datenverarbeitungsvertrag.
DSGVO Artikel 28 · VaultPAM Security Sp. z o.o.
| Version | 1.0-Entwurf |
| Inkrafttreten | TBD — unterliegt der rechtlichen Prüfung vor Veröffentlichung (AIC-1571) |
| Parteien | VaultPAM Security Sp. z o.o. (Auftragsverarbeiter) und Kunde (Verantwortlicher) |
Hinweis zum Entwurf: Dies ist ein interner Erstertwurf zur Überprüfung durch den Rechtsbeistand. Noch nicht in Kraft.
Erwägungsgründe
Dieser Datenverarbeitungsvertrag („DVV“) wird geschlossen zwischen:
Verantwortlicher: die Kundeneinheit, die den Nutzungsbedingungen von VaultPAM zugestimmt oder einen Bestellschein unterzeichnet hat („Kunde“ oder „Verantwortlicher“);
Auftragsverarbeiter: VaultPAM Security Sp. z o.o., ul. Żelazna 51/53, 00-841 Warschau, Polen („VaultPAM“ oder „Auftragsverarbeiter“).
Dieser DVV ist Bestandteil der Nutzungsbedingungen und jedes anwendbaren Bestellscheins und in diese einbezogen. Er soll die Anforderungen von Artikel 28 der Verordnung (EU) 2016/679 („DSGVO“) erfüllen.
1. Begriffsbestimmungen
„DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.
„Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“, „personenbezogene Daten“, „Verarbeitung“ und „Verletzung des Schutzes personenbezogener Daten“ haben die in Artikel 4 DSGVO festgelegten Bedeutungen.
„Dienst“ bezeichnet die VaultPAM-Plattform, die dem Kunden gemäß den Nutzungsbedingungen bereitgestellt wird.
„Kundendaten“ bezeichnet personenbezogene Daten, die vom Kunden oder in seinem Auftrag in den Dienst übertragen, darin erfasst oder darin generiert werden, einschließlich Sitzungsaufzeichnungen, Zugriffsprotokolle, Zugangsdaten-Metadaten und Nutzeridentitätsdaten.
„Unterauftragsverarbeiter“ bezeichnet jeden Dritten, der von VaultPAM zur Verarbeitung von Kundendaten im Auftrag von VaultPAM eingesetzt wird.
„Aufsichtsbehörde“ bezeichnet die zuständige nationale Datenschutz-Aufsichtsbehörde — für VaultPAM den Präsidenten des Amtes für den Schutz personenbezogener Daten (UODO) in Polen, und für den Kunden die zuständige Behörde in seinem EWR-Mitgliedstaat.
2. Gegenstand, Dauer und Art der Verarbeitung
Gegenstand: VaultPAM verarbeitet Kundendaten, um den in den Nutzungsbedingungen beschriebenen Dienst zur privilegierten Zugriffsverwaltung bereitzustellen.
Dauer: Die Verarbeitung beginnt, wenn der Kunde erstmals Daten in den Dienst übermittelt, und dauert für die Laufzeit des Abonnements an, zuzüglich etwaiger Aufbewahrungsfristen für die sichere Löschung gemäß Klausel 3(g).
Art und Zweck: Speicherung, Abruf, Organisation, Aufzeichnung, Übertragung und Analyse von Kundendaten, um dem Kunden die Verwaltung, Prüfung und Kontrolle des privilegierten Zugriffs auf die IT-Infrastruktur des Kunden zu ermöglichen.
Arten der verarbeiteten personenbezogenen Daten:
- Identitätsdaten: vollständige Namen von Mitarbeitern, Berufsbezeichnungen, E-Mail-Adressen, Mitarbeiter-IDs
- Authentifizierungsdaten: MFA-Herausforderungsnachweise, Zeitstempel von Authentifizierungsereignissen, IP-Adressen, Geräte-Fingerprints
- Sitzungsaktivitätsdaten: Startzeiten/Endzeiten von Sitzungen, Zielhost-Kennungen, Tastenprotokoll-Inhalte, Bildschirmaufzeichnungsinhalte, Dateiübertragungs-Metadaten
- Zugangsdaten-Metadaten: Tresoreintragsnamen, Zeitstempel der letzten Nutzung (auf den Klartext der Zugangsdaten haben VaultPAM-Mitarbeiter keinen Zugriff)
- Prüfprotokolldaten: API-Aufrufprotokolle, Verwaltungsaktionsnachweise, Richtlinienänderungsereignisse
Kategorien betroffener Personen:
- Mitarbeiter, Auftragnehmer und andere Personen des Kunden, die für den Zugriff auf privilegierte Infrastruktur autorisiert sind
- IT-Systemadministratoren und privilegierte Nutzer, deren Zugriffsereignisse im Prüfpfad erfasst werden
3. Pflichten des Auftragsverarbeiters (DSGVO Art. 28 Abs. 3)
3(a) Verarbeitung nur auf Weisung
VaultPAM verarbeitet Kundendaten ausschließlich auf dokumentierte Weisung des Kunden, sofern keine Verpflichtung nach Unions- oder Mitgliedstaatenrecht besteht. Soweit VaultPAM gesetzlich verpflichtet ist, Kundendaten ohne Weisung des Kunden zu verarbeiten, informiert VaultPAM den Kunden vor dieser Verarbeitung, es sei denn, dies ist gesetzlich verboten.
VaultPAM unterrichtet den Kunden unverzüglich, wenn nach Einschätzung von VaultPAM eine Weisung gegen die DSGVO oder anderes anwendbares Datenschutzrecht verstößt.
Die dokumentierten Weisungen des Kunden sind: (i) die Bedingungen dieses DVV; (ii) die Nutzungsbedingungen; (iii) die Konfiguration des Dienstes durch den Kunden; und (iv) etwaige weitere schriftliche Weisungen des Kunden.
3(b) Vertraulichkeit der Verarbeitung
VaultPAM stellt sicher, dass Personen, die zur Verarbeitung von Kundendaten befugt sind, vertraglichen oder gesetzlichen Vertraulichkeitspflichten unterliegen, die mindestens ebenso schutzwirksam sind wie die Pflichten in diesem DVV.
3(c) Sicherheitsmaßnahmen (Art. 32)
VaultPAM implementiert und pflegt die in Anlage I festgelegten technischen und organisatorischen Sicherheitsmaßnahmen zum Schutz von Kundendaten vor unbefugter oder unrechtmäßiger Verarbeitung, versehentlichem Verlust, Zerstörung oder Schädigung. VaultPAM überprüft und aktualisiert diese Maßnahmen regelmäßig entsprechend den sich entwickelnden Risiken und dem Stand der Technik.
3(d) Bedingungen für Unterauftragsverarbeiter
VaultPAM wird keinen neuen Unterauftragsverarbeiter einsetzen, ohne den Kunden im Voraus zu informieren und ihm Gelegenheit zu geben, aus berechtigten Gründen Einwände zu erheben. VaultPAM wird jedem Unterauftragsverarbeiter durch schriftlichen Vertrag gleichwertige Datenschutzpflichten auferlegen. Die aktuelle Liste der genehmigten Unterauftragsverarbeiter ist in Anlage II aufgeführt.
Erhebt der Kunde berechtigten Einwand gegen einen neuen Unterauftragsverarbeiter und kann VaultPAM den Dienst ohne diesen Unterauftragsverarbeiter nicht erbringen, kann jede Partei die betroffenen Dienste mit einer Frist von 30 Tagen Schriftform kündigen, ohne Vertragsstrafe.
VaultPAM haftet dem Kunden gegenüber für Handlungen und Unterlassungen seiner Unterauftragsverarbeiter in gleichem Umfang, als hätte VaultPAM die Verarbeitung selbst vorgenommen.
3(e) Unterstützung bei den Rechten betroffener Personen
VaultPAM unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anfragen betroffener Personen gemäß DSGVO Kapitel III nachzukommen (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch).
VaultPAM leitet dem Kunden unverzüglich jede Anfrage einer betroffenen Person weiter, die Kundendaten betrifft, und beantwortet solche Anfragen nicht im Namen des Kunden, ohne dessen vorherige schriftliche Weisung.
3(f) Unterstützung bei Pflichten nach Art. 32–36
VaultPAM unterstützt den Kunden bei der Erfüllung seiner Pflichten gemäß DSGVO-Artikeln 32–36, einschließlich Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen an Aufsichtsbehörden, Datenschutz-Folgenabschätzungen und vorherige Konsultation.
3(g) Löschung oder Rückgabe von Daten
Nach Ablauf oder Kündigung des Abonnements löscht oder gibt VaultPAM nach Wahl des Kunden alle Kundendaten innerhalb von 30 Tagen zurück und bestätigt die Löschung schriftlich, sofern kein Unions- oder Mitgliedstaatenrecht eine weitere Speicherung erfordert. Der Kunde ist verantwortlich dafür, erforderliche Daten vor Ablauf der 30-tägigen Nachlaufzeit zu exportieren.
WORM-Ausnahme: Die 30-Tage-Löschzusage gilt nicht für Daten, die unter der unverfälschlichen Speicherfunktion (WORM) gesperrt sind (Klausel 6.2). WORM-gesperrte Daten können erst nach Ablauf des konfigurierten Sperrzeitraums gelöscht werden. VaultPAM behält WORM-gesperrte Daten nach Kündigung auf der Grundlage von DSGVO Art. 17 Abs. 3 lit. e (Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen) oder Art. 17 Abs. 3 lit. b (Erfüllung einer rechtlichen Verpflichtung oder Aufgabe im öffentlichen Interesse) bei. Durch die Aktivierung von WORM erkennt der Kunde an, dass Löschungsanfragen betroffener Personen in Bezug auf WORM-gesperrte Daten bis zum Ablauf der Sperrfrist eingeschränkt sein können, und ist als Verantwortlicher verpflichtet, betroffene Personen über diese Einschränkung gemäß DSGVO Art. 11 Abs. 2 zu informieren.
3(h) Prüfung und Information
VaultPAM stellt dem Kunden alle Informationen zur Verfügung, die notwendig sind, um die Einhaltung der Pflichten in diesem DVV nachzuweisen, und unterstützt Prüfungen und Inspektionen durch den Kunden oder einen beauftragten Prüfer, vorbehaltlich:
- mindestens 30 Tage im Voraus schriftlicher Ankündigung;
- Einigung über Umfang und angemessene Kostenaufteilung; und
- Unterzeichnung einer Vertraulichkeitsvereinbarung durch den Prüfer.
Der Kunde verpflichtet sich, Prüfungsrechte höchstens einmal pro Kalenderjahr auszuüben, es sei denn, eine Aufsichtsbehörde verlangt dies oder nach einer bestätigten Datenschutzverletzung.
4. Meldung von Datenschutzverletzungen
4.1 VaultPAM meldet dem Kunden eine bestätigte oder begründet vermutete Verletzung des Schutzes personenbezogener Daten, die Kundendaten betrifft, unverzüglich und nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden.
4.2 Die erstmalige Meldung enthält, soweit dann bekannt: (a) eine Beschreibung der Art der Verletzung; (b) ungefähre Kategorien und Anzahl der betroffenen Datensätze und Personen; (c) die Datenschutz-Kontaktdaten von VaultPAM; (d) wahrscheinliche Folgen; und (e) ergriffene oder vorgeschlagene Maßnahmen zur Bewältigung und Abmilderung der Verletzung.
4.3 VaultPAM liefert weitere Informationen, sobald diese verfügbar sind. Soweit nicht alle erforderlichen Informationen bei der ersten Meldung vorliegen, werden sie in Etappen mitgeteilt.
4.4 Der Kunde ist allein dafür verantwortlich, zu beurteilen, ob eine Meldepflicht gegenüber Aufsichtsbehörden (Art. 33) oder betroffenen Personen (Art. 34) besteht, und entsprechende Meldungen vorzunehmen.
5. Internationale Datenübermittlungen
5.1 VaultPAM übermittelt Kundendaten nicht in ein Land außerhalb des Europäischen Wirtschaftsraums („EWR“), ohne vorherige schriftliche Zustimmung des Kunden, es sei denn, die Übermittlung erfolgt in ein Land mit einem EU-Angemessenheitsbeschluss oder unterliegt geeigneten Garantien nach DSGVO Art. 46 (z. B. Standardvertragsklauseln — SVK).
5.2 Standardmäßig werden Kundendaten im Ruhezustand innerhalb der EU gespeichert — Google Cloud Platform, Region europe-central2, Warschau, Polen.
5.3 Soweit in Anlage II aufgeführte Unterauftragsverarbeiter Daten außerhalb des EWR verarbeiten, hat VaultPAM SVK oder gleichwertige Garantien eingerichtet, wie in Anlage II angegeben.
6. PAM-spezifische Verarbeitungsklauseln
6.1 Sitzungsaufzeichnungen
VaultPAM zeichnet Tastenanschlagsprotokolle, Bildschirminhalte und Dateiübertragungs-Metadaten, die während privilegierter Sitzungen generiert werden, ausschließlich im Auftrag und auf Weisung des Kunden auf (über die Aufzeichnungsrichtlinien-Konfiguration des Kunden).
Der Kunde ist als Verantwortlicher dafür verantwortlich sicherzustellen, dass:
- Mitarbeiter und Auftragnehmer, deren Sitzungen aufgezeichnet werden, gemäß geltendem Arbeits- und Datenschutzrecht informiert werden;
- erforderliche Betriebsrats-Genehmigungen, Mitarbeiteranhörungen oder gleichwertige Verfahren abgeschlossen werden, bevor die Aufzeichnung für eine Kategorie von Nutzern aktiviert wird;
- Aufzeichnungsrichtlinien die legitimen Zwecke und den Aufbewahrungsbedarf des Kunden widerspiegeln.
VaultPAM speichert Sitzungsaufzeichnungen in verschlüsselter Form. Aufzeichnungsinhalte sind nur für vom Kunden benannte Administratoren mit der zugewiesenen RBAC-Rolle zugänglich. VaultPAM-Supportmitarbeiter greifen nicht auf Aufzeichnungsinhalte zu, es sei denn, der Kunde erteilt dazu ausdrücklich eine schriftliche Anfrage zur Behebung eines technischen Problems.
6.2 Aufbewahrung und unverfälschliche Speicherung (WORM)
Der Kunde kann Aufbewahrungsrichtlinien für Sitzungsaufzeichnungen und Prüfprotokolle konfigurieren. Wenn der Kunde die unverfälschliche Speicherfunktion (WORM — Write Once, Read Many) aktiviert:
- Können im WORM-Modus geschriebene Aufzeichnungen und Prüfprotokolle bis zum Ablauf des konfigurierten Aufbewahrungszeitraums weder geändert noch gelöscht werden, auch nicht auf Weisung des Kunden oder bei Kündigung des Abonnements.
- Die Funktion wird dem Kunden zu Compliance-Zwecken bereitgestellt (z. B. NIS2-, SOC 2-, ISO 27001-Prüfnachweise).
- VaultPAM löscht WORM-gesperrte Daten nicht vor Ablauf der Sperrfrist, es sei denn, der Kunde legt eine dokumentierte Rechtsgrundlage (Gerichtsbeschluss oder äquivalent) für eine vorzeitige Löschung vor.
- Standard-WORM-Aufbewahrungszeitraum: 90 Tage. Maximal konfigurierbarer Zeitraum: 7 Jahre.
6.3 Zugangsdaten-Tresor
VaultPAM speichert privilegierte Zugangsdaten (Passwörter, SSH-Schlüssel, API-Token) im Auftrag des Kunden in einem verschlüsselten Tresor mit folgenden Kontrollen:
- Der Klartext der Zugangsdaten wird im Ruhezustand mit AES-256 mit einer kundenspezifischen Schlüsselhierarchie verschlüsselt, die von einer dedizierten HashiCorp-Vault-Instanz verwaltet wird.
- VaultPAM-Betriebsmitarbeiter haben keinen Zugriff auf den Klartext der Zugangsdaten; aller Zugriff erfolgt über die PAM-Steuerungsebene unter RBAC-Durchsetzung mit einem vollständigen Prüfpfad.
- Zugangsdaten-Auschecken, -Nutzung und -Rückgabe werden protokolliert und in den unverfälschlichen Prüfpfad des Kunden aufgenommen.
- Der Kunde kann Just-in-Time-Zugangsdaten-Rotation und automatische Rotationspläne konfigurieren.
Der Kunde ist als Verantwortlicher dafür zuständig, Rotationsrichtlinien entsprechend seinen Sicherheitsanforderungen und anwendbaren Standards zu konfigurieren.
6.4 Rechtmäßige Abhörmaßnahmen und Anfragen von Strafverfolgungsbehörden
6.4.1 Wenn VaultPAM von einer Strafverfolgungs- oder Regierungsbehörde eine rechtsverbindliche Forderung nach Kundendaten erhält (Vorladung, Gerichtsbeschluss, behördliche Mitteilung oder Äquivalent), wird VaultPAM:
- den Kunden unverzüglich und vor jeder Offenlegung benachrichtigen, es sei denn, ein Gesetz oder Gerichtsbeschluss verbietet dies;
- die Forderung anfechten, wenn VaultPAM begründet der Ansicht ist, dass diese rechtlich ungültig, überzogen oder unvereinbar mit anwendbarem EU-Recht oder der DSGVO ist;
- etwaige Offenlegungen auf die von der Forderung zwingend erforderten Mindestdaten beschränken; und
- die Anfechtung und ihr Ergebnis im Kundenkonto dokumentieren.
6.4.2 VaultPAM offenbart Kundendaten keiner Regierungsbehörde freiwillig oder proaktiv ohne rechtsverbindliche Forderung.
6.4.3 Ist VaultPAM gesetzlich verpflichtet, den Kunden nicht über eine Forderung zu informieren, wird VaultPAM: die Forderung intern dokumentieren; den Kunden benachrichtigen, sobald dies gesetzlich erlaubt ist; und versuchen, ein etwaiges Benachrichtigungsverbot einzuschränken oder anzufechten, soweit rechtlich möglich.
6.4.4 Der Kunde erkennt an, dass VaultPAMs Möglichkeit, eine Forderung anzufechten, dem anwendbaren Recht unterliegt und VaultPAM in allen Umständen keinen erfolgreichen Ausgang garantieren kann.
7. Datenschutz-Kontakt
Datenschutz-Kontakt von VaultPAM: dpa@vaultpam.com
8. Haftung
8.1 Geltungsbereich der Haftungsobergrenze der Nutzungsbedingungen. Die in den Nutzungsbedingungen (Abschnitt 10) enthaltenen Haftungsbeschränkungen und die Gesamthaftungsobergrenze gelten gleichermaßen für Ansprüche, die aus diesem DVV entstehen oder damit zusammenhängen, einschließlich Ansprüchen wegen Verletzung von DSGVO-Pflichten.
8.2 Gegenseitige Freistellung. Jede Partei stellt die andere Partei von Schäden, Bußgeldern, Strafen oder Kosten (einschließlich angemessener Rechtsanwaltskosten) frei, die der anderen Partei durch eine Aufsichtsbehörde oder ein Gericht zuerkannt werden, soweit diese direkt auf einen Verstoß der freistellenden Partei gegen ihre Pflichten aus diesem DVV oder der DSGVO zurückzuführen sind.
8.3 Beitrag nach DSGVO Art. 82. Zahlt eine Partei gemäß DSGVO Art. 82 Schadenersatz an eine betroffene Person für einen Schaden, der ganz oder teilweise auf einen Verstoß der anderen Partei zurückzuführen ist, kann die zahlende Partei den auf den Verstoß der anderen Partei entfallenden Anteil zurückfordern. Die Parteien werden in gutem Glauben zusammenarbeiten, um die Haftung aufzuteilen.
8.4 Keine Bestimmung dieses Abschnitts schränkt die Haftung einer Partei für grobe Fahrlässigkeit oder vorsätzliches Fehlverhalten ein.
9. Anwendbares Recht
Dieser DVV unterliegt polnischem Recht. Streitigkeiten werden entsprechend den Nutzungsbedingungen gelöst.
Anlage I — Technische und organisatorische Sicherheitsmaßnahmen (Art. 32 DSGVO)
| Kategorie | Maßnahme |
|---|---|
| Verschlüsselung im Ruhezustand | AES-256 für alle in der Plattform gespeicherten Kundendaten (Datenbank, Sitzungsaufzeichnungen, Zugangsdaten-Tresor) |
| Verschlüsselung in der Übertragung | TLS 1.2+ für alle Daten in der Übertragung; RDP- und SSH-Sitzungen nutzen protokollnative Verschlüsselung |
| Zugangskontrollen | RBAC durch die Steuerungsebene erzwungen; MFA für alle Administratorzugriffe verpflichtend |
| Zugangsdaten-Tresor | Privilegierte Zugangsdaten in HashiCorp Vault mit kundenspezifischer Schlüsselhierarchie gespeichert; kein Klartextzugriff für VaultPAM-Mitarbeiter |
| Integrität der Sitzungsaufzeichnungen | WORM-Speicher mit kryptografischen Prüfsummen; Manipulationsnachweis bei Abruf verifiziert |
| Prüfprotokollierung | Umfassender unverfälschlicher Prüfpfad aller Verwaltungsaktionen, Sitzungsereignisse und API-Aufrufe |
| Schwachstellenmanagement | Automatisierte Abhängigkeitsprüfung (cargo-audit, Dependabot); regelmäßige externe Penetrationstests |
| Patch-Management | Kritische Sicherheits-Patches innerhalb von 72 Stunden; routinemäßige Patches innerhalb von 30 Tagen |
| Vorfallreaktion | Dokumentierter Vorfallreaktionsplan; 72-Stunden-Verletzungsmeldungs-SLA an den Kunden |
| Geschäftskontinuität | GCP-verwaltete Dienste mit regionaler Redundanz; dokumentierte RTO/RPO-Ziele |
| Unterauftragsverarbeiter-Sicherheit | Jeder Unterauftragsverarbeiter auf DSGVO-Angemessenheit geprüft; Unterauftragsverarbeiter-DVV eingerichtet |
| Physische Sicherheit | Daten ausschließlich in GCP-Rechenzentren (europe-central2, Warschau, Polen) verarbeitet; GCP hält ISO 27001- und SOC 2-Zertifizierungen |
| Mitarbeiterschulung | Alle VaultPAM-Mitarbeiter mit Zugriff auf Kundendaten erhalten Datenschutz- und Sicherheitsschulungen |
| Pseudonymisierung | Sitzungsprotokolle und Prüfpfade nutzen interne Nutzer-IDs; PII-Zuordnung wird separat mit Zugangskontrolle gespeichert |
Anlage II — Genehmigte Unterauftragsverarbeiter
| Unterauftragsverarbeiter | Standort | Verarbeitungstätigkeit | Datenkategorien |
|---|---|---|---|
| Google Cloud Platform (GCP) | Google Ireland Ltd., Dublin 4, Irland; Infrastruktur in europe-central2, Warschau, Polen (EU) | Cloud-Compute, verwaltete PostgreSQL-Datenbanken, Objektspeicher (Sitzungsaufzeichnungen), Kubernetes (GKE) | Alle Kundendaten |
| Google Workspace (SMTP-Relay) | Google Ireland Ltd., Dublin 4, Irland (EU) | Transaktionale E-Mail-Zustellung (Kontobenachrichtigungen, Verletzungsbenachrichtigungen) | E-Mail-Adresse, Benachrichtigungsinhalt |
| SMSAPI Sp. z o.o. | ul. Trakt Lubelski 352, 04-667 Warschau, Polen (EU) | SMS-basierte OTP-Zustellung für MFA | Mobiltelefonnummer, OTP-Inhalt |
| SerwerSMS Sp. z o.o. | Polen (EU) | SMS-basierte OTP-Zustellung für MFA (alternativer Anbieter) | Mobiltelefonnummer, OTP-Inhalt |
VaultPAM aktualisiert diese Anlage beim Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und informiert den Kunden vorab gemäß Klausel 3(d).
Auch verfügbar in: English · Polski · Français
Fragen zu diesem DVV? Kontaktieren Sie uns unter dpa@vaultpam.com. Siehe auch: Datenschutzrichtlinie · Nutzungsbedingungen.