarische Nachweise zur Einhaltung dieses DPA anfordern. Der Anbieter kann dies durch aktuelle Drittberichte (sofern vorhanden), Antworten auf Standardfragebögen (z. B. SIG, CAIQ) oder schriftliche Erklärungen erfüllen. Vor-Ort-Audits erfolgen auf Kosten des Kunden, in regulären Geschäftszeiten, in angemessenem Umfang und unter Vertraulichkeitsverpflichtungen. Zugriff auf Bereiche mit Daten anderer Kunden oder auf Einrichtungen von Unterauftragsverarbeitern, zu denen der Anbieter vertraglich keinen Zugang gewähren darf, kann verweigert werden; in solchen Fällen schafft der Anbieter angemessene Alternativen, um den berechtigten Anliegen des Kunden Rechnung zu tragen.

10. Rückgabe oder Löschung

Bei Beendigung des Dienstes gibt der Anbieter — nach schriftlicher Wahl des Kunden — alle unter diesem DPA verarbeiteten personenbezogenen Daten innerhalb von 90 Tagen zurück oder löscht sie. Ausgenommen sind (a) personenbezogene Daten, deren Aufbewahrung gesetzlich vorgeschrieben ist; sie werden weiter nach diesem DPA geschützt, und (b) anonymisierte oder aggregierte Daten, aus denen die betroffene Person nicht mehr identifizierbar ist.

11. Haftung

Die Haftung jeder Partei unter diesem DPA unterliegt der im EULA festgelegten Gesamthaftungsobergrenze und den dortigen Ausschlüssen für mittelbare Schäden. Soweit zwingendes Recht eine abweichende Zuweisung verlangt, geht dieses Recht in dem dafür mindestens erforderlichen Umfang vor.

12. Widerspruch und Rangordnung

Bei Widersprüchen zwischen diesem DPA und dem EULA zu Fragen der Verarbeitung personenbezogener Daten geht dieses DPA vor. Bei Widersprüchen zwischen diesem DPA und einem auf den Dienst bezogenen, kundenspezifisch unterzeichneten DPA geht das kundenspezifisch unterzeichnete DPA vor.

13. Anwendbares Recht

Auf dieses DPA ist das im EULA bezeichnete Recht anwendbar. Soweit zwingendes Datenschutzrecht der Rechtsordnung einer betroffenen Person Rechte gewährt, die dieses DPA nicht abändern kann, gelten diese Rechte fort.

Wie unterzeichnet wird

Die meisten Kunden brauchen keine Originalunterschrift. Mit Annahme unseres EULA beim Kauf oder mit der Beauftragung wird dieses DPA Bestandteil Ihres Vertrags.

Wünschen Sie eine unterzeichnete Papier- oder elektronische Fassung (DocuSign o. ä.), schreiben Sie an chinasiteready@autoinfra.cn mit dem Betreff «DPA request» und hängen ggf. Ihr Wunsch-Template an. Wir senden eine unterzeichnete Fassung innerhalb von fünf Werktagen zurück. Für die Unterzeichnung dieses DPA fallen keine zusätzlichen Kosten an.