Close

BaFin

Atlassian Outsourcing Guidelines

Questo grafico è progettato per aiutare le istituzioni di servizi finanziari sottoposti alla supervisione di BaFin, l'Autorità federale di vigilanza finanziaria tedesca, ad associare ogni paragrafo del Capitolo V (Condizioni contrattuali in caso di esternalizzazione (materiale)) delle Linee guida sull'esternalizzazione ai fornitori di servizi cloud ("Indicazioni BaFin") alla documentazione contrattuale corrispondente del cliente di Atlassian.

Se hai già un contratto Atlassian o desideri saperne di più su come queste condizioni potrebbero applicarsi al tuo contratto, contattaci.

Linee guida per l'esternalizzazione Atlassian

N.
Considerazioni e requisiti
Commento di Atlassian

1.

A seconda dei requisiti della legge di vigilanza, il contratto di esternalizzazione per l'esternalizzazione materiale1 o per l'esternalizzazione non differenziata secondo il Codice tedesco sugli investimenti di capitale (KAGB) dovrebbe includere, in particolare, i termini e le condizioni seguenti:

 

2.

1. Ambito di esecuzione

 

3.

Il contratto dovrebbe includere una specifica e, se necessario, una descrizione del servizio che deve essere eseguito dal fornitore di servizi cloud. Questo dovrebbe essere stabilito in ciò che è definito l'accordo sui livelli di servizio. In questo contesto, occorre definire i seguenti aspetti:

 

4.

  • il servizio da esternalizzare e la sua implementazione (ad es. il tipo di servizio e modello di distribuzione, l'ambito dei servizi offerti (ad esempio potenza di elaborazione o spazio di memoria disponibile, requisiti di disponibilità, tempi di risposta)
  • La nostra Documentazione, inclusa come riferimento nel contratto con il cliente Atlassian per i clienti idonei, contiene descrizioni chiare dei prodotti Cloud interessati.

    5.

  • Servizi di assistenza
  • I clienti idonei hanno accesso all'Offerta di Assistenza Atlassian, che è disciplinata dal contratto con il cliente Atlassian.

    6.

  • responsabilità, doveri di cooperazione e fornitura (ad esempio in caso di aggiornamenti)
  • Generalmente disciplinati dal contratto con il cliente Atlassian.

    7.

  • luogo di esecuzione (ad es. presso la sede in cui sono ubicati i data center)
  • Determinati prodotti Cloud interessati includono funzionalità di residenza dei dati all'interno del prodotto, come descritto in dettaglio qui, che consentono agli amministratori dei clienti di conservare i dati di prodotto inclusi nell'ambito in una posizione di loro scelta. Questa pagina descrive la nostra infrastruttura di hosting del cloud

    Ci impegniamo contrattualmente a (a) non ridurre sostanzialmente la qualità delle funzionalità dei prodotti durante il periodo di abbonamento applicabile e a (b) informare i clienti di eventuali modifiche alle nostre sedi di hosting dei dati.

    8.

  • inizio e fine del contratto di esternalizzazione
  • Il contratto con il cliente Atlassian stabilisce la durata predefinita di un periodo di abbonamento e tutti i termini di preavviso applicabili. Inoltre, quando effettui un ordine per uno o più prodotti Cloud interessati, questo conterrà la data di inizio e di fine del periodo di abbonamento corrispondente.

    9.

  • percentuali chiave per l'esecuzione di una revisione continua del livello di servizio
  • I termini dei livelli di servizio corrispondenti, nonché i rimedi per il mancato rispetto dei livelli di servizio, per i prodotti Cloud interessati sono illustrati nel nostro Accordo sui livelli di servizio e nei Termini specifici di prodotto corrispondenti.

    10.

  • indicatori per l'identificazione di un livello di servizio inaccettabile.
  • Pubblichiamo aggiornamenti sulla disponibilità dei servizi su https://status.atlassian.com e ci impegniamo contrattualmente a informare i clienti in merito agli eventi che hanno un impatto sostanziale sulla disponibilità dei Prodotti Cloud interessati.

    11.

    2. Informazioni e diritti di audit dell'azienda sottoposta a vigilanza

     

    12.

    I diritti di informazione e di audit, nonché le possibilità di controllo dell'azienda sottoposta a vigilanza non devono essere soggetti a restrizioni contrattuali. È necessario garantire che l'azienda sottoposta a vigilanza riceva le informazioni necessarie per controllare e monitorare adeguatamente i rischi associati all'esternalizzazione.

    Il nostro programma di audit è pensato per consentire ai clienti qualificati e alle relative autorità di vigilanza di controllare in modo efficace i Prodotti Cloud interessati.

    13.

    Per proteggere le informazioni e i diritti di audit, è opportuno concordare in particolare i seguenti termini contrattuali:

  • la concessione dell'accesso completo alle informazioni e ai dati nonché dell'accesso ai locali commerciali del fornitore di servizi cloud, compresi tutti i data center, le apparecchiature, i sistemi e le reti utilizzati per fornire i servizi esternalizzati; sono inclusi i relativi processi e controlli;
  • possibilità efficaci di controllo e audit dell'intera catena di esternalizzazione.
  • Vedi la riga 12 sopra.

    14.

    Nessuna restrizione (indiretta) dei diritti. L'esercizio effettivo dei diritti di informazione e audit non può essere limitato dal contratto. Le autorità di vigilanza tedesche ritengono che tale limitazione inammissibile dei diritti di informazione e audit esista, in particolare nel caso di accordi contrattuali che concedono tali diritti solo a determinate condizioni. Ciò include in particolare:

  • accordo su procedure incrementali di informazione e audit, ad esempio l'obbligo per il fornitore di servizi cloud di avvalersi prima dei report di audit, dei certificati o di altre prove di conformità agli standard riconosciuti prima che l'azienda sottoposta a vigilanza possa svolgere le proprie attività di audit;
  • limitazione per il fornitore di servizi cloud di applicare i diritti di informazione e audit in relazione alla presentazione di report di audit, certificati o altre prove di conformità agli standard riconosciuti;
  • collegamento dell'accesso alle informazioni alla previa partecipazione a programmi di formazione speciali;
  • definizione di una clausola in modo tale che l'esecuzione di un audit sia subordinata alla sua ragionevolezza commerciale;
  • limitazione dell'esecuzione degli audit in termini di tempistica e di personale; come regola generale, tuttavia, è accettabile limitare l'accesso al consueto orario di lavoro con preavviso;
  • riferimento all'uso esclusivo, ad esempio, di console di gestione per l'esercizio dei diritti di informazione e di audit dell'azienda.
  • Vedi la riga 12 sopra.

    15.

    Esenzioni

    A seconda dei requisiti applicabili ai sensi della legge di vigilanza, le aziende sottoposte a vigilanza possono richiedere esenzioni per rendere più efficienti le proprie attività di audit. Tali esenzioni riguardano audit collettivi o l'uso di documentazione/certificati basati su standard comuni o di report di audit di terze parti riconosciute o di report di audit interni del fornitore di servizi cloud.

    Questa è una considerazione del cliente. Vedi anche la riga 12 qui sopra e la riga 20 di seguito.

    16.

    Audit collettivi

    Le aziende sottoposte a vigilanza e soggette al rispetto delle sezioni 25a, 25b della legge tedesca sul credito (KWG) possono avvalersi delle esenzioni previste dalla Circolare 09/2017 (BA): Requisiti minimi per la gestione del rischio (MaRisk). Ai sensi di BT 2.1 Voce 3 MaRisk, la funzione di audit interno dell'azienda sottoposta a vigilanza in caso di esternalizzazione materiale può rinunciare alle proprie attività di audit a condizione che il lavoro di audit svolto dal fornitore di servizi esterno soddisfi i requisiti di MaRisk AT 4.4 e BT 2. La funzione di audit interno dell'azienda di esternalizzazione sottoposta a vigilanza deve accertarsi a intervalli regolari che queste condizioni siano soddisfatte. I risultati dell'audit relativi all'azienda sottoposta a vigilanza devono essere trasmessi alla funzione di audit interno dell'azienda di esternalizzazione sottoposta a vigilanza.

    Questa è una considerazione del cliente. Vedi anche la riga 12 sopra.

    17.

    A tale riguardo l'attività di audit può essere svolta dal reparto di audit interno del fornitore di servizi cloud, dal reparto di audit interno di una o più aziende di esternalizzazione sottoposte a vigilanza per conto delle aziende di esternalizzazione sottoposte a vigilanza ("audit collettivi"), una terza parte nominata dal fornitore di servizi cloud o una terza parte nominata dalle aziende di esternalizzazione sottoposte a vigilanza.

    Questa è una considerazione del cliente. Vedi anche la riga 12 sopra.

    18.

    Per le altre aziende sottoposte a vigilanza, può essere consentito, in casi specifici, esercitare determinati diritti di informazione e audit nei confronti del fornitore di servizi cloud congiuntamente ad altre aziende sottoposte a vigilanza mediante audit collettivo.

    Questa è una considerazione del cliente. Vedi anche la riga 12 sopra.

    19.

    Se un'azienda sottoposta a vigilanza si avvale di una delle suddette esenzioni, ciò potrebbe non comportare la limitazione dei suoi diritti di informazione e audit.

    Vedi la riga 12 sopra.

    20.

    Prove/certificati e report di audit

    Come regola generale, l'azienda sottoposta a vigilanza può utilizzare documentazione/certificati sulla base di standard comuni (ad es. standard di sicurezza internazionale ISO/IEC 2700X dell'International Organization for Standardization, Cloud Computing Compliance Controls Catalogue (C 5 Catalogue) della BSI), report di audit di terze parti riconosciute o report di audit interni del fornitore di servizi cloud. L'azienda sottoposta a vigilanza deve tenere conto dell'ambito, della profondità dei dettagli, dello stato di aggiornamento e dell'idoneità del certificatore o del revisore di tale documentazioni/tali certificati e report di audit.

    Atlassian viene sottoposta regolarmente a un'analisi indipendente dei controlli di sicurezza, privacy e conformità. Nel corso della durata del contratto stipulato con l'utente, rispetteremo come requisito minimo gli standard indicati nel nostro Trust Center, tra cui le certificazioni ISO/IEC 27001 e ISO/IEC 27018 e i report di audit SOC 2 Type II e SOC 3: https://www.atlassian.com/trust/compliance

    21.

    Tuttavia, un'azienda sottoposta a vigilanza non deve basarsi esclusivamente su questi elementi nell'esercizio della propria attività di audit. Qualora il reparto di audit interno utilizzi tale documentazione/tali certificati nella sua attività, dovrebbe essere in grado di esaminare le prove che ne sono alla base.

    Questa è una considerazione del cliente. Vedi anche la riga 12 sopra.

    22.

    3. Diritti di informazione e audit delle autorità di vigilanza

     

    23.

    I diritti di informazione e di audit nonché le possibilità di controllo delle autorità di vigilanza non devono essere soggetti a restrizioni contrattuali. Le autorità di vigilanza devono essere in grado di monitorare i fornitori di servizi cloud esattamente come previsto dalla legge applicabile per l'azienda sottoposta a vigilanza. Le autorità di vigilanza devono poter esercitare i loro diritti di informazione e di audit nonché le possibilità di controllo in modo adeguato e senza restrizioni per quanto riguarda il servizio esternalizzato; questo vale anche per le persone di cui le autorità di vigilanza si avvalgono per l'esecuzione degli audit.

    Il nostro programma di audit è pensato per consentire ai clienti qualificati e alle relative autorità di vigilanza di controllare in modo efficace i Prodotti Cloud interessati.

    24.

    Per proteggere questi diritti, è opportuno concordare in particolare i seguenti termini contrattuali:

  • obbligo del fornitore di servizi cloud di cooperare senza riserve con le autorità di vigilanza;
  • la concessione dell'accesso completo alle informazioni e ai dati nonché dell'accesso ai locali commerciali del fornitore di servizi cloud, compresi tutti i data center, le apparecchiature, i sistemi, le reti utilizzate per la fornitura dei servizi esternalizzati; sono inclusi i processi e i relativi controlli, nonché la possibilità di eseguire in loco audit del fornitore di servizi cloud (e, se del caso, dell'azienda di esternalizzazione a catena);
  • possibilità efficaci di controllo e audit dell'intera catena di esternalizzazione.
  • Vedi la riga 23 sopra.

    25.

    Nessuna restrizione (indiretta) dei diritti

    Si ritiene che tale limitazione inammissibile dei diritti di informazione e di audit, nonché delle possibilità di controllo delle autorità di vigilanza tedesche esista, in particolare, nel caso di disposizioni che concedono tali diritti solo a determinate condizioni. Ci riferiamo alle dichiarazioni di cui sopra sulla limitazione dei diritti delle aziende sottoposte a vigilanza.

    Vedi la riga 23 sopra.

    26.

    4. Diritti di emettere istruzioni

     

    27.

    I diritti delle aziende sottoposte a vigilanza di emettere istruzioni devono essere concordati. Il diritto di emettere istruzioni consiste nella garanzia di poter emettere tutte le istruzioni necessarie per eseguire il servizio concordato; in altri termini, la possibilità di influenzare e controllare l'elemento esternalizzato costituisce un requisito. L'implementazione tecnica può essere organizzata individualmente in base alle circostanze specifiche dell'azienda.

    I nostri clienti possono emettere istruzioni (anche per quanto riguarda le certificazioni di terze parti e i report di audit) in merito ai Prodotti Cloud interessati tramite i loro canali di assistenza clienti.

    28.

    Se l'azienda sottoposta a vigilanza utilizza prove/certificazioni o report di audit (vedi V.2), dovrebbe avere la possibilità di influenzare l'ambito delle prove/certificazioni o dei report di audit in modo che possa essere ampliato per includere sistemi e controlli pertinenti. Dovrebbe esserci una proporzione ragionevole nel numero e nella frequenza con cui tali istruzioni vengono emesse.

    Vedi la riga 27 sopra.

    29.

    Inoltre, l'azienda sottoposta a vigilanza dovrebbe essere autorizzata in qualsiasi momento a emettere istruzioni al fornitore di servizi cloud per la correzione, l'eliminazione e il blocco dei dati e il fornitore di servizi cloud dovrebbe essere autorizzato a raccogliere, trattare e utilizzare i dati solo nel contesto delle istruzioni emesse dall'azienda sottoposta a vigilanza. Ciò dovrebbe riguardare anche la possibilità di emettere istruzioni in qualsiasi momento affinché i dati trattati dal fornitore di servizi cloud vengano trasferiti all'azienda sottoposta a vigilanza tempestivamente e senza restrizioni.

    Nella nostra Appendice sul trattamento dei dati sono indicati gli impegni specifici in merito al trattamento e alla sicurezza dei dati personali dei clienti. Ulteriori informazioni sul nostro programma di conformità al GDPR sono disponibili qui:

    https://www.atlassian.com/trust/compliance/resources/gdpr

    Inoltre, forniamo a tutti i clienti funzionalità interne al prodotto per esportare i loro dati in qualsiasi momento nel corso della durata del contratto senza la nostra assistenza.

    30.

    Se è possibile rinunciare all'accordo esplicito sui diritti dell'azienda sottoposta a vigilanza di emettere istruzioni, il servizio che viene fornito dall'azienda di esternalizzazione deve essere specificato con sufficiente chiarezza nel contratto di esternalizzazione.

    Vedi la riga 27 sopra.

    31.

    5. Sicurezza/protezione dei dati (riferimento alla posizione di archiviazione dei dati)

     

    32.

    Devono essere concordate disposizioni che garantiscano il rispetto delle norme sulla protezione dei dati e altri requisiti di sicurezza.

    Considerata la natura uno-a-molti dei nostri Prodotti Cloud interessati, offriamo la stessa solida sicurezza a tutti i nostri clienti. Queste pratiche di sicurezza sono descritte in dettaglio nel nostro Trust Center: https://www.atlassian.com/trust/

    Ci impegniamo a rispettare le pratiche di sicurezza del nostro Trust Center e a non ridurre sostanzialmente la sicurezza complessiva dei nostri Prodotti Cloud interessati durante il periodo di abbonamento.

    Vedi anche le righe 27 e 29 sopra.

    33.

    La posizione di archiviazione dei dati deve essere nota all'azienda sottoposta a vigilanza. Ciò dovrebbe includere la posizione specifica dei data center. Come regola generale, a tale scopo è sufficiente fornire il nome della località (ad esempio la città). Tuttavia, se l'azienda sottoposta a vigilanza dovesse avere la necessità dell'indirizzo preciso del data center sulla base di considerazioni relative alla gestione del rischio, il fornitore di servizi cloud dovrebbe fornirlo.

    Vedi la riga 7 sopra.

    34.

    Inoltre, dovrebbe essere garantita la ridondanza dei dati e dei sistemi in modo che, in caso di guasto di un data center, la manutenzione dei servizi sia garantita.

    Manteniamo piani di continuità aziendale e ripristino di emergenza, come descritto nel nostro Trust Center. Questi piani vengono controllati e testati almeno una volta all'anno.

    35.

    La sicurezza dei dati e dei sistemi deve essere garantita anche all'interno della catena di esternalizzazione.

    Vedi la riga 32 sopra.

    36.

    L'azienda sottoposta a vigilanza deve avere la possibilità di accedere rapidamente in ogni momento ai suoi dati memorizzati presso il fornitore di servizi cloud e di ritrasferirli, se necessario. A tale proposito è necessario garantire che la forma selezionata per il ritrasferimento non limiti o escluda l'utilizzo dei dati. Per questo motivo, dovrebbero essere concordati formati di dati standard indipendenti dalla piattaforma. È necessario tenere conto della compatibilità dei diversi sistemi.

    Vedi la riga 29 sopra.

    37.

    6. Disposizioni sulla cessazione

     

    38.

    È necessario concordare i diritti di cessazione e i periodi di preavviso adeguati. In particolare, dovrebbe essere concordato un diritto speciale di cessazione, che preveda la risoluzione per giusta causa qualora l'autorità di controllo chieda la cessazione del contratto.

    Forniamo ai clienti un ampio diritto di recesso libero, che consente loro di cessare il contratto in qualsiasi circostanza.

    39.

    È necessario garantire che, in caso di cessazione, i servizi esternalizzati al fornitore di servizi cloud continuino ad essere erogati fino al momento in cui non siano stati completamente trasferiti a un altro fornitore di servizi cloud o all'azienda sottoposta a vigilanza. A questo proposito occorre garantire in particolare che il fornitore di servizi cloud fornisca ragionevole assistenza all'azienda sottoposta a vigilanza per il trasferimento degli elementi esternalizzati a un altro fornitore di servizi cloud o direttamente all'azienda sottoposta a vigilanza.

    Se richiesto da un ente, è possibile prorogare la durata dell'abbonamento per un breve periodo per consentirne la transizione verso un altro fornitore di servizi.

    40.

    È necessario definire il tipo, la forma e la qualità del trasferimento del servizio esternalizzato e dei dati. Se i formati dei dati sono adattati alle specifiche esigenze dell'azienda sottoposta a vigilanza, il fornitore dei servizi cloud dovrebbe fornire una documentazione di tali adattamenti al momento della cessazione.

    Queste informazioni sono accessibili nella nostra documentazione.

    41.

    È necessario concordare che dopo il ritrasferimento dei dati all'azienda sottoposta a vigilanza, il fornitore di servizi cloud provveda a eliminarli in modo completo e irrevocabile.

    Questa considerazione è trattata nel nostro Addendum al trattamento dei dati.

    42.

    Per garantire che le aree esternalizzate siano mantenute in caso di cessazione pianificata o non pianificata del contratto, l'azienda sottoposta a vigilanza deve disporre di una strategia di uscita e verificarne la fattibilità.

    Questa è una considerazione del cliente.

    43.

    7. Esternalizzazione a catena

     

    44.

    Devono essere concordate disposizioni sulla possibilità e sulle modalità di esternalizzazione a catena che garantiscano la conformità continua ai requisiti della legge di vigilanza. Le restrizioni che comportino, ad esempio, solo l'assunzione degli obblighi sostanzialmente più simili non sono consentite. È necessario garantire in particolare che i diritti di informazione e di audit, nonché le possibilità di controllo dell'azienda di esternalizzazione sottoposta a vigilanza e delle autorità di vigilanza, si applichino anche ai subappaltatori in caso di esternalizzazione a catena.

    Allo scopo di fornire prodotti globali riducendo al minimo le interruzioni, potremmo sub-esternalizzare alcune funzioni essenziali o importanti a fornitori di servizi di alta qualità (ad es., fornitori di hosting di dati). Per quanto riguarda la sub-esternalizzazione di funzioni essenziali, Atlassian si impegna a stipulare contratti appropriati con i subappaltatori, che concedono adeguati diritti di audit, accesso e informazione agli istituti e alle relative autorità di vigilanza e richiedono a questi di rispettare tutte le leggi applicabili. Vedi anche la riga 12 sopra.

    45.

    In un'ottica di esternalizzazione a catena, il contratto di esternalizzazione dovrebbe includere riserve di autorizzazione della società di esternalizzazione o condizioni specifiche da soddisfare affinché l'esternalizzazione a catena sia possibile. Dovrebbero essere indicati quali servizi esternalizzati e/o quali parti di essi possano essere esternalizzati a catena e quali no.

    Vedi la riga 44 sopra.

    46.

    L'azienda sottoposta a vigilanza deve essere informata in anticipo e per iscritto dell'esternalizzazione a catena dei servizi esternalizzati e/o di parti di essi. I subappaltatori e i servizi e/o le parti dei servizi esternalizzati a catena dovrebbero essere noti all'azienda sottoposta a vigilanza.

    Atlassian comunicherà eventuali modifiche alle sub-esternalizzazioni o nuove sub-esternalizzazioni di funzioni essenziali o importanti e fornirà informazioni su tali sub-esternalizzazioni. L'istituto che nutra delle preoccupazioni su tali sub-esternalizzazioni può cessare il suo contratto con noi.

    47.

    Nel caso di una nuova esternalizzazione a catena, occorre tenere presente che ciò potrebbe influire sulla situazione di rischio dell'esternalizzazione e quindi sull'azienda di esternalizzazione. Di conseguenza, l'analisi dei rischi dovrebbe almeno essere rivista o ripetuta in caso di una nuova esternalizzazione a catena. Ciò vale anche nel caso in cui vengano resi noti difetti materiali e modifiche sostanziali del servizio cloud fornito dai subappaltatori.

    Questa è una considerazione del cliente.

    48.

    L'azienda deve esaminare e monitorare l'esecuzione dell'intero servizio su base continuativa, indipendentemente dal fatto che il servizio cloud sia erogato dal fornitore di servizi cloud o dai suoi subappaltatori.

    Questa è una considerazione del cliente.

    49.

    8. Doveri di informazione

     

    50.

    Devono essere concordate disposizioni al fine di garantire che il fornitore di servizi cloud informi l'azienda sottoposta a vigilanza in merito agli sviluppi che potrebbero influire negativamente sull'esecuzione ordinata dei servizi esternalizzati. Sono inclusi aspetti come la segnalazione di eventuali interruzioni nella fornitura del servizio cloud. Ciò ha lo scopo di garantire che l'azienda possa monitorare adeguatamente il servizio esternalizzato.

    Pubblichiamo aggiornamenti sulla disponibilità dei servizi su https://status.atlassian.com e ci impegniamo contrattualmente a informare i clienti in merito agli eventi che hanno un impatto sostanziale sulla disponibilità dei Prodotti Cloud interessati.

    51.

    Il fornitore di servizi cloud deve informare senza indugio l'azienda sottoposta a vigilanza in merito a qualsiasi circostanza che possa rappresentare un rischio per la sicurezza dei dati della stessa che devono essere trattati dal fornitore di servizi cloud, ad esempio a seguito di atti di terze parti (ad es. sequestro o confisca), insolvenza, procedure concordatarie o altri eventi.

    Oltre agli impegni di cui alla riga 50 sopra, ci impegniamo a fornire ai clienti un avviso relativo agli incidenti di sicurezza nel nostro Addendum al trattamento dei dati.

    52.

    È opportuno garantire che l'azienda sottoposta a vigilanza sia adeguatamente informata in anticipo dal fornitore di servizi cloud in caso di modifiche pertinenti del servizio cloud che il fornitore di servizi cloud deve erogare. Le descrizioni dei servizi e le relative modifiche devono essere fornite e/o comunicate per iscritto all'azienda sottoposta a vigilanza. È necessario garantire che l'azienda sottoposta a vigilanza sia adeguatamente informata, nella misura consentita dalla legge, di eventuali richieste di consegna dei dati dell'azienda sottoposta a vigilanza presentate da terze parti.

    Pubblichiamo la nostra Roadmap dei prodotti Cloud, che fornisce ai clienti un avviso delle modifiche sostanziali ai prodotti Cloud interessati.

    Inoltre, forniamo i dati dei clienti a terze parti solo in conformità alle nostre Linee guida per le richieste delle forze dell'ordine.

    53.

    9. Comunicazione sulla legge applicabile

     

    54.

    Se si stabilisce di inserire una disposizione sulla scelta della legge applicabile e la legge concordata non è quella tedesca, è necessario comunque concordare la legge di un paese dell'Unione europea o dello Spazio economico europeo come legge che disciplina il contratto.

    La legge predefinita che disciplina il contratto con il cliente Atlassian è la legge della California. Contatta il nostro il team delle vendite Enterprise per maggiori dettagli.

    1Il termine "esternalizzazione materiale" utilizzato nelle linee guida BaFin equivale al termine "esternalizzazione critica o significativa" utilizzata nelle linee guida dell'ABE.