Zuordnung

Leitlinien der EBA zu Outsourcing

Google Cloud-Zuordnung

Dieses Dokument soll Finanzeinrichtungen im Rahmen des Mandats der Europäischen Bankenaufsichtsbehörde („Einrichtungen“) helfen, die Leitlinien zu Outsourcing-Vereinbarungen (die „EBA-Outsourcing-Leitlinien“) im Zusammenhang mit Google Cloud und dem Google Cloud Financial Services-Vertrag zu berücksichtigen.

Wir konzentrieren uns auf Abschnitt 13 (Vertragsphase) der Leitlinien der EBA zu Outsourcing. Für jeden Absatz von Abschnitt 13 stellen wir Kommentare zur Verfügung, damit Sie verstehen, wie Sie die Richtlinien mit den Google Cloud-Diensten und dem Google Cloud Financial Services-Vertrag angehen können.

Die EBA-Richtlinien zum Outsourcing ersetzen die 2006 veröffentlichten Richtlinien des Ausschusses der Europäischen Bankenaufsichtsbehörden (Committee of European Banking Supervisors, CEBS) zum Outsourcing. Sie ersetzen auch die 2018 veröffentlichten Empfehlungen der EBA zum Outsourcing an Cloud-Dienstanbieter.

Wenn Sie einen vorhandenen Google Cloud-Vertrag haben und wissen möchten, inwieweit dieses Dokument für Ihren Vertrag gilt, wenden Sie sich bitte an Ihren Google Cloud-Kundenbetreuer.

#	Leitlinien der EBA zu Outsourcing	Google Cloud-Kommentare	Google Cloud Financial Services-Vertrag ref.
1. 13 Vertragsphase
2.	74. Die Rechte und Pflichten der Einrichtung, des Zahlungsinstituts und des Dienstanbieters sollten klar zugeordnet und in einer schriftlichen Vereinbarung festgehalten werden	Die Rechte und Pflichten der Parteien sind im Vertrag über Google Cloud Financial Services dargelegt.	–
3. 75. Die Outsourcing-Vereinbarung für wichtige oder wesentliche Funktionen sollte mindestens so formuliert sein:
4.	a) eine klare Beschreibung der bereitzustellenden ausgelagerten Funktion;	Weitere Informationen zu Google Cloud-Diensten	Definitionen
5	b) das Datum des Beginns und ggf. des Endes der Vereinbarung sowie die Kündigungsfristen für den Dienstanbieter und die Einrichtung oder das Zahlungsinstitut;	Weitere Informationen finden Sie in Ihrem Google Cloud Financial Services-Vertrag.	Laufzeit und Kündigung
6.	c) geltendes Recht der Vereinbarung;	Weitere Informationen finden Sie in Ihrem Google Cloud Financial Services-Vertrag.	Geltendes Recht
7.	d) finanzielle Verpflichtungen der Parteien;	Weitere Informationen finden Sie in Ihrem Google Cloud Financial Services-Vertrag.	Zahlungsbedingungen
8.	e. ob das Sub-Outsourcing einer kritischen oder wichtigen Funktion oder wesentlicher Teile davon zulässig ist und, falls ja, die in Abschnitt 13.1 genannten Bedingungen, denen das Sub-Outsourcing unterliegt;	Beachten Sie die Kommentare in Abschnitt 13.1 unter den Zeilen 21 bis 35.	Siehe Zeilen 21 bis 35.
9.	f) den/die Ort(e) (d. h. Regionen oder Länder), an dem/denen die kritische oder wichtige Funktion erbracht wird und/oder an dem/denen die relevanten Daten aufbewahrt und verarbeitet werden, einschließlich des möglichen Speicherorts, sowie die einzuhaltenden Bedingungen, einschließlich der Anforderung, die Einrichtung oder das Zahlungsinstitut zu benachrichtigen, wenn der Dienstanbieter vorschlägt, den/die Ort(e) zu ändern;	Orte Um Ihnen einen schnellen, zuverlässigen, robusten und widerstandsfähigen Dienst zur Verfügung zu stellen, kann Google Ihre Daten dort speichern und verarbeiten, wo Google oder seine Unterauftragsverarbeiter Einrichtungen unterhalten. Weitere Informationen zum Standort von Google-Einrichtungen und dazu, wo die einzelnen Google Cloud-Dienste bereitgestellt werden können Informationen zum Standort der Einrichtungen der Unterauftragsverarbeiter von Google Google bietet unabhängig von dem Land / der Region, in dem sich das Unternehmen befindet, dieselben vertraglichen Zusicherungen sowie technische und organisatorische Maßnahmen für Ihre Daten. Beispiele: Unabhängig vom Land/der Region gelten für alle Einrichtungen von Google die gleichen strengen Sicherheitsmaßnahmen. Google gibt für alle Unterauftragsverarbeiter die gleichen Zusicherungen, unabhängig vom Land/Region. Bedingungen Google bietet Ihnen verschiedene Speicherorte für Ihre Daten, darunter die Möglichkeit, Ihre Daten in Europa zu speichern. Nachdem Sie den Speicherort für Ihre Daten ausgewählt haben, speichert Google diese nicht mehr außerhalb Ihrer ausgewählten Region. Erfahren Sie mehr über Einschränken der Ressourcenstandorte. Darüber hinaus verpflichtet sich Google, die rechtmäßige Übertragung personenbezogener Daten in ein Drittland in Übereinstimmung mit dem europäischen Datenschutzrecht zu ermöglichen.	Datenübertragungen (Zusatz zur Verarbeitung von Cloud-Daten) Datensicherheit; Unterauftragsverarbeiter (Zusatz zur Verarbeitung von Cloud-Daten) Datenstandort (Dienstspezifische Nutzungsbedingungen) Datenübertragungen (Zusatz zur Verarbeitung von Cloud-Daten)
10.	g) gegebenenfalls Bestimmungen über die Zugänglichkeit, die Verfügbarkeit, die Integrität, den Datenschutz und die Sicherheit relevanter Daten, wie in Abschnitt 13.2 angegeben;	Weitere Informationen finden Sie in den Kommentaren zu Abschnitt 13.2 in den Zeilen 36 bis 40.	Siehe Zeilen 36 bis 40.
11.	h) das Recht der Einrichtung oder des Zahlungsinstituts, die Leistung des Dienstanbieters laufend zu überwachen;	Sie können die Leistung der Dienste (einschließlich der SLAs) von Google mithilfe der Funktionen der Dienste laufend überwachen. Beispiel: Das Status-Dashboard enthält Statusinformationen zu den Diensten. Google Cloud Operations ist eine integrierte, gehostete Monitoring-, Logging- und Diagnoselösung, mit der Sie Informationen zu Ihren in Google Cloud ausgeführten Anwendungen erhalten. Access Transparency ist ein Feature, mit dem Sie Logs von Aktionen überprüfen können, die von Google-Mitarbeitern in Bezug auf Ihre Daten ausgeführt wurden. Logeinträge umfassen die betroffene Ressource, den Zeitpunkt der Aktion, den Grund für die Aktion (z. B. die mit der Supportanfrage verknüpfte Fallnummer) sowie Daten dazu, wer auf Daten reagiert (z. B. den Standort der Google-Mitarbeiter).	Laufende Leistungsüberwachung
12.	i) die vereinbarten Dienste, die genaue quantitative und qualitative Leistungsziele für die ausgelagerte Funktion enthalten sollten, um eine zeitnahe Überwachung zu ermöglichen, damit bei Nichteinhaltung der vereinbarten Dienste ohne unangemessene Verzögerung geeignete Korrekturmaßnahmen ergriffen werden können;	SLAs von Google.	Dienste
13.	j) die Berichtspflichten des Dienstanbieters gegenüber der Einrichtung oder dem Zahlungsinstitut, einschließlich der Mitteilung des Dienstanbieters über jede Entwicklung, die sich wesentlich auf die Fähigkeit des Dienstanbieters auswirken kann, die kritische oder wichtige Funktion im Einklang mit den vereinbarten Dienstleistungsniveaus und im Einklang mit den geltenden Gesetzen und aufsichtsrechtlichen Anforderungen wirksam auszuführen, sowie gegebenenfalls die Verpflichtungen zur Vorlage von Berichten der Innenrevisionsfunktion des Dienstanbieters;	Informationen zu Vorfällen und zum Google Cloud-Status-Dashboard Außerdem werden Sie von Google unverzüglich und ohne unangemessene Verzögerung über Datenvorfälle benachrichtigt. Weitere Informationen zum Umgang mit Datenvorfällen durch Google finden Sie in unserem Whitepaper.	Wesentliche Entwicklungen Datenvorfälle (Zusatz zur Verarbeitung von Cloud-Daten)
14.	k) ob der Dienstanbieter eine Pflichtversicherung gegen bestimmte Risiken abschließen soll und ggf. die Höhe des gewünschten Versicherungsschutzes;	Google unterhält einen Versicherungsschutz gegen eine Reihe von identifizierten Risiken.	Versicherung
15.	l) die Anforderungen an die Implementierung und den Test von betrieblichen Notfallplänen;	Google implementiert einen Notfallplan zur Aufrechterhaltung des Geschäftsbetriebes für die Dienste, überprüft und testet ihn mindestens einmal im Jahr, um sicherzustellen, dass er den Industriestandards entspricht. Greifen Sie außerdem auf unseren Leitfaden zur Planung der Notfallwiederherstellung zu, um zu erfahren, wie Kunden unsere Dienste in ihrem eigenen Plan zur Notfallwiederherstellung verwenden können.	Geschäftskontinuität und Notfallwiederherstellung
16.	m) Bestimmungen, die sicherstellen, dass im Falle der Insolvenz, der Auflösung oder der Einstellung des Geschäftsbetriebs des Dienstanbieters auf die Daten, die im Eigentum der Einrichtung oder des Zahlungsinstituts stehen, zugegriffen werden kann;	Sie behalten alle gewerblichen Schutzrechte an Ihren Daten. Während der gesamten Vertragslaufzeit können Sie auf Ihre Daten zugreifen und sie exportieren. Weitere Informationen finden Sie in Zeile 75. Keine dieser Verpflichtungen wird durch die Insolvenz von Google aufgehoben. Google hat auch nicht das Recht, wegen einer eigenen Insolvenz zu kündigen - obwohl Sie die Möglichkeit haben, zu kündigen. Im unwahrscheinlichen Fall einer Insolvenz von Google können Sie sich im Umgang mit dem bestellten Insolvenzverwalter auf diese Verpflichtungen berufen.	Geistiges Eigentum Datenexport (Zusatz zur Verarbeitung von Cloud-Daten) Laufzeit und Kündigung
17.	n) die Verpflichtung des Dienstanbieters zur Zusammenarbeit mit den zuständigen Behörden und Abwicklungsbehörden der Einrichtung oder des Zahlungsinstituts, einschließlich anderer von ihnen benannter Personen;	Google wird mit den zuständigen Behörden und Abwicklungsbehörden bei der Ausübung ihrer Prüfungs-, Informations- und Zugriffsrechte zusammenarbeiten.	Einhaltung der Richtlinien durch den Kunden
18.	o) für Einrichtungen einen klaren Verweis auf die Befugnisse der nationalen Abwicklungsbehörde, insbesondere auf die Artikel 68 und 71 der Richtlinie 2014/59/EU (BRRD), und insbesondere eine Beschreibung der „materiellen Verpflichtungen“ des Vertrags im Sinne von Artikel 68 dieser Richtlinie;	Google erkennt an, dass Einrichtungen und alle Abwicklungseinheiten in der Lage sein müssen, ihre Geschäfte während der Abwicklung weiterzuführen. Um Unterstützung während der Abwicklung zu bieten, verpflichtet sich Google, die Dienste während der Abwicklung weiterhin bereitzustellen, wie in der BRRD gefordert.	Unterstützung während der Auflösung
19.	p) das uneingeschränkte Recht von Einrichtungen, Zahlungsinstituten und zuständigen Behörden, den Dienstanbieter insbesondere in Bezug auf die kritische oder wichtige ausgelagerte Funktion gemäß Abschnitt 13.3 zu inspizieren und zu prüfen;	Weitere Informationen finden Sie in den Kommentaren zu Abschnitt 13.3 in den Zeilen 41 bis 66.	Siehe Zeilen 41 bis 66.
20.	q) Kündigungsrechte, wie in Abschnitt 13.4 angegeben.	Weitere Informationen finden Sie in den Kommentaren in Abschnitt 13.4 in den Zeilen Zeilen 67 bis 77.	Siehe Zeilen 67 bis 77.
21. 13.1 Sub-Outsourcing von kritischen oder wichtigen Funktionen
22.	76. In der Outsourcing-Vereinbarung sollte festgelegt werden, ob das Sub-Outsourcing von kritischen oder wichtigen Funktionen oder wesentlichen Teilen davon erlaubt ist oder nicht.	Google erkennt an, dass Einrichtungen die mit dem Sub-Outsourcing verbundenen Risiken berücksichtigen müssen. Außerdem wollen wir Ihnen und allen unseren Kunden den zuverlässigsten, robustesten und belastbarsten Dienst bieten. In einigen Fällen kann es klare Vorteile bringen, mit anderen vertrauenswürdigen Organisationen zusammenzuarbeiten, um z. B. einen 24/7-Support zu bieten. Obwohl Google Ihnen Informationen über die Organisationen, mit denen wir zusammenarbeiten, zur Verfügung stellt, können wir nicht zusagen, dass wir niemals Sub-Outsourcing betreiben werden. Aufgrund der n:1-Beziehung unseres Dienstes würden wir, wenn wir mit einem Kunden vereinbaren würden, dass wir kein Sub-Outsourcing vornehmen, potenziell allen unseren Kunden den Nutzen verweigern, der das Sub-Outsourcing rechtfertigt. Damit Einrichtungen das Sub-Outsourcing im Blick behalten, hält Google klare Bedingungen ein, die für Transparenz und Wahlmöglichkeiten sorgen. Weitere Informationen finden Sie in Zeile 26.	Nebenverträge
23.	77. Wenn die Sub-Outsourcing kritischer oder wichtiger Funktionen zulässig ist, sollten Einrichtungen und Zahlungsinstitute bestimmen, ob der Teil der Funktion, der unterausgelagert werden soll, als solcher kritisch oder wichtig ist (d. h. ein wesentlicher Teil der kritischen oder wichtigen Funktion), und ihn gegebenenfalls in das Register eintragen.	Die Einrichtung ist am besten in der Lage zu entscheiden, ob eine ausgelagerte Funktion ein wesentlicher Teil einer kritischen oder wichtigen Funktion ist. Zu Ihrer Unterstützung stellt Google alle erforderlichen Informationen im Outsourcing-Register für jeden unserer Subunternehmer bereit.	Unterauftragnehmer von Google
24. 78. Wenn das Sub-Outsourcing kritischer oder wichtiger Funktionen zulässig ist, sollte in der schriftlichen Vereinbarung Folgendes beachtet werden:
25.	a) Es sind alle Arten von Aktivitäten anzugeben, die vom Sub-Outsourcing ausgeschlossen sind.	Weitere Informationen finden Sie in Zeile 22.	Weitere Informationen finden Sie in Zeile 22.
26.	b) die Bedingungen festlegen, die im Falle eines Sub-Outsourcing einzuhalten sind;	Damit Einrichtungen den Überblick über etwaige Auslagerungen behalten und Wahlmöglichkeiten bezüglich der von ihnen genutzten Dienste haben, wird Google: Informationen über unsere Subunternehmer bereitstellen; im Voraus über Änderungen an unseren Subunternehmern informieren; und Einrichtungen die Möglichkeit geben, zu kündigen, wenn sie Bedenken gegen einen neuen Subunternehmer haben.	Unterauftragnehmer von Google
27.	c) festlegen, dass der Dienstanbieter verpflichtet ist, die Dienste, die er an Subunternehmer vergeben hat, zu überwachen, um sicherzustellen, dass alle vertraglichen Verpflichtungen zwischen dem Dienstanbieter und der Einrichtung oder dem Zahlungsinstitut kontinuierlich erfüllt werden;	Google wird die Erfüllung aller Verpflichtungen der Subunternehmer überwachen und sicherstellen, dass unsere Subunternehmer unseren Vertrag mit Ihnen einhalten.	Unterauftragnehmer von Google
28.	d) vom Dienstanbieter verlangen, dass er vor dem Sub-Outsourcing von Daten die vorherige spezifische oder allgemeine schriftliche Genehmigung der Einrichtung oder des Zahlungsinstituts einholt;	Google wird unsere Verpflichtungen gemäß der DSGVO in Bezug auf die Genehmigung zur Unterauftragsverarbeitung einhalten.	Datenverarbeitung; Unterauftragsverarbeiter (Zusatz zur Verarbeitung von Cloud-Daten)
29.	e) eine Verpflichtung des Dienstanbieters enthalten, die Einrichtung oder das Zahlungsinstitut über ein geplantes Sub-Outsourcing oder wesentliche Änderungen daran zu unterrichten, insbesondere wenn dies die Fähigkeit des Dienstanbieters beeinträchtigen könnte, seinen Pflichten im Rahmen des Outsourcing-Vertrags nachzukommen. Dies gilt auch für geplante wesentliche Änderungen von Unterauftragnehmern und für die Mitteilungsfrist; insbesondere sollte die festzulegende Mitteilungsfrist der auslagernden Einrichtung oder dem Zahlungsinstitut zumindest die Möglichkeit geben, eine Risikobewertung der vorgeschlagenen Änderungen vorzunehmen und den Änderungen zu widersprechen, bevor das geplante Sub-Outsourcing oder wesentliche Änderungen daran in Kraft treten;	Sie benötigen genügend Zeit, um eine aussagekräftige Risikobeurteilung durchzuführen, bevor die Änderung in Kraft tritt, nachdem Sie über den Wechsel des Subunternehmers informiert wurden. Um sicherzustellen, dass Sie die benötigte Zeit haben, informiert Google im Voraus, bevor wir einen neuen Subunternehmer beauftragen oder die Funktion eines bestehenden Subunternehmers ändern.	Unterauftragnehmer von Google
30.	f) gegebenenfalls sicherstellen, dass die Einrichtung oder das Zahlungsinstitut das Recht hat, einem geplanten Sub-Outsourcing oder wesentlichen Änderungen daran zu widersprechen, oder dass eine ausdrückliche Genehmigung erforderlich ist;	Einrichtungen können unseren Vertrag kündigen, wenn sie der Meinung sind, dass ein Subunternehmer ihr Risiko erheblich erhöht. Weitere Informationen finden Sie in Zeile 31. Aufgrund der n:1-Natur unseres Dienstes würden wir, falls wir mit einem Kunden vereinbaren würden, dass er das Sub-Outsourcing ablehnen kann, diesem Kunden ermöglichen, potenziell allen unseren Kunden die Vorteile des Sub-Outsourcing verweigern. Die Europäische Bankenaufsichtsbehörde erkennt an, dass die Zustimmung im Cloud-Outsourcing-Kontext „übermäßig aufwändig“ ist. Siehe den Kommentar auf Seite 24 des Abschlussberichts zu den Empfehlungen der Europäischen Bankenaufsichtsbehörde zum Outsourcing an Dienstanbieter in der Cloud.	Unterauftragnehmer von Google
31.	g) sicherstellen, dass die Einrichtung oder das Zahlungsinstitut das vertragliche Recht hat, die Vereinbarung im Falle eines unangemessenen Sub-Outsourcings zu kündigen, z. B. wenn das Sub-Outsourcing die Risiken für die Einrichtung oder das Zahlungsinstitut wesentlich erhöht oder wenn der Dienstanbieter ein Sub-Outsourcing vornimmt, ohne die Einrichtung oder das Zahlungsinstitut zu informieren.	Einrichtungen sollten die Wahl haben, welche Parteien ihnen Dienste anbieten. Um dies zu gewährleisten, haben Einrichtungen die Möglichkeit, unseren Vertrag zu kündigen, wenn sie der Meinung sind, dass ein Wechsel des Unterauftragnehmers ihr Risiko wesentlich erhöht oder wenn sie nicht die vereinbarte Mitteilung erhalten.	Unterauftragnehmer von Google
32. 79. Einrichtungen und Zahlungsinstitute sollten einem Sub-Outsourcing nur dann zustimmen, wenn sich der Subunternehmer zu Folgendem verpflichtet:
33.	a) alle anwendbaren Gesetze, regulatorischen Anforderungen und vertraglichen Verpflichtungen einhalten; und	Google verlangt von seinen Unterauftragnehmern, dass sie die gleichen hohen Standards erfüllen wie wir. Insbesondere verlangt Google von unseren Subunternehmern, dass sie unseren Vertrag mit Ihnen und die geltenden Gesetze und Vorschriften einhalten.	Unterauftragnehmer von Google
34.	b) der Einrichtung, dem Zahlungsinstitut und der zuständigen Behörde die gleichen vertraglichen Zugangs- und Prüfungsrechte einräumen, wie sie der Dienstanbieter gewährt.	Das Sub-Outsourcing darf die Fähigkeit der Einrichtung, den Dienst zu überwachen, oder die Fähigkeit der zuständigen Behörde, die Einrichtung zu beaufsichtigen, nicht einschränken. Um dies zu bewahren, wird Google sicherstellen, dass unsere Subunternehmer die Informations-, Zugriffs- und Prüfungsrechte einhalten, die wir Einrichtungen und zuständigen Behörden gewähren.	Unterauftragnehmer von Google
35.	80. Einrichtungen und Zahlungsinstitute sollten sicherstellen, dass der Dienstanbieter die Unterdienstleister entsprechend der von der Einrichtung oder dem Zahlungsinstitut festgelegten Richtlinie angemessen überwacht. Wenn die vorgeschlagene Unterauslagerung wesentliche nachteilige Auswirkungen auf die Auslagerungsvereinbarung einer kritischen oder wichtigen Funktion haben könnte oder zu einer wesentlichen Erhöhung des Risikos führen würde, einschließlich der Fälle, in denen die Bedingungen in Absatz 79 nicht erfüllt sind, sollte die Einrichtung oder das Zahlungsinstitut von ihrem Recht Gebrauch machen, gegen die Unterauslagerung Einspruch zu erheben, sofern ein solches Recht vereinbart wurde, und/oder den Vertrag kündigen.	Siehe Zeile 27, Zeile 30 und Zeile 31.	Siehe Zeile 27, Zeile 30 und Zeile 31.
36. 13.2 Sicherheit von Daten und Systemen
37.	81. Einrichtungen und Zahlungsinstitute sollten dafür sorgen, dass Dienstanbieter wo nötig die entsprechenden IT-Sicherheitsstandards einhalten.	Google erkennt an, dass Sie eine unabhängige Überprüfung unserer Sicherheits-, Datenschutz- und Compliancekontrollen erwarten. Deshalb unterziehen wir uns regelmäßig Prüfungen durch unabhängige Dritte. Google verpflichtet sich, während der Laufzeit unseres Vertrags mit Ihnen folgende wichtige internationale Standards einzuhalten: ISO/IEC 27001:2013 (Informationssicherheitssysteme) ISO/IEC 27017:2015 (Informationssicherheit in der Cloud) ISO/IEC 27018:2014 (Datenschutz in der Cloud) PCI DSS SOC-1-Bericht SOC-2-Bericht SOC-3-Bericht	Zertifizierungen und Auditberichte
38.	82. Gegebenenfalls (z. B. im Zusammenhang mit Cloud- oder anderem ICT-Outsourcing) sollten Einrichtungen und Zahlungsinstitute die Anforderungen an die Daten- und Systemsicherheit im Rahmen der Outsourcing-Vereinbarung festlegen und die Einhaltung dieser Anforderungen laufend überwachen.	Die Sicherheit eines Cloud-Dienstes besteht aus zwei Hauptelementen: Sicherheit der Google-Infrastruktur Google kümmert sich um die Sicherheit unserer Infrastruktur. Dies ist die Sicherheit der Hardware, Software, Netzwerke und Einrichtungen, die die Dienste unterstützen. Aufgrund der n:1-Beziehung unseres Dienstes bietet Google allen Kunden dieselbe robuste Sicherheitsleistung. Google stellt Kunden detaillierte Informationen zu Sicherheitsmaßnahmen zur Verfügung, damit sie diese nachvollziehen und in ihre eigene Risikoanalyse einfließen lassen können. Weitere Informationen finden Sie hier: Die Seite zur Sicherheitsinfrastruktur Unser Whitepaper zur Sicherheit Unsere Seite Übersicht über das Sicherheitsdesign der Infrastruktur Die Seite Sicherheitsressourcen Weitere Informationen finden Sie im SOC 2-Bericht von Google. Siehe Zeile 37. Sicherheit Ihrer Daten und Anwendungen in der Cloud Sie legen die Sicherheit Ihrer Daten und Anwendungen in der Cloud fest. Dies bezieht sich auf die Sicherheitsmaßnahmen, die Sie bei der Nutzung der Dienste implementieren und betreiben. (a) Standardmäßige Sicherheit Obwohl wir Ihnen so viel Auswahl wie möglich bieten möchten, wenn es um Ihre Daten geht, ist die Sicherheit Ihrer Daten für Google von größter Bedeutung, und wir ergreifen die folgenden proaktiven Schritte, um Sie zu unterstützen: Verschlüsselung inaktiver Daten. Google Cloud verschlüsselt inaktive Kundendaten standardmäßig, ohne dass ein Eingreifen Ihrerseits erforderlich ist. Weitere Informationen finden Sie unter https://cloud.google.com/security/encryption/default-encryption/. Verschlüsselung während der Übertragung. Google verschlüsselt und authentifiziert alle Daten auf einer oder mehreren Netzwerkebenen, wenn Daten außerhalb der physischen Grenzen übertragen werden, die von Google oder im Auftrag von Google kontrolliert werden. Weitere Informationen finden Sie unter https://cloud.google.com/security/encryption-in-transit. (b) Sicherheitsprodukte Zusätzlich zu den anderen Tools und Praktiken, die Ihnen außerhalb von Google zur Verfügung stehen, können Sie auch Tools von Google verwenden, um die Sicherheit Ihrer Daten zu verbessern und zu überwachen. Weitere Informationen zu den Sicherheitsprodukten von Google Hier sind einige Beispiele: Mit Cloud Identity and Access Management können Sie Zugriffsrechte und Rollen für Google Cloud-Ressourcen steuern, um nicht autorisierte Zugriffe zu verhindern. Cloud Security Scanner scannt App Engine-, Compute Engine- und Google Kubernetes Engine-Anwendungen automatisch auf häufige Sicherheitslücken. Die Event Threat Detection scannt automatisch verschiedene Logtypen auf verdächtige Aktivitäten in Ihrer Google Cloud-Umgebung. Cloud Security Command Center und Security Health Analytics bieten Transparenz und Überwachung von Google Cloud-Ressourcen und Änderungen an Ressourcen, einschließlich VM-Instanzen, Images und Betriebssystemen. Forseti ist ein Open-Source-Toolkit, mit dem Sie Ihren Sicherheitsteams die Gewissheit geben können, dass in unseren Diensten die erforderlichen Sicherheitskontrollen vorhanden sind. Forseti umfasst folgende Sicherheitstools: Inventory: bietet Informationen zu vorhandenen Google Cloud-Ressourcen Scanner: validiert Richtlinien für die Zugriffssteuerung für alle Google Cloud-Ressourcen Enforcer: verhindert unerwünschten Zugriff auf Google Cloud-Ressourcen Explain: analysiert, wer in welchem Umfang Zugriff auf Google Cloud-Ressourcen hat Weitere Informationen zu Open-Source-Sicherheitstools Shielded VMs ermöglichen Live-Messungen, Monitoring und Benachrichtigungen bei Änderungen des Full Stack. (c) Sicherheitsressourcen Google veröffentlicht außerdem Richtlinien zu: Best Practices für Sicherheit Sicherheitsanwendungsfällen	Datensicherheit; Sicherheitsmaßnahmen (Zusatz zur Verarbeitung von Cloud-Daten)
39.	83. Bei der Auslagerung an Cloud-Dienstanbieter und anderen Outsourcing-Vereinbarungen, die den Umgang mit oder die Übertragung von personenbezogenen oder vertraulichen Daten beinhalten, sollten Einrichtungen und Zahlungsinstitute einen risikobasierten Ansatz für die Datenspeicherung und den/die Ort(e) der Datenverarbeitung (d. h. Land oder Region) sowie Überlegungen zur Informationssicherheit wählen.	Dies unterliegt der Entscheidung des Kunden. Weitere Informationen zum Speicherort von Daten finden Sie in Zeile 9.	–
40.	84. Unbeschadet der Anforderungen gemäß der Verordnung (EU) 2016/679 sollten Einrichtungen und Zahlungsinstitute bei der Auslagerung (insbesondere in Drittländer) die Unterschiede in den nationalen Bestimmungen zum Datenschutz berücksichtigen. Einrichtungen und Zahlungsinstitute sollten sicherstellen, dass die Outsourcing-Vereinbarung die Verpflichtung enthält, dass der Dienstanbieter vertrauliche, personenbezogene oder anderweitig sensible Informationen schützt und alle für das Institut oder Zahlungsinstitut geltenden gesetzlichen Anforderungen an den Datenschutz einhält (z. B. den Schutz personenbezogener Daten und die Einhaltung des Bankgeheimnisses oder ähnlicher gesetzlicher Vertraulichkeitspflichten in Bezug auf Kundeninformationen, sofern anwendbar).	Die Sicherheit der Dienste ist für den Schutz Ihrer Daten von grundlegender Bedeutung. Dies wird im Zusatz zur Verarbeitung von Cloud-Daten beschrieben. Weitere Informationen zur Sicherheit finden Sie in Zeile 37 und 38. Weitere Informationen finden Sie in unserem Center für DSGVO-Ressourcen.	Vertraulichkeit; Datensicherheit (Zusatz zur Verarbeitung von Cloud-Daten)
41. 13.3 Zugriffs-, Informations- und Prüfungsrechte
42.	85. Einrichtungen und Zahlungsinstitute sollten im Rahmen der schriftlichen Auslagerungsvereinbarung sicherstellen, dass die Innenrevision in der Lage ist, die ausgelagerte Funktion anhand eines risikobasierten Ansatzes zu überprüfen.	Google erkennt an, dass die Nutzung unserer Dienste die Fähigkeit einer Einrichtung (oder der zuständigen Behörde), die Einhaltung der anwendbaren Gesetze und Vorschriften sowie der internen Richtlinien einer Einrichtung zu überwachen und zu beaufsichtigen nicht beeinträchtigen sollte. Wir bieten Einrichtungen die Unterstützung, die sie benötigen, um unsere Dienste zu prüfen.	Einhaltung der Richtlinien durch den Kunden
43.	86. Unabhängig von der Kritikalität oder Bedeutung der ausgelagerten Funktion sollten die schriftlichen Outsourcing-Vereinbarungen zwischen Einrichtungen und Dienstleistern auf die Informationserfassungs- und Ermittlungsbefugnisse der zuständigen Behörden und Abwicklungsbehörden gemäß Artikel 63(1)(a) der Richtlinie 2014/59/EU und Artikel 65(3) der Richtlinie 2013/36/EU in Bezug auf in einem Mitgliedstaat ansässige Dienstanbieter verweisen und diese Rechte auch in Bezug auf in Drittländern ansässige Dienstanbieter gewährleisten.	Google erkennt die Informationserfassungs- und Ermittlungsbefugnisse gemäß den einschlägigen EU-Richtlinien an.	Einhaltung der Richtlinien durch den Kunden
44.	87. Im Hinblick auf die Auslagerung kritischer oder wichtiger Funktionen sollten die Einrichtungen und Zahlungsinstitute im Rahmen der schriftlichen Outsourcing-Vereinbarung sicherstellen, dass der Dienstanbieter ihnen und ihren zuständigen Behörden, einschließlich der Abwicklungsbehörden, sowie jeder anderen von ihnen oder den zuständigen Behörden benannten Person Folgendes gewährt:	Google gewährt Einrichtungen, zuständigen Behörden (einschließlich Abwicklungsbehörden) und deren Beauftragten Prüfungs-, Zugangs- und Informationsrechte.	Rechtliche Informationen, Audits und Zugriff; Kundeninformationen, Auditing und Zugriff
45.	a) vollständiger Zugang zu allen relevanten Geschäftsräumen (z. B. Hauptverwaltungen und Betriebszentren), einschließlich aller relevanten Geräte, Systeme, Netzwerke, Informationen und Daten, die für die Erbringung der ausgelagerten Funktion verwendet werden, einschließlich der damit verbundenen Finanzinformationen, des Personals und der externen Prüfer des Dienstanbieters („Zugangs- und Informationsrechte“); und	Weitere Informationen finden Sie in Zeile 44.	Weitere Informationen finden Sie in Zeile 44.
46.	b. uneingeschränkte Einsichts- und Prüfungsrechte in Bezug auf die Outsourcing-Vereinbarung („Prüfungsrechte“), um sie in die Lage zu versetzen, die Outsourcing-Vereinbarung zu überwachen und die Einhaltung aller geltenden regulatorischen und vertraglichen Anforderungen sicherzustellen.	Weitere Informationen finden Sie in Zeile 44.	Weitere Informationen finden Sie in Zeile 44.
47.	88. Bei der Auslagerung von Funktionen, die nicht kritisch oder wichtig sind, sollten die Einrichtungen und Zahlungsinstitute die in Paragraph 87 (a) und (b) sowie in Abschnitt 13.3 genannten Zugangs- und Prüfungsrechte auf der Grundlage eines risikobasierten Ansatzes sicherstellen, wobei die Art der ausgelagerten Funktion und die damit verbundenen Betriebs- und Reputationsrisiken, ihre Skalierbarkeit, die potenziellen Auswirkungen auf die kontinuierliche Durchführung ihrer Aktivitäten und die Vertragslaufzeit zu berücksichtigen sind. Einrichtungen und Zahlungsinstitute sollten berücksichtigen, dass Funktionen mit der Zeit kritisch oder wichtig werden können.	Google ist sich bewusst, dass die Nutzung der Dienste mit der Zeit zunehmen kann. Unabhängig davon, wie sich Einrichtungen zu Beginn unserer Beziehung für die Nutzung der Dienste entscheiden, gewährt Google Einrichtungen und zuständigen Behörden Prüfungs-, Zugangs- und Informationsrechte.	Einhaltung der Richtlinien durch den Kunden
48.	89. Institute und Zahlungsinstitute sollten sicherstellen, dass die Outsourcing-Vereinbarung oder eine andere vertragliche Vereinbarung die wirksame Ausübung der Zugangs- und Prüfungsrechte durch sie, die zuständigen Behörden oder von ihnen mit der Ausübung dieser Rechte beauftragte Dritte nicht behindert oder einschränkt.	Nichts in unserem Vertrag soll die Fähigkeit einer Einrichtung oder der zuständigen Behörde einschränken oder behindern, unsere Dienste effektiv zu prüfen. Insbesondere werden wir zwar viele Informationen und Tools zur Verfügung stellen, um Einrichtungen bei der Überprüfung unserer Dienste zu helfen, aber unser Vertrag enthält keine vordefinierten Schritte, bevor sich Einrichtungen oder zuständige Behörden an Google wenden können, um ihre Prüfungs-, Zugangs- und Informationsrechte auszuüben. Mit anderen Worten: Es gibt keine Hierarchie unter den Optionen zur Bewertung unserer Dienste.	Einhaltung der Richtlinien durch den Kunden
49.	90. Die Einrichtungen und Zahlungsinstitute sollten ihre Zugangs- und Prüfungsrechte ausüben, die Prüfungshäufigkeit und die zu prüfenden Bereiche nach einem risikobasierten Ansatz festlegen und sich an einschlägige, allgemein anerkannte, nationale und internationale Prüfungsstandards halten.	Die Einrichtung ist am besten in der Lage zu entscheiden, welche Häufigkeit und welcher Umfang von Audits für ihre Organisation geeignet ist. Unser Vertrag beschränkt Einrichtungen nicht auf eine feste Anzahl von Audits oder einen vordefinierten Umfang.	Kundendaten, Prüfungen und Zugriff
50. 91. Unbeschadet ihrer abschließenden Verantwortung für Outsourcing-Vereinbarungen können Einrichtungen und Zahlungsinstitute Folgendes verwenden:
51.	a) gepoolte Audits, die gemeinsam mit anderen Kunden desselben Dienstanbieters organisiert und von diesem und diesen Kunden oder von einem von ihnen beauftragten Dritten durchgeführt werden, um die Prüfungsressourcen effizienter zu nutzen und den organisatorischen Aufwand sowohl für die Kunden als auch für den Dienstanbieter zu verringern;	Google erkennt die Vorteile von gepoolten Audits an. Wir sind gerne bereit, dies mit den Einrichtungen zu besprechen.	–
52.	b. Zertifizierungen von Drittanbietern und externe oder interne Prüfberichte, die vom Dienstanbieter zur Verfügung gestellt werden	Weitere Informationen finden Sie in Zeile 37.	Weitere Informationen finden Sie in Zeile 37.
53.	92. Bei der Auslagerung kritischer oder wichtiger Funktionen sollten Einrichtungen und Zahlungsinstitute prüfen, ob die in Paragraph 91(b) genannten Zertifizierungen und Berichte Dritter angemessen und ausreichend sind, um ihren aufsichtsrechtlichen Verpflichtungen nachzukommen, und sich im Laufe der Zeit nicht ausschließlich auf diese Berichte verlassen.	Dies unterliegt der Entscheidung des Kunden.	–
54. 93. Institutionen und Zahlungsinstitute sollten die in Paragraph 91(b) beschriebene Methode nur dann verwenden, wenn sie
55.	a) sind mit dem Prüfungsplan für die ausgelagerte Funktion zufrieden;	Weitere Informationen finden Sie in Zeile 37. Google wird mindestens einmal im Jahr für jedes geprüfte Framework auditiert. Google führt vor jedem Audit Planungs-, Bereichs- und Bereitschaftsaktivitäten durch.	Zertifizierungen und Auditberichte
56.	b) sicherstellen, dass der Umfang des Zertifizierungs- oder Prüfberichts die von der Einrichtung oder dem Zahlungsinstitut identifizierten Systeme (d. h. Prozesse, Anwendungen, Infrastruktur, Rechenzentren usw.) und Schlüsselkontrollen sowie die Einhaltung der einschlägigen regulatorischen Anforderungen abdeckt;	Weitere Informationen finden Sie in Zeile 37. Der Prüfungsumfang von Google umfasst im Umfang Dienste, Infrastruktursysteme, Richtlinien und Verfahren, allgemeine Prozesse und Personal. Google wird im Hinblick auf unsere Sicherheits- und Datenschutzkontrollen geprüft, wobei die relevanten Zertifizierungen und Prüfberichte für den Prüfungsumfang berücksichtigt werden.	Zertifizierungen und Auditberichte
57.	c) den Inhalt der Zertifizierungen oder Prüfberichte fortlaufend gründlich zu bewerten und zu überprüfen, ob die Berichte oder Zertifizierungen nicht veraltet sind;	Weitere Informationen finden Sie in Zeile 37. Sie können die aktuellen Zertifizierungen und Prüfberichte von Google jederzeit prüfen. Weitere Informationen zu den ISO-Zertifizierungen von Google. Die SOC-Berichte und die PCI-Konformitätsbescheinigung (AOC) von Google sind über Ihren Google Cloud-Kundenbetreuer verfügbar.	Zertifizierungen und Auditberichte
58.	d) sicherstellen, dass wichtige Systeme und Kontrollen in zukünftigen Versionen des Zertifizierungs- oder Prüfberichts behandelt werden;	Weitere Informationen finden Sie in Zeile 37. Als Teil der routinemäßigen Planungs-, Scoping- und Bereitschaftsaktivitäten von Google werden wiederkehrende Schlüsselsysteme und -kontrollen sowie neue Systeme und Kontrollen vor Beginn der Prüfungsarbeiten überprüft.	Zertifizierungen und Auditberichte
59.	e) mit der Eignung der Zertifizierungs- bzw. Auditpartei zufrieden sind (z. B. in Bezug auf Rotation der Zertifizierungs- bzw. Auditgesellschaft, Qualifikationen, Fachkenntnisse, Wiederholung/Verifizierung der Nachweise in der zugrunde liegenden Audit-Datei);	Weitere Informationen finden Sie in Zeile 37. Google beauftragt für jedes geprüfte Framework zertifizierte und unabhängige Drittanbieter-Prüfer. Informationen über die zertifizierende oder prüfende Partei finden Sie im entsprechenden Zertifizierungs- oder Prüfbericht.	Zertifizierungen und Auditberichte
60.	f) sind davon überzeugt, dass die Zertifizierungen ausgestellt werden und die Prüfungen nach allgemein anerkannten einschlägigen fachlichen Standards durchgeführt werden und einen Test der operativen Wirksamkeit der vorhandenen Schlüsselkontrollen beinhalten;	Weitere Informationen finden Sie in Zeile 37. Die Prüfungen umfassen Tests der operativen Effektivität der vorhandenen Schlüsselkontrollen.	Zertifizierungen und Auditberichte
61.	g) das vertragliche Recht haben, die Ausweitung des Geltungsbereichs der Zertifizierungen oder Prüfberichte auf andere relevante Systeme und Kontrollen zu verlangen; die Anzahl und Häufigkeit solcher Anträge auf Änderung des Geltungsbereichs sollte aus Sicht des Risikomanagements angemessen und legitim sein; und	Damit sie ein effektives Tool bleiben, wenn ein wichtiges System oder die Kontrolle für einen Dienst nicht durch die Zertifizierungen oder Prüfungen von Google für diesen Dienst abgedeckt wird, können Einrichtungen eine Erweiterung des Umfangs beantragen.	Zertifizierungen und Auditberichte
62.	h) behalten sich das vertragliche Recht vor, bei der Auslagerung von kritischen oder wichtigen Funktionen nach eigenem Ermessen einzelne Prüfungen durchzuführen	Einrichtungen behalten sich immer das Recht vor, eine Prüfung durchzuführen. Der Vertrag enthält keine vordefinierten Schritte, bevor Einrichtungen sich an Google wenden können, um ihre Prüfungs-, Zugangs- und Informationsrechte auszuüben. Mit anderen Worten: Es gibt keine Hierarchie unter den Optionen zur Bewertung unserer Dienste.	Kundendaten, Prüfungen und Zugriff
63.	94. Im Einklang mit den EBA-Leitlinien zur ICT-Risikobewertung im Rahmen des SREP sollten Einrichtungen gegebenenfalls sicherstellen, dass sie in der Lage sind, Sicherheits-Penetrationstests durchzuführen, um die Wirksamkeit der implementierten Cyber- und internen ICT-Sicherheitsmaßnahmen und -prozesse zu bewerten. Unter Berücksichtigung von Titel I sollten Zahlungseinrichtungen auch über interne ICT-Kontrollmechanismen verfügen, einschließlich ICT-Sicherheitskontroll- und -minderungsmaßnahmen.	Sie können Penetrationstests der Dienste jederzeit ohne die vorherige Genehmigung durch Google anstrengen.	Penetrationstests durch den Kunden
64.	95. Vor einer geplanten Vor-Ort-Prüfung sollten Einrichtungen, Zahlungsinstitute, zuständige Behörden und Prüfer oder Dritte, die im Namen der Einrichtung, des Zahlungsinstituts oder der zuständigen Behörden handeln, den Dienstanbieter mit angemessener Frist benachrichtigen, es sei denn, dies ist aufgrund einer Not- oder Krisensituation nicht möglich oder würde dazu führen, dass die Prüfung nicht mehr wirksam wäre.	Eine angemessene Vorankündigung ermöglicht es Google, eine effektive Prüfung durchzuführen. Wir können zum Beispiel sicherstellen, dass die entsprechenden Google-Experten verfügbar und bereit sind, das Beste aus Ihrer Zeit zu machen. Die Benachrichtigung ermöglicht es Google außerdem, die Prüfung so zu planen, dass sie kein unangemessenes Risiko für Ihre Umgebung oder die eines anderen Google-Kunden darstellt. Google erkennt an, dass in manchen Fällen eine frühere Ankündigung nicht möglich ist. In diesen Fällen werden wir mit der auditierenden Partei zusammenarbeiten, um ihre Bedürfnisse zu erfüllen.	Arrangements
65.	96. Bei der Durchführung von Audits in Umgebungen mit mehreren Clients sollte darauf geachtet werden, dass Risiken für die Umgebung eines anderen Clients (z. B. Auswirkungen auf Service-Levels, Datenverfügbarkeit, Vertraulichkeitsaspekte) vermieden oder abgemildert werden.	Es ist für Google äußerst wichtig, dass unsere Handlungen für einen Kunden keine anderen Kunden gefährden. Dies gilt für Ihre Prüfungen. Es gilt auch, wenn ein anderer Kunde eine Prüfung durchführt. Wenn eine Einrichtung eine Prüfung durchführt, arbeiten wir mit ihr zusammen, um die Störung für unsere anderen Kunden zu minimieren. Genauso wie wir mit einem anderen Prüfungskunden zusammenarbeiten werden, um die Störung für die Einrichtung zu minimieren. Wir achten insbesondere darauf, immer unsere Sicherheitsverpflichtungen zu erfüllen.	Arrangements
66.	97. Wenn die Outsourcing-Vereinbarung ein hohes Maß an technischer Komplexität mit sich bringt, z. B. bei Cloud-Outsourcing, sollte die Einrichtung oder das Zahlungsinstitut überprüfen, ob die Person, die die Prüfung durchführt - ob es sich um ihre internen Prüfer, den Pool von Prüfern oder in ihrem Namen handelnde externe Prüfer handelt - über angemessene und relevante Fähigkeiten und Kenntnisse verfügt, um die relevanten Prüfungen und/oder Bewertungen effektiv durchzuführen. Gleiches gilt für Mitarbeiter der Einrichtung oder des Zahlungsinstituts, die von Dienstanbietern durchgeführte Zertifizierungen oder Audits Dritter überprüfen.	Dies unterliegt der Entscheidung des Kunden.	–
67. 13.4 Kündigungsrechte
68.	98. Die Outsourcing-Vereinbarung sollte ausdrücklich die Möglichkeit vorsehen, dass die Einrichtung oder das Zahlungsinstitut die Vereinbarung in Übereinstimmung mit dem anwendbaren Recht kündigen kann, auch in den folgenden Situationen:	Einrichtungen können unseren Vertrag aus wichtigem Grund kündigen, auch wenn dies zur Einhaltung von Gesetzen erforderlich ist, wenn dies von der zuständigen Behörde angeordnet wird oder in einem der in Abschnitt 13.4 aufgeführten Szenarien.	Ordentliche Kündigung
69.	a) wenn der Anbieter der ausgelagerten Funktionen gegen geltendes Recht, Vorschriften oder vertragliche Bestimmungen verstößt;	Weitere Informationen finden Sie in Zeile 68.	Weitere Informationen finden Sie in Zeile 68.
70.	b) wenn Hindernisse identifiziert werden, die die Leistung der ausgelagerten Funktion beeinträchtigen können;	Weitere Informationen finden Sie in Zeile 68.	Weitere Informationen finden Sie in Zeile 68.
71.	c) wenn es wesentliche Änderungen gibt, die die Outsourcing-Vereinbarung oder den Dienstanbieter betreffen (z. B. Sub-Outsourcing oder Wechsel von Unterauftragnehmern);	Weitere Informationen finden Sie in Zeile 68.	Weitere Informationen finden Sie in Zeile 68.
72.	d) wenn es Schwachstellen bei der Verwaltung und Sicherheit von vertraulichen, persönlichen oder anderweitig sensiblen Daten oder Informationen gibt; und	Weitere Informationen finden Sie in Zeile 68.	Weitere Informationen finden Sie in Zeile 68.
73.	e) wenn Weisungen von der zuständigen Behörde der Einrichtung oder des Zahlungsinstituts erteilt werden, z. B. für den Fall, dass die zuständige Behörde aufgrund der Outsourcing-Vereinbarung nicht mehr in der Lage ist, die Einrichtung oder das Zahlungsinstitut wirksam zu beaufsichtigen.	Weitere Informationen finden Sie in Zeile 68.	Weitere Informationen finden Sie in Zeile 68.
74. 99. Die Outsourcing-Vereinbarung sollte die Übertragung der ausgelagerten Funktion an einen anderen Dienstanbieter oder ihre Wiederaufnahme in die Einrichtung oder das Zahlungsinstitut erleichtern. Zu diesem Zweck sollte die schriftliche Outsourcing-Vereinbarung Folgendes beinhalten:
75.	a) die Pflichten des bisherigen Dienstanbieters im Falle einer Übertragung der ausgelagerten Funktion an einen anderen Dienstanbieter oder zurück an die Einrichtung oder das Zahlungsinstitut, einschließlich der Behandlung der Daten, klar darlegen;	Während der gesamten Vertragslaufzeit können Sie auf Ihre Daten zugreifen und sie exportieren. Sie können Ihre Daten in verschiedenen branchenüblichen Formaten aus den Diensten exportieren. Beispiele: Google Kubernetes Engine ist eine verwaltete, produktionsfertige Umgebung, die die Übertragbarkeit über verschiedene Clouds sowie lokale Umgebungen hinweg ermöglicht. Mit Migrate to Containers können Sie Arbeitslasten direkt in Container in Google Kubernetes Engine verschieben und umwandeln. Sie können ein vollständiges VM-Image in Form eines TAR-Archivs exportieren/importieren. Weitere Informationen zu Images und Speicheroptionen	Datenexport (Zusatz zur Verarbeitung von Cloud-Daten)
76.	b) einen angemessenen Übergangszeitraum festlegen, in dem der Dienstanbieter nach Beendigung der Outsourcing-Vereinbarung die ausgelagerte Funktion weiterhin bereitstellt, um das Risiko von Störungen zu verringern; und	Google erkennt an, dass Einrichtungen in der Lage sein müssen, unsere Dienste ohne unangemessene Unterbrechung ihres Geschäftsbetriebs, ohne Einschränkung der Einhaltung gesetzlicher Vorschriften und ohne Beeinträchtigung der Kontinuität und Qualität ihres Dienstes für ihre eigenen Kunden zu beenden. Um Einrichtungen dabei zu unterstützen, wird Google die Dienste auf Wunsch noch 12 Monate über das Auslaufen oder die Beendigung des Vertrags hinaus zur Verfügung stellen.	Übergangszeitraum
77.	c) eine Verpflichtung des Dienstanbieters enthalten, die Einrichtung oder das Zahlungsinstitut bei der geordneten Übertragung der Funktion im Falle der Beendigung des Outsourcing-Vertrags zu unterstützen.	Mit unseren Diensten können Sie Ihre Daten unabhängig übertragen. Sie benötigen dazu keine Genehmigung von Google. Weitere Informationen finden Sie in Zeile 75. Wenn eine Einrichtung jedoch Unterstützung benötigt, bietet Google auf Anfrage Beratungs- und Implementierungsdienste zur Unterstützung bei der Migration von Arbeitslasten oder bei sonstiger Umstellung der Nutzung der Dienste.	Übergangshilfe