Zuordnung

Leitlinien der EBA zu Outsourcing

Google Cloud Platform-Zuordnung

Dieses Dokument soll Finanzeinrichtungen im Rahmen des Mandats der Europäischen Bankenaufsichtsbehörde („Einrichtungen“) helfen, die Leitlinien zu Outsourcing-Vereinbarungen (die „EBA-Outsourcing-Leitlinien“) im Zusammenhang mit der Google Cloud Platform („GCP“) und dem Google Cloud Financial Services-Vertrag zu berücksichtigen.

Wir konzentrieren uns auf Abschnitt 13 (Vertragsphase) der Leitlinien der EBA zu Outsourcing. Für jeden Absatz von Abschnitt 13 stellen wir Kommentare zur Verfügung, damit Sie verstehen, wie Sie die Richtlinien mit den Google Cloud-Diensten und dem Google Cloud Financial Services-Vertrag angehen können.

Die EBA-Outsourcing-Richtlinien ersetzen die Richtlinien des Ausschusses des European Banking Supervisors (CEBS) zu Outsourcing, die 2006 ausgestellt wurden. Sie ersetzen auch die EBA-Empfehlungen zu Outsourcing an Cloud-Dienstanbieter, die im Jahr 2018 veröffentlicht wurden.

Wenn Sie bereits einen Google Cloud-Vertrag haben und wissen möchten, wie dieses Dokument auf Ihren Vertrag zutrifft, wenden Sie sich bitte an Ihren Google Cloud-Kundenbetreuer.

# Leitlinien der EBA zu Outsourcing Google Cloud-Kommentar Google Cloud Financial Services-Vertrag ref.
1. 13 Vertragsphase
2. 74. Die Rechte und Pflichten der Einrichtung, des Zahlungsinstituts und des Dienstanbieters sollten klar zugeordnet und in einer schriftlichen Vereinbarung festgehalten werden

Die Rechte und Pflichten der Parteien sind im Vertrag über Google Cloud Financial Services dargelegt.

3. 75. Die Outsourcing-Vereinbarung für wichtige oder wesentliche Funktionen sollte mindestens so formuliert sein:
4. a) eine klare Beschreibung der bereitzustellenden ausgelagerten Funktion; Weitere Informationen zu GCP-Diensten. Definitionen
5 b) das Datum des Beginns und ggf. des Endes der Vereinbarung sowie die Kündigungsfristen für den Dienstanbieter und die Einrichtung oder das Zahlungsinstitut; Weitere Informationen finden Sie in Ihrem Google Cloud Financial Services-Vertrag. Laufzeit und Kündigung
6. c) geltendes Recht der Vereinbarung; Weitere Informationen finden Sie in Ihrem Google Cloud Financial Services-Vertrag. Geltendes Recht
7. d) finanzielle Verpflichtungen der Parteien; Weitere Informationen finden Sie in Ihrem Google Cloud Financial Services-Vertrag. Zahlungsbedingungen
8. e. ob das Sub-Outsourcing einer kritischen oder wichtigen Funktion oder wesentlicher Teile davon zulässig ist und, falls ja, die in Abschnitt 13.1 genannten Bedingungen, denen das Sub-Outsourcing unterliegt; Beachten Sie die Kommentare in Abschnitt 13.1 unter den Zeilen 21 bis 35. Weitere Informationen finden Sie in den Zeilen 21 bis 35.
9. f) den/die Ort(e) (d. h. Regionen oder Länder), an dem/denen die kritische oder wichtige Funktion erbracht wird und/oder an dem/denen die relevanten Daten aufbewahrt und verarbeitet werden, einschließlich des möglichen Speicherorts, sowie die einzuhaltenden Bedingungen, einschließlich der Anforderung, die Einrichtung oder das Zahlungsinstitut zu benachrichtigen, wenn der Dienstanbieter vorschlägt, den/die Ort(e) zu ändern; Orte

Um Ihnen einen schnellen, zuverlässigen, robusten und widerstandsfähigen Dienst zur Verfügung zu stellen, kann Google Ihre Daten dort speichern und verarbeiten, wo Google oder seine Unterauftragsverarbeiter Einrichtungen unterhalten.

Google bietet unabhängig von dem Land / der Region, in dem sich das Unternehmen befindet, dieselben vertraglichen Zusicherungen sowie technische und organisatorische Maßnahmen für Ihre Daten. Beispiele:

  • Für alle Google-Einrichtungen gelten unabhängig von Land / Region dieselben strengen Sicherheitsmaßnahmen.
  • Google übernimmt unabhängig von Land / Region die gleichen Zusicherungen für seine Unterauftragsverarbeiter.

Bedingungen

Google bietet Ihnen die Möglichkeit zu wählen, wo Ihre Daten gespeichert werden sollen - einschließlich der Möglichkeit, Ihre Daten in Europa zu speichern. Sobald Sie sich entschieden haben, wo Ihre Daten gespeichert werden sollen, speichert Google diese nicht außerhalb Ihrer ausgewählten Regionen.

Erfahren Sie mehr über Einschränken der Ressourcenstandorte.

Darüber hinaus verpflichtet sich Google, die rechtmäßige Übertragung personenbezogener Daten in ein Drittland in Übereinstimmung mit dem europäischen Datenschutzrecht zu ermöglichen.

Datenübertragungen ( Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen)

Datensicherheit Unterauftragsverarbeiter ( Datenverarbeitungsbedingungen und Sicherheitsbestimmungen)

Speicherort der Daten ( dienstspezifische Nutzungsbedingungen)

Datenübertragungen ( Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen)

10. g) gegebenenfalls Bestimmungen über die Zugänglichkeit, die Verfügbarkeit, die Integrität, den Datenschutz und die Sicherheit relevanter Daten, wie in Abschnitt 13.2 angegeben; Weitere Informationen finden Sie in den Kommentaren zu Abschnitt 13.2 in den Zeilen 36 bis 40. Siehe Zeilen 36 bis 40
11. h) das Recht der Einrichtung oder des Zahlungsinstituts, die Leistung des Dienstanbieters laufend zu überwachen;

Sie können die Leistung der Dienste (einschließlich der SLAs) von Google mithilfe der Funktionen der Dienste laufend überwachen.

Beispiel:
  • Das Statusdashboard stellt Statusinformationen zu den Diensten bereit.
  • Google Cloud Operations ist eine integrierte, gehostete Überwachungs-, Logging- und Diagnoselösung, die Ihnen hilft, Einblicke in Ihre Anwendungen zu erhalten, die auf GCP laufen.
  • Access Transparency ist eine Funktion, mit der Sie Logs von Aktionen prüfen können, die von Google-Mitarbeitern bezüglich Ihrer Daten durchgeführt wurden. Zu den Logeinträgen gehören die betroffene Ressource, der Zeitpunkt der Aktion, der Grund für die Aktion (z. B. die Fallnummer der Supportanfrage) und Daten darüber, wer gerade an Daten arbeitet (z. B. dem Standort des Google-Personals).
Kontinuierliche Leistungsüberwachung
12. i) die vereinbarten Dienste, die genaue quantitative und qualitative Leistungsziele für die ausgelagerte Funktion enthalten sollten, um eine zeitnahe Überwachung zu ermöglichen, damit bei Nichteinhaltung der vereinbarten Dienste ohne unangemessene Verzögerung geeignete Korrekturmaßnahmen ergriffen werden können; SLAs von Google. Dienste
13. j) die Berichtspflichten des Dienstanbieters gegenüber der Einrichtung oder dem Zahlungsinstitut, einschließlich der Mitteilung des Dienstanbieters über jede Entwicklung, die sich wesentlich auf die Fähigkeit des Dienstanbieters auswirken kann, die kritische oder wichtige Funktion im Einklang mit den vereinbarten Dienstleistungsniveaus und im Einklang mit den geltenden Gesetzen und aufsichtsrechtlichen Anforderungen wirksam auszuführen, sowie gegebenenfalls die Verpflichtungen zur Vorlage von Berichten der Innenrevisionsfunktion des Dienstanbieters;

Informieren Sie sich über Vorfälle und das Google Cloud-Status-Dashboard.

Zusätzlich werden Sie von Google unverzüglich über unvorhergesehene Verzögerungen informiert. Weitere Informationen zum Umgang mit Datenvorfällen von Google finden Sie in unserem Whitepaper.

Wesentliche Entwicklungen

Datenvorfälle ( Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen)

14. k) ob der Dienstanbieter eine Pflichtversicherung gegen bestimmte Risiken abschließen soll und ggf. die Höhe des gewünschten Versicherungsschutzes; Google unterhält einen Versicherungsschutz gegen eine Reihe von identifizierten Risiken. Versicherung
15. l) die Anforderungen an die Implementierung und den Test von betrieblichen Notfallplänen;

Google implementiert einen Notfallplan zur Aufrechterhaltung des Geschäftsbetriebes für die Dienste, überprüft und testet ihn mindestens einmal im Jahr, um sicherzustellen, dass er den Industriestandards entspricht.

Greifen Sie außerdem auf unseren Leitfaden zur Planung der Notfallwiederherstellung zu, um zu erfahren, wie Kunden unsere Dienste in ihrem eigenen Plan zur Notfallwiederherstellung verwenden können.

Geschäftskontinuität und Notfallwiederherstellung
16. m) Bestimmungen, die sicherstellen, dass im Falle der Insolvenz, der Auflösung oder der Einstellung des Geschäftsbetriebs des Dienstanbieters auf die Daten, die im Eigentum der Einrichtung oder des Zahlungsinstituts stehen, zugegriffen werden kann;

Sie behalten alle gewerblichen Schutzrechte an Ihren Daten.

Google ermöglicht Ihnen während der gesamten Vertragslaufzeit den Zugriff und Export Ihrer Daten. Weitere Informationen finden Sie in Zeile 75.

Keine dieser Verpflichtungen wird durch die Insolvenz von Google aufgehoben. Google hat auch nicht das Recht, wegen einer eigenen Insolvenz zu kündigen - obwohl Sie die Möglichkeit haben, zu kündigen. Im unwahrscheinlichen Fall einer Insolvenz von Google können Sie sich im Umgang mit dem bestellten Insolvenzverwalter auf diese Verpflichtungen berufen.

Gewerbliche Schutzrechte

Datenexport ( Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen)

Laufzeit und Kündigung

17. n) die Verpflichtung des Dienstanbieters zur Zusammenarbeit mit den zuständigen Behörden und Abwicklungsbehörden der Einrichtung oder des Zahlungsinstituts, einschließlich anderer von ihnen benannter Personen; Google wird mit den zuständigen Behörden und Abwicklungsbehörden bei der Ausübung ihrer Prüfungs-, Informations- und Zugriffsrechte zusammenarbeiten. Kunden-Compliance aktivieren
18. o) für Einrichtungen einen klaren Verweis auf die Befugnisse der nationalen Abwicklungsbehörde, insbesondere auf die Artikel 68 und 71 der Richtlinie 2014/59/EU (BRRD), und insbesondere eine Beschreibung der „materiellen Verpflichtungen“ des Vertrags im Sinne von Artikel 68 dieser Richtlinie; Google erkennt an, dass Einrichtungen und alle Abwicklungseinheiten in der Lage sein müssen, ihre Geschäfte während der Abwicklung weiterzuführen. Um Unterstützung während der Abwicklung zu bieten, verpflichtet sich Google, die Dienste während der Abwicklung weiterhin bereitzustellen, wie in der BRRD gefordert. Unterstützung während der Auflösung
19. p) das uneingeschränkte Recht von Einrichtungen, Zahlungsinstituten und zuständigen Behörden, den Dienstanbieter insbesondere in Bezug auf die kritische oder wichtige ausgelagerte Funktion gemäß Abschnitt 13.3 zu inspizieren und zu prüfen; Weitere Informationen finden Sie in den Kommentaren zu Abschnitt 13.3 in den Zeilen 41 bis 66. Siehe Zeilen 41 bis 66.
20. q) Kündigungsrechte, wie in Abschnitt 13.4 angegeben. Weitere Informationen finden Sie in den Kommentaren in Abschnitt 13.4 in den Zeilen Zeilen 67 bis 77. Siehe Zeilen 67 bis 77.
21. 13.1 Sub-Outsourcing von kritischen oder wichtigen Funktionen
22.

76. In der Outsourcing-Vereinbarung sollte festgelegt werden, ob das Sub-Outsourcing von kritischen oder wichtigen Funktionen oder wesentlichen Teilen davon erlaubt ist oder nicht.

Google erkennt an, dass Einrichtungen die mit dem Sub-Outsourcing verbundenen Risiken berücksichtigen müssen. Außerdem wollen wir Ihnen und allen unseren Kunden den zuverlässigsten, robustesten und belastbarsten Dienst bieten. In einigen Fällen kann es klare Vorteile bringen, mit anderen vertrauenswürdigen Organisationen zusammenzuarbeiten, um z. B. einen 24/7-Support zu bieten.

Obwohl Google Ihnen Informationen über die Organisationen, mit denen wir zusammenarbeiten, zur Verfügung stellt, können wir nicht zusagen, dass wir niemals Sub-Outsourcing betreiben werden. Aufgrund der n:1-Beziehung unseres Dienstes würden wir, wenn wir mit einem Kunden vereinbaren würden, dass wir kein Sub-Outsourcing vornehmen, potenziell allen unseren Kunden den Nutzen verweigern, der das Sub-Outsourcing rechtfertigt.

Um sicherzustellen, dass Einrichtungen die Kontrolle über ein mögliches Sub-Outsourcing behalten, wird Google klare Bedingungen erfüllen, die für Transparenz und Wahlmöglichkeiten sorgen sollen. Weitere Informationen finden Sie in Zeile 26.

Nebenverträge

23.

77. Wenn die Sub-Outsourcing kritischer oder wichtiger Funktionen zulässig ist, sollten Einrichtungen und Zahlungsinstitute bestimmen, ob der Teil der Funktion, der unterausgelagert werden soll, als solcher kritisch oder wichtig ist (d. h. ein wesentlicher Teil der kritischen oder wichtigen Funktion), und ihn gegebenenfalls in das Register eintragen.

Die Einrichtung ist am besten in der Lage zu entscheiden, ob eine ausgelagerte Funktion ein wesentlicher Teil einer kritischen oder wichtigen Funktion ist. Zu Ihrer Unterstützung stellt Google alle erforderlichen Informationen im Outsourcing-Register für jeden unserer Subunternehmer bereit.

Subunternehmer von Google

24. 78. Wenn Sub-Outsourcing kritischer oder wichtiger Funktionen zulässig ist, sollte die schriftliche Vereinbarung Folgendes tun:
25.

a) Art der Aktivitäten angeben, die von Sub-Outsourcing ausgeschlossen sind;

Weitere Informationen finden Sie in Zeile 22.

Weitere Informationen finden Sie in Zeile 22.

26.

b) die Bedingungen festlegen, die im Falle eines Sub-Outsourcing einzuhalten sind;

Damit Einrichtungen den Überblick über etwaige Auslagerungen behalten und Wahlmöglichkeiten bezüglich der von ihnen genutzten Dienste haben, wird Google:

  • Informationen über unsere Subunternehmer bereitstellen;
  • im Voraus über Änderungen an unseren Subunternehmern informieren; und
  • Einrichtungen die Möglichkeit geben, zu kündigen, wenn sie Bedenken gegen einen neuen Subunternehmer haben.

Subunternehmer von Google

27.

c) festlegen, dass der Dienstanbieter verpflichtet ist, die Dienste, die er an Subunternehmer vergeben hat, zu überwachen, um sicherzustellen, dass alle vertraglichen Verpflichtungen zwischen dem Dienstanbieter und der Einrichtung oder dem Zahlungsinstitut kontinuierlich erfüllt werden;

Google wird die Erfüllung aller Verpflichtungen der Subunternehmer überwachen und sicherstellen, dass unsere Subunternehmer unseren Vertrag mit Ihnen einhalten.

Subunternehmer von Google

28.

d) vom Dienstanbieter verlangen, dass er vor dem Sub-Outsourcing von Daten die vorherige spezifische oder allgemeine schriftliche Genehmigung der Einrichtung oder des Zahlungsinstituts einholt;

Google wird unsere Verpflichtungen gemäß der DSGVO in Bezug auf die Genehmigung zur Unterauftragsverarbeitung einhalten.

Datenverarbeitung Unterauftragsverarbeiter ( Datenverarbeitungsbedingungen und Sicherheitsbestimmungen)

29.

e) eine Verpflichtung des Dienstanbieters enthalten, die Einrichtung oder das Zahlungsinstitut über ein geplantes Sub-Outsourcing oder wesentliche Änderungen daran zu unterrichten, insbesondere wenn dies die Fähigkeit des Dienstanbieters beeinträchtigen könnte, seinen Pflichten im Rahmen des Outsourcing-Vertrags nachzukommen. Dies gilt auch für geplante wesentliche Änderungen von Unterauftragnehmern und für die Mitteilungsfrist; insbesondere sollte die festzulegende Mitteilungsfrist der auslagernden Einrichtung oder dem Zahlungsinstitut zumindest die Möglichkeit geben, eine Risikobewertung der vorgeschlagenen Änderungen vorzunehmen und den Änderungen zu widersprechen, bevor das geplante Sub-Outsourcing oder wesentliche Änderungen daran in Kraft treten;

Sie benötigen genügend Zeit, um eine aussagekräftige Risikobeurteilung durchzuführen, bevor die Änderung in Kraft tritt, nachdem Sie über den Wechsel des Subunternehmers informiert wurden. Um sicherzustellen, dass Sie die benötigte Zeit haben, informiert Google im Voraus, bevor wir einen neuen Subunternehmer beauftragen oder die Funktion eines bestehenden Subunternehmers ändern.

Subunternehmer von Google

30.

f) gegebenenfalls sicherstellen, dass die Einrichtung oder das Zahlungsinstitut das Recht hat, einem geplanten Sub-Outsourcing oder wesentlichen Änderungen daran zu widersprechen, oder dass eine ausdrückliche Genehmigung erforderlich ist;

Einrichtungen haben die Möglichkeit, unseren Vertrag zu kündigen, wenn sie der Meinung sind, dass ein Wechsel des Unterauftragnehmers ihr Risiko wesentlich erhöht. Weitere Informationen finden Sie in Zeile 31. Aufgrund der n:1-Beziehung unseres Dienstes würden wir jedoch, wenn wir zustimmen würden, dass ein Kunde ein Veto gegen ein Sub-Outsourcing einlegen kann, potenziell einem einzelnen Kunden erlauben, allen unseren Kunden den Vorteil zu verweigern, der das Sub-Outsourcing rechtfertigt.

Die Europäische Bankenaufsichtsbehörde erkennt an, dass die Zustimmung im Cloud-Outsourcing-Kontext „übermäßig aufwändig“ ist. Siehe den Kommentar auf Seite 24 des Abschlussberichts zu den Empfehlungen der Europäischen Bankenaufsichtsbehörde zum Outsourcing an Dienstanbieter in der Cloud.

Subunternehmer von Google

31.

g) sicherstellen, dass die Einrichtung oder das Zahlungsinstitut das vertragliche Recht hat, die Vereinbarung im Falle eines unangemessenen Sub-Outsourcings zu kündigen, z. B. wenn das Sub-Outsourcing die Risiken für die Einrichtung oder das Zahlungsinstitut wesentlich erhöht oder wenn der Dienstanbieter ein Sub-Outsourcing vornimmt, ohne die Einrichtung oder das Zahlungsinstitut zu informieren.

Einrichtungen sollten die Wahl haben, welche Parteien ihnen Dienste anbieten. Um dies zu gewährleisten, haben Einrichtungen die Möglichkeit, unseren Vertrag zu kündigen, wenn sie der Meinung sind, dass ein Wechsel des Unterauftragnehmers ihr Risiko wesentlich erhöht oder wenn sie nicht die vereinbarte Mitteilung erhalten.

Subunternehmer von Google

32. 79. Einrichtungen und Zahlungsinstitute sollten einem Sub-Outsourcing nur dann zustimmen, wenn sich der Subunternehmer zu Folgendem verpflichtet:
33.

a) alle anwendbaren Gesetze, regulatorischen Anforderungen und vertraglichen Verpflichtungen einhalten; und

Google verlangt von seinen Unterauftragnehmern, dass sie die gleichen hohen Standards erfüllen wie wir. Insbesondere verlangt Google von unseren Subunternehmern, dass sie unseren Vertrag mit Ihnen und die geltenden Gesetze und Vorschriften einhalten.

Subunternehmer von Google

34.

b) der Einrichtung, dem Zahlungsinstitut und der zuständigen Behörde die gleichen vertraglichen Zugangs- und Prüfungsrechte einräumen, wie sie der Dienstanbieter gewährt.

Das Sub-Outsourcing darf die Fähigkeit der Einrichtung, den Dienst zu überwachen, oder die Fähigkeit der zuständigen Behörde, die Einrichtung zu beaufsichtigen, nicht einschränken. Um dies zu bewahren, wird Google sicherstellen, dass unsere Subunternehmer die Informations-, Zugriffs- und Prüfungsrechte einhalten, die wir Einrichtungen und zuständigen Behörden gewähren.

Subunternehmer von Google

35.

80. Einrichtungen und Zahlungsinstitute sollten sicherstellen, dass der Dienstanbieter die Unterdienstleister entsprechend der von der Einrichtung oder dem Zahlungsinstitut festgelegten Richtlinie angemessen überwacht. Wenn die vorgeschlagene Unterauslagerung wesentliche nachteilige Auswirkungen auf die Auslagerungsvereinbarung einer kritischen oder wichtigen Funktion haben könnte oder zu einer wesentlichen Erhöhung des Risikos führen würde, einschließlich der Fälle, in denen die Bedingungen in Absatz 79 nicht erfüllt sind, sollte die Einrichtung oder das Zahlungsinstitut von ihrem Recht Gebrauch machen, gegen die Unterauslagerung Einspruch zu erheben, sofern ein solches Recht vereinbart wurde, und/oder den Vertrag kündigen.

Weitere Informationen finden Sie in Zeile 27, Zeile 30 und Zeile 31.

Weitere Informationen finden Sie in Zeile 27, Zeile 30 und Zeile 31.

36. 13.2 Sicherheit von Daten und Systemen
37.

81. Einrichtungen und Zahlungsinstitute sollten dafür sorgen, dass Dienstanbieter bei Bedarf die entsprechenden IT-Sicherheitsstandards einhalten.

Google erkennt an, dass Sie eine unabhängige Überprüfung unserer Sicherheits-, Datenschutz- und Compliance-Kontrollen erwarten. Deshalb unterziehen wir uns regelmäßig Prüfungen durch unabhängige Dritte. Google verpflichtet sich, für die Dauer der Vertragslaufzeit folgende Vertragsbedingungen einzuhalten:

Zertifizierungen und Prüfberichte

38.

82. Gegebenenfalls (z. B. im Zusammenhang mit Cloud- oder anderem ICT-Outsourcing) sollten Einrichtungen und Zahlungsinstitute die Anforderungen an die Daten- und Systemsicherheit im Rahmen der Outsourcing-Vereinbarung festlegen und die Einhaltung dieser Anforderungen laufend überwachen.

Die Sicherheit eines Cloud-Dienstes besteht aus zwei Hauptelementen:

Sicherheit der Google-Infrastruktur

Google kümmert sich um die Sicherheit unserer Infrastruktur. Dies ist die Sicherheit der Hardware, Software, Netzwerke und Einrichtungen, die die Dienste unterstützen.

Angesichts der vielen Nutzer unserer Dienste bietet Google für alle Kunden die gleiche zuverlässige Sicherheit.

Google bietet seinen Kunden detaillierte Informationen über unsere Sicherheitspraktiken, damit sie sie verstehen und als Teil ihrer eigenen Risikoanalyse berücksichtigen können.

Weitere Informationen finden Sie hier:

Außerdem können Sie den SOC-2-Bericht von Google lesen. Weitere Informationen finden Sie in Zeile 37.

Sicherheit Ihrer Daten und Anwendungen in der Cloud

Sie legen die Sicherheit Ihrer Daten und Anwendungen in der Cloud fest. Dies bezieht sich auf die Sicherheitsmaßnahmen, die Sie bei der Nutzung der Dienste implementieren und betreiben

(a) Standardmäßige Sicherheit

Obwohl wir Ihnen so viel Auswahl wie möglich bieten möchten, wenn es um Ihre Daten geht, ist die Sicherheit Ihrer Daten für Google von größter Bedeutung, und wir ergreifen die folgenden proaktiven Schritte, um Sie zu unterstützen:

(b) Sicherheitsprodukte

Zusätzlich zu den anderen Tools und Praktiken, die Ihnen außerhalb von Google zur Verfügung stehen, können Sie die von Google bereitgestellten Tools nutzen, um die Sicherheit Ihrer Daten zu verbessern und zu überwachen. Weitere Informationen zu den Sicherheitsprodukten von Google

Hier einige Beispiele:

  • Cloud Identity and Access Management (IAM) schützt vor unbefugtem Zugriff, indem die Zugriffsrechte und Rollen für Google Cloud Platform-Ressourcen gesteuert werden.
  • Cloud Security Scanner scannt App Engine-, Compute Engine- und Google Kubernetes Engine-Anwendungen automatisch auf gängige Sicherheitslücken.
  • Event Threat Detection scannt verschiedene Logarten automatisch auf verdächtige Aktivitäten in Ihrer Google Cloud Platform-Umgebung.
  • Cloud Security Command Center und Security Health Analytics bieten Transparenz und Überwachung von Google Cloud Platform-Ressourcen und Änderungen an Ressourcen, einschließlich VM-Instanzen, Images und Betriebssystemen.
  • Forseti ist ein Open-Source-Toolkit, das Ihren Sicherheitsteams das Vertrauen und die Gewissheit gibt, dass sie die entsprechenden Sicherheitskontrollen für alle Dienste eingerichtet haben. Forseti enthält die folgenden Sicherheitstools:
    • Inventar: bietet Einblick in vorhandene GCP-Ressourcen
    • Scanner: validiert die Zugriffssteuerungsrichtlinien für GCP-Ressourcen
    • Enforcer entfernt: unerwünschten Zugriff auf GCP-Ressourcen
    • Explain: analysiert, wer welchen Zugriff auf GCP-Ressourcen hat
    Weitere Informationen zu Open-Source-Sicherheitstools
  • Shielded VMs ermöglichen Live-Messung, Monitoring und Benachrichtigungen bei allen Änderungen des gesamten Stacks.

(c) Sicherheitsressourcen

Darüber hinaus veröffentlicht Google Informationen zu:

Datensicherheit; Sicherheitsmaßnahmen ( Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen)

39.

83. Bei der Auslagerung an Cloud-Dienstanbieter und anderen Outsourcing-Vereinbarungen, die den Umgang mit oder die Übertragung von personenbezogenen oder vertraulichen Daten beinhalten, sollten Einrichtungen und Zahlungsinstitute einen risikobasierten Ansatz für die Datenspeicherung und den/die Ort(e) der Datenverarbeitung (d. h. Land oder Region) sowie Überlegungen zur Informationssicherheit wählen.

Das ist eine Kundenüberlegung. Weitere Informationen zum Speicherort der Daten finden Sie in Zeile 9.

40.

84. Unbeschadet der Anforderungen gemäß der Verordnung (EU) 2016/679 sollten Einrichtungen und Zahlungsinstitute bei der Auslagerung (insbesondere in Drittländer) die Unterschiede in den nationalen Bestimmungen zum Datenschutz berücksichtigen. Einrichtungen und Zahlungsinstitute sollten sicherstellen, dass die Outsourcing-Vereinbarung die Verpflichtung enthält, dass der Dienstanbieter vertrauliche, personenbezogene oder anderweitig sensible Informationen schützt und alle für das Institut oder Zahlungsinstitut geltenden gesetzlichen Anforderungen an den Datenschutz einhält (z. B. den Schutz personenbezogener Daten und die Einhaltung des Bankgeheimnisses oder ähnlicher gesetzlicher Vertraulichkeitspflichten in Bezug auf Kundeninformationen, sofern anwendbar).

Die Sicherheit der Dienste ist von grundlegender Bedeutung zum Schutz Ihrer Daten. Dies wird in den Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen beschrieben. Weitere Informationen zur Sicherheit finden Sie unter Zeile 37 und 38.

Weitere Informationen finden Sie in unserem Center für DSGVO-Ressourcen.

Vertraulichkeit; Datensicherheit ( Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen)

41. 13.3 Zugriff, Informationen und Prüfrechte
42.

85. Einrichtungen und Zahlungsinstitute sollten im Rahmen der schriftlichen Auslagerungsvereinbarung sicherstellen, dass die Innenrevision in der Lage ist, die ausgelagerte Funktion anhand eines risikobasierten Ansatzes zu überprüfen.

Google erkennt an, dass die Nutzung unserer Dienste die Fähigkeit einer Einrichtung (oder ihrer zuständigen Behörde), die Einhaltung der geltenden Gesetze und Vorschriften sowie der internen Richtlinien einer Einrichtung zu beaufsichtigen und zu überwachen, nicht beeinträchtigen darf. Wir bieten Institutionen die Unterstützung, die sie brauchen, um unsere Dienste zu überprüfen.

Kunden-Compliance aktivieren

43.

86. Unabhängig von der Kritikalität oder Bedeutung der ausgelagerten Funktion sollten die schriftlichen Outsourcing-Vereinbarungen zwischen Einrichtungen und Dienstleistern auf die Informationserfassungs- und Ermittlungsbefugnisse der zuständigen Behörden und Abwicklungsbehörden gemäß Artikel 63(1)(a) der Richtlinie 2014/59/EU und Artikel 65(3) der Richtlinie 2013/36/EU in Bezug auf in einem Mitgliedstaat ansässige Dienstanbieter verweisen und diese Rechte auch in Bezug auf in Drittländern ansässige Dienstanbieter gewährleisten.

Google erkennt die Informationserfassungs- und Ermittlungsbefugnisse gemäß den einschlägigen EU-Richtlinien an.

Kunden-Compliance aktivieren

44.

87. Im Hinblick auf die Auslagerung kritischer oder wichtiger Funktionen sollten die Einrichtungen und Zahlungsinstitute im Rahmen der schriftlichen Outsourcing-Vereinbarung sicherstellen, dass der Dienstanbieter ihnen und ihren zuständigen Behörden, einschließlich der Abwicklungsbehörden, sowie jeder anderen von ihnen oder den zuständigen Behörden benannten Person Folgendes gewährt:

Google gewährt Einrichtungen, zuständigen Behörden (einschließlich Abwicklungsbehörden) und deren Beauftragten Prüfungs-, Zugangs- und Informationsrechte.

Rechtliche Informationen, Audits und Zugriff; Kundeninformationen, Auditing und Zugriff

45.

a) vollständiger Zugang zu allen relevanten Geschäftsräumen (z. B. Hauptverwaltungen und Betriebszentren), einschließlich aller relevanten Geräte, Systeme, Netzwerke, Informationen und Daten, die für die Erbringung der ausgelagerten Funktion verwendet werden, einschließlich der damit verbundenen Finanzinformationen, des Personals und der externen Prüfer des Dienstanbieters („Zugangs- und Informationsrechte“); und

Siehe Zeile 44.

Siehe Zeile 44.

46.

b. uneingeschränkte Einsichts- und Prüfungsrechte in Bezug auf die Outsourcing-Vereinbarung („Prüfungsrechte“), um sie in die Lage zu versetzen, die Outsourcing-Vereinbarung zu überwachen und die Einhaltung aller geltenden regulatorischen und vertraglichen Anforderungen sicherzustellen.

Siehe Zeile 44.

Siehe Zeile 44.

47.

88. Bei der Auslagerung von Funktionen, die nicht kritisch oder wichtig sind, sollten die Einrichtungen und Zahlungsinstitute die in Paragraph 87 (a) und (b) sowie in Abschnitt 13.3 genannten Zugangs- und Prüfungsrechte auf der Grundlage eines risikobasierten Ansatzes sicherstellen, wobei die Art der ausgelagerten Funktion und die damit verbundenen Betriebs- und Reputationsrisiken, ihre Skalierbarkeit, die potenziellen Auswirkungen auf die kontinuierliche Durchführung ihrer Aktivitäten und die Vertragslaufzeit zu berücksichtigen sind. Einrichtungen und Zahlungsinstitute sollten berücksichtigen, dass Funktionen mit der Zeit kritisch oder wichtig werden können.

Google ist sich bewusst, dass die Nutzung der Dienste mit der Zeit zunehmen kann. Unabhängig davon, wie sich Einrichtungen zu Beginn unserer Beziehung für die Nutzung der Dienste entscheiden, gewährt Google Einrichtungen und zuständigen Behörden Prüfungs-, Zugangs- und Informationsrechte.

Kunden-Compliance aktivieren

48.

89. Institute und Zahlungsinstitute sollten sicherstellen, dass die Outsourcing-Vereinbarung oder eine andere vertragliche Vereinbarung die wirksame Ausübung der Zugangs- und Prüfungsrechte durch sie, die zuständigen Behörden oder von ihnen mit der Ausübung dieser Rechte beauftragte Dritte nicht behindert oder einschränkt.

Nichts in unserem Vertrag soll die Fähigkeit einer Einrichtung oder der zuständigen Behörde einschränken oder behindern, unsere Dienste effektiv zu prüfen. Insbesondere werden wir zwar viele Informationen und Tools zur Verfügung stellen, um Einrichtungen bei der Überprüfung unserer Dienste zu helfen, aber unser Vertrag enthält keine vordefinierten Schritte, bevor sich Einrichtungen oder zuständige Behörden an Google wenden können, um ihre Prüfungs-, Zugangs- und Informationsrechte auszuüben. Mit anderen Worten: Es gibt keine Hierarchie unter den Optionen zur Bewertung unserer Dienste.

Kunden-Compliance aktivieren

49.

90. Die Einrichtungen und Zahlungsinstitute sollten ihre Zugangs- und Prüfungsrechte ausüben, die Prüfungshäufigkeit und die zu prüfenden Bereiche nach einem risikobasierten Ansatz festlegen und sich an einschlägige, allgemein anerkannte, nationale und internationale Prüfungsstandards halten.

Die Einrichtung ist am besten in der Lage zu entscheiden, welche Häufigkeit und welcher Umfang von Audits für ihre Organisation geeignet ist. Unser Vertrag beschränkt Einrichtungen nicht auf eine feste Anzahl von Audits oder einen vordefinierten Umfang.

Kundeninformationen, Auditing und Zugriff

50. 91. Unbeschadet ihrer abschließenden Verantwortung für Outsourcing-Vereinbarungen können Einrichtungen und Zahlungsinstitute Folgendes verwenden:
51.

a) gepoolte Audits, die gemeinsam mit anderen Kunden desselben Dienstanbieters organisiert und von diesem und diesen Kunden oder von einem von ihnen beauftragten Dritten durchgeführt werden, um die Prüfungsressourcen effizienter zu nutzen und den organisatorischen Aufwand sowohl für die Kunden als auch für den Dienstanbieter zu verringern;

Google erkennt die Vorteile von gepoolten Audits an. Wir sind gerne bereit, dies mit den Einrichtungen zu besprechen.

52.

b) Zertifizierungen von Drittanbietern sowie interne oder Prüfberichte von Drittanbietern, die vom Dienstanbieter zur Verfügung gestellt wurden

Weitere Informationen finden Sie in Zeile 37.

Weitere Informationen finden Sie in Zeile 37.

53.

92. Bei der Auslagerung kritischer oder wichtiger Funktionen sollten Einrichtungen und Zahlungsinstitute prüfen, ob die in Paragraph 91(b) genannten Zertifizierungen und Berichte Dritter angemessen und ausreichend sind, um ihren aufsichtsrechtlichen Verpflichtungen nachzukommen, und sich im Laufe der Zeit nicht ausschließlich auf diese Berichte verlassen.

Das ist eine Kundenüberlegung.

54. 93. Institutionen und Zahlungsinstitute sollten die in Paragraph 91(b) beschriebene Methode nur dann verwenden, wenn sie
55.

a) mit dem Audit-Plan für die ausgelagerte Funktion zufrieden sind,

Weitere Informationen finden Sie in Zeile 37.

Google wird mindestens einmal im Jahr für jedes geprüfte Framework auditiert. Google führt vor jedem Audit Planungs-, Bereichs- und Bereitschaftsaktivitäten durch.

Zertifizierungen und Prüfberichte

56.

b) sicherstellen, dass der Umfang des Zertifizierungs- oder Prüfberichts die von der Einrichtung oder dem Zahlungsinstitut identifizierten Systeme (d. h. Prozesse, Anwendungen, Infrastruktur, Rechenzentren usw.) und Schlüsselkontrollen sowie die Einhaltung der einschlägigen regulatorischen Anforderungen abdeckt;

Weitere Informationen finden Sie in Zeile 37.

Der Prüfungsumfang von Google umfasst im Umfang Dienste, Infrastruktursysteme, Richtlinien und Verfahren, allgemeine Prozesse und Personal. Google wird im Hinblick auf unsere Sicherheits- und Datenschutzkontrollen geprüft, wobei die relevanten Zertifizierungen und Prüfberichte für den Prüfungsumfang berücksichtigt werden.

Zertifizierungen und Prüfberichte

57.

c) den Inhalt der Zertifizierungen oder Prüfberichte fortlaufend gründlich zu bewerten und zu überprüfen, ob die Berichte oder Zertifizierungen nicht veraltet sind;

Weitere Informationen finden Sie in Zeile 37.

Sie können die aktuellen Zertifizierungen und Prüfberichte von Google jederzeit prüfen.

Zertifizierungen und Prüfberichte

58.

d) sicherstellen, dass wichtige Systeme und Kontrollen in zukünftigen Versionen des Zertifizierungs- oder Prüfberichts behandelt werden;

Weitere Informationen finden Sie in Zeile 37.

Als Teil der routinemäßigen Planungs-, Scoping- und Bereitschaftsaktivitäten von Google werden wiederkehrende Schlüsselsysteme und -kontrollen sowie neue Systeme und Kontrollen vor Beginn der Prüfungsarbeiten überprüft.

Zertifizierungen und Prüfberichte

59.

e) mit der Eignung der Zertifizierungs- bzw. Auditpartei zufrieden sind (z. B. in Bezug auf Rotation der Zertifizierungs- bzw. Auditgesellschaft, Qualifikationen, Fachkenntnisse, Wiederholung/Verifizierung der Nachweise in der zugrunde liegenden Audit-Datei);

Weitere Informationen finden Sie in Zeile 37.

Google beauftragt für jedes geprüfte Framework zertifizierte und unabhängige Drittanbieter-Prüfer. Informationen über die zertifizierende oder prüfende Partei finden Sie im entsprechenden Zertifizierungs- oder Prüfbericht.

Zertifizierungen und Prüfberichte

60.

f) sind davon überzeugt, dass die Zertifizierungen ausgestellt werden und die Prüfungen nach allgemein anerkannten einschlägigen fachlichen Standards durchgeführt werden und einen Test der operativen Wirksamkeit der vorhandenen Schlüsselkontrollen beinhalten;

Weitere Informationen finden Sie in Zeile 37.

Die Prüfungen umfassen Tests der operativen Effektivität der vorhandenen Schlüsselkontrollen.

Zertifizierungen und Prüfberichte

61.

g) das vertragliche Recht haben, die Ausweitung des Geltungsbereichs der Zertifizierungen oder Prüfberichte auf andere relevante Systeme und Kontrollen zu verlangen; die Anzahl und Häufigkeit solcher Anträge auf Änderung des Geltungsbereichs sollte aus Sicht des Risikomanagements angemessen und legitim sein; und

Damit sie ein effektives Tool bleiben, wenn ein wichtiges System oder die Kontrolle für einen Dienst nicht durch die Zertifizierungen oder Prüfungen von Google für diesen Dienst abgedeckt wird, können Einrichtungen eine Erweiterung des Umfangs beantragen.

Zertifizierungen und Prüfberichte

62.

h) behalten sich das vertragliche Recht vor, bei der Auslagerung von kritischen oder wichtigen Funktionen nach eigenem Ermessen einzelne Prüfungen durchzuführen

Einrichtungen behalten sich immer das Recht vor, eine Prüfung durchzuführen. Der Vertrag enthält keine vordefinierten Schritte, bevor Einrichtungen sich an Google wenden können, um ihre Prüfungs-, Zugangs- und Informationsrechte auszuüben. Mit anderen Worten: Es gibt keine Hierarchie unter den Optionen zur Bewertung unserer Dienste.

Kundeninformationen, Auditing und Zugriff

63.

94. Im Einklang mit den EBA-Leitlinien zur ICT-Risikobewertung im Rahmen des SREP sollten Einrichtungen gegebenenfalls sicherstellen, dass sie in der Lage sind, Sicherheits-Penetrationstests durchzuführen, um die Wirksamkeit der implementierten Cyber- und internen ICT-Sicherheitsmaßnahmen und -prozesse zu bewerten. Unter Berücksichtigung von Titel I sollten Zahlungseinrichtungen auch über interne ICT-Kontrollmechanismen verfügen, einschließlich ICT-Sicherheitskontroll- und -minderungsmaßnahmen.

Sie können Penetrationstests der Dienste jederzeit ohne vorherige Genehmigung von Google durchführen.

Kundenpenetrationstests

64.

95. Vor einer geplanten Vor-Ort-Prüfung sollten Einrichtungen, Zahlungsinstitute, zuständige Behörden und Prüfer oder Dritte, die im Namen der Einrichtung, des Zahlungsinstituts oder der zuständigen Behörden handeln, den Dienstanbieter mit angemessener Frist benachrichtigen, es sei denn, dies ist aufgrund einer Not- oder Krisensituation nicht möglich oder würde dazu führen, dass die Prüfung nicht mehr wirksam wäre.

Eine angemessene Vorankündigung ermöglicht es Google, eine effektive Prüfung durchzuführen. Wir können zum Beispiel sicherstellen, dass die entsprechenden Google-Experten verfügbar und bereit sind, das Beste aus Ihrer Zeit zu machen. Die Benachrichtigung ermöglicht es Google außerdem, die Prüfung so zu planen, dass sie kein unangemessenes Risiko für Ihre Umgebung oder die eines anderen Google-Kunden darstellt. Google erkennt an, dass in manchen Fällen eine frühere Ankündigung nicht möglich ist. In diesen Fällen werden wir mit der auditierenden Partei zusammenarbeiten, um ihre Bedürfnisse zu erfüllen.

Arrangements

65.

96. Bei der Durchführung von Audits in Umgebungen mit mehreren Clients sollte darauf geachtet werden, dass Risiken für die Umgebung eines anderen Clients (z. B. Auswirkungen auf Service-Levels, Datenverfügbarkeit, Vertraulichkeitsaspekte) vermieden oder abgemildert werden.

Für Google ist es extrem wichtig, dass das, was wir mit einem Kunden machen, keine anderen Kunden gefährden darf. Dies gilt, wenn Sie eine Prüfung durchführen. Dies gilt auch, wenn ein anderer Kunde eine Prüfung durchführt.

Wenn eine Einrichtung eine Prüfung durchführt, arbeiten wir mit ihr zusammen, um die Störung für unsere anderen Kunden zu minimieren. Genauso wie wir mit einem anderen Prüfungskunden zusammenarbeiten werden, um die Störung für die Einrichtung zu minimieren. Wir achten insbesondere darauf, immer unsere Sicherheitsverpflichtungen zu erfüllen.

Arrangements

66.

97. Wenn die Outsourcing-Vereinbarung ein hohes Maß an technischer Komplexität mit sich bringt, z. B. bei Cloud-Outsourcing, sollte die Einrichtung oder das Zahlungsinstitut überprüfen, ob die Person, die die Prüfung durchführt - ob es sich um ihre internen Prüfer, den Pool von Prüfern oder in ihrem Namen handelnde externe Prüfer handelt - über angemessene und relevante Fähigkeiten und Kenntnisse verfügt, um die relevanten Prüfungen und/oder Bewertungen effektiv durchzuführen. Gleiches gilt für Mitarbeiter der Einrichtung oder des Zahlungsinstituts, die von Dienstanbietern durchgeführte Zertifizierungen oder Audits Dritter überprüfen.

Das ist eine Kundenüberlegung.

67. 13.4 Kündigungsrechte
68.

98. Die Outsourcing-Vereinbarung sollte ausdrücklich die Möglichkeit vorsehen, dass die Einrichtung oder das Zahlungsinstitut die Vereinbarung in Übereinstimmung mit dem anwendbaren Recht kündigen kann, auch in den folgenden Situationen:

Einrichtungen können unseren Vertrag aus wichtigem Grund kündigen, auch wenn dies zur Einhaltung von Gesetzen erforderlich ist, wenn dies von der zuständigen Behörde angeordnet wird oder in einem der in Abschnitt 13.4 aufgeführten Szenarien.

Ordentliche Kündigung

69.

a) wenn der Anbieter der ausgelagerten Funktionen gegen geltendes Recht, Vorschriften oder vertragliche Bestimmungen verstößt;

Siehe Zeile 68.

Siehe Zeile 68.

70.

b) wenn Hindernisse identifiziert werden, die die Leistung der ausgelagerten Funktion beeinträchtigen können;

Siehe Zeile 68.

Siehe Zeile 68.

71.

c) wenn es wesentliche Änderungen gibt, die die Outsourcing-Vereinbarung oder den Dienstanbieter betreffen (z. B. Sub-Outsourcing oder Wechsel von Unterauftragnehmern);

Siehe Zeile 68.

Siehe Zeile 68.

72.

d) wenn es Schwachstellen bei der Verwaltung und Sicherheit von vertraulichen, persönlichen oder anderweitig sensiblen Daten oder Informationen gibt; und

Siehe Zeile 68.

Siehe Zeile 68.

73.

e) wenn Weisungen von der zuständigen Behörde der Einrichtung oder des Zahlungsinstituts erteilt werden, z. B. für den Fall, dass die zuständige Behörde aufgrund der Outsourcing-Vereinbarung nicht mehr in der Lage ist, die Einrichtung oder das Zahlungsinstitut wirksam zu beaufsichtigen.

Siehe Zeile 68.

Siehe Zeile 68.

74. 99. Die Outsourcing-Vereinbarung sollte die Übertragung der ausgelagerten Funktion an einen anderen Dienstanbieter oder ihre Wiedereingliederung in die Einrichtung oder das Zahlungsinstitut erleichtern. Aus diesem Grund sollte die schriftliche Outsourcing-Vereinbarung Folgendes umfassen:
75.

a) die Pflichten des bisherigen Dienstanbieters im Falle einer Übertragung der ausgelagerten Funktion an einen anderen Dienstanbieter oder zurück an die Einrichtung oder das Zahlungsinstitut, einschließlich der Behandlung der Daten, klar darlegen;

Google ermöglicht Ihnen während der gesamten Vertragslaufzeit den Zugriff und Export Ihrer Daten. Sie können Ihre Daten in einer Reihe von branchenüblichen Standardformaten aus den Diensten exportieren. Beispiel:

  • Google Kubernetes Engine ist eine produktionsgerechte, verwaltete Umgebung, die Portabilität zwischen verschiedenen Clouds und lokalen Umgebungen ermöglicht.
  • Mit Migrate for Anthos können Sie Arbeitslasten verschieben und direkt in Google Kubernetes Engine in Container umwandeln.
  • Sie können ein komplettes VM-Image als TAR-Archiv exportieren/importieren. Weitere Informationen zu Images und Speicheroptionen

Datenexport ( Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen)

76.

b) einen angemessenen Übergangszeitraum festlegen, in dem der Dienstanbieter nach Beendigung der Outsourcing-Vereinbarung die ausgelagerte Funktion weiterhin bereitstellt, um das Risiko von Störungen zu verringern; und

Google erkennt an, dass Einrichtungen in der Lage sein müssen, unsere Dienste ohne unangemessene Unterbrechung ihres Geschäftsbetriebs, ohne Einschränkung der Einhaltung gesetzlicher Vorschriften und ohne Beeinträchtigung der Kontinuität und Qualität ihres Dienstes für ihre eigenen Kunden zu beenden. Um Einrichtungen dabei zu unterstützen, wird Google die Dienste auf Wunsch noch 12 Monate über das Auslaufen oder die Beendigung des Vertrags hinaus zur Verfügung stellen.

Übergangszeitraum

77.

c) eine Verpflichtung des Dienstanbieters enthalten, die Einrichtung oder das Zahlungsinstitut bei der geordneten Übertragung der Funktion im Falle der Beendigung des Outsourcing-Vertrags zu unterstützen.

Unsere Dienste ermöglichen es Ihnen, Ihre Daten selbstständig zu übertragen. Sie benötigen dazu keine Zustimmung von Google. Weitere Informationen finden Sie in Zeile 75. Wenn eine Einrichtung jedoch Unterstützung wünscht, stellt Google auf Anfrage Beratungs- und Implementierungsdienste zur Verfügung, um bei der Migration von Arbeitslasten oder der anderweitigen Umstellung der Nutzung der Dienste zu helfen.

Unterstützung bei der Umstellung