Azure Information Protection (AIP) als Werkzeug der Datensicherung durch Klassifizierung und Verschlüsselung ist immer mehr im Einsatz. Umso mehr ist es wichtig, sich das Sicherheitswerkzeug auch einmal unter dem Gesichtspunkt des Datenschutzes einmal genauer anzusehen.
Azure Information Protection das Produkt
AIP ist einzeln in zwei verschiedenen Plänen ( Premium 1 und Premium 2) erhältlich. Dazu kommt, dass es sowohl in dem EMS Paket, als auch bei Microsoft 365 enthalten ist. Es ist ein zusätzlich zu Office 365 zu buchendes Paket. Das Produkt ist sehr verzahnt und wird in Zukunft immer mehr mit anderen Produkten wie MCAS oder dem Security Center in Office 365 integriert.
Azure Information Protection – Vertragsbasis
Als Nächstes ist es erstmal interessant, wie eigentlich der Vertrag zwischen Microsoft und dem Kunden, gegebenenfalls zwischen dem Reseller und dem Kunden aussieht.
Azure Information Protection wird im Enterprise Bereich überlicherweise im EMS Paket zusätzlich oder im Microsoft 365 Paket mit erworben. Die beiden neuen Pläne werden wie das EMS Paket wohl auch zusätzlich zu dem Office 365 E3 Plan hinzugebucht.
Somit wird das Paket oft mit einem CSP (Cloud Solution Provider) oder im Rahmen des Enterprise Agreement gemeinsam mit dem Office 365 Paket oder als “Gesamtprodukt” als Microsoft 365 erworben.
Damit gilt:
Kunde – CSP Partner: Kaufvertrag, Support, AGBs, ggf. Service oder Managedservice-Vertrag
Kunde – Microsoft: OSTs, SLAs, Productterms
Übersicht der Bezugsquellen:
Quelle: Microsoft Online Service Terms März 2019
Download: https://www.microsoft.com/en-us/licensing/product-licensing/products
Azure Information Protection in den Verträgen
Natürlich muss AIP auch in den Verträgen zu finden sein. In Einige habe ich für euch einmal hineingeschaut:
Product Terms aus Februar 2019
Es folgen alle Stellen aus den Product Terms:
Microsoft Online Service Terms aus März 2019
In dem OSts ist AIP auch vertreten und dies unter dem Anhang A, den Kern-Onlinediensten. Dies ist äußerst wichtig, denn so gelten für AIP auch die GDPR Anhänge, die ADV und auch die strengeren Vorschriften für Kern-Onlinedienste, dass z.B. über Änderungen der Subcontractor Microsoft die Kunden 6 Monate vorher in Kenntnis setzen muss.
Im Folgenden geht es um EDU:
FOLGT hier: Zertifikate, Ergebnis der Prüfung