Azure Information Protection im Datenschutzcheck

Azure Information Protection (AIP) als Werkzeug der Datensicherung durch Klassifizierung und Verschlüsselung ist immer mehr im Einsatz. Umso mehr ist es wichtig, sich das Sicherheitswerkzeug auch einmal unter dem Gesichtspunkt des Datenschutzes einmal genauer anzusehen.

Azure Information Protection das Produkt

AIP ist einzeln in zwei verschiedenen Plänen ( Premium 1 und Premium 2) erhältlich. Dazu kommt, dass es sowohl in dem EMS Paket, als auch bei Microsoft 365 enthalten ist. Es ist ein zusätzlich zu Office 365 zu buchendes Paket. Das Produkt ist sehr verzahnt und wird in Zukunft immer mehr mit anderen Produkten wie MCAS oder dem Security Center in Office 365 integriert. 

Azure Information Protection – Vertragsbasis

Als Nächstes ist es erstmal interessant, wie eigentlich der Vertrag zwischen Microsoft und dem Kunden, gegebenenfalls zwischen dem Reseller und dem Kunden aussieht. 

Azure Information Protection wird im Enterprise Bereich überlicherweise im EMS Paket zusätzlich oder im Microsoft 365 Paket mit erworben. Die beiden neuen Pläne werden wie das EMS Paket wohl auch zusätzlich zu dem Office 365 E3 Plan hinzugebucht.

Somit wird das Paket oft mit einem CSP (Cloud Solution Provider) oder im Rahmen des Enterprise Agreement gemeinsam mit dem Office 365 Paket oder als “Gesamtprodukt” als Microsoft 365 erworben.

Damit gilt:

Kunde – CSP Partner: Kaufvertrag, Support, AGBs, ggf. Service oder Managedservice-Vertrag

Kunde – Microsoft: OSTs, SLAs, Productterms

Übersicht der Bezugsquellen:

Quelle: Microsoft Online Service Terms März 2019

Download: https://www.microsoft.com/en-us/licensing/product-licensing/products

 

 

Azure Information Protection in den Verträgen

Natürlich muss AIP auch in den Verträgen zu finden sein. In Einige habe ich für euch einmal hineingeschaut:

Product Terms aus Februar 2019

Es folgen alle Stellen aus den Product Terms:

 

Microsoft Online Service Terms aus März 2019

In dem OSts ist AIP auch vertreten und dies unter dem Anhang A, den Kern-Onlinediensten. Dies ist äußerst wichtig, denn so gelten für AIP auch die GDPR Anhänge, die ADV und auch die strengeren Vorschriften für Kern-Onlinedienste, dass z.B. über Änderungen der Subcontractor Microsoft die Kunden 6 Monate vorher in Kenntnis setzen muss.

Im Folgenden geht es um EDU:

FOLGT hier: Zertifikate, Ergebnis der Prüfung