DATENVERARBEITUNGSVERTRAG

AAS At Work B.V.

 

Bestehend aus:

Deel 1. Data Pro-Statement

Teil 2. Standard-Verarbeitungsklauseln

DATA PRO-ANWEISUNG

Diese Datenerklärung bildet zusammen mit den Standardklauseln für die Verarbeitung die Verarbeitungsvereinbarung für das Produkt oder die Dienstleistungen von AAS At Work BV.

ALLGEMEINE INFORMATIONEN

1. Diese Datenschutzerklärung wurde von AAS At Work BV, Bergen 2, 4844 EN Terheijden, erstellt. Wenn Sie Fragen zu dieser Datenschutzerklärung oder zum Datenschutz haben, wenden Sie sich bitte an A. Hendriks, info@navidocs.nl

2. Diese Datenschutzerklärung tritt am 1. Mai 2018 in Kraft. Bei Bedarf passen wir die in dieser Datenschutzerklärung beschriebenen Sicherheitsmaßnahmen regelmäßig an, um in Bezug auf den Datenschutz vorbereitet und auf dem neuesten Stand zu bleiben. Wir werden Sie über neue Versionen über unsere normalen Kanäle auf dem Laufenden halten. Das Data Pro Statement kann auch auf www.ocr-docs.com/dataprostatement eingesehen werden.

 

NAViDocs OCR-Dienst

3. Diese Datenpro-Erklärung gilt für den NAViDocs OCR-Dienst.

4. Der NAViDocs OCR Service ist eine Software as a Service (SAAS) Anwendung, die auf die automatische Dokumentenverarbeitung für Microsoft Dynamics NAV und Business Central abzielt.

5. Der NAViDocs OCR Service wurde entwickelt, um Text aus gelieferten digitalen Dokumenten/Bildern zu extrahieren und an den Kunden zurückzusenden.

6. Dieses Produkt/diese Dienstleistung berücksichtigt nicht die Verarbeitung besonderer Kategorien personenbezogener Daten oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten. Die Verarbeitung dieser Daten mit dem oben beschriebenen Produkt oder der Dienstleistung durch den Kunden liegt im eigenen Ermessen des Kunden.

7. Bei der Gestaltung des Produkts/der Dienstleistung hat der Datenverarbeiter den Datenschutz durch Technikgestaltung auf folgende Weise angewendet:

  • Benutzer können ihre eigenen Dateien in verschiedenen Formaten (pdf, jpeg, etc.) hochladen und Daten innerhalb ihrer eigenen Dynamics NAV / Business Central-Umgebung selbst ändern und löschen.

  • Der Auftragsverarbeiter prüft die Daten nicht und wird die Daten nur auf Anfrage des Kunden einsehen, z. B. wenn dies erforderlich ist, um eine Frage an den Helpdesk zu beantworten.

8. Der Datenverarbeiter verwendet für die Verarbeitung die Data Pro-Standardklauseln, die auf www.dataprocode.nl zu finden sind.

9. Der Datenverarbeiter verarbeitet die personenbezogenen Daten seiner Kunden innerhalb der EU/des EWR

10. Der Datenverarbeiter setzt keine Unterauftragsverarbeiter ein.

11. Der Datenverarbeiter unterstützt den Kunden bei Anfragen der beteiligten Parteien bei der Extraktion von Text aus Dokumenten, die vom Kunden im PDF-Format und von Bildern bereitgestellt werden.

12. Nach Beendigung des Vertrags mit einem Kunden löscht der Auftragsverarbeiter die personenbezogenen Daten, die er für den Kunden verarbeitet, innerhalb von 3 Monaten so, dass sie nicht mehr verwendet werden können und nicht mehr zugänglich sind.

13. Nach Beendigung des Vertrags mit dem Kunden gibt der Datenverarbeiter alle personenbezogenen Daten, die er für den Kunden verarbeitet, innerhalb von 3 Monaten zurück

Sicherheitsrichtlinie

14. Der Datenverarbeiter hat die folgenden Sicherheitsmaßnahmen ergriffen, um sein Produkt oder seine Dienstleistung zu schützen:

  • Der Zugriff auf den NAViDocs OCR Service erfolgt über eine sichere Verbindung (SSL) mit zweistufiger Authentifizierung.

  • Benutzerfreundlicher Zugang.

  • Benutzer sollten ihre Passwörter regelmäßig, mindestens einmal alle sechs Monate, ändern.

  • Strikte Trennung der Daten pro Client.

  • Anonymisierung der gelieferten Dokumente / Bilder.

  • Löschung der gelieferten Dokumente/Bilder nach einer Frist von 3 Monaten.

15. Der Datenverarbeiter hat das folgende Informationssicherheits-Managementsystem (ISMS) eingehalten: • NEN 7510, NEN 7512, NEN 7513 (für die Pflege; falls zutreffend)

Datalek-Protokoll

16. Für den Fall, dass etwas schief geht, verwendet der Datenverarbeiter das folgende Protokoll für Datenschutzverletzungen, um sicherzustellen, dass der Kunde über Vorfälle informiert ist:

  • Es gibt ein Verfahren für die interne Meldung von Vorfällen. Wenn der Datenverarbeiter eine Datenschutzverletzung in seiner Organisation feststellt, wird der Datenverarbeiter seinen Kunden so schnell wie möglich informieren, indem er sich an den vom Kunden benannten Beamten wendet. Der Datenverarbeiter stellt so viele relevante Daten wie möglich zur Verfügung, einschließlich einer Beschreibung des Vorfalls, der Art des Verstoßes, der Art der personenbezogenen Daten oder der Kategorien der betroffenen Personen, einer Schätzung der Anzahl der betroffenen Personen und Datenbanken, die betroffen sein könnten, einer Angabe, wann der Vorfall stattgefunden hat und was passiert ist.

  • Wenn möglich, werden die Meldungen innerhalb von 4 Stunden an die Kunden übermittelt. Der Datenverarbeiter berichtet nicht an AP oder die betroffenen Personen. Ob eine Meldung erfolgt oder nicht, obliegt dem vom Auftraggeber benannten Beamten. Auf Wunsch unterstützt der Auftragsverarbeiter den Auftraggeber oder den Verantwortlichen bei der Berichterstattung.

Teil 2: Standardverarbeitungsklauseln

Artikel 1. Definitionen

Die folgenden Begriffe haben in diesen Standardklauseln für die Verarbeitung, in der Datenerklärung und in der Vereinbarung die folgende Bedeutung:

1.1 Niederländische Datenschutzbehörde (DPA): Aufsichtsbehörde, wie in Artikel 4 Nr. 21 der DSGVO beschrieben.

1.2 DSGVO: die Datenschutz-Grundverordnung.

1.3 Datenverarbeiter: Partei, die als IKT-Lieferant personenbezogene Daten als Auftragsverarbeiter im Auftrag ihres Kunden im Rahmen der Vertragserfüllung verarbeitet.

1.4 Data Pro Statement: Erklärung des Datenverarbeiters, in der er unter anderem Informationen über die beabsichtigte Verwendung seines Produkts oder seiner Dienstleistung, die ergriffenen Sicherheitsmaßnahmen, Unterauftragsverarbeiter, Datenschutzverletzungen, Zertifizierungen und den Umgang mit den Rechten der betroffenen Personen bereitstellt.

1.5 Betroffene Person: eine identifizierte oder identifizierbare natürliche Person.

1.6 Kunde: Partei, in deren Auftrag der Datenverarbeiter personenbezogene Daten verarbeitet. Der Kunde kann entweder ein Verantwortlicher oder ein anderer Auftragsverarbeiter sein.

1.7 Vertrag: der zwischen dem Kunden und dem Datenverarbeiter geltende Vertrag, auf dessen Grundlage der ICT-Anbieter dem Kunden Dienstleistungen und/oder Produkte zur Verfügung stellt, zu dem der Verarbeitungsvertrag gehört.

1.8 Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person im Sinne von Artikel 4 Absatz 1 der DSGVO beziehen und die der Auftragsverarbeiter im Rahmen der Erfüllung seiner Verpflichtungen aus dem Vertrag verarbeitet.

1.9 Datenverarbeitungsvertrag: diese Standardklauseln für Verarbeitungsvorgänge, die zusammen mit der Datenerklärung (oder ähnlichen Informationen) des Datenverarbeiters die Datenverarbeitungsvereinbarung gemäß Artikel 28 Absatz 3 der DSGVO bilden.

Artikel 2. Allgemein

2.1 Diese Standardklauseln für die Verarbeitung gelten für die gesamte Verarbeitung personenbezogener Daten, die der Auftragsverarbeiter im Zusammenhang mit der Lieferung seiner Produkte und Dienstleistungen durchführt, sowie für alle Verträge und Angebote. Die Anwendbarkeit der Auftragsverarbeitungsverträge des Auftraggebers wird ausdrücklich abgelehnt.

2.2 Die Datenerklärung und insbesondere die darin enthaltenen Sicherheitsmaßnahmen können vom Datenverarbeiter von Zeit zu Zeit angepasst werden, um den sich ändernden Umständen Rechnung zu tragen. Der Datenverarbeiter wird den Kunden über alle wesentlichen Änderungen informieren. Wenn der Kunde mit den Anpassungen nicht vernünftigerweise einverstanden ist, ist der Kunde berechtigt, den Auftragsverarbeitungsvertrag innerhalb von 30 Tagen nach Bekanntgabe der Anpassungen schriftlich unter Angabe der Gründe für die Anpassungen zu kündigen.

2.3 Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten im Auftrag und im Auftrag des Kunden gemäß den schriftlichen Anweisungen des Kunden, die mit dem Auftragsverarbeiter vereinbart wurden.

2.4 Der Kunde oder sein Kunde ist der Verantwortliche im Sinne der DSGVO, hat die Kontrolle über die Verarbeitung der personenbezogenen Daten und hat den Zweck und die Mittel der Verarbeitung der personenbezogenen Daten festgelegt.

2.5 Der Auftragsverarbeiter ist ein Auftragsverarbeiter im Sinne der DSGVO und hat daher keine Kontrolle über den Zweck und die Mittel der Verarbeitung der personenbezogenen Daten und trifft daher keine Entscheidungen unter anderem über die Verwendung der personenbezogenen Daten.

2.6 Der Datenverarbeiter setzt die DSGVO um, wie in diesen Standardklauseln für die Verarbeitung, der Datenerklärung und der Vereinbarung festgelegt. Auf der Grundlage dieser Informationen obliegt es dem Kunden, zu beurteilen, ob der Datenverarbeiter ausreichende Garantien in Bezug auf die Anwendung geeigneter technischer und organisatorischer Maßnahmen bietet, um sicherzustellen, dass die Verarbeitung den Anforderungen der DSGVO entspricht und der Schutz der Rechte der betroffenen Personen ausreichend gewährleistet ist.

2.7 Der Kunde garantiert dem Auftragsverarbeiter, dass er in Übereinstimmung mit der DSGVO handelt, dass er seine Systeme und Infrastruktur jederzeit angemessen sichert und dass der Inhalt, die Verwendung und/oder die Verarbeitung der personenbezogenen Daten nicht rechtswidrig ist und keine Rechte Dritter verletzt.

2.8 Eine vom AP gegen den Kunden verhängte Geldbuße kann nicht vom Datenverarbeiter eingezogen werden, es sei denn, es liegt Vorsatz oder bewusste Fahrlässigkeit seitens der Geschäftsleitung des Datenverarbeiters vor.

Artikel 3. Sicherheit

3.1 Der Datenverarbeiter ergreift die technischen und organisatorischen Sicherheitsmaßnahmen, die in seiner Datenerklärung beschrieben sind. Bei der Ergreifung der technischen und organisatorischen Sicherheitsmaßnahmen hat der Auftragsverarbeiter den Stand der Technik, die Kosten für die Umsetzung der Sicherheitsmaßnahmen, die Art, den Umfang und den Kontext der Verarbeitung, die Zwecke und den Verwendungszweck seiner Produkte und Dienstleistungen, die Verarbeitungsrisiken und die Risiken für die Rechte und Freiheiten der betroffenen Personen berücksichtigt, die er in Bezug auf Eintrittswahrscheinlichkeit und Schwere als unterschiedlich ansieht Produkte und Dienstleistungen.

3.2 Sofern in der Datenerklärung nicht ausdrücklich anders angegeben, ist das Produkt oder die Dienstleistung des Datenverarbeiters nicht für die Verarbeitung besonderer Kategorien personenbezogener Daten oder von Daten im Zusammenhang mit strafrechtlichen Verurteilungen oder Straftaten bestimmt.

3.3 Der Datenverarbeiter bemüht sich sicherzustellen, dass die von ihm zu ergreifenden Sicherheitsmaßnahmen für die vom Datenverarbeiter beabsichtigte Nutzung des Produkts oder der Dienstleistung angemessen sind.

3.4 Nach Ansicht des Kunden bieten die beschriebenen Sicherheitsmaßnahmen unter Berücksichtigung der in Artikel 3.1 genannten Faktoren ein Sicherheitsniveau, das dem Risiko der Verarbeitung der vom Kunden verwendeten oder bereitgestellten personenbezogenen Daten angemessen ist.

3.5 Der Datenverarbeiter kann Änderungen an den getroffenen Sicherheitsmaßnahmen vornehmen, wenn dies seiner Meinung nach erforderlich ist, um weiterhin ein angemessenes Sicherheitsniveau zu gewährleisten. Der Datenverarbeiter wird wichtige Änderungen, z. B. in einer geänderten Datenpro-Erklärung, festhalten und den Kunden gegebenenfalls über diese Änderungen informieren.

3.6 Der Kunde kann den Datenverarbeiter auffordern, weitere Sicherheitsmaßnahmen zu ergreifen. Der Datenverarbeiter ist nicht verpflichtet, als Reaktion auf eine solche Anfrage Änderungen an seinen Sicherheitsmaßnahmen vorzunehmen. Der Datenverarbeiter kann dem Kunden die Kosten im Zusammenhang mit den auf Wunsch des Kunden vorgenommenen Änderungen in Rechnung stellen. Erst nachdem die vom Kunden gewünschten geänderten Sicherheitsmaßnahmen schriftlich vereinbart und von den Parteien unterzeichnet wurden, ist der Datenverarbeiter verpflichtet, diese Sicherheitsmaßnahmen tatsächlich umzusetzen.

Artikel 4. Verletzungen des Schutzes personenbezogener Daten

4.1 Der Datenverarbeiter garantiert nicht, dass die Sicherheitsmaßnahmen unter allen Umständen wirksam sind. Wenn der Datenverarbeiter eine Verletzung des Schutzes personenbezogener Daten (im Sinne von Artikel 4 Absatz 12 DSGVO) feststellt, wird er den Kunden unverzüglich informieren. Die Datenschutzerklärung (im Rahmen des Protokolls für Datenschutzverletzungen) legt die Art und Weise fest, in der der Datenverarbeiter den Kunden über Verstöße im Zusammenhang mit personenbezogenen Daten informiert.

4.2 Es obliegt dem Verantwortlichen (Auftraggeber oder dessen Kunde) zu beurteilen, ob der Verstoß im Zusammenhang mit personenbezogenen Daten, über den der Auftragsverarbeiter informiert hat, dem AP oder der betroffenen Person gemeldet werden muss. Die Meldung von Verletzungen des Schutzes personenbezogener Daten, die dem AP und/oder den betroffenen Personen gemäß den Artikeln 33 und 34 der DSGVO gemeldet werden müssen, liegt jederzeit in der Verantwortung des für die Verarbeitung Verantwortlichen (Auftraggeber oder dessen Kunde). Der Datenverarbeiter ist nicht verpflichtet, Verletzungen des Schutzes personenbezogener Daten dem AP und/oder der betroffenen Person zu melden.

4.3 Der Auftragsverarbeiter wird bei Bedarf weitere Informationen über die Verletzung des Schutzes personenbezogener Daten zur Verfügung stellen und mit ihm zusammenarbeiten, um dem Kunden die erforderlichen Informationen zum Zwecke einer Benachrichtigung gemäß den Artikeln 33 und 34 der DSGVO zur Verfügung zu stellen.

4.4 Der Auftragsverarbeiter kann dem Kunden die angemessenen Kosten, die ihm in diesem Zusammenhang entstehen, zu den jeweils geltenden Sätzen in Rechnung stellen.

Artikel 5. Geheimhaltung

5.1 Der Datenverarbeiter garantiert, dass die Personen, die personenbezogene Daten unter seiner Verantwortung verarbeiten, zur Vertraulichkeit verpflichtet sind.

5.2 Der Auftragsverarbeiter ist berechtigt, die personenbezogenen Daten an Dritte weiterzugeben, wenn und soweit dies aufgrund eines Gerichtsurteils, einer gesetzlichen Vorschrift oder auf der Grundlage einer behördlichen Anordnung erforderlich ist.

5.3 Alle Zugangs- und/oder Identifikationscodes, Zertifikate, Informationen über Zugangs- und/oder Passwortrichtlinien, die der Datenverarbeiter dem Kunden zur Verfügung stellt, und alle Informationen, die der Datenverarbeiter dem Kunden zur Verfügung stellt und die die in der Datenpro-Erklärung enthaltenen technischen und organisatorischen Sicherheitsmaßnahmen konkretisieren, sind vertraulich und werden vom Kunden als solche behandelt und nur autorisierten Mitarbeitern des Kunden zur Kenntnis gebracht künstlich. Der Kunde stellt sicher, dass seine Mitarbeiter die in diesem Artikel festgelegten Verpflichtungen einhalten.

Artikel 6. Laufzeit und Kündigung

6.1 Diese Datenverarbeitungsvereinbarung ist Bestandteil der Vereinbarung und jede neue oder weitere Vereinbarung, die sich daraus ergibt, tritt zum Zeitpunkt des Vertragsabschlusses in Kraft und wird auf unbestimmte Zeit geschlossen.

6.2 Diese Datenverarbeitungsvereinbarung endet kraft Gesetzes mit der Beendigung der Vereinbarung oder einer neuen oder weiteren Vereinbarung zwischen den Parteien.

6.3 Im Falle der Beendigung des Auftragsverarbeitungsvertrags löscht der Auftragsverarbeiter alle vom Kunden erhaltenen personenbezogenen Daten innerhalb der in der Datenerklärung angegebenen Frist so, dass sie nicht mehr verwendet werden können und nicht mehr zugänglich sind (unzugänglich machen), oder, falls vereinbart, gibt er sie in einem maschinenlesbaren Format an den Kunden zurück.

6.4 Der Auftragsverarbeiter kann dem Kunden alle Kosten in Rechnung stellen, die ihm im Rahmen der Bestimmungen von Artikel 6.3 entstehen. Weitere Vereinbarungen hierzu können im Data Pro Statement festgehalten werden.

6.5 Die Bestimmungen von Artikel 6.3 gelten nicht, wenn eine gesetzliche Vorschrift den Datenverarbeiter daran hindert, die personenbezogenen Daten ganz oder teilweise zu löschen oder zurückzugeben. In einem solchen Fall wird der Datenverarbeiter die personenbezogenen Daten nur in dem Umfang weiterverarbeiten, der im Rahmen seiner gesetzlichen Verpflichtungen erforderlich ist. Die Bestimmungen von Artikel 6.3 gelten auch dann nicht, wenn der Auftragsverarbeiter ein Verantwortlicher im Sinne der DSGVO in Bezug auf die personenbezogenen Daten ist.

Artikel 7. Rechte Betroffene Personen, Datenschutz-Folgenabschätzung (DSFA) und Auditrechte

7.1 Der Datenverarbeiter wird nach Möglichkeit mit angemessenen Anfragen des Kunden zusammenarbeiten, die sich auf die Rechte der betroffenen Personen beziehen, auf die sich die betroffenen Personen im Namen des Kunden berufen. Wenn der Datenverarbeiter direkt von einer betroffenen Person angesprochen wird, wird er den Datenverarbeiter nach Möglichkeit an den Kunden verweisen.

7.2 Wenn der Kunde dazu verpflichtet ist, wird der Auftragsverarbeiter auf begründete Anfrage hin mit einer Datenschutz-Folgenabschätzung (DSFA) oder einer anschließenden vorherigen Konsultation gemäß den Artikeln 35 und 36 der DSGVO zusammenarbeiten.

7.3 Der Datenverarbeiter kann die Einhaltung seiner Verpflichtungen aus dem Datenverarbeitungsvertrag durch ein gültiges Data Pro-Zertifikat oder ein mindestens gleichwertiges Zertifikat oder einen Prüfbericht (Third Party Memorandum) einer unabhängigen Expertenpartei nachweisen.

7.4 Auf Verlangen des Kunden stellt der Auftragsverarbeiter auch alle weiteren Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung der in diesem Datenverarbeitungsvertrag getroffenen Vereinbarungen nachzuweisen. Wenn der Kunde dennoch Grund zu der Annahme hat, dass die Verarbeitung personenbezogener Daten nicht in Übereinstimmung mit dem Verarbeitungsvertrag erfolgt, kann er auf Kosten des Kunden höchstens einmal im Jahr eine Prüfung durch einen unabhängigen, zertifizierten, externen Sachverständigen durchführen lassen, der nachweislich Erfahrung mit der Art der Verarbeitung hat, die auf der Grundlage des Vertrags durchgeführt wird. Die Prüfung beschränkt sich auf die Überprüfung der Einhaltung der Vereinbarungen über die Verarbeitung personenbezogener Daten, wie sie in dieser Datenverarbeitungsvereinbarung festgelegt sind. Der Experte ist zur Vertraulichkeit in Bezug auf das, was er findet, verpflichtet und wird dem Kunden nur berichten, was einen Mangel bei der Erfüllung der Verpflichtungen darstellt, die der Datenverarbeiter im Rahmen dieses Verarbeitungsvertrags hat. Der Sachverständige stellt dem Datenverarbeiter eine Kopie seines Berichts zur Verfügung. Der Auftragsverarbeiter kann ein Audit oder eine Anweisung des Experten verweigern, wenn dies seiner Meinung nach gegen die DSGVO oder andere Rechtsvorschriften verstößt oder einen unzulässigen Verstoß gegen die von ihm getroffenen Sicherheitsmaßnahmen darstellt.

7.5 Die Parteien werden sich so bald wie möglich über die Ergebnisse des Berichts beraten. Die Parteien werden die in dem Bericht vorgeschlagenen Verbesserungsmaßnahmen weiterverfolgen, soweit dies vernünftigerweise von ihnen erwartet werden kann. Der Auftragsverarbeiter wird die vorgeschlagenen Verbesserungsmaßnahmen umsetzen, soweit sie seiner Meinung nach angemessen sind, unter Berücksichtigung der mit seinem Produkt oder seiner Dienstleistung verbundenen Verarbeitungsrisiken, des Stands der Technik, der Implementierungskosten, des Marktes, auf dem er tätig ist, und des beabsichtigten Verwendungszwecks des Produkts oder der Dienstleistung.

7.6 Der Datenverarbeiter hat das Recht, dem Kunden die Kosten in Rechnung zu stellen, die ihm im Rahmen der Bestimmungen dieses Artikels entstehen.

Artikel 8. Unterauftragsverarbeiter

8.1 In der Datenerklärung hat der Datenverarbeiter angegeben, ob und wenn ja, welche Dritten (Unterauftragsverarbeiter) an der Verarbeitung der personenbezogenen Daten beteiligt sind.

8.2 Der Kunde erteilt dem Datenverarbeiter die Erlaubnis, andere Unterauftragsverarbeiter mit der Erfüllung seiner Verpflichtungen aus dem Vertrag zu beauftragen.

8.3 Der Auftragsverarbeiter informiert den Kunden über eine Änderung der vom Auftragsverarbeiter beauftragten Dritten, z. B. durch eine geänderte Datenpro-Erklärung. Der Kunde hat das Recht, der oben genannten Änderung durch den Datenverarbeiter zu widersprechen. Der Auftragsverarbeiter stellt sicher, dass sich die von ihm beauftragten Dritten zu dem gleichen Sicherheitsniveau in Bezug auf den Schutz personenbezogener Daten verpflichten, wie das Sicherheitsniveau, zu dem der Auftragsverarbeiter gegenüber dem Kunden auf der Grundlage der Datenpro-Erklärung verpflichtet ist.

Artikel 9. Verbleibend

Diese Standardklauseln für die Verarbeitung bilden zusammen mit der Datenerklärung einen integralen Bestandteil der Vereinbarung. Alle Rechte und Pflichten aus dem Vertrag, einschließlich der geltenden Allgemeinen Geschäftsbedingungen und/oder Haftungsbeschränkungen, gelten daher auch für den Auftragsverarbeitungsvertrag.