Ein echtes Geheimnis ist es eigentlich nicht, aber ich finde doch Kunden, die diesbezüglich falsche Vorstellungen haben.
Wir immer vor einem Blog-Beitrag habe ich ge-googled und meist kamen Beiträge zu den Änderungen, als Microsoft vom bisherigen CSP auf das NCE Modell umgestellt hat.
Also fangen wir beim “Cloud Solution Provider” einmal an.
Wenn du schon einmal bei Microsoft eingekauft hast, dann bist du (für Software-Lizenzen und Cloud Leistungen) wohl eher nicht in einem Microsoft Ladengeschäft gewesen?
Microsoft verkauft diese Produkte nicht direkt, wobei das auch nicht stimmt – es gibt einen Direktvertrieb über das Internet.
Aber das “Business-Geschäft” wickelt Microsoft in der Regel über zertifizierte Partner ab.
Der Sinn dahinter ist, die Kunden mit den teils komplexen Lösungen nicht allein zu lassen.
Diese Art von Vertrieb kann man gut mit dem in der Automobilbranche vergleichen.
Automobil | Cloud |
VW · baut das Auto Der Händler · verkauft es und kümmert sich um den Service Der Kunde · ist der Käufer. | Microsoft · stellt Cloud Leistungen zu Verfügung Der Partner · verkauft diese und bietet Serviceleistungen Der Kunde · ist der Käufer. |
Damit die Partner auch etwas daran verdienen, erhalten diese von Microsoft Rabatte, die dann zum Teil an die Kunden weitergegeben werden.
Im Idealfall zahlt der Kunde also beim Kauf über einen Partner weniger und der Partner verdient auch noch etwas daran.
Mit dem “Abgasskandal” kann man nun eine andere Besonderheit in diesem Dreiecksverhältnis vergleichen.
Die “Schummelsoftware” wurde von den Herstellern eingebaut.
Dennoch haften z.B. die Händler als Verkäufer der Ware dafür auch.
Wobei diese dann den Anspruch an “ihren” Verkäufer, also den eigentlichen Hersteller weiterreichen können.
Mit Einführung des neuen NCE (New Commerce Experience) Vertriebsmodells wurden die Regeln von Microsoft neu definiert.
An einem Beispiel kann man nun die “Rolle” der Partner gut erkennen.
In der Vergangenheit konnte ein Kunde z.B. neue Benutzer lizenzieren oder deren Zahl reduzieren.
Auch “Upgrades” und “Downgrades”, also eine Veränderung bei der Produktvariante, war recht freizügig möglich.
Mit dem NCE Modell geht das nicht mehr.
Nach “oben” geht weiter unproblematisch (war ja klar, oder?), aber nach “unten” gibt es eine Grenze:
Mit dem neuen CSP-Programm NCE ist eine Stornierung nur noch innerhalb 72 Stunden möglich. Sie erhalten dabei auch nicht die gesamte Summe zurück, sondern nur noch einen anteiligen Betrag. Wie hoch die Summe sein wird, entscheidet Microsoft selbst. Deshalb gilt seitens Microsoft:
“Der Kunde trägt das Risiko von Fehlern bei der Auftragserteilung ohne Rückgabemöglichkeit nach 72 Stunden.” Falls Sie also irrtümlich die Bestellung aufgegeben haben, kontaktieren Sie uns schnellstmöglich um die Buchung rückgängig zu machen. Diese 72 Stunden-Regelung gilt auch für anschließende Wochenenden und Feiertage, dies ist bitte dringend zu beachten. Faustregel – nur am Wochenanfang bestellen.
Für den Partner ergibt sich jetzt das Problem, dass er gegenüber Microsoft diese Vereinbarung auch einhalten muss.
Kennt ein Kunde diese Regel nicht und er bestellt – vielleicht wegen einem Tippfehler – nicht 100 sondern 10.000 neue Lizenzen, dann kann das innerhalb der 72 Stunden Frist korrigiert werden. Danach muss er die Leistung abnehmen und bezahlen.
Der Partner muss das Geld “eintreiben” und im Zweifel gegenüber Microsoft auch bezahlen.
Jetzt kommt ein sehr wichtiger Punkt – der NCE-Vertrag regelt lediglich das Vertriebsmodell und definiert die zugehörigen Bedingungen zwischen Microsoft <-> Partner <-> Kunde.
Dazu wird in der Regel auch ein Vertrag zur Auftragsverarbeitung abgeschlossen und – genau – der regelt den Transfer und die Nutzung von personenbezogenen Daten, die im Rahmen der “Vertragsadministration” anfallen.
Oder mit den Worten eines Rechtsanwaltes
1.1 Gegenstand dieses Vertrages ist die Bereitstellung von Microsoft Onlinediensten, das heißt, die Verschaffung der für die Nutzung der cloudbasierten Dienste erforderlichen Nutzungsrechte auf Zeit.
1.6 Durch Unterzeichnung dieses Vertragsdokuments kommt ein Vertrag zwischen dem Auftraggeber und dem Partner zustande. Durch Freischaltung der Lizenzen kommt der Microsoft Kundenvertrag zwischen dem Auftraggeber und den jeweiligen Konzerngesellschaften der Microsoft Corporation (im Folgenden Microsoft) zustande. Der Austausch der hierfür erforderlichen Vertragsinformationen erfolgt zwischen dem Auftraggeber und dem Partner.
3.5 Die Akzeptanz des Microsoft Kundenvertrages durch den Auftraggeber wird durch den Partner im Azure Active Directory Tenant (der jedem CSP Abonnement als Basis dient) fixiert, um eine verbindliche Nachweisbarkeit und insbesondere Transparenz für Microsoft zu schaffen.
Diese drei Aussagen beschreiben klar, dass der NCE Vertrag gerade nicht die Themen regelt, die für dich als Kunde – besonders mit Blick auf den Datenschutz – wichtig sind.
Dieser sehr wichtige Aspekt wird durch den Microsoft Kundenvertrag geregelt, der vom NCE unabhängig ist.
Darunter fallen dann auch alle Themen wie z.B. Verfügbarkeit, SLA’, Reaktionszeiten u.v.m.
Nicht der Partner erbringt die eigentliche Leistung, sondern Microsoft.
Ergo macht es auch wenig Sinn, sich auf das Vertragsverhältnis mit dem Partner im Kontext des NCE zu fokussieren.
Wenn deine Rechtsabteilung den NCE Vertrag und den zugehörigen Vertrag zur Auftragsverarbeitung prüft, dann ist das nicht falsch, hilft dir aber wenig bei der Erfüllung der Pflichten im Rahmen des Datenschutzes und anderer regulatorischer Anforderungen.
Diese Trennung der Zuständigkeiten setzt sich weiter fort.
Wenn du jetzt mit einem Partner einen zusätzlichen Vertrag zur Betreuung z.B. der M365 Umgebung machst, dann ist der natürlich für diese Leistung verantwortlich.
Ein Vertrag zur Auftragsverarbeitung würde sich dann aber wieder nur auf die Frage beziehen, welche Daten der Partner bei der Erfüllung der konkret vereinbarten Vertragsinhalte sieht.
Hast du z.B. hochsensible Gesundheitsdaten in die Cloud hochgeladen, dann könnte es sein, dass der Partner bei der Arbeit darauf Zugriff bekommt. Das regelt der zum Managed Service Vertrag gehörende AV.
Die Tatsache, dass du die Daten in die Microsoft Cloud hochgeladen hast, bleibt aber weiter deine Verantwortung und kommt es zu einem datenrechtlichen Vorfall ist der Partner nur dann auch verantwortlich, wenn es in seinem Umfeld geschehen ist.
Deine Aufgabe bleibt bestehen und mit den neuen Standardvertragsklauseln für den internationalen Datentransfer (auch „Standard Contractual Clauses“ – kurz ‚SCC’) gilt:
Aber auch bei Verwenden der neuen SCC bleibt eine Einzelfallprüfung des Datenschutzniveaus unumgänglich, denn die neuen Klauseln allein werden in der Regel nicht ausreichen, um den Anforderungen des EuGH aus dem oben genannten Urteil gerecht zu werden. Bei einer solchen Einzelfallprüfung müssen vor allem der Vertragstext und das tatsächliche Datenschutzniveau überprüft werden.
Es gibt viel zu tun – „Kopf in den Sand stecken“ könnte für dich böse ausgehen …