Vereinbarung über eine gemeinsame Verantwortung gemäß Art. 26 DS-GVO
zwischen
Sanvivo GmbH
Sportplatzstr. 6
86947 Weil
und
der Partnerapotheke
Name und Anschrift: siehe Registrierung der Partnerapotheke im Portal der „Sanvivo GmbH“
(im Folgenden als „Partnerapotheke“ bezeichnet)
(eine von ihnen im Folgenden „die Partei“ und beide zusammen im Folgenden „die Parteien“).
§ 1 Gegenstand, Art, Zweck und Umfang der Datenverarbeitung
(1) Die Geschäftsbeziehung zwischen den Parteien über die Bestellung, Anfertigung und Lieferung der „CovidBadge“ macht es erforderlich, dass die Parteien personenbezogene Daten der „Endnutzer“ als gemeinsame Verantwortliche verarbeiten. Die Parteien haben die Mittel und Zwecke der nachfolgend näher beschriebenen Verarbeitungstätigkeiten gemeinsam festgelegt. Diese Datenverarbeitungsaktivitäten unterliegen den Bestimmungen der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DS-GVO) und erfordern daher diese Vereinbarung.
(2) Die vorliegende Vereinbarung über die gemeinsame Verantwortung nach Art. 26 DS-GVO (nachstehend „Vereinbarung“ genannt) legt die Verpflichtungen im Zusammenhang mit der Verarbeitung personenbezogener Daten durch die Parteien fest, soweit die Parteien die Zwecke und Mittel gemeinsam festlegen. Die Bestimmungen basieren auf dem kommerziellen Vertrag zwischen den Parteien, der auf Basis der „Allgemeine Geschäftsbedingungen für Partnerapotheken“ geschlossen wurde.
(3) Im Rahmen der gemeinsamen Verantwortlichkeit ist die Partnerapotheke für die folgenden Verarbeitungen der personenbezogenen Daten zuständig:
- Aufnahme der Stammdaten
- Überprüfung des Impfzertifikats des Endnutzers anhand von Ausweisdokumenten
- Scan des QR-Code des Impfzertifikats des Endnutzers
- Weiterleitung der Bestellung (einschließlich Stammdaten und QR-Code des Impfzertifikats) an Sanvivo GmbH
(4) Im Rahmen der gemeinsamen Verantwortlichkeit ist Sanvivo GmbH für die folgenden Verarbeitungen der personenbezogenen Daten zuständig:
- Herstellung und Versand der CovidBadge an den Endnutzer (über eine Druckerei als Auftragsverarbeiter)
- Beantwortung von Fragen des Endnutzers zu Herstellung und Versand der CovidBadge
(5) Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) zwischen den Parteien, die durch die Bestimmungen dieser Vereinbarung und die nachfolgende Beschreibung geregelt wird:
(5.1) Verarbeitete Daten / Datenkategorien:
A. Stammdaten (Name, Anschrift, Kontaktinformationen wie E-Mail-Adresse),
B. Das offizielle Impfzertifikat des Endnutzers in Form eines QR-Codes erstellt durch das Robert-Koch-Institut über eine (vollständige) Schutzimpfung gegen das Coronavirus SARS-CoV-2; hierbei handelt es sich um Gesundheitsdaten des Endnutzers.
(5.2) Zweck:
Die personenbezogenen Daten des Endnutzers werden verarbeitet, um den Vertrag zwischen dem Endnutzer und Sanvivo GmbH sowie den Vertrag zwischen der Partnerapotheke und Sanvivo GmbH, jeweils über die Bestellung, Anfertigung und Lieferung der CovidBadge zu erfüllen.
(5.3) Gruppe der betroffenen Personen:
Endnutzer, die in der Partnerapotheke eine CovidBadge bei Sanvivo GmbH bestellen.
(5.4) Rechtsgrundlage der Verarbeitungsvorgänge:
A. Rechtsgrundlage für die Verarbeitung der Stammdaten ist Art. 6 Abs. 1 S. 1 lit. b DS-GVO.
B. Speziell für die Verarbeitung der Gesundheitsdaten ist Rechtsgrundlage die Einwilligung des Endnutzers gemäß Art. 6 Abs. 1 S. 1 lit. a), 9 Abs. 2 lit. a) DS-GVO.
(5.5) Übermittlung an Empfänger in Drittstaaten:
Eine Übermittlung an Empfänger in Drittstaaten findet nicht statt.
(6) Jede Partei verarbeitet im Rahmen dieser Vereinbarung genutzt personenbezogene Daten nur unter den Bestimmungen dieser Vereinbarung und für die dokumentierten Zwecke. Dies gilt insoweit nicht, als das Unionsrecht oder das Recht der Mitgliedstaaten die Parteien zu einer Datenverarbeitung verpflichtet. In solchen Fällen ist die Partei verpflichtet, die andere Partei über die Datenverarbeitung zu informieren, soweit ihr dies nicht gesetzlich untersagt ist.
§ 2 Formale Verpflichtungen der Parteien
(1) Die Parteien gewährleisten die Einhaltung der anwendbaren Datenschutzgesetze, insbesondere die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten auf Basis der Bestimmungen dieser Vereinbarung.
(2) Die Parteien tragen dafür Sorge, dass nur personenbezogene Daten erhoben werden, die für die rechtmäßige Prozessabwicklung zwingend erforderlich sind. Die Verarbeitung der personenbezogenen Daten für einen anderen Zweck als den in § 1 Abs. 5(2) der Vereinbarung beschriebenen Zweck ist nicht zulässig. Im Übrigen beachten beide Vertragsparteien den Grundsatz der Datenminimierung im Sinne von Art. 5 Abs. 1 c DS-GVO.
(3) Die Implementierung, Voreinstellung und der Betrieb der verwendeten Systeme sind unter Beachtung der Vorgaben der DS-GVO und anderer Regelungswerke, insbesondere unter Beachtung der Grundsätze des Datenschutzes durch Design und datenschutzfreundliche Voreinstellungen sowie unter Verwendung von dem Stand der Technik entsprechenden geeigneten technischen und organisatorischen Maßnahmen durchzuführen.
(4) Jede Partei führt ein Verzeichnis von Verarbeitungstätigkeiten der gemeinsamen Datenverarbeitung, das auch Teil eines anderen Protokolls der Datenverarbeitung sein kann. Jede Partei stellt der anderen Partei auf Ersuchen und kostenlos ihren Datensatz oder den Teil eines Datensatzes, der sich auf die gemeinsame Datenverarbeitung bezieht, zur Verfügung.
(5) Soweit eine Datenschutz-Folgenabschätzung für die von dieser Vereinbarung erfassten Datenverarbeitung durchzuführen ist, führen die Parteien diese gemeinsam durch. Jede Partei stellt der anderen Partei auf Ersuchen die erforderlichen Informationen zur Verfügung und dokumentiert die Ergebnisse und festgestellten Folgen.
(6) Die Parteien verpflichten sich, die Dokumentationspflichten nach Art. 24, 5 Abs. 2 DS-GVO einzuhalten und sich auf Anfrage gegenseitig die relevanten Dokumentationen zur Verfügung zu stellen.
(7) Die Parteien informieren sich gegenseitig unverzüglich und vollständig, wenn sie bei der Prüfung der Verarbeitungstätigkeiten und/oder in Bezug auf Auftragsverarbeiter Fehler oder Unregelmäßigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellen.
§ 3 Mitarbeiter der an Weisungen zum Datenschutz gebundenen Parteien
(1) Die Daten empfangende Partei garantiert, dass kein Mitarbeiter, der an der Verarbeitung der personenbezogenen Daten beteiligt ist, personenbezogene Daten außerhalb des Geltungsbereichs dieser Vereinbarung verarbeiten darf, es sei denn, die Verarbeitung ist nach dem Recht der Union oder eines Mitgliedstaats erforderlich. Die Parteien werden ihre Mitarbeiter über die entsprechenden Pflichten informieren.
(2) Die Parteien ergreifen Maßnahmen, um sicherzustellen, dass alle Mitarbeiter die gesetzlichen Bestimmungen zum Schutz personenbezogener Daten einhalten. Darüber hinaus garantieren die Parteien, dass jede Person, die bei der Partei berechtigt ist, die von der vorliegenden Vereinbarung erfassten personenbezogenen Daten zu verarbeiten, eine Verpflichtung auf vertrauliche Behandlung unter Berücksichtigung der Datenschutzvorgaben eingegangen ist.
§ 4 Ernennung eines Datenschutzbeauftragten
Die Parteien benennen, soweit sie durch die DS-GVO dazu verpflichtet sind, jeweils einen Datenschutzbeauftragten. Name und Kontaktdaten des Datenschutzbeauftragten – und eventuelle Änderungen – werden der anderen Partei mitgeteilt.
§ 5 Aufsichtsbehörden und gerichtliche Verfahren
(1) Die Parteien arbeiten im Falle von Ersuchen der Aufsichtsbehörden zu einer Datenverarbeitung auf Basis dieses Abkommens oder der Nichteinhaltung dieses Abkommens zusammen. Die Parteien informieren sich gegenseitig über sonstige Ersuchen, Vorschläge oder Entscheidungen und helfen bei der Beantwortung von Anfragen ohne unangemessene Verzögerung. Die Parteien sind verpflichtet, die Anregungen und Entscheidungen der zuständigen Aufsichtsbehörden gebührend zu berücksichtigen.
(2) Die Parteien informieren einander unverzüglich über Kontrolltätigkeiten der Aufsichtsbehörden, um eine gemeinsam ausgearbeitete Antwort an die Kontrollbehörde zu gewährleisten. Gleiches gilt bei Gerichtsverfahren in Bezug auf den Gegenstand dieses Abkommens.
§ 6 Informationspflichten
(1) Die Parteien erfüllen vollumfänglich alle Informationspflichten in Bezug auf die unter diese Vereinbarung fallende Verarbeitung, insbesondere durch die Bereitstellung einer Datenschutzerklärung nach Art. 13 f. DS-GVO gegenüber den Endnutzern.
(2) Die Parteien stellen den wesentlichen Inhalt der vorliegenden Vereinbarung den betroffenen Personen zur Verfügung.
(3) Für die Erfüllung der Verpflichtungen nach Absatz 1 und 2 werden die Parteien das Muster in Anlage 1 nutzen. Dieses wird dem Endnutzer von der Partnerapotheke zur Verfügung gestellt.
(4) Die Parteien informieren die andere Partei über alle relevanten Vorgänge, die notwendig sind, um eine faire und transparente Datenverarbeitung zu gewährleisten.
§ 7 Anfragen und Rechte der betroffenen Personen
(1) Jede Partei ist dafür verantwortlich, die Rechte der betroffenen Personen nach Art. 12 - 23 DS-GVO zu gewährleisten. Jede Partei trifft geeignete Maßnahmen, um der jeweils anderen Partei alle Informationen für die Erfüllung der Rechte der betroffenen Personen, wie sie in Art. 12 - 23 DS-GVO vorgesehen sind, zur Verfügung zu stellen, soweit die Informationen von der anderen Partei nicht abgerufen werden können.
(2) Erhält eine Partei eine Anfrage oder ein Ersuchen direkt von einer betroffenen Person, so unterrichtet diese Partei die andere Partei unverzüglich schriftlich oder in Textform. Betroffene Personen erhalten die Auskunft grundsätzlich von der Vertragspartei, bei der die Anfrage gestellt wurde. Wenn nichts anderes vereinbart wird, beantwortet die Partei, bei der das Ersuchen einging, dieses innerhalb eines Monats. Falls die Beantwortung unter Berücksichtigung der Komplexität und der Anzahl von Anträgen eine längere Zeit in Anspruch nimmt, informiert die jeweils verantwortliche Partei den Betroffenen und die andere Partei über diesen Umstand und beantwortet das Ersuchen binnen eines angemessenen Zeitrahmens.
§ 8 Auftragsverarbeiter/Unterauftragnehmer
(1) Bei der Verarbeitung personenbezogener Daten ist die jeweils empfangende Partei berechtigt, Unterauftragnehmer als Auftragsverarbeiter gem. Art. 28 DS-GVO zu beauftragen, vorausgesetzt, dass die andere Partei zuvor schriftlich über diese Auftragsverarbeiter/Subunternehmer mit Namen, Kontaktdaten und Zweck der Verarbeitung informiert wird. Eine Liste der zum Zeitpunkt der Unterzeichnung der Vereinbarung autorisierten Verarbeiter/Unterauftragsverarbeiter ist für jedes Verfahren in Anlage 2 beigefügt. Die empfangende Partei informiert die andere Partei auch über beabsichtigte Ergänzungen oder Austausch von Auftragsverarbeitern/Unterauftragnehmern. In diesen Fällen erhält die andere Partei die Möglichkeit, gegen solche Änderungen innerhalb von 14 Tagen nach Erhalt der Information Einspruch zu erheben.
(2) Im Falle einer Auftragsverarbeitung/Unterauftragsvergabe wählt die den Vertrag schließende Partei den Auftragsverarbeiter/Unterauftragnehmer mit der gebührenden Sorgfalt aus. Sie gestaltet die vertraglichen Vereinbarungen so, dass sichergestellt ist, dass sie die Anforderungen an den Schutz personenbezogener Daten gem. Art. 28 DS-GVO einhalten. Jede Partei kann in begründeten Fällen eine Dokumentation verlangen, aus der hervorgeht, dass der geplante Verarbeiter/Unterauftragnehmer ausreichende Garantien für die Durchführung geeigneter technischer und organisatorischer Maßnahmen gem. Art. 28 DS-GVO bietet. Eine Beauftragung von Auftragsverarbeitern/Unterauftragnehmern die außerhalb der EU/EWR ansässig sind, ist unzulässig.
(3) Hilfsdienste sind von der in Abs. 1 beschriebenen Informationsanforderung ausgenommen. Hierunter fallen insbesondere Telekommunikationsdienste. Die empfangende Partei kann solche Anbieter von Hilfsdiensten nach freiem Ermessen benennen, wenn die rechtlichen Verpflichtungen gewährleistet werden.
§ 9 Benachrichtigung bei Datenschutzvorfällen
(1) Im Falle einer tatsächlichen oder vermuteten Verletzung des Schutzes personenbezogener Daten, wie zB Veränderung, unbefugte Offenlegung von bzw. unbefugter Zugang zu personenbezogenen Daten („Datenschutzvorfall“), wird die betroffene Partei die andere Partei unverzüglich schriftlich über den Datenschutzvorfall in Kenntnis setzen. Die Benachrichtigung beschreibt in klarer und deutlicher Sprache die Art der (vermuteten) Verletzung des Schutzes personenbezogener Daten, einschließlich ihrer voraussichtlichen Folgen.
(2) Im Falle einer solchen Verletzung personenbezogener Daten arbeiten die Parteien nach Treu und Glauben zusammen, um die Umsetzung ihrer datenschutzrechtlichen Verpflichtungen zu erreichen, und stellen sicher, dass die Meldung an die Aufsichtsbehörde oder die betroffene Person innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung personenbezogener Daten erfolgt.
(3) Die Parteien dokumentieren alle Verstöße gegen die Verarbeitung der von dieser Vereinbarung erfassten personenbezogenen Daten und stellen die Verfügbarkeit der Dokumentation auf Anforderung der anderen Partei oder der Datenschutz-Aufsichtsbehörde sicher.
§ 10 Technische und organisatorische Maßnahmen
(1) Die Parteien gewährleisten die Umsetzung angemessener technischer und organisatorischer Maßnahmen, um die Einhaltung der anwendbaren Gesetze zum Schutz personenbezogener Daten (insbesondere des Art. 32 DS-GVO) sicherzustellen.
(2) Jede Partei überprüft regelmäßig die Wirksamkeit und Angemessenheit der durchgeführten technischen und organisatorischen Maßnahmen. Nach jeder Prüfung berichtet die Partei der anderen Partei erforderlichenfalls über die vorgeschlagenen und ergriffenen Anpassungen zur Verbesserung der technischen und organisatorischen Maßnahmen.
§ 11 Laufzeit und Kündigungsrechte, Beendigung der Vereinbarung
(1) Diese Vereinbarung läuft auf unbestimmte Zeit und endet mit der Beendigung des Hauptvertrages. Eine isolierte Kündigung dieser Vereinbarung ist unzulässig.
(2) Bei Beendigung dieser Vereinbarung stellt die jeweils empfangende Partei die Verarbeitung personenbezogener Daten, die sie von der anderen Partei erhalten hat, unverzüglich ein und löscht die Daten. Dies gilt nicht, wenn die betreffende Partei auf anderer rechtlicher Grundlage zur weiteren Verarbeitung der Daten berechtigt oder verpflichtet ist. Die Löschung oder die Gründe für eine ausbleibende Löschung sind zu protokollieren und der jeweils anderen Partei auf Anfrage zur Verfügung zu stellen.
(3) Die Archivierung der personenbezogenen Daten zum Zweck der Erfüllung gesetzlicher Aufbewahrungsvorschriften bleibt zulässig.
§ 12 Haftung
(1) Die Parteien haften gegenüber den betroffenen Personen gem. Art. 82 DS-GVO.
(2) Im Innenverhältnis haften die Parteien nur für ihren jeweiligen Anteil an der haftungsbegründenden Ursache. Dies gilt auch für Bußgelder, die rechtskräftig sind und gegen die der Rechtsweg ausgeschöpft ist. Übersteigt ein Bußgeld den haftungsbegründenden Anteil, so ist die andere Partei verpflichtet, den übersteigenden Anteil zu ersetzen.
§ 13 Schlussbestimmungen
(1) Streitigkeiten aus oder im Zusammenhang mit dieser Vereinbarung beurteilen sich nach deutschem Recht. Gerichtsstand ist München. Die Parteien binden sich an diese Festlegung auch für Streitigkeiten zwischen ihnen und deren Hilfspersonal, soweit diese Streitigkeiten im Zusammenhang mit dieser Vereinbarung stehen.
(2) Änderungen und Ergänzungen dieser Vereinbarung, die Erklärung einer Kündigung sowie die Abänderung dieser Klausel bedürfen zu ihrer Wirksamkeit der Textform (§ 126 b BGB). Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.
§ 14 Anlagen
Die Anlagen sind integraler Bestandteile dieser Vereinbarung. Zum Zeitpunkt der Unterzeichnung sind die folgenden Anlagen Teil der Vereinbarung:
Anlage 1: Datenschutzerklärung für den Erwerb einer CovidBadge durch Verbraucher
Anlage 2: Von den Parteien eingesetzte Auftragsverarbeiter/Subunternehmer
Anlage 1
Datenschutzerklärung für den Erwerb einer CovidBadge durch Verbraucher
1. Definitionen
„Personenbezogene Daten“ sind nach Art. 4 DS-GVO alle Daten, die auf Sie persönlich beziehbar sind, z.B. Name, Anschrift oder E-Mail-Adresse. „Gesundheitsdaten“ sind nach Art. 4 DS-GVO personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
Hinsichtlich der weiteren nachfolgend verwendeten Begriffe, wie bspw. „Verantwortlicher“ oder „Auftragsverarbeiter“, verweisen wir auf den Katalog der Begriffsbestimmungen in Art. 4 DS-GVO.
2. Verantwortliche
Hinsichtlich der Verarbeitung der personenbezogenen Daten der Endnutzer bei Kauf und Lieferung der CovidBadge besteht eine gemeinsame Verantwortung für diese Datenverarbeitung (Art. 26 DS-GVO) von:
A. Sanvivo GmbH
Sportplatzstr. 6
86947 Weil
(„Verantwortlicher A“)
und
B. der Partnerapotheke, in welcher der Endnutzer die CovidBadge bestellt
(„Verantwortlicher B“).
Die vorstehend genannten Verantwortlichen haben eine Vereinbarung über ihre gemeinsame Verantwortung für die Datenverarbeitung abgeschlossen.
Zusammenfassung der wesentlichen Inhalte der genannten Vereinbarung:
Die Parteien haben vereinbart, dass
Die Parteien haften Ihnen für den Schaden, der durch eine nicht der DS-GVO entsprechende Verarbeitung verursacht wird, im Außenverhältnis gemeinsam.
3. Datenschutzbeauftragter
Zu besprechen
4. Art der verarbeiteten Daten
Bei der Bestellung, Anfertigung und Lieferung der CovidBadge werden folgende personenbezogene Daten verarbeitet:
A. Stammdaten (Name, Anschrift, Kontaktinformationen wie E-Mail-Adresse),
B. Das offizielle Impfzertifikat in Form eines QR-Codes erstellt durch das Robert-Koch-Institut über eine (vollständige) Schutzimpfung gegen das Coronavirus SARS-CoV-2; hierbei handelt es sich um Gesundheitsdaten des Endnutzers.
Die Daten unter A. und B. sind für die Durchführung des Vertrages erforderlich.
5. Zweckbestimmung der Verarbeitung
Die personenbezogenen Daten des Endnutzers werden verarbeitet, um den Vertrag über die Bestellung, Anfertigung und Lieferung der CovidBadge zu erfüllen. Dies schließt - soweit erforderlich (z.B. bei Zustellungsproblemen) - auch die Kontaktaufnahme mit dem Endnutzer unter Verwendung der angegebenen E-Mail-Adresse ein.
6. Rechtsgrundlagen der Verarbeitung
Rechtsgrundlage für die Verarbeitung der Stammdaten ist Art. 6 Abs. 1 S. 1 lit. b DS-GVO.
Speziell für die Verarbeitung der Gesundheitsdaten ist Rechtsgrundlage die Einwilligung des Endnutzers gemäß Art. 6 Abs. 1 S. 1 lit. a), 9 Abs. 2 lit. a) DS-GVO.
7. Weitergabe an Dritte, Auftragsverarbeiter
Der „Verantwortliche A“ setzt folgende externe Dienstleister als Auftragsverarbeiter nach Art. 28 DS-GVO ein, die vom Verantwortlichen sorgfältig ausgewählt und überwacht werden und mit denen eine Vereinbarung über die Auftragsverarbeitung gemäß den gesetzlichen Bestimmungen besteht:
A.
1. PPS GmbH (Druckerei)
Bahnhofstr. 172
83346 Bergen
Deutschland
2. Microsoft Ireland Operations (Daten werden auf deutschen Servern gespeichert)
8. Ihre Rechte als Betroffener
(1) Sie haben gegenüber den Verantwortlichen folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
– Recht auf Auskunft,
– Recht auf Berichtigung oder Löschung,
– Recht auf Einschränkung der Verarbeitung,
– Recht auf Widerspruch gegen die Verarbeitung,
– Recht auf Datenübertragbarkeit.
(2) Bezüglich des Widerspruchsrechts wird speziell darauf hingewiesen, dass Sie die Einwilligung zur Datenverarbeitung jederzeit widerrufen können, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.
(3) Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch die Verantwortlichen zu beschweren.
9. Dauer der Speicherung von personenbezogenen Daten bzw. Kriterien für die Speicherdauer
(1) Ihre personenbezogene Gesundheitsdaten werden nach 14 Tagen gelöscht.
(2) Ihre sonstigen personenbezogenen Daten werden gelöscht, nachdem und soweit die Speicherung zur Vertragsabwicklung nicht mehr erforderlich ist und keine gesetzlichen Pflichten der Verantwortlichen, wie gesetzliche Aufbewahrungspflichten (vgl. § 147 AO, § 257 HGB, § 14b UStG), einer Löschung entgegenstehen. Eine Löschung erfolgt demnach grundsätzlich 6 bis 10 Jahre nach Schluss des Kalenderjahres, in dem der Vertrag erfüllt wurde.
Anlage 2
Externe Dienstleister als Auftragsverarbeiter nach Art. 28 DS-GVO ein, die vom Verantwortlichen sorgfältig ausgewählt und überwacht werden und mit denen eine Vereinbarung über die Auftragsverarbeitung gemäß den gesetzlichen Bestimmungen besteht:
1. PPS GmbH (Druckerei)
Bahnhofstr. 172
83346 Bergen
Deutschland
2. Microsoft Ireland Operations (Daten werden auf deutschen Servern gespeichert)