zwischen
dem Nutzer, der in einem professionellen oder gewerblichen Kontext einen der MeasureOn-Dienste, die Cloud-Datenspeicherung beinhalten, nutzt
-nachstehend Auftraggeber, Verantwortlicher, Nutzer oder Datenexporteur genannt-
und
Robert Bosch Power Tools GmbH
Max-Lang-Straße 40-46, 70771 Leinfelden-Echterdingen, Deutschland
-nachstehend Auftragnehmer, Auftragsverarbeiter oder Datenimporteur genannt-
Gemeinsam als „Parteien“ bezeichnet und in Anhang 1.A. aufgeführt
Diese Vereinbarung zur Auftragsverarbeitung nach Art. 28 Abs. 3 DS-GVO („Vereinbarung“) legt die sich aus den Nutzungsbedingungen ergebenden datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien zum Datenschutz fest, soweit der Auftragsverarbeiter („Anbieter“) im Auftrag des Auftraggebers („Nutzer“) Daten verarbeitet. Die Vereinbarung findet Anwendung, wenn der Nutzer in einem professionellen / gewerblichen Kontext Dienste benutzt, welche die Datenspeicherung von Projekten, Dokumenten und Aufmaßblättern in der Cloud umfassen, sowie dann, wenn im Auftrag des Nutzers E-Mails an vom Nutzer bestimmte Personen versandt werden, um Zugang zu und die Nutzung von MeasureOn im Rahmen der „MeasureOn Multi-License“ zu ermöglichen. Im Falle eines Widerspruchs zwischen dieser Vereinbarung und anderen Vereinbarungen zwischen dem Anbieter und dem Nutzer hat diese Vereinbarung im entsprechenden Umfang Vorrang.
Die folgenden Begriffe haben im Zusammenhang mit dieser Vereinbarung die nachfolgenden Bedeutungen:
a) „DS-GVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung);
b) „Betroffene Person“ ist eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden;
c) „Personenbezogene Daten“ sind alle Informationen, die sich auf eine betroffene Person beziehen, sowie alle anderen Informationen, die in der DS-GVO als „personenbezogene Daten“ definiert sind (Art. 4 Abs. 1 DS-GVO);
d) „Eingeschränkte Übermittlung“ ist eine Übermittlung von personenbezogenen Daten aus dem Europäischen Wirtschaftsraum („EWR“) in ein Land außerhalb des EWR, soweit diese Übermittlung nicht Gegenstand eines Angemessenheitsbeschlusses der Europäischen Kommission ist;
e) „EU-SCC“ sind die Standardvertragsklauseln im Anhang des Durchführungsbeschlusses (EU) 2019/914 der Europäischen Kommission vom 4. Juni 2021, die von Zeit zu Zeit überarbeitet oder ersetzt werden können;
f) „Nationale-SCC“ sind Standarddatenschutzklauseln im Sinne des Art. 46 Abs. 2 d) DS-GVO;
g) Die Begriffe „Verantwortlicher“, „Auftragsverarbeiter“ und „Verarbeitung“ haben die Bedeutungen, die ihnen in der DS-GVO gegeben werden.
1.1 Die Laufzeit dieser Vereinbarung und die Dauer der Verarbeitung richten sich nach der Laufzeit des Nutzungsvertrages, sofern sich aus den Bestimmungen dieser Vereinbarung nicht darüberhinausgehende Verpflichtungen ergeben.
1.2 Der Nutzer ist Verantwortlicher für die Verarbeitung der in Anhang 1.B. genannten personenbezogenen Daten. Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich als Auftragsverarbeiter oder Dienstleister im Auftrag des Nutzers. Der Verantwortliche und der Auftragsverarbeiter müssen ihre jeweiligen Verpflichtungen nach der DS-GVO und anderen anwendbaren nationalen Gesetzen einhalten sowie die sonstigen Leitlinien von Datenschutzbehörden in Bezug auf die jeweiligen hier gegenständlichen Verarbeitungsvorgänge befolgen.
Unter bestimmten Bedingungen kann der Anbieter die Rolle des Verantwortlichen für die Verarbeitung personenbezogener Daten übernehmen, die vom Nutzer bereitgestellt werden, nämlich dann, wenn dies in den Nutzungsbedingungen festgelegt ist, wenn eine separate vertragliche Vereinbarung diesbezüglich besteht oder wenn der Anbieter aus rechtlichen Gründen dazu verpflichtet ist.
1.3 Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind. Der Auftraggeber stimmt allen Datenübermittlungen zu, über die er vor Abschluss dieser Vereinbarung informiert wurde. Das angemessene Schutzniveau im Drittland:
- ist festgestellt durch einen Angemessenheitsbeschluss der Kommission (Art. 45 Abs. 3 DS-GVO);
- wird hergestellt durch verbindliche interne Datenschutzvorschriften (Art. 46 Abs. 2 lit. b) i.V.m. Art. 47 DS-GVO);
- wird hergestellt durch Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c) und d) DS- GVO) (EU-SCC und nationale Standarddatenschutzklauseln);
- wird hergestellt durch genehmigte Verhaltensregeln (Art. 46 Abs. 2 lit. e) i.V.m. Art. 40 DS-GVO);
- wird hergestellt durch einen genehmigten Zertifizierungsmechanismus (Art. 46 Abs. 2 lit. f) i.V.m. Art. 42 DS-GVO);
- wird hergestellt durch sonstige Maßnahmen (Art. 46 Abs. 2 lit. a), Abs. 3 lit. a) und b) DS-GVO).
1.4 Soweit die Übermittlung personenbezogener Daten vom Verantwortlichen an Auftragsverarbeiter eine eingeschränkte Übermittlung beinhaltet, werden die EU-SCC durch Verweis einbezogen und bilden einen integralen Bestandteil dieser Vereinbarung mit dem für die Verarbeitung Verantwortlichen als "Datenexporteur" und dem Auftragsverarbeiter als "Datenimporteur". Für die Zwecke der EU SCC: (i) gelten die Bestimmungen des Moduls zwei (Übermittlung von Verantwortlichen an Auftragsverarbeiter), und die Bestimmungen der Module eins, drei und vier werden vollständig gestrichen; (ii) gilt in Klausel 9 die Option 2, wobei über die Hinzufügung oder den Austausch von Unterauftragsverarbeitern vier Wochen im Voraus unterrichtet wird; (iii) wird in Klausel 11 der optionale Abschnitt unter lit. a) gestrichen; (iv) gilt in Klausel 17 die Option 1, und die EU-SCC unterliegen deutschem Recht; (v) in Klausel 18(b) werden Streitigkeiten vor deutschen Gerichten (in Stuttgart) ausgetragen; (vi) die Anhänge der EU-SCC werden mit den in den Anhängen zu dieser Vereinbarung enthaltenen Informationen gefüllt; und (vii) falls und soweit die EU-SCC einer Bestimmung des Vertrags oder dieser Vereinbarung widersprechen, haben die EU-SCC im Umfang dieses Widerspruchs Vorrang.
2.1 Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst die in Anhang 1.B. näher umschriebenen Tätigkeiten. Der Auftraggeber ist hinsichtlich der Verarbeitung der Daten für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
2.2 Der Auftragnehmer verarbeitet personenbezogene Daten in dem Umfang, welcher für die Erfüllung seiner Verpflichtungen aus dem Nutzungsvertrag und dieser Vereinbarung erforderlich ist, unter strikter Einhaltung der dokumentierten Anweisungen des Auftraggebers, wie in Anhang 1.B. (Beschreibung des Datentransfers) beschrieben. Der Auftragnehmer darf die personenbezogenen Daten nicht für andere als die in Anhang 1.B. definierten Zwecke (auch nicht für eigene gewerbliche Zwecke) aufbewahren, verwenden, offenlegen oder anderweitig verarbeiten, es sei denn, der Auftragnehmer ist hierzu rechtlich verpflichtet. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn er feststellt, dass die Verarbeitungsanweisungen des Auftraggebers gegen Datenschutzvorschriften verstoßen, ist jedoch nicht verpflichtet, die Einhaltung der Datenschutzvorschriften durch den Auftraggeber aktiv zu überwachen. Der Auftragnehmer ist berechtigt, die Befolgung der betreffenden Anweisung auszusetzen, bis sie von dem Auftraggeber entweder bestätigt oder geändert wird.
3.1 Der Auftragnehmer darf personenbezogene Daten von betroffenen Personen nur im Rahmen des in der Vereinbarung definierten Auftrages und der dokumentierten Weisungen des Auftraggebers verarbeiten. Sofern der Auftragnehmer durch nationales oder europäisches Recht zu einer hiervon abweichenden Verarbeitung verpflichtet ist, weist er den Auftraggeber vor Beginn der Verarbeitung auf diesen Umstand hin, soweit das betreffende Recht einen Hinweis nicht wegen eines wichtigen öffentlichen Interesses verbietet.
3.2 Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes, insbesondere den Vorgaben der DS-GVO, gerecht wird. Er wird die in Anhang 2 beschriebenen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der personenbezogenen Daten des Auftraggebers treffen. Die Maßnahmen sollen die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer gewährleisten. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen, aufgrund der Durchsicht dieser Vereinbarung, bekannt. Der Auftraggeber trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden personenbezogenen Daten ein angemessenes Schutzniveau bieten.
3.3 Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch gewährleistet sein muss, dass das in dieser Vereinbarung vereinbarte Schutzniveau nicht unterschritten wird.
3.4 Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten und der mit dieser Vereinbarung im Zusammenhang stehenden Verarbeitungen (s. Anhang 1.B.) bei der Erfüllung der Anfragen und Ansprüche betroffener Personen gemäß Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 32 bis 36 DS-GVO genannten Pflichten. Hierfür kann der Auftragnehmer eine angemessene Vergütung verlangen.
3.5 Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- oder Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
3.6 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der personenbezogenen Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.
3.7 Der Auftragnehmer ist verpflichtet, einen fachkundigen und zuverlässigen Datenschutzbeauftragten nach Art. 37 DS-GVO zu bestellen, sofern und solange die gesetzlichen Voraussetzungen für eine Bestellpflicht gegeben sind. Dessen Kontaktdaten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt. Ein Wechsel des Datenschutzbeauftragten wird dem Auftraggeber unverzüglich mitgeteilt. Eine Anpassung der Nutzungsbedingungen, im Rahmen derer auch die Angaben zum Datenschutzbeauftragten aktualisiert werden, ist zu diesem Zweck ausreichend.
Datenschutzbeauftragter des Auftragnehmers:
Name: Thoralf Knuth (C/ISP)
Anschrift: Robert-Bosch-Platz 1, 70839 Gerlingen-Schillerhöhe, Deutschland
E-Mail: DPO@bosch.com
Erster Ansprechpartner in Datenschutzfragen:
Name: Data Protection and Information Security Bosch Power Tools
E-Mail: 002.PTDSO@de.bosch.com
3.8 Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DS-GVO nachzukommen und ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
3.9 Die Berichtigung und Löschung von personenbezogenen Daten obliegt dem Auftraggeber. Gleiches gilt für die Einschränkung der Verarbeitung von personenbezogenen Daten (Sperrung).
3.10 Die personenbezogenen Daten werden nach dem Ende des Nutzungsvertrages gelöscht. Es obliegt dem Auftraggeber, Sicherungskopien von seinen personenbezogenen Daten anzufertigen und die personenbezogenen Daten vor Vertragsende umzuziehen. Eine Pflicht des Auftragnehmers zur Herausgabe von personenbezogenen Daten, auf die der Auftraggeber selbst Zugriff hat, besteht nicht. Falls der Auftraggeber keinen eignen Zugriff auf bestimmte personenbezogene Daten hat, kann er innerhalb von 90 Tagen [AS1] nach Beendigung des Nutzungsvertrages eine Kopie dieser Daten vom Auftragnehmer anfordern.
3.11 Der Auftragnehmer verpflichtet sich zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DS-GVO.
4.1 Dem Auftraggeber obliegt es, dem Auftragnehmer die personenbezogenen Daten rechtzeitig zur Leistungserbringung nach der Vereinbarung zur Verfügung zu stellen. Er ist für die Qualität der personenbezogenen Daten verantwortlich. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seiner Leistungen feststellt.
4.2 Im Falle einer Inanspruchnahme durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO verpflichten sich Auftraggeber und Auftragnehmer, sich bei der Abwehr des Anspruches gegenseitig zu unterstützen. Der Auftragnehmer ist berechtigt, dem Auftraggeber die Kosten in Rechnung zu stellen, die dem Auftragnehmer bei der Unterstützung hinsichtlich Anfragen Betroffener für Maßnahmen entstehen, die auf ausdrücklichen Wunsch des Auftraggebers durchgeführt werden und die außerhalb des wirtschaftlich angemessenen Bemühens des Auftragnehmers liegen.
Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung, Einschränkung der Verarbeitung oder Auskunft über die personenbezogenen Daten an den Auftragnehmer, wird der Auftragnehmer die betroffenen Personen an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach den Angaben der betroffenen Person möglich ist.
6.1 Der Auftragnehmer weist dem Auftraggeber auf Anfrage die Einhaltung der in Art. 28 DS-GVO und diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach. Zum Nachweis der Einhaltung der vereinbarten Pflichten kann der Auftragnehmer dem Auftraggeber Zertifikate und Prüfergebnisse Dritter (z.B. nach Art. 42 DS-GVO oder ISO 27001) zur Verfügung stellen oder Prüfberichte des betrieblichen Datenschutzbeauftragten oder von diesem beauftragte Personen.
6.2 Sollten im Einzelfall Kontrollen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten Montag – Freitag zwischen 08:00 Uhr und 17:00 Uhr ohne Störung des Betriebsablaufs und nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit von mind. 4 Wochen durchgeführt. Der Auftragnehmer darf die Kontrollen von der Unterzeichnung einer angemessenen Verschwiegenheitserklärung durch den Auftraggeber oder den von diesem beauftragen Prüfer abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Widerspruchsrecht. Der Widerspruch ist in Textform gegenüber dem Auftraggeber zu erklären.
6.3 Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Kontrolle vornehmen, gilt grundsätzlich 6.2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
6.4 Für die Unterstützung bei der Durchführung einer Kontrolle nach 6.2 oder 6.3 darf der Auftragnehmer eine angemessene Vergütung verlangen, sofern nicht Anlass der Kontrolle der dringende Verdacht eines Datenschutzvorfalls im Verantwortungsbereich des Auftragnehmers ist. In diesem Fall sind die Verdachtsmomente mit der Ankündigung der Kontrolle vom Auftraggeber vorzutragen.
7.1 Der Auftraggeber stimmt zu, dass der Auftragnehmer Subunternehmer hinzuzieht. Vor der Hinzuziehung oder Ersetzung von Subunternehmern informiert der Auftragnehmer den Auftraggeber mit einer Frist von vier Wochen vorab in Textform. Der Auftraggeber kann der Hinzuziehung oder Ersetzung nur aus wichtigem Grund widersprechen. Der Widerspruch hat schriftlich binnen 14 Tagen zu erfolgen und alle wichtigen Gründe ausdrücklich zu benennen. Erfolgt innerhalb der Frist kein Widerspruch, gilt die Zustimmung zur Hinzuziehung oder Ersetzung als gegeben. Liegt ein wichtiger Grund vor, der vom Auftragnehmer nicht durch Anpassung des Auftrages beseitigt werden kann, wird dem Auftraggeber ein Sonderkündigungsrecht eingeräumt. Über die in Anhang 3 aufgeführten, bei Vertragsschluss bereits hinzugezogenen, Subunternehmer und deren Teilleistungen erfolgt keine gesonderte Information. Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen.
7.2 Auf schriftliche Aufforderung des Auftraggebers hat der Auftragnehmer jederzeit Auskunft über die datenschutzrelevanten Verpflichtungen seiner Subunternehmer zu erteilen, soweit dies im Rahmen bestehender Vertraulichkeitsverpflichtungen zulässig ist, die in einem Auftragsverarbeitungsvertrag zwischen dem Auftragnehmer und seinen Subunternehmern enthalten sein können.
7.3 Die Regelungen in dieser Ziffer 7 gelten auch, wenn – unter Wahrung der Grundsätze von Kapitel 5 der DS-GVO – ein Subunternehmer in einem Drittstaat eingeschaltet wird. Der Auftragnehmer erklärt sich bereit, an der Erfüllung der Voraussetzungen nach Kapitel 5 der DS-GVO im erforderlichen Maße mitzuwirken. Im Zusammenhang mit Klausel 9 lit. c) der EU-SCC nimmt der Auftraggeber zur Kenntnis, dass es dem Auftragnehmer aufgrund von Vertraulichkeitsverpflichtungen nicht erlaubt sein könnte, dem Auftraggeber Vereinbarungen zur Auftragsverarbeitung mit Subunternehmern offenzulegen. Kann der Auftragnehmer eine Vereinbarung zur Auftragsverarbeitung gegenüber dem Auftraggeber nicht offenlegen, stellt er alle Informationen (auf vertraulicher Basis, z. B. durch Schwärzen des Textes der Vereinbarung zur Auftragsverarbeitung) zur Verfügung, die er im Zusammenhang mit einer solchen Vereinbarung vernünftigerweise bereitstellen kann.
8.1 Es gelten die Haftungsbeschränkungen aus den Nutzungsbedingungen.
8.2 Der Auftraggeber stellt den Auftragnehmer von sämtlichen Ansprüchen frei, die Dritte wegen der Verletzung ihrer Rechte gegen den Auftragnehmer aufgrund der vom Aufraggeber beauftragten Verarbeitung personenbezogener Daten geltend machen, sofern nicht der Anspruch des Dritten auf einer weisungswidrigen Verarbeitung der personenbezogenen Daten durch den Auftragnehmer beruht. Der Auftraggeber stellt den Auftragnehmer von allen Ansprüchen Dritter in diesem Zusammenhang frei. Artikel 82 Abs. 3 der DS-GVO gilt entsprechend.
9.1 Sollten die personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren.
9.2 Der Auftragnehmer informiert den Auftraggeber über alle Änderungen und Ergänzungen zu dieser Vereinbarung, wobei der Auftraggeber innerhalb eines Monats nach Erhalt dieser Nachricht begründete Einwände aus Gründen des Datenschutzes erheben kann. Im Fall eines begründeten Einwands steht dem Auftraggeber ein außerordentliches Kündigungsrecht zu. Soweit keine Einwände erhoben oder im Fall eines Einwands von dem eingeräumten außerordentlichen Kündigungsrecht kein Gebrauch gemacht wird, gelten die Änderungen und Ergänzungen als vom Auftraggeber angenommen. Eine ausdrückliche Zustimmung zu Änderungen und Ergänzungen bedarf es jedoch dann, wenn aufgrund dieser Änderungen und Ergänzungen die Vereinbarung nicht mehr den Anforderungen des Art. 28 DS-GVO entsprechen würde.
9.3 Änderungen und Ergänzungen dieser Vereinbarung und all ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers - bedürfen einer schriftlichen Vereinbarung, die auch in Textform (z. B. per E-Mail oder innerhalb der Web-/Mobil-App) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Vereinbarung handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Auftraggeber und Auftragnehmer vereinbaren, dass der unter 9.2. beschriebene Prozess den Anforderungen zur Änderung und Ergänzung dieser Vereinbarung entspricht.
9.4 Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung den Regelungen der Nutzungsbedingungen vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
9.5 Diese Vereinbarung unterliegt deutschem Recht. Der vereinbarte Gerichtsstand ist Stuttgart (Deutschland).
Anhänge
Anhang 1.A.: Parteien
Datenexporteur(e):
Name: Nutzer, welcher in einem professionellen / gewerblichen Kontext MeasureOn Dienste nutzt, welche Cloud-Datenspeicherung beinhalten.
Anschrift: Die elektronische und physische Adresse des Nutzers.
Name, Funktion und Kontaktdaten der Kontaktperson: Kontaktname und Kontakt-E-Mail-Adresse, welche im Nutzungsvertrag und/oder in den im Nutzerkonto hinterlegten Kontaktdetails aufgeführt sind.
Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten von Belang sind: Der Datenexporteur ist Kunde des Datenimporteurs und benutzt die Dienstleistungen des Datenimporteurs in einem professionellem / gewerblichen Kontext zur Erstellung, Verwaltung und Aktualisierung von: Projekten, Dokumenten und Aufmaßblättern, welche auf der Cloud des Datenimporteurs gespeichert sind und personenbezogene Daten enthalten können. Soweit der Datenexporteur eine sogenannte „MeasureOn Multi-License“ besitzt, kann der Datenimporteur für den Datenexporteur E-Mails an vom Datenexporteur bestimmte Personen für diesen versenden, um den Zugriff der Adressaten auf und die Nutzung von MeasureOn zu ermöglichen.
Rolle (Verantwortlicher / Auftragsverarbeiter): Verantwortlicher
Datenimporteur(e):
Name: Der in den Nutzungsbedingungen bestimmte Anbieter.
Anschrift: siehe Nutzungsbedingungen.
Name, Funktion und Kontaktdaten der Kontaktperson: Data Protection and Information Security Bosch Power Tools - 002.PTDSO@de.bosch.com
Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten von Belang sind: Der Datenimporteur stellt die MeasureOn Applikation (mobil und web), welche die Erstellung, Verwaltung und Aktualisierung von Projekten, Dokumenten und Aufmaßblättern, welche auf der Cloud des Datenimporteurs gespeichert sind und personenbezogene Daten enthalten können, ermöglicht, sowie die Funktion zum Versand von E-Mails an vom Datenexporteur, soweit dieser eine sogenannte „MeasureOn Multi-License“ hat, bestimmte Personen zu dem Zweck, Zugriff auf und die Nutzung von MeasureOn durch diese zu ermöglichen, bereit.
Rolle (Verantwortlicher / Auftragsverarbeiter): Auftragsverarbeiter
Anhang 1.B.: Beschreibung des Datentransfers
Kategorien betroffener Personen, deren personenbezogene Daten übermittelt werden:
Gewerbliche / professionelle Kontakte des Datenexporteurs, wenn dieser eine natürliche Person ist, welche MeasureOn in einem professionellem / gewerblichen Kontext nutzt.
Eigentümer des Datenexporteurs, Mitarbeiter des Datenexporteurs, Kunden des Datenexporteurs, wenn dieser eine juristische Person ist.
Kategorien der übermittelten personenbezogenen Daten:
Personenbezogene Daten, welche in Projekten, Dokumenten oder Aufmaßblättern durch den Datenexporteur auf der Cloud-Infrastruktur des Datenimporteurs erstellt oder hochgeladen wurden, wie zum Beispiel: Name, Adresse, User-Name, Kundenname, Identifikationsdaten, Beschreibungen und/oder Informationen, welche in Projekten enthalten sind und welche als personenbezogene Daten gewertet werden können.
Bei Verwendung von „MeasureOn Multi-License“: E-Mail-Adresse des von dem Datenexporteur benannten Empfängers der Einladung zur Nutzung von MeasureOn.
Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen:
Nein
Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden):
Kontinuierlich soweit Datenspeicherung in der Cloud genutzt wird.
Einmalig bei Verwendung von „MeasureOn Multi-License“ zum Versand an einem vom Datenexporteur bestimmten Empfänger.
Art der Verarbeitung:
Verarbeitung personenbezogener Daten in folgenden Kontexten:
(1) Bereitstellung der Dienste welche die Datenspeicherung von Projekten, Dokumenten und Aufmaßblättern in der Cloud umfassen können,
(2) im Zusammenhang mit der MeasureOn Multi-License, Versand von E-Mails für den Datenexporteur an vom Datenexporteur bestimmte Empfänger zu dem Zweck, den Empfängern Zugang zu sowie die Nutzung von MeasureOn zu ermöglichen, sowie
(3) andere Verarbeitungen im Auftrag des Datenexporteurs, soweit diese in den Nutzungsbedingungen oder einem anderen Vertrag beschrieben sind.
Zweck(e) der Datenübermittlung und Weiterverarbeitung:
Erbringung der in dieser Vereinbarung und ihren Anhängen beschriebenen Dienstleistungen.
Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer:
Die personenbezogenen Daten werden bis zur Beendigung oder bis zum Ablauf des Nutzungsvertrages gemäß den Klauseln 1.1. und 3.10. dieser Vereinbarung aufbewahrt.
Bei Datenübermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben:
Siehe Angaben in Anhang 3; die Dauer der Datenverarbeitung richtet sich nach Klausel 1.1. sowie 3.10. dieser Vereinbarung.
Anhang 1.C. Zuständige Datenschutzaufsichtsbehörde
Die Aufsichtsbehörde des EWR-Mitgliedstaats, in dem der Nutzer niedergelassen ist oder seinen Wohnsitz hat, oder, falls der Nutzer nicht im EWR niedergelassen oder ansässig ist, des EWR-Mitgliedstaats, in dem der Vertreter des Nutzers niedergelassen ist oder in dem sich die Mehrheit der Endkunden oder Kontakte (betroffene Personen) des Nutzers befindet.
Anhang 2: Technische und organisatorische Maßnahmen, einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Daten
|
Cybersicherheit, Informationssicherheit und Datenschutz sind elementare Bestandteile des Qualitätsanspruchs von Bosch. Vertrauen in die Sicherheit der Systeme und Daten sowie deren Resilienz gegenüber manipulativen Eingriffen sehen wir als einen entscheidenden Erfolgsfaktor für die Verwirklichung unserer AIoT-Strategie. Dazu gehört auch, dass wir verantwortungsvoll mit den Daten von Nutzern umgehen – im Einklang mit den Werten, die unser Unternehmen seit jeher prägen. |
|
Ein funktionsübergreifender Lenkungsausschuss unter Teilnahme von Data Protection Officer, Chief Information Security Officer, Chief Cyber Security Officer und Chief Digital Officer berichtet zweimal jährlich in einer eigens dafür anberaumten Sitzung direkt an die Konzern-Geschäftsführung. Zudem haben wir für die IT-Sicherheit unserer Produkte eine eigene Zentralstelle eingerichtet. Ein klar beschriebener Prozess sowie ein stetig wachsendes Netzwerk an Expertinnen und Experten sichern die breite Verankerung von Cybersicherheit und Datenschutz in der Entwicklung unserer Produkte. |
|
Bosch nutzt ein kombiniertes Informationssicherheits- und Datenschutz-Managementsystem, das kontinuierlich gepflegt und aktualisiert wird. Das System ist an internationalen Standards wie ISO 27000 ausgerichtet und trägt auch den rechtlichen Anforderungen Rechnung, wie sie etwa in der Datenschutz-Grundverordnung (DS-GVO) formuliert sind. Damit verzahnt Bosch Datenschutz, Informationssicherheit und Cybersicherheit in einem einheitlichen System, um den verantwortungsvollen und sicheren Umgang mit Daten zu gewährleisten. |
|
Über entsprechende Richtlinien und Zentralanweisungen sind alle relevanten Bereiche der Cybersicherheit, der Informationssicherheit und des Datenschutzes bei Bosch erfasst. Verbindliche Vorgaben zur Cybersicherheit enthalten die beiden Zentralanweisungen „Cyber Security Management System“ und „IT-Sicherheit“, die konzernweit die Entwicklung von Produkten und Services sowie den Betrieb von Servern und anderen IT-Systemen regeln. Zudem definiert die für alle Beschäftigten verbindliche Konzernrichtlinie „Informationssicherheit und Datenschutz“ Grundsätze, Verantwortlichkeiten und Aufgaben zur betrieblichen Informationssicherheit und zum Datenschutz. |
|
Die Expertinnen und Experten für den Datenschutz werden frühzeitig in die Entwicklung der Produkte eingebunden, so dass sie die Projektleitung und die Entwicklung bei der Bewertung und Umsetzung der Datenschutzvorgaben unterstützen können. Sie stellen ihr Know-how allen Einheiten zur Verfügung und werden kontinuierlich weiter qualifiziert. Zentrale Vorgaben regeln Prozesse, Rollen und Qualifizierungen. Diese werden regelmäßig überprüft, um Abweichungen frühzeitig zu erkennen und zeitnah beheben zu können. Sämtliche Vorgaben werden regelmäßig überarbeitet und aktualisiert. Unsere Tochtergesellschaft ESCRYPT unterstützt zudem mit fachlicher Expertise. |
|
Trotz aller Vorsichtsmaßnahmen ist klar: Absolute Sicherheit gibt es auch in der Informationstechnologie nicht. Daher haben wir das Bosch Product Security Incident Response Team (PSIRT) etabliert. Es steht Sicherheitsforschern, Partnern oder Kunden als zentrale Anlaufstelle zur Verfügung für den Fall, dass Schwachstellen bei unseren Produkten identifiziert wurden. Die Meldung von Sicherheitslücken kann auch über unser Hinweisgebersystem erfolgen. Ist eine Lösung gefunden, machen wir sie für alle unsere Kunden online transparent. |
Auf den folgenden Seiten sind die wichtigsten Bausteine des Informationssicherheits- und Datenschutz-Managementsystems der Bosch Gruppe beschrieben.
|
Informationssicherheit und Datenschutz sind ein eigenständiger Teilbereich im Risikomanagement-System der Bosch Gruppe. |
|
Risiken werden kontinuierlich erfasst, bewertet, überwacht und an die Geschäftsführung berichtet. |
|
Die Behandlung von Risiken erfolgt durch Maßnahmen, welche basierend auf Sicherheitsstandards (z.B. ISO 27002, ISO 27018) und externen Anforderungen (z.B. EU DSGVO) festgelegt und durch Unternehmensrichtlinien verbindlich gemacht werden. |
|
Die Risikoüberwachung erfolgt im Rahmen von internen Kontrollen sowie Informationssicherheits- und Datenschutzaudits. |
|
Bei der Produktentwicklung erfolgt eine gesonderte Betrachtung von Risiken. |
Sensibilisierung und Training der Mitarbeiter
Um Risiken beim Umgang mit Informationen und personenbezogene Daten durch Mitarbeiter zu verringern, sind u.a. folgende Maßnahmen umgesetzt:
|
Für Neueinstellungen in sensiblen Bereichen existiert ein Prozess, um sicherzustellen, dass die Mitarbeiter für die für sie vorgesehenen Rollen geeignet sind. |
|
Mitarbeiter werden regelmäßig über die Risiken beim Umgang mit Informationen oder der Produktentwicklung unterwiesen, geschult und sensibilisiert. |
|
Mitarbeiter werden darauf verpflichtet, Gesetze und interne Regeln zur Informationssicherheit und zum Datenschutz einzuhalten. |
Um Risiken durch unangemessenen Schutz von Informationen, personenbezogenen Daten oder IT-Systemen zu verringern, sind u.a. folgende Maßnahmen umgesetzt:
|
Informationen, personenbezogene Daten und IT-Systeme werden identifiziert, inventarisiert, Verantwortlichen zugewiesen und hinsichtlich ihres Schutzbedarfs klassifiziert. |
|
Die Verarbeitung von Informationen auf privat beschafften IT-Systemen ist verboten. |
|
Datenträger mit sensiblen Informationen und personenbezogenen Daten werden sicher entsorgt, in dem die Daten verschlüsselt, gelöscht oder die Datenträger vernichtet werden. |
|
Nach Beendigung des Beschäftigungsverhältnisses geben Mitarbeiter die in ihrem Besitz befindlichen Werte an die Bosch Gruppe zurück. |
Um Risiken durch unberechtigten Zugang zu IT-Systemen zu verringern, sind u.a. folgende Maßnahmen umgesetzt:
|
Benutzerkonten werden zentral verwaltet, regelmäßig überprüft und bei Bedarf wieder gelöscht. |
|
Administrative Konten werden restriktiv vergeben, deren Notwendigkeit regelmäßig überprüft und bei Bedarf wieder gelöscht. |
|
Geheime Zugangsinformationen (z.B. Passwörter) folgen einem strikten Passwortmanagement und werden in den IT-Systemen sicher verwaltet, gespeichert und übertragen. |
|
Zugang zu IT-Systemen erfolgt unter Verwendung sicherer Anmeldeverfahren in Abhängigkeit der Zugangsart und des Schutzbedarfs der Informationen. |
Um Risiken durch unberechtigten Zugriff auf Informationen und personenbezogenen Daten zu verringern, sind u.a. folgende Maßnahmen umgesetzt:
|
Zugriffsberechtigungen sind auf das notwendige Maß eingeschränkt, werden regelmäßig überprüft, bei Bedarf angepasst oder wieder entzogen („Need to know“- und „Need to use“-Prinzip). |
|
Administrative Berechtigungen werden restriktiv vergeben, deren Notwendigkeit regelmäßig überprüft und bei Bedarf wieder entzogen. |
Um Risiken durch unbefugtes Lesen, Kopieren oder Verändern von Informationen und personenbezogenen Daten zu verringern, sind u.a. folgende Maßnahmen umgesetzt:
|
Informationen werden in Abhängigkeit ihres Schutzbedarfs (Schutzklasse) bei der Speicherung und beim Transport verschlüsselt. |
|
Die Ausstellung und Verwaltung des Schlüsselmaterials erfolgt durch ein eigenes Bosch Trustcenter, um Risiken durch Diebstahl oder Verlust des Schlüsselmaterials zu verringern. |
|
Die verwendeten Verschlüsselungsverfahren entsprechen dem Stand der Technik. |
Um Risiken durch unbefugten Zutritt, die Beschädigung oder Diebstahl von Informationen, personenbezogenen Daten und IT-Systemen zu verringern, sind u.a. folgende Maßnahmen umgesetzt:
|
Der Zutritt zu Liegenschaften der Bosch Gruppe (z.B. Werken, Gebäuden, Büros) erfolgt nach Identifikation und Autorisierung der Personen (z.B. über Mitarbeiterausweise, Besucherkontrollen). |
|
Einteilung der Liegenschaften in Sicherheitszonen mit entsprechenden Sicherheitsvorgaben. |
|
Sensible IT-Systeme (z.B. Server) werden in zutrittsgeschützten IT-Rechenzentren oder IT-Räumen platziert. |
|
Mitarbeiter werden regelmäßig auf eine aufgeräumte Arbeitsumgebung (Clean Desk) und die physische Sicherung von mobilen Endgeräten hingewiesen, um Risiken durch den Diebstahl von Dokumenten oder Datenträgern zu verringern. |
|
Für die Mitnahme von Geräten und Dokumenten existiert ein geregelter Prozess. |
Um Risiken durch einen nicht ordnungsgemäßen Betrieb von IT-Systemen zu verringern, sind u.a. folgende Maßnahmen umgesetzt:
|
Für den Betrieb von IT-Systemen existieren Betriebskonzepte, welche die sicherheitsrelevanten Betriebsprozesse (z.B. Change- und Patch-Management, Sicherungs- und Wiederherstellungsverfahren) beschreiben. |
|
Änderungen an IT-Systemen werden im Rahmen von Change-Management-Prozessen geplant, freigegeben und durchgeführt. |
|
Test- und Produktivsysteme sind voneinander getrennt. |
|
IT-Systeme werden mit einem mehrstufigen Konzept vor Schäden durch Schadsoftware geschützt. |
|
Die Softwareinstallation durch Benutzer ist eingeschränkt. |
|
Auf IT-Systemen werden sicherheitsrelevante Ereignisse unter Berücksichtigung des Datenschutzes protokolliert, um Informationssicherheits- und Datenschutzvorfälle zu erkennen. |
|
Schwachstellenmanagement: Technische Schwachstellen in IT-Systemen werden im Rahmen von geregelten Patch- und Change-Management-Prozessen durch das Bosch CERT bewertet, verbindlich angewiesen und durch die verantwortlichen Stellen behoben. |
|
Wo technisch notwendig sind Netzwerksegmentierung sowie abgesicherte Netzwerkübergänge vorgesehen. Besonders schützenswerte oder risikobehaftete IT-Systeme werden in eigenen Netzwerksegmenten betrieben. |
Um Risiken während der Anschaffung und Entwicklung von IT-Systemen und Produkten zu verringern, sind u.a. folgende Maßnahmen umgesetzt:
|
Bei Anschaffung und Entwicklung von IT-Systemen werden die Sicherheitsanforderungen aus dem Schutzbedarf der Informationen und personenbezogenen Daten abgeleitet. |
|
Während der Entwicklung und vor Inbetriebnahme von IT-Anwendungen werden Schwachstellen identifiziert und behoben. |
|
Testdaten werden entsprechend ihres Schutzbedarfs (Schutzklassen) geschützt. |
|
Für Entwicklung und Betrieb von Bosch Produkten existiert ein dedizierter Prozess, welcher die Anforderungen zum Schutz der Informationen und personenbezogenen Daten in besonderer Weise berücksichtigt („Security by Design“, „Data Protection by Design“, „Data Protection by Default“). |
Um Risiken bei der Verarbeitung von Informationen und personenbezogene Daten durch Dritte zu verringern, sind u.a. folgende Maßnahmen umgesetzt:
|
Die Umsetzung von Sicherheitsanforderungen werden in Lieferantenverträgen vereinbart, um zu gewährleisten, dass die Informationen und personenbezogene Daten beim Lieferanten und dessen Sublieferanten im gleichen Maße geschützt werden wie bei der Verarbeitung durch die Bosch Gruppe. |
|
Vor Beauftragung und regelmäßig während der Leistungserbringung wird überprüft, ob Lieferanten die Informationssicherheitsanforderungen der Bosch Gruppe erfüllen. |
|
Bei besonders risikobehafteten Anwendungen (z.B. externen Clouds) erfolgt eine Vorab-Prüfung der Sicherheitskonzepte und -prozesse des Lieferanten, um Risiken durch fehlende Sicherheitsvorkehrungen zu verringern. |
|
Die Umsetzung der Maßnahmen bei Lieferanten wird stichprobenartig geprüft. |
|
Beim Austausch von Informationen mit Dritten werden, falls erforderlich, Geheimhaltungsvereinbarungen (NDA) abgeschlossen. |
Um Risiken durch Sicherheitsvorfälle zu verringern, sind u.a. folgende Maßnahmen umgesetzt:
|
Die Bosch Gruppe verfügt über ein Computer Emergency Response Team (Bosch CERT), welches die Behandlung von IT-Sicherheitsvorfällen und -schwachstellen koordiniert. |
|
Die Bosch Gruppe verfügt über ein Product Security Incident Response Team (Bosch PSIRT), welches die Behandlung von Sicherheitsvorfällen und -schwachstellen in Bosch Produkten koordiniert. |
|
Jeder Mitarbeiter ist verpflichtet, Sicherheitsvorfälle oder -schwachstellen an das Bosch CERT zu melden. |
|
Datenschutzvorfälle können über definierte Meldewege an den Datenschutzbeauftragten der Bosch Gruppe gemeldet werden, welcher die weitere Behandlung koordiniert. |
|
Es existieren definierte Melde- und Kommunikationswege für Datenschutzvorfälle sowie Informations- und Cyber-Sicherheitsvorfälle an zuständige Behörden. |
Um Risiken durch nicht verfügbare Informationen, personenbezogenen Daten und IT-Systemen zu verringern, sind u.a. folgende Maßnahmen umgesetzt:
Um Risiken durch nicht umgesetzte Vorgaben zu verringern, sind u.a. folgende Maßnahmen umgesetzt:
|
Die Informationssicherheits- und Datenschutzorganisation führt regelmäßig Informationssicherheits- und Datenschutzaudits durch, um Risiken durch fehlende oder ineffektive Sicherheitsmaßnahmen zu reduzieren. |
|
Betreiber von IT-Systemen führen regelmäßige Selbstchecks durch, um Risiken durch fehlende oder ineffektive Sicherheitsmaßnahmen zu reduzieren. |
|
In Abhängigkeit der Risiken werden regelmäßig Sicherheitsüberprüfungen sowie Angriffssimulationen durchgeführt. |
Datenschutzorganisation innerhalb der Bosch Gruppe
|
Innerhalb der Bosch Gruppe ist für alle Regionaleinheiten ein Data Protection and Information Security Officer (DSO) benannt, der bei der Bearbeitung datenschutzrechtlicher Thematiken beratend hinzugezogen wird und die Umsetzung des ISMS/DPMS in den Regionen verantwortet. Dadurch ergänzt die Bosch Gruppe die innerhalb der Geschäftsbereiche bestehende DSO-Organisation. |
Übermittlung personenbezogener Daten außerhalb der Bosch Gruppe
|
Datenübermittlungen an Dritte erfolgen unter Berücksichtigung der datenschutzrechtlichen Anforderungen. Die Bosch Gruppe greift dabei auf standardisierte Auftragsverarbeitungsverträge sowie auf standardisierte Vereinbarungen zur gemeinsamen Verantwortlichkeit zurück. Bei Übermittlungen von personenbezogenen Daten in ein außereuropäisches Land setzt die Bosch Gruppe, sofern kein Angemessenheitsbeschluss existiert, auf Standarddatenschutzklauseln. |
Übermittlung personenbezogener Daten innerhalb der Bosch Gruppe
|
Innerhalb der Bosch Gruppe werden Daten basierend auf einem Rahmen-Auftragsverarbeitungsvertrag verarbeitet. |
|
Übermittelt die Bosch Gruppe personenbezogene Daten von einem Mitgliedsstaat der Europäischen Union an ein Drittland (außerhalb der EU) , wird diese Übermittlung ebenfalls durch einen internen Rahmenvertrag, unter Einbeziehung der EU Standarddatenschutzklauseln, legitimiert. |
|
Interne und externe Datenübermittlungen sind dadurch umfassend dokumentiert und stets nachvollziehbar. |
|
Bei Datenübermittlungen und/oder Datenverarbeitungen ohne Bezug zur EU/EWR wird in der Bosch Gruppe das jeweilige Landesrecht angewendet |
Beobachtung und Berücksichtigung von internationalen datenschutzrechtlichen Regelungen
|
Die Bosch Gruppe beobachtet die Entwicklung von Datenschutzgesetzen und -vorschriften in anderen Staaten und stellt deren angemessene Berücksichtigung sicher. |
Anhang 3: Subunternehmer des Auftragnehmers
Der Auftraggeber/Datenexporteur hat den Einsatz der folgenden Subunternehmer genehmigt:
|
|
Name, Anschrift des Subunternehmens und Nennung des etwaigen Datenschutzbeauftragten/ Ansprechpartners für anfallende Datenschutzfragen |
Auftragsinhalt (Umfang der Beauftragung durch den Auftragnehmer) |
Ort der Datenverarbeitung |
Übermittlung/Zugriff auf personenbezogene Daten des Auftraggebers (Art der Daten und Kreis der Betroffenen) |
|
1. |
Robert Bosch GmbH (Bosch Digital) Robert-Bosch-Platz 1 70839 Gerlingen-Schillerhöhe, Deutschland |
Datenhosting und Versand von E-Mails |
EWR |
Die in Anhang 1.B. dieser Vereinbarung angegebenen Daten |