Vereinbarung zur Datenverarbeitung

Diese Datenverarbeitungsvereinbarung (im Folgenden - die Datenverarbeitungsvereinbarung) ist ein wesentlicher Bestandteil der Servicebedingungen (im Folgenden - der Vertrag) mit dem Benutzer und gilt für die Verarbeitung personenbezogener Daten (im Folgenden - die personenbezogenen Daten), wenn der Benutzer die Plattform nutzt.

Die Verwaltung stellt dem Nutzer die Plattform zur Verfügung, die vom Nutzer zur Verarbeitung personenbezogener Daten genutzt werden kann.

Die Verarbeitung und Speicherung der personenbezogenen Daten, die von den Nutzern auf den von ihnen mit Hilfe der Plattform erstellten Websites verarbeitet (einschließlich gesammelt, gespeichert und veröffentlicht) werden, erfolgt rechtmäßig, für einen vom Nutzer selbst bestimmten Zeitraum und wird von der Verwaltung auf der Grundlage dieser Datenverarbeitungsvereinbarung durchgeführt, die eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten durch die Verwaltung darstellt.

Wenn Sie mit den Bedingungen der Datenverarbeitungsvereinbarung nicht einverstanden sind, dürfen Sie die Plattform nicht nutzen, um mit den personenbezogenen Daten zu arbeiten. Die Nutzung der Plattform für die Arbeit mit personenbezogenen Daten wird als Zustimmung zu den Bedingungen der Vereinbarung über die Datenverarbeitung anerkannt.

Dieses Dokument besteht aus den folgenden Abschnitten:
Begriffe und Definitionen
Gegenstand der Datenverarbeitungsvereinbarung
Zusicherungen und Garantien des für die Verarbeitung Verantwortlichen
Rechte, Pflichten und Verantwortlichkeiten des Auftragsverarbeiters
Rechte, Pflichten und Zuständigkeiten des für die Verarbeitung Verantwortlichen
Datenschutz und Sicherheit
Verstoß gegen die Informationssicherheit
Anwendbares Recht und Beilegung von Streitigkeiten

Begriffe und Definitionen

Für die Zwecke dieser Datenverarbeitungsvereinbarung werden die Begriffe in der nachstehend angegebenen Bedeutung verwendet:

Verantwortlicher ist der Nutzer, wie in der Vereinbarung definiert, eine Person, die ein Verantwortlicher für personenbezogene Daten im Sinne des VAE-Bundesgesetzes Nr. 45/2021 über den Schutz personenbezogener Daten oder der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO) (nachfolgend zusammenfassend - das Gesetz).
Auftragsverarbeiter ist die Verwaltung, wie in der Vereinbarung definiert, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet und ein Auftragsverarbeiter im Sinne des Gesetzes ist.
Betroffene Person ist eine Person, auf die sich die personenbezogenen Daten beziehen, wie im Gesetz definiert.
Personenbezogene Daten sind alle Daten, die sich auf eine identifizierte oder direkt oder indirekt identifizierbare Person beziehen, indem die Daten mit einer Kennung wie dem Namen, der Stimme, dem Bild, der Identifikationsnummer, der elektronischen Kennung, dem geografischen Standort oder einem oder mehreren physischen, physiologischen, kulturellen oder sozialen Merkmalen, wie sie im Gesetz definiert sind, verknüpft werden und von der verantwortlichen Stelle über die Plattform verarbeitet werden.
Nutzerdaten sind die Informationen, die personenbezogene Daten enthalten können, die von der verantwortlichen Stelle unter Verwendung der Plattform heruntergeladen oder verarbeitet werden.
Sensible personenbezogene Daten sind alle Informationen, die direkt oder indirekt die Ethnie, die politischen oder philosophischen Meinungen, die religiösen Überzeugungen, das Strafregister, biometrische Daten oder alle Daten in Bezug auf die Gesundheit einer solchen Person offenlegen, wie z. B. ihren physischen, psychologischen, mentalen, körperlichen, genetischen oder sexuellen Zustand, einschließlich aller Informationen in Bezug auf die Erbringung von Gesundheitsdienstleistungen für eine solche Person, die ihren Gesundheitszustand gemäß der Definition im Gesetz offenlegen.
Biometrische personenbezogene Daten sind alle personenbezogenen Daten, die als Ergebnis einer speziellen technischen Verarbeitung im Zusammenhang mit den physischen, physiologischen oder verhaltensbezogenen Merkmalen der betroffenen Person gewonnen werden und die eindeutige Identifizierung der betroffenen Person identifizieren oder bestätigen, wie z. B. Gesichtsbild- oder Fingerabdruckdaten im Sinne des Gesetzes.

In der Datenverarbeitungsvereinbarung können andere, oben nicht definierte Begriffe verwendet werden, die in Übereinstimmung mit der Vereinbarung und dem Gesetz ausgelegt werden.

1. Gegenstand der Vereinbarung über die Datenverarbeitung

1.1. Der für die Verarbeitung Verantwortliche beauftragt und verpflichtet den Auftragsverarbeiter, Maßnahmen zur Verarbeitung der personenbezogenen Daten der Kunden (Besucher der Websites) des für die Verarbeitung Verantwortlichen durchzuführen, die von dem für die Verarbeitung Verantwortlichen über die Plattform verarbeitet werden oder werden sollen.

1.2. Grundlegende Bestimmungen zur Verarbeitung personenbezogener Daten:

Personenbezogene Daten; Inhalt, Liste und Umfang der personenbezogenen Daten werden vom für die Verarbeitung Verantwortlichen festgelegt und vom Auftragsverarbeiter nicht kontrolliert. Gleichzeitig darf der Auftragsverarbeiter keine sensiblen und biometrischen personenbezogenen Daten verarbeiten. Gründe für die Verarbeitung personenbezogener Daten; die Verarbeitung erfolgt im Rahmen der Erfüllung vertraglicher Verpflichtungen im Auftrag des Verantwortlichen Arten der Verarbeitung personenbezogener Daten; Strukturierung und Speicherung (in diesem Fall bietet der Auftragsverarbeiter keine Hosting-Dienste an, die Strukturierung und Speicherung personenbezogener Daten erfolgt in vom Auftragsverarbeiter gemieteten Einrichtungen). Übermittlung (wird von der Plattform durchgeführt, indem die von den Besuchern der Websites über Webformulare auf den Websites eingegebenen Daten an Datenerfassungstools übermittelt werden, die von dem für die Verarbeitung Verantwortlichen mit den Websites verbunden sind (u. a. an das Forms-Subsystem der Plattform und/oder an Tilda CRM). Um die Zuverlässigkeit einer solchen Übertragung zu gewährleisten und Fälle der Nichtverfügbarkeit von Empfangsdiensten zu bewältigen, können die Daten auf den Servern der Plattform zwischengespeichert werden, wobei der Zwischenspeicher nach erfolgreicher Übertragung wieder geleert wird. Darüber hinaus werden die Plattform und/oder der Auftragsverarbeiter in diesem Fall die personenbezogenen Daten nicht mit Hilfe von Datenbanken für personenbezogene Daten erfassen, systematisieren, speichern, ändern und nutzen, sondern lediglich die Funktion der Übermittlung von Daten aus Webformularen, in die Besucher der Websites sie eingeben, an Datenerfassungstools, die vom für die Verarbeitung Verantwortlichen mit ihnen verbunden sind, übernehmen. Der Standardzeitraum für die Zwischenspeicherung von Daten beträgt 30 Tage und kann von dem für die Verarbeitung Verantwortlichen unabhängig konfiguriert werden. Verbreitung (erfolgt durch die für die Verarbeitung Verantwortliche selbständig durch Veröffentlichung der personenbezogenen Daten auf den Websites; in diesem Fall ist die für die Verarbeitung Verantwortliche für die Erfüllung der gesetzlichen Anforderungen in Bezug auf die Einholung der erforderlichen Einwilligungen der betroffenen Personen verantwortlich). Die Gewährung des Zugangs zu personenbezogenen Daten erfolgt durch den für die Verarbeitung Verantwortlichen unter Verwendung der Funktionen und Einstellungen der Plattform (die Gewährung des Zugangs zu Dritten erfolgt und wird von dem für die Verarbeitung Verantwortlichen eigenständig unter Verwendung der Funktion "Mitarbeiter" der Plattform verwaltet; in diesem Fall ist der für die Verarbeitung Verantwortliche dafür verantwortlich, dass die rechtlichen Voraussetzungen für einen solchen Zugang vorliegen). Die Verarbeitung erfolgt durch Unterbringung der Plattform in vom Auftragsverarbeiter angemieteten Einrichtungen in Datenverarbeitungszentren, die von Partnern bereitgestellt werden, mit denen Vereinbarungen getroffen wurden, die die Sicherheit der von ihnen verarbeiteten personenbezogenen Daten gewährleisten: Hetzner und GCore Aufbewahrungsfrist für personenbezogene Daten: Personenbezogene Daten werden für den von der verantwortlichen Stelle angegebenen Zeitraum gespeichert, jedoch nicht länger als die Gültigkeitsdauer der Vereinbarung, sofern die Gesetzgebung der Vereinigten Arabischen Emirate nichts anderes vorsieht. Löschung personenbezogener Daten; wird von der verantwortlichen Stelle während der Gültigkeitsdauer der Vereinbarung selbstständig durchgeführt und nach deren Ablauf vom Auftragsverarbeiter durchgeführt, wenn die Ziele der Verarbeitung personenbezogener Daten erreicht sind und die Anforderungen der Gesetzgebung der Vereinigten Arabischen Emirate erfüllt sind Dauer des Datenverarbeitungsvertrags: Während des gesamten Zeitraums, in dem der für die Verarbeitung Verantwortliche die Plattform in Übereinstimmung mit dem Vertrag nutzt, einschließlich des Zeitraums der Sperrung des Kontos

Personenbezogene Daten; E-Mail (die Erfassung wird vom Nutzer konfiguriert und verarbeitet, wenn sie vom Nutzer erfasst wird), Telefon (die Erfassung wird vom Nutzer konfiguriert und verarbeitet, wenn sie vom Nutzer erfasst wird), Name (die Erfassung wird vom Nutzer konfiguriert und verarbeitet, wenn sie vom Nutzer erfasst wird), andere Daten, die der für die Plattform Verantwortliche erfassen möchte (mit Ausnahme von sensiblen und biometrischen personenbezogenen Daten) Gründe für die Verarbeitung personenbezogener Daten; die Verarbeitung erfolgt im Rahmen der Erfüllung vertraglicher Verpflichtungen im Auftrag des Verantwortlichen Arten der Verarbeitung personenbezogener Daten; Die Erhebung erfolgt auf der auf der Plattform erstellten Website durch Datenübermittlung an angeschlossene Datenerfassungsdienste. Strukturierung (in diesem Fall erbringt der Auftragsverarbeiter keine Hosting-Dienstleistungen, die Strukturierung und Speicherung der personenbezogenen Daten erfolgt in vom Auftragsverarbeiter angemieteten Einrichtungen, die Speicherung erfolgt im Subsystem "Formulare" der Plattform). Die personenbezogenen Daten werden von dem für die Verarbeitung Verantwortlichen im persönlichen Konto des für die Verarbeitung Verantwortlichen unter (wenn der für die Verarbeitung Verantwortliche das Subsystem "Formulare" als Dienst für die Datenerfassung aktiviert) verwendet. Die Verteilung (Übermittlung) der Daten erfolgt an die vom für die Verarbeitung Verantwortlichen im persönlichen Konto aktivierten Dienste Dritter. Die Übermittlung (der Zugriff) erfolgt durch den für die Verarbeitung Verantwortlichen unter Verwendung der Funktionen und Einstellungen der Plattform (die Gewährung des Zugriffs an Dritte erfolgt und wird von dem für die Verarbeitung Verantwortlichen selbständig unter Verwendung der Funktion "Mitarbeiter" der Plattform verwaltet; in diesem Fall obliegt es dem für die Verarbeitung Verantwortlichen, das Vorliegen rechtlicher Gründe für einen solchen Zugriff sicherzustellen) Aufbewahrungsfrist für personenbezogene Daten; personenbezogene Daten werden für den von der verantwortlichen Stelle angegebenen Zeitraum gespeichert, jedoch nicht länger als 30 Tage und die Gültigkeitsdauer des Vertrags, sofern die Gesetzgebung der Vereinigten Arabischen Emirate nichts anderes vorsieht Löschung personenbezogener Daten: Personenbezogene Daten können von dem für die Verarbeitung Verantwortlichen oder automatisch innerhalb des von dem für die Verarbeitung Verantwortlichen festgelegten Zeitraums, spätestens jedoch 30 Tage nach Erhalt der Daten, gelöscht werden, sofern die Gesetzgebung der Vereinigten Arabischen Emirate nichts anderes vorsieht. Dauer des Datenverarbeitungsvertrags; Während der gesamten Dauer der vertragsgemäßen Nutzung der Plattform durch den für die Verarbeitung Verantwortlichen, einschließlich der Zeit der Sperrung des Kontos

Personenbezogene Daten, die vor der Bezahlung der Lieferung verarbeitet werden: E-Mail (die Erfassung wird vom Benutzer konfiguriert und verarbeitet, wenn sie vom Benutzer erfasst wird), Telefon (die Erfassung wird vom Benutzer konfiguriert und verarbeitet, wenn sie vom Benutzer erfasst wird), Name (die Erfassung wird vom Benutzer konfiguriert und verarbeitet, wenn sie vom Benutzer erfasst wird), andere Daten, die der für die Verarbeitung Verantwortliche erfassen möchte (mit Ausnahme von sensiblen und biometrischen personenbezogenen Daten). Verarbeitet, wenn die Lieferung erforderlich ist: Adresse (wenn die Ware geliefert werden muss) Verarbeitet, wenn die Zahlung erforderlich ist: andere Daten, die der für die Verarbeitung Verantwortliche erheben möchte (mit Ausnahme sensibler und biometrischer personenbezogener Daten), die letzten 4 Ziffern der Karte, das Ablaufdatum der Karte Gründe für die Verarbeitung personenbezogener Daten; Die Verarbeitung erfolgt im Rahmen der Erfüllung vertraglicher Verpflichtungen und im Auftrag des für die Verarbeitung Verantwortlichen Arten der Verarbeitung personenbezogener Daten; Die Erfassung erfolgt auf der auf der Plattform erstellten Website (wenn der für die Verarbeitung Verantwortliche das Subsystem "Formulare" als Dienst für die Datenerfassung aktiviert). Strukturierung, Speicherung - erfolgt in den Subsystemen "Formulare", "Katalog" und "Lieferung" der Plattform (wenn der für die Verarbeitung Verantwortliche diese Subsysteme aktiviert). Die Persönlichen Daten werden von dem für die Verarbeitung Verantwortlichen im persönlichen Konto des für die Verarbeitung Verantwortlichen im Bereich "Leads" verwendet (wenn der für die Verarbeitung Verantwortliche das Subsystem "Formulare" als Dienst für die Datenerfassung aktiviert). Die Verwendung (Einsicht) der anonymisierten Persönlichen Daten ist im Verwaltungspanel verfügbar, um Fragen der Kunden des Datenverwalters zu klären. Die Verteilung (Übermittlung) der Daten erfolgt an die von der verantwortlichen Stelle im persönlichen Konto aktivierten Dienste Dritter sowie an die im Subsystem "Katalog" aktivierten Dienste. Die Verteilung (Zugangserteilung) erfolgt durch die verantwortliche Stelle unter Verwendung der Funktionen und Einstellungen der Plattform (die Zugangserteilung an Dritte wird von der verantwortlichen Stelle selbständig unter Verwendung der Funktion "Mitarbeiter" der Plattform durchgeführt und verwaltet; in diesem Fall obliegt es der verantwortlichen Stelle, das Vorliegen rechtlicher Gründe für einen solchen Zugang sicherzustellen). Aufbewahrungsfrist für personenbezogene Daten; personenbezogene Daten werden für die gesamte Dauer des Vertrags bzw. für die in der geltenden Gesetzgebung der Vereinigten Arabischen Emirate festgelegten Zeiträume gespeichert, mit Ausnahme des Teilsystems "Formulare", in dem personenbezogene Daten nicht länger als 30 Tage gespeichert werden, es sei denn, die Anforderungen der Gesetzgebung der Vereinigten Arabischen Emirate sehen etwas anderes vor Löschung personenbezogener Daten; personenbezogene Daten werden von dem für die Verarbeitung Verantwortlichen nach Erreichen des Verarbeitungszwecks gelöscht, sofern die Gesetzgebung der Vereinigten Arabischen Emirate nichts anderes vorsieht. Die Löschung der Daten aus dem Teilsystem "Formulare" erfolgt automatisch innerhalb der von dem für die Verarbeitung Verantwortlichen festgelegten Frist, spätestens jedoch 30 Tage nach dem Datum des Eingangs der Daten. Die Löschung aus den Subsystemen "Lieferung" und "Katalog" erfolgt nach Ablauf des Vertrages und Löschung des Kontos. Dauer des Datenverarbeitungsvertrags; während der gesamten Dauer der vertragsgemäßen Nutzung der Plattform durch den für die Verarbeitung Verantwortlichen, einschließlich der Dauer der Sperrung des Kontos

2. Zusicherungen und Gewährleistungen des für die Verarbeitung Verantwortlichen

2.1. Der für die Verarbeitung Verantwortliche sichert zu und gewährleistet, dass er:
1) Persönliche Daten auf legale Weise erhalten hat;
2) über rechtliche Gründe für die Verarbeitung personenbezogener Daten verfügt (einschließlich der Zustimmung der Betroffenen oder einer anderen Rechtsgrundlage für die Übermittlung personenbezogener Daten, auch grenzüberschreitend), die Verarbeitung personenbezogener Daten dem Auftragsverarbeiter und seinen Partnern (einschließlich derer, die außerhalb der Vereinigten Arabischen Emirate ansässig sind) anvertraut und personenbezogene Daten über die Plattform verbreitet, falls eine solche Verbreitung erfolgt);
c) Einhaltung der Grundsätze und Regeln für die Verarbeitung personenbezogener Daten, die in der Gesetzgebung der Vereinigten Arabischen Emirate vorgesehen sind;
d) die Plattform nicht für die Verarbeitung sensibler und biometrischer personenbezogener Daten nutzt und auch nicht nutzen wird.

2.2. Die für die Verarbeitung Verantwortliche garantiert, dass jede von der für die Verarbeitung Verantwortlichen beauftragte Person, die personenbezogene Daten über die Plattform verarbeitet, im Namen der für die Verarbeitung Verantwortlichen und in Übereinstimmung mit deren Anweisungen handelt. In diesem Fall haftet der für die Verarbeitung Verantwortliche gegenüber dem Auftragsverarbeiter, wenn die angegebene Person gegen die Bedingungen des Datenverarbeitungsvertrags verstößt.

2.3. Die in Punkt 2.1 genannten Zusicherungen und Garantien des für die Verarbeitung Verantwortlichen sind zu jedem Zeitpunkt/Zeitraum der Verarbeitung personenbezogener Daten im Rahmen des Datenverarbeitungsvertrags zuverlässig.

2.4. Der für die Verarbeitung Verantwortliche erkennt die Tatsache der Verarbeitung personenbezogener Daten bei der Nutzung der Plattform an und ist sich dessen bewusst.

3. Rechte, Pflichten und Verantwortlichkeiten des Auftragsverarbeiters

3.1. Der Auftragsverarbeiter verpflichtet sich, den Zweck und die Beschränkungen der Verarbeitung personenbezogener Daten einzuhalten, die in der Vereinbarung über die Datenverarbeitung festgelegt sind.

3.2. Der Auftragsverarbeiter verpflichtet sich, den Vertrag über die Datenverarbeitung selbstständig sowie unter Einbeziehung von Dritten, die auf der Website des Auftragsverarbeiters in der Datenschutzerklärung angegeben sind, durchzuführen, wobei er gegenüber dem für die Verarbeitung Verantwortlichen für die Erfüllung seiner Verpflichtungen aus dem Vertrag über die Datenverarbeitung verantwortlich bleibt.

3.3. Der Auftragsverarbeiter ist verpflichtet, die Vertraulichkeit und Sicherheit der personenbezogenen Daten gemäß den Anforderungen des geltenden Rechts zu gewährleisten.

3.4. Der Auftragsverarbeiter verpflichtet sich, nach Treu und Glauben mit dem für die Verarbeitung Verantwortlichen zusammenzuarbeiten und ihn in angemessener Weise bei der Prüfung und Lösung von Anfragen (Beschwerden, Forderungen) im Zusammenhang mit dem Datenverarbeitungsvertrag zu unterstützen. Insbesondere ist der Auftragsverarbeiter nach Erhalt einer solchen Anfrage verpflichtet, den für die Verarbeitung Verantwortlichen innerhalb von fünf (5) Werktagen nach Eintreten des betreffenden Ereignisses zu benachrichtigen, indem er eine entsprechende Mitteilung an die vom für die Verarbeitung Verantwortlichen bei der Registrierung im persönlichen Konto angegebene E-Mail-Adresse sendet.

3.5. Der Auftragsverarbeiter haftet gegenüber dem für die Verarbeitung Verantwortlichen für die Erfüllung des Datenverarbeitungsvertrags, einschließlich der Handlungen (Untätigkeit) seiner Mitarbeiter, die Zugang zu den im Rahmen des Datenverarbeitungsvertrags des für die Verarbeitung Verantwortlichen verarbeiteten personenbezogenen Daten erlangt haben, was zur Offenlegung dieser personenbezogenen Daten geführt hat, und zwar in Höhe des tatsächlichen, durch Dokumente bestätigten Schadens, wobei jedoch die gesamte vermögensrechtliche Haftung der Verwaltung gegenüber dem für die Verarbeitung Verantwortlichen die Höhe der Kosten des von dem für die Verarbeitung Verantwortlichen bezahlten und während des Zeitraums des Eintritts der Ereignisse, die die Grundlage für den Eintritt der vermögensrechtlichen Haftung der Verwaltung bilden, gültigen Tarifs nicht überschreiten kann.

4. Rechte, Pflichten und Verantwortung des für die Verarbeitung Verantwortlichen

4.1. The Controller shall be responsible to the Personal Data subject for the actions performed by the Processor when executing the Data Processing Agreement.

4.2. The Controller shall make its own decision and be responsible for determining whether the Platform is suitable for processing Personal Data in accordance with United Arab Emirates law, as well as for using the Platform in accordance with the Controller’s legal obligations.

4.3. The Controller shall, independently and at its own expense, develop and place on the Websites it uses all documents required by the applicable law regarding the collection and processing of Personal Data by the Controller, and shall be responsible for their correctness and completeness.

4.4. The Controller shall independently select service providers and data collection systems and services enabled by the Controller to the fields of web forms on the Websites and used by the Controller to collect Personal Data, and shall also be independently responsible for fulfilling the requirements of the Law when organizing the collection of Personal Data using such systems and services.

4.5. The Controller shall be entitled, no more than once a year, to request from the Processor documents and other information confirming the adoption of measures and compliance with the requirements established in the Data Processing Agreement for the purpose of executing the Controller’s Data Processing Agreement.

4.6. The Controller shall be responsible for the security of the means of protection of access to the Platform he/she has chosen, and also independently ensure their confidentiality.

4.7. The Controller shall be responsible for all actions, as well as their consequences, when using the Platform, while all actions performed in the Account shall be considered to have been carried out by the Controller themselves.

4.8. The Controller shall be responsible for responding to requests from Personal Data subjects and third parties regarding the Controller’s use of the Platform for the purpose of Personal Data processing.

4.9. The Controller shall be responsible for considering requests from Personal Data subjects related to the exercise of their rights, including in cases where the use of the Platform by the Controller affects the rights of these persons.

4.10. The Controller undertakes to provide the Processor with confirmation of the existence of legal grounds for processing Personal Data and the fact of proper notification of the Personal Data subject about their transfer, within five (5) calendar days from the date of receipt of the corresponding request from the Processor.

4.11. In the event that the Processor is presented with claims and demands from third parties, including from Personal Data subjects and authorized bodies, in connection with the execution of the Data Processing Agreement, including in the event of a claim about the unlawfulness of the Processor’s processing of Personal Data processed by the Controller using the Platform, the Controller shall be obliged to settle independently such claims on its own and at its own expense, to protect the Processor from possible losses and participation in the consideration of claims, demands and possible litigation. If it becomes necessary for the Processor to participate in resolving the above-mentioned claims and/or demands, the Processor shall be entitled to demand from the Controller compensation for losses and expenses incurred in connection with such participation, including, but not limited to, the costs of a representative, negotiations and other expenses.

4.12. In the event of claims being made against the Processor from third parties, including from Personal Data subjects and authorized bodies, in connection with the execution of the Data Processing Agreement, including in the event of a claim about the unlawfulness of the Processor’s processing of Personal Data processed by the Controller using the Platform, which will result in a court order on the collection of funds from the Processor, which has entered into legal force, the latter shall be entitled to demand from the Controller compensation to the Processor for expenses incurred in the process of resolving a legal dispute and in execution of a court decision, as well as all legal costs and losses incurred by the Processor in full.

4.13. The Controller shall bear the risk of being unable to use the Website and/or Platform arising as a result of the Processor’s fulfilling the obligation to stop processing the Personal Data on the basis of the Controller’s Data Processing Agreement.

5. Vertraulichkeit und Sicherheit

5.1. Der für die Verarbeitung Verantwortliche verpflichtet sich, die Anforderungen an den Schutz der verarbeiteten personenbezogenen Daten in Übereinstimmung mit dem Gesetz festzulegen. Diese Verpflichtung gilt ausschließlich für den für die Verarbeitung Verantwortlichen und ist nicht als Festlegung von Anforderungen an den Schutz der verarbeiteten personenbezogenen Daten durch den für die Verarbeitung Verantwortlichen gegenüber dem Auftragsverarbeiter zu verstehen.

5.2. Der Auftragsverarbeiter ergreift die erforderlichen Vertraulichkeits- und Sicherheitsmaßnahmen bei der Ausführung des Datenverarbeitungsvertrags unter Verwendung von Automatisierungswerkzeugen gemäß den im Gesetz festgelegten Anforderungen. Ausführlichere Informationen sind in der Datenschutzrichtlinie enthalten.

6. Verstoß gegen die Informationssicherheit

6.1. Der für die Verarbeitung Verantwortliche trifft die erforderlichen und ausreichenden Maßnahmen, einschließlich der Überwachung und Verwaltung des Zugangs zur Plattform, um Verletzungen der Informationssicherheit bei der Verarbeitung personenbezogener Daten über die Plattform zu verhindern. Die Verantwortung für die Auswahl der erforderlichen Schutz- und Sicherheitsmaßnahmen sowie für die Angemessenheit und Zuverlässigkeit dieser Maßnahmen liegt bei dem für die Verarbeitung Verantwortlichen. Im Falle einer Verletzung der Informationssicherheit, die auf Handlungen oder Untätigkeit des für die Verarbeitung Verantwortlichen zurückzuführen ist, verpflichtet sich dieser, den Auftragsverarbeiter unverzüglich, spätestens jedoch achtundvierzig (48) Stunden nach Feststellung des Ereignisses, zu benachrichtigen, und der Auftragsverarbeiter wird von der Verantwortung für die Sicherheit und Vertraulichkeit der im Rahmen des Datenverarbeitungsvertrags verarbeiteten Daten entbunden.

6.2. Erlangt der Auftragsverarbeiter Kenntnis von einer Sicherheitsverletzung, die zu einer versehentlichen oder rechtswidrigen Übermittlung (Bereitstellung, Verbreitung, Zugriff) personenbezogener Daten führt (im Folgenden "Informationssicherheitsverletzung") und Risiken für die Privatsphäre, die Vertraulichkeit und die Sicherheit der betroffenen Personen birgt, deren personenbezogene Daten von einer Sicherheitsverletzung (im Sinne von Artikel 34 des Gesetzes) betroffen sind, so hat der Auftragsverarbeiter unverzüglich nach Bekanntwerden (1) den für die Verarbeitung Verantwortlichen über die Informationssicherheitsverletzung zu benachrichtigen und (2) angemessene Maßnahmen zu ergreifen, um die Folgen der Informationssicherheitsverletzung zu mildern und den daraus resultierenden Schaden zu minimieren.

6.3. Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen die notwendigen und ausreichenden Informationen und Unterstützung im Zusammenhang mit einem solchen Ereignis zur Verfügung, die der für die Verarbeitung Verantwortliche benötigt, um seinen gesetzlichen Verpflichtungen nachzukommen und um die negativen Folgen, die sich aus einem solchen Ereignis ergeben können, zu verringern.

6.4. Die Verpflichtung des Auftragsverarbeiters, einen solchen Verstoß gegen die Informationssicherheit gemäß diesem Abschnitt zu melden oder darauf zu reagieren, stellt kein Eingeständnis eines Verschuldens oder einer Haftung des Auftragsverarbeiters im Zusammenhang mit dem Verstoß gegen die Informationssicherheit dar.

7. Anwendbares Recht und Streitbeilegung

7.1. Dieses Abkommen unterliegt den Gesetzen der Vereinigten Arabischen Emirate und ist nach diesen auszulegen.

7.2. Alle Streitigkeiten, die bei der Durchführung des Abkommens zwischen den Vertragsparteien entstehen können, werden durch Verhandlungen beigelegt.

7.3. Der Auftragsverarbeiter behält sich das Recht vor, die Bedingungen des Datenverarbeitungsvertrags einseitig zu ändern und/oder zu ergänzen, indem er den geänderten Text im Internet unter dem folgenden Link veröffentlicht: https://tilda.cc/dpa/. Mit jeder tatsächlichen Nutzung der Plattform zur Verarbeitung personenbezogener Daten bestätigt der für die Verarbeitung Verantwortliche sein Einverständnis mit den Bedingungen der Vereinbarung zur Datenverarbeitung in der zum Zeitpunkt der tatsächlichen Nutzung der Plattform zur Verarbeitung personenbezogener Daten geltenden Fassung.

Die aktuelle Version der Datenverarbeitungsvereinbarung ist datiert vom 31.05.2024