SMFC-B-FS-020072417230

Dieses Dokument ist Teil der Anfrage „Zusammensetzung der Kosten für die Entwicklung der Corona Warn App

Unterschriftsfassung

SAP DEUTSCHLAND SE & CO. KG
T-SYSTEMS INTERNATIONAL GMBH
UND
BUNDESREPUBLIK DEUTSCHLAND

“ VERTRETEN DURCH DAS
BUNDESMINISTERIUM FÜR GESUNDHEIT

PROJEKT CORONA WARN APP
ABSTIMMUNGSVEREINBARUNG

 

255125-4-7-v5.0 -1- 40-40748200
Unterschriftsfassung

Inhalts- und Anlagenverzeichnis

Präambel ...........2.2202424004202200200022200000nnunBnnn0n0nnnnnnnnnnnennnnnnnennunenennunenennunnnentnennenssnenentnensenessnennennennane 4
1.  Vertragsgegenstand .............srausnsnonnnnnsnnanennennnennennsnennnnsnsosnnuennrnronannasnsensnnen LEHRE ARCE FRFET TRY 5
11 Entwicklung der Corona Warn APP ....cnessnenensnsnonnnanusnonnenensessonsurnennensonsoneneornen nroreonsenraenronunanannsnannusn 5
1.2 Informationsaustausch und Abstimmung über Schnittstellen „...zererenrsssnunssnenusnanvornnorenonsunnsmunnonannen 5
13 Kein Konsortium .....usssosnensoronenannonansononanennunsnnesnaunaununsuansunsnennunasnnensannnsntnnnnrornennnnenunennsnnnnnpta nennen 5
2. Abgrenzung der Leistungen der Parteien... EEE en nnnnennenn 6
2.1 Übersicht zur Leistungsabgrenzung ......ssmnnnessnenssnesneunnunnensensnssenrsuntnsensnarsossserrmusnnnnnnnnunnonnaonnas 6
22 Aufgaben und Leistungsumfang der SAP senunersesesnnonsenseneonennesneansunsnnsseensensnnteneonsnnansssseisnnnnennentnren 6
23 Aufgaben und Leistungsumfang der T-Systems ......s202010020200120000100n002020210200000rnennennnannuororonnannane ne 6
2.4 Festlegung der Schnittstellenspezifikationen .........cusoreorsunnensnnennunneenonnnononnnsnonanensenenentonnunannennsenunn 7
2.5 Support- / Pflege-Weiterentwicklung......... heunnanensnnonaunsnnnanerne Tnersonnonsnunssunssnetnnsennnnnetnensnstunensensernsten 7
3. Anforderungen des Auftraggebers ........... Annnasnnennsnnunnn fanusnssnsnusnusneseMlhrsnssuessssussusnerennrerreeci 8
31 Allgemeine Anforderungen... arnetrEOeLFOSLTALRARErL TSF OPIOFRAELTER TIEREN SEE IT ERESLEERORASLUnLESLaDLranneersenrnanhnnnne 8
3.2 Verhältnis zu Projektverträgen ......usssssusssnaonansuunnansnnausnensunansnnannssnsnennorennnentnenonnensonanenanannnannnunennrne 9
4. Zusammenarbeit der Parteien..................u2.20u0002020000000r0000enneununnoennnnnnnonunssonneonensenennnonennune 9
41 Projektorganisation und -durchführung.........e..eoenenoooesonaunennunnunnunnnnnonnrnnnenonunsnonnennmunnenneounsusnensennnn 9
42 Informationsaustausch und Informationspflicht............0..2e2ro202222200n2nennostoorounuroenaonenanonnounaenannnnnnn 9
4.3 Beiziehung Dritter ........s0u02020000220100n701000000000080R70 00 HR rBuHnOrS nn nonu nun r nannte nnenenonnonSanaunstonnnnnnnsune st snnnnnnennnene 9
44 Grundsätze bei direkter Abstimmung zwischen SAP und T-Systems. ...ureensenssnnnnnssssennee 9
5,  Entwicklungsphase............usueserneonssonssssunsunnnsesonsunnsnsssnnssssnsnnnnnanssssssnneonennunnnnnnnsnnenannasrnsnen 10
5.1 Abstimmung mit BSI und BEDI „.serensnsnenrnennnnnnsnnnnannannnuonaonannensnonnannnnnronsrenenasansnnonsonununenenentmnrnene 10
5.2 Dokumentation und Zertifikate .......22020n001220000222180n100022001180n001REnornunennen0nnOnBnBun en snnenvonnuneennanannnnanann 10
6. Inbetriebnahme und Abnahme .............sneusnusnneonersnesns PERREERSERSEEEN 5... BER SE) Bm mE 11
6.1 Vorbereitung der Betriebsbereitschaft...........nzsesneoneneonnannennanann Janssen aan sergernnnennsnennastanenernsenvenseniene 11
6.2 Integrations- und Funktionsprüfung.........s.essre002neonenronsoennonanenennsnnonsenunzonnnnannennnnnnnnnnanensurenonnurennnee 11
6.3 Freigabe zur Aufnahme des Wirkbetriebs.........sesaunonsenonensonsunnunnonsnrnenensnernunsurunennsounnennonansnnananer 12
7. Change Request-Verfahren ............rsssnesneonnsunensonerunsntsnenssernonnnnenrgrsnssnsnransssnsnnssnnensnsornnnen [A
71 Änderungsverlangen des Auftraggebers „men I INPEEeEBEEUEE. ‚bei s einetGanaIeHeIeRG, AL. EEREERRREERE 14
72 Änderungsvorschlag von SAP und/oder T-Systems .........e2ren00u0n0ruoneuneonnsennaenner a... 15
73 Allgemeine Bestimmungen ......ssnernsuonnsennennunnnannan IEPITEEFIEPRLPLETLLE FIIR LOFRWRRLFIRFEEFEFEFEFEFOTEFEFOLTOURFEEeEn 15
8. Haftung.........nssesssssnsossnennanensnsennneenenn EUOBEN Lone BLeBäneooBäueroeseoSÄhCeUSSTeceeGsSCGeGges a IEEHSSEEEGERGEN 15
8.1 Haftung der Industriepartner gegenüber dem Auftraggeber und Dritten ............20200n0 seen. 15
8.2 Haftung der Industriepartner untereinander ohne Drittbezug..........snnesonnnsaenenssooneunmsennnenennnuneunae 16
8.3 Erstreckung der Haftungsbegrenzung im Verhältnis zum Auftraggeber „..urerearsoonaenunnnenunennonnnennns 16
9.  Nutzungsrechte.....nssosseessnesnsernennenennsnnssnennesnssnsnntsuonsssennsnesssnensstsnensssnnnnsstnassennennenensnnnnne 16
91 Keine direkte Einräumung von Nutzungsrechten...........nuasneuanonosassnununsnorsnnsentnasaonsosnennnornuenennnee 16
92 Nutzungsrechte unter Projektverträgen ........120r02n0000020000001200000000 20001000010 71040104401001enensnunnennronnunennnae0n 16
10. Geheimhaltung ......sssrnrnsonnnnnaeneneneneonnnennee rer Meere Mole 16
10.1 Nutzung vertraulicher Informationen unssnsenrernsrennneosunsereosssrurenererunnrersnnennnansnnnernannaen FE 16
10.2 _ Geheimhaltungsmaßnahmen ............nessusnsonsannrasonausnasennaonsuunuansnenneinanaronnanonenenannensorsonnarssnsannnretenern 17
10.3  Ausnahmen.....nnersoenronnenenzorernsonnennnunensnenennenrnonnenrannnrnennnennunnnennannönnnnonentnrononnennonnnonsnsapnerenprtarent arena 17
104 Entfäll..unsennennssnnosnununseennonaunasnanennssnoenonnnnnsnnnnanonnrennennenzusensunnrotzeroonnnsesonsnsenonnnenovonsenonneronsnnnonaunananann 17

255125-4-7-v5.0 -2- 40-40748200
Unterschriftsfassung

10.5 - Dauer der Geheimhaltungsverpflichtung «......n.u0nendennnennnnensnneneusnsennnnenenennen 17

11. Datenschutz .unanssneseissssuennsesenneeennnsennenennennen eeeeensnnensenn kerssnenersessosnunesennen ennen 18
12. Allgemeine Bestimmungen .nueemenndnnnenerin nnonnnnunnscnsnsennnnnnssnnsssnsennesnsnnennnnsnnenener 18
12.1 Keine gesonderte Vergütung / Kostentragung .....snenennennnanerunasnns Hasatnenensnensmsnnnunnnsnsnarananae van 18

122 Laufzeit / Beendigung ...........2.2202022222020102201en0nuena0u00 unndassrnenenrsnentnennenrasnnnnonsnennanenraenssrorassedasnannaaann 18

12.3 _ Schlussbestimmungen ......erenseernnsrsronnseunnensennssrunseeennnessneönaranssnensenenteortonnnronenenerneshesrassinarnnonenen 18
Anlage 1 Spezifikationen........... kunnennnechenseunnenunsennneennssnensnnnsensssennenasnnneennsaneee aeensenseensrensenusugnen 2]
‚ Anlage 2 Felilerbehebungsprözesse für CWA-Backend- und Frontend-Teil ven Anesstnnnennenne 22
| Anlage 3 GOvermance nennen sronsstnnuans krreennnensunune veonnunssanunnssntsnnnonensnshnnsnusttanunsnnnnnennnann 23

Anlage 4 Dokumentation .unennseennsseonesesennesennensennnnnennninnnnnrsnnnsnennnengnnrnnnnennertonn Aunsnenssnnnnsssnernenee 24
‚Anlage 5 Abnahmekriterien und „Prüfungen. Insansnsusnansnehrnansepnnan HR wienensensesnsenssarsausteansensnrenstnns 25
Anlage 6 Änderungsverfahren .........nsnsnresenssnninnnsssonsensennenersnnsonssnsnnnenstnnnnsnennennnenenn ussnennesnnnennn 26

255125-4-7-v3.0 - 3 - 40-40748200
J

Diese

Unterschriftsfassung

ABSTIMMUNGSVEREINBARUNG

wird zwischen

(1)

(2)
6)

der Bundesrepublik Deutschland, vertreten durch das -Bundesministerium für:

"Gesundheit, Friedrichstraße 108, 10117 Berlin ("Auftraggeber"),

SAP Deutschland SE & Co. KG, Hasso-Plattner-Ring 7, 69190 Walldorf ("SAP") und

T-Systems International . GmbH, Hahnstraße 43, 60528 Frankfurt am Main ("T-
Systems" oder "TSI")

geschlossen. Der Auftraggeber, SAP und T-Systems werden nachstehend gemeinsam als die
"Parteien" und jeweils einzeln auch als "Partei" bezeichnef. SAP und T-Systems werden
gemeinsam und jeweils einzeln auch als "Industriepartner" bezeichnet.

PRÄAMBEL.

(A)

(B)

(©)

(D)

Die Unterbrechung von Infektionsketten ist der wesentliche Mechanismus zur

Bekämpfung der weiteren Ausbreitung des Corona-Virus. Digitale Anwendungen
können hierbei einen erheblichen Beitrag bei der Identifikation und Information
möglicher Kontaktpersonen leisten. .

Ein vielversprechender Ansatz hierbei ist die Identifikation und Dokumentation
relevanter Kontakte mittels Smartphone / Bluetooth LE. T-Systems und SAP haben sich
als. Industriepartner bereiterklärt, die bisherigen Forschungsergebnisse in ein die
fachlichen Anforderungen sowie die Vorgaben an Datenschutz und
Informationssicherheit erfüllendes Endprodukt zur . überführen und dessen
infrastrukturellen Betrieb über die Entwicklungsphase hinaus zu gewährleisten
("Projekt Corona Warn App"). Hierbei besteht ausdrücklich die Offenheit der beiden
Industriepartner, das Produkt mit weiteren gebotenen Nachentwicklungen. auf Basis
fachlicher Anforderungen voran zu treiben.

. Vor diesem Hintergrund hat der Auftraggeber mit SAP einen Vertrag über

Entwicklungs- und Pflegeleistungen i im Projekt Corona Warn App ("SAP-Vertrag")
und mit der T-Systems einen Vertrag über IT-Leistungeni im Projekt Corona Warn App
("T-Systems-Vertrag") geschlossen. Das unter diesen Verträgen von SAP und T-
Systems entwickelte und zum Betrieb bereitgestellte System zum Betrieb der Corona
Warn App wird nachstehend insgesamt als "Gesamtsystem" bezeichnet. Der SAP-
Vertrag, der T-Systems-Vertrag und diese Abstimmüngsvereinbarung. werden
zusammen als die "Projektverträge" und jeweils einzeln auch als "Projektvertrag"
bezeichnet.

Die Parteien sind sich bewusst, dass die Entwicklung und der Betrieb der Corona Warn
App sowohl hinsichtlich der spezifischen Anforderungen, der Einbindung Dritter als
auch aufgrund der zeitlichen Kritikalität besondere Herausforderungen nicht nur an die
Parteien, sondern an alle an diesem Projekt unmittelbar oder mittelbar Beteiligten stellt

255125-4-7-v5.0 -4- 40-40748200
(E)

1.1

1.2

1.3

Unterschriftsfassung

und ohne ein zügiges und konstruktives Zusammenwirken aller Beteiligten nicht
abgeschlossen werden kann.

Vor diesem Hintergrund möchten die Parteien in dieser Abstimmungsvereinbarung
gemeinsame Regelungen und Prozesse sowie einen Rahmen für ihre Zusammenarbeit
im Projekt Corona Warn App vereinbaren.

VERTRAGSGEGENSTAND

Entwicklung der Corona Warn App

Die Industriepartner wollen auf Basis jeweils gesonderter Verträge mit dem
Auftraggeber eine Tracing-App entwickeln und betreiben, um Kontaktpersonen von
Corona-Infizierten warnen zu können. SAP und T-Systems erbringen hierzu gesonderte
Leistungen gegenüber dem Auftraggeber. Es ist nicht vorgesehen, eine Gesamtleistung
zu erbringen oder eine Gesamtverantwortung durch die Industriepartner gegenüber dem
Auftraggeber zu übernehmen. Ebenso soll eine Haftung für die Leistung des jeweils
anderen Industriepartners ausgeschlossen werden. Jeder Industriepartner haftet
vielmehr für seinen jeweiligen Leistungsbeitrag alleine.

Informationsaustausch und Abstimmung über Schnittstellen

Für die Erbringung der jeweiligen Leistungsanteile und für die Funktionsfähigkeit der
Anti-Corona-App ist ein gegenseitiger Informationsaustausch und die Abstimmung
über Schnittstellen zwischen den Parteien erforderlich, Der Informationsaustausch und
die Abstimmung über Schnittstellen oder sonstige Leistungsinhalte und etwaige
Zulieferungen erfolgen nach den Bestimmungen dieser Abstimmungsvereinbarung.

Kein Konsortium
Mit dieser Abstimmungsvereinbarung wird weder eine konsortiale Beziehung zwischen

den Industriepartnern begründet, noch ist eine gesellschaftsrechtliche Verbindung
beabsichtigt.

255125-4-1-v5.0 -5- 40-40748200
2.1

2.2

2.3

Unterschriftsfassung

ABGRENZUNG DER LEISTUNGEN DER PARTEIEN

Übersicht zur Leistungsabgrenzung-

‘In der nachfolgenden Darstellung sind die Leistungsbereiche der Industriepartner

schematisch dargestellt:

  

= I ı Va Among aarlerZuner
SI FT
m \ L Uupiend al ya + TAN 7 | |
Backanıl ja anche Aggregeied
m“ Y | Mann co | 1? ee

Die Leistungsbereiche von SAP sind blau markiert, die Leistungsbereiche von T-
Systems sind magenta markiert.

Stand! 2020-05-08 16:06

Aufgaben und Leistungsumfang der SAP.
Die Leistungen der SAP ergeben sich aus dem SAP-Vertrag. Diese umfassen
insbesondere:

2.2.1 Desigt und Entwicklung der Corona-Warn-App (i0S und Android); basierend
auf einem neuen SDK, das von Apple und Google zur Verfügung gestellt wird
und als Exposure Notification Framework bezeichnet wird

2.2.2 Entwicklung des -Backends zur Entgegennahme von Upload-Anfragen der
‘Clients (Tracing Server); Übergabe von Konfigurationsparametern an die
mobilen Anwendungen und Zusammenfassung der Diagnoseschlüssel in
Blöcke

2.23 Publizieren der wesentlichen Projektbestandteile als Open Source auf GitHub

Die verbindlichen Leistungsinhalte vereinbart SAP ausschließlich direkt mit dem
Auftraggeber unter dem SAP-Vertrag.

Aufgaben und Leistungsumfang der T-Systems

Die Leistungen der ‚T-Systems ergeben sich aus T-Systems-Vertrag. Diese umfassen
insbesondere:

25512547-v5.0° -6- 40-40748200
23.1

2.3.2

23.3

2.3.4

Unterschriftsfassung

Die Entwicklung und den Betrieb des Verifikationsservers, des Lab Servers
sowie des Portal Servers innerhalb des Prozesses zur Verifizierung /
Falsifizierung einer gemeldeten Infektion,

Betrieb des Backends zur Entgegennahme von Upload-Anfragen der Client
(Tracing Server),

Bereitstellung einer Managed „Platform as a Service“ (PaaS),

Hotline Service.

Die verbindlichen Leistungsinhalte vereinbart T-Systems ausschließlich direkt mit dem
Auftraggeber unter dem T-Systems-Vertrag.

2.4 Festlegung der Schnittstellenspezifikationen

Die verbindliche Festlegung der Schnittstellenspezifikationen ergibt sich aus Anlage 1.
Weitere Festlegungen in Bezug auf die technische Ausgestaltung der Schnittstellen er-
folgt in dem hierfür vorgesehenen Abstimmungsgremium gemäß Ziffer 4.1
(Governance).

2.5 Support- / Pflege-Weiterentwicklung

2.5.1

2.5.2

SAP erbringt ausschließlich die im SAP-Vertrag beschriebenen Leistungen in
Bezug auf Support, Pflege und Weiterentwicklung der Corona Warn App
(Features gemäß SAP-Vertrag definiert).

Das technische Support Modell für die Corona Warn App ist in drei Level
unterteilt. Level 1 und 2 werden von T-Systems bereitgestellt. Level 3 wird von
SAP bereitgestellt. Das folgende Bild zeigt eine Beschreibung für jedes Level:

 

 

Level 1 (T-Systems) Level 2 [T-Systerns) Level 3 (SAP)

= Proaktive = Ursachenanalyse
Anwendungsüberwachung
und -Alerting

Incident Handling

 

Fehlerbehebung

a Durchführung von = Optimierung des Codes

Heilungsmaßnahmen "_ Stebilisierungs-

= Verwalten und Betrieb der maßnahmen

« Dispatching von Problemen Infrastruktur "_ Migrationen
= Ticketerstellung = Codeänderungen /

Refactoring

2.5.3

235125-4-7-v5.0

 

| ı Funktionsverbesserungen

 

Hiervon unabhängig wird von T-Systems eine technische Hotline für die
Endnutzer gemäß den Festlegungen im Projektvertrag eingerichtet.

Die detaillierten Fehlerbehebungsprozesse für den CWA-Backend-Teil und den
Frontend-Teil sind in Anlage 2 detailliert beschrieben.

-7- 40-40748200

|
Unterschriftsfassung

3. ANFORDERUNGEN DES AUFTRAGGEBERS

3.1 Allgemeine Anforderungen _

Ziel des Auftraggebers und Zweck der Projektverträge ist die Erstellung, die
-Inbetriebnahme und der Betrieb des Gesamtsystems als funktionierende Lösung zur
Bekämpfung der Covid-19-Pandemie, welches aus verschiedenen Einzelkomponenten
besteht. Vor. diesem. Hintergrund muss das Gesamtsystem mindestens folgenden
Anforderungen gentigen ("Allgemeine Anforderungen‘):

3.11

3.12

"3.13

3.14

3.1.5

3.1.6,

3.1.7

255125-4-7-v5.0

Das Gesamtsystem, soll mittels Bluetooth LE Technologie in der Lage sein,
andere in Reichweite befindliche Nutzerinnen und Nutzer der Anwendung zu
registrieren, : den Abstand zueinander zu bestimmen, die Kontakte zu
dokumentieren und darauf aufbauend einen. vom - Robert-Koch-Institut
definierten Risikowert einer Infektion zu bestimmen (wobei definierte
Parameter im Betrieb angepasst werden können). Hierzu sind funktional
lauffähige Applikationen für iOS und Android unter Nutzung - der
Betriebssystem-internen Schnittstellen bereitzustellen.

Die Anwendung soll in der Lage sein, das Ergebnis. von SARS-CoV-2-

"Nachweisen (positiv und negativ) zu verarbeiten und darauf aufbauend mittels

der - Anwendung registrierte Kontaktpersonen über ihr Infektionsrisiko zu.
Das Ergebnis des SARS-CoV-2-Nachweis und das damit einhergehende

Auslösen der Warnung an Kontaktpersonen soll Über verschiedene Wege.
realisiertwerden können und pseudonym nutzbar sein.

Über eine Verifikationshotline soll Nutzerinnen und Nutzer ermöglicht werden,

selbstständig einen positiven SARS-CoV-2-Nachweis an die App zu melden.

Die Anwendung soll zudem in der Lage sein, das Ergebnis von SARS-CoV-2-
Nachweisen (positiv und negativ) durch eine technische Anbindung an die
entsprechenden Prüflabore direkt zu verarbeiten. Hierfür wird ein Code genutzt;
der innerhalb der. Anwendung eine pseudonyme Verknüpfung des Labor-
Testergebnisses und der Anwendung ermöglicht.

Das Gesamtsystem beinhaltet .ein leistungsfähiges Backend, welches die
vereinbarte Verfügbarkeit und Skalierbarkeit auf die gesamte Bundesrepublik
Deutschland gewährleistet.

Sämtliche Komponenten des Gesamtsystems müssen die abgestimmten’
Anforderungen an Informationssicherheit und Datenschutz erfüllen: Hierzu sind
das Bundesamt für Sicherheit ‘in, der Informationstechnik und der
Bundesbeauftragte für den Datenschutz und die - Informationsfreiheit
durchgehend irı den Entwicklungsprozess einzubeziehen,

'Die App und die Hotline muss den Anforderungen an die Barrierefreiheit in

dem im jeweiligen Projektvertrag vereinbarten Umfang genügen.

-8- 40-40748200
3.2

4.2

4.3

4,4 “

Unterschriftsfassung

3.19 Neben einer Hotline zur Verifikation des Testergebnisses für die Anwendung
ist eine Hotline zu allgemeinen, insbesondere. technischen Anfragen
bereitzustellen.

3.1.10. Der Betrieb des beschriebenen. Gesamtsystem, inkl. notwendiger technischer
Weiterentwicklungen zur Gewährleistung der Lauffähigkeit auf mobilen
Endgeräten, ist über die Laufzeit der Projektverträge zu gewährleisten.

Verhältnis zu Projektverträgen

Die Allgemeinen Anforderungen sind von den Industriepärtnern in ihrem jeweiligen
Leistungsbereich umzusetzen. Abweichende Spezifikation oder Bestimmungen in den
jeweiligen Projektverträgen einschließlich deren Leistungsbeschreibungen oder im
Rahmen von Change Requests haben Vorrang vor den Allgemeinen Anforderungen.

ZUSAMMENARBEIT DER PARTEIEN
Projektorganisation und -durchführung

Die Parteien haben sich auf die in Anlage 3 niedergelegten Bestimmungen zur
Projektorganisation und -durchführung (Governance) verständigt.

Informationsaustausch und. Informationspflicht

4.2.1 Die Parteien werden vertrauensvoll und kooperativ zusammenarbeiten. Jeder
Industriepartner wird den anderen Industriepartner unverzüglich über alle
Ereignisse hinsichtlich seines Leistungsanteils unterrichten, soweit diese die
Erfüllung der dem anderen Industriepartner obliegenden ' Verpflichtungen
berühren oder berühren können.

4.2.2. Die Parteien arbeiten auch bei Anfragen nach dem Informationsfreiheitsgesetz
vertrauensvoll zusammen und unterstützen sich jeweils in angemessenem
Umfang. Soweit für die Offenlegung von Informationen die Zustimmung der
Industriepartner erforderlich ist, ist diese hiermit noch nicht erteilt, sondern
muss im Einzelfall eingeholt werden.

Beiziehung Dritter

Der Auftraggeber kann zu sämtlichen Besprechungen, Abstimmungen und Sitzungen
Dritte hinzuziehen und mit diesen Informationen und Unterlagen zum Projekt Corona
Warn'App teilen: Dies umfasst insbesondere auch Vertreter anderer öffentlicher Stellen
des Bundes und der Länder wie Vertreter des Bundesamts für Informationssicherheit
("BSI") oder des Bundesbeauftragten für Datenschutz und Informationsfreiheit
("B£DI") sowie Vertreter des Robert Koch-Instituts ("RKT").

Grundsätze bei direkter Abstimmung zwischen SAP und T-Systems

44.1 SAP und T-Systems sind grundsätzlich gehalten, sich im Projekt-Corona Warn
App gegenseitig zu unterstützen und als Technologiepartner des Auftraggebers
auch direkt auszutauschen und abzustimmen, SAP und T-Systems werden
hierbei vertrauensvoll und offen zusammenarbeiten.

255125-4-7-y5.0 -9- 40-40748200
J

5.1

5.2

Unterschriftsfassung

442 Sofern sich im Rahmen einer Abstimmung zwischen SAP und T-Systems
Änderungen des SAP-Vertrags und/oder des T-Systems-Vertrags ergeben
(einschließlich technischer Änderungen), sind diese mit dem Auftraggeber über
das Change Request-Verfahren abzustimmen und zu vereinbaren.

443 Sofern sich im Rahmen der Zusammenarbeit von SAP und T-Systems im
Projekt Corona Warn App Meinungsverschiedenheiten ergeben, werden SAP
und T-Systems den Auftraggeber unverzüglich informieren und gemeinsam mit
dem Auftraggeber alle zumufbaren Anstrengung unternehmen, um die
Meinungsverschiedenheit einvernehmlich zu regeln.

ENTWICKLUNGSPHASE
Für die Phase des Projekts Corona Warn App bis zur Inbetriebnahme des

Gesamtsystems und Abnahme der Features gemäß SAP-Vertrag

("Entwicklungsphase") vereinbaren die Parteien Folgendes:
Abstimmung mit BSI und BfDI

Datenschutz- und Sicherheitsaspekte sind für das Gesamtsystem wesentlich. Das
Datenschutz- und Sicherheitskonzept wird von SAP und T-Systems im Zuge der
Entwicklung des Gesamtsystems und nach Maßgabe der Projektverträge erarbeitet. Für
den Erfolg des Projekts Corona Warn App ist eine enge und rechtzeitige Einbindung
von und Abstimmung mit dem BSI und dem BfDI erforderlich. SAP und T-Systems
werden die jeweiligen Konzepte, einschließlich der verfügbaren technischen
Dokumentation, dem BSI und dem BfDI unter Einbindung des Auftraggebers jeweils
so früh als möglich zur Durchsicht und Stellungnahme zuleiten. Stellungnahmen von
BSI und BfDI sind bei der Entwicklung und Herstellung der Betriebsbereitschaft sowie
im späteren Betrieb des Gesamtsystems von SAP und T-Systems in ihrem jeweiligen
Leistungsbereich zu beachten und umzusetzen. Sofern sich hieraus wesentliche
Abweichungen nach Unterzeichnung der Projektverträge ergeben, sind SAP und T-
Systems jeweils vor Ausführung verpflichtet, einen Change Request zu stellen. Das
weitere Vorgehen wird dann zwischen den Parteien im Rahmen des Change Request-
Verfahrens vereinbart.

Dokumentation und Zertifikate

521 SAP. und T-Systems erstellen im Rahmen der Entwicklung die in Anlage 4
spezifizierte Dokumentation ("Dokumentation").

52.2 Bei der Erstellung der Dokumentation muss jeder Industriepartner für seinen
Leistungsbereich mitwirken und ist inhaltlich nur für seinen Leistungsbereich
verantwortlich. Die Industriepartner stimmen sich hinsichtlich Format und
Aufbau der Dokumentation ab, so dass der Auftragnehmer eine konsistente und
einheitlich formatierte Dokumentation erhält. Der jeweils für die
Konsolidierung einer Dokumentation verantwortliche Industriepartner ist in
Anlage 4 spezifiziert.

5.23 Die Dokumentation ist in deutscher Sprache zu erstellen, wobei Teile auch in
englischer Sprache erstellt werden können, wie in Anlage 4 festgelegt.

255125-4-7-v5.0 - 10 - 40-40748200