
Zahlreiche Schweizer Unternehmen, aber auch öffentliche Einrichtungen setzen, auf die Cloud-Dienste von Microsoft. Neben dem Basisvertrag, dem Microsoft Customer Agreement (MCA), müssen für die Zwecke des Schweizer Datenschutzes der Zusatz "Amendment for Switzerland regarding Microsoft Products and Services Data Protection Addendum" und im Falle des Amts- oder Berufsgeheimnisses der Zusatz "Professional Secrecy and Official Secrecy – Industry-Specific Terms (Switzerland)" vereinbart werden. Je nach Fall kommen weitere Zusätze wie etwa für regulierte Finanzinstitute oder das sog. In-Geo-Processing hinzu. Zum Einsatz von M365 im Bereich des Berufsgeheimnisses siehe hier für weitere Informationen.
Diese beiden erstgenannten Zusätze gehen unter anderem auf Verhandlungen zurück, die wir für Schweizer Banken und öffentliche Institutionen vor einigen Jahren durchgeführt haben. Microsoft hat die Vertragsbestimmungen in der Folge standardisiert und bietet sie inzwischen allen Geschäftskunden an, auch KMU. Das ist erfreulich.
Weniger erfreulich ist, dass es Microsoft bisher nicht geschafft hat, für alle Kunden einen sauberen Prozess zur dokumentierten Vereinbarung dieser Zusätze einzuführen (in der Fachsprache ist mitunter von "Attestation" die Rede). Einen solchen gibt es zwar seit langem für grössere Kunden (dort werden entsprechende Dokumente unterzeichnet), aber nicht für KMU, welche über die sog. Cloud Solution Provider (CSP) versorgt werden. Der KMU-Kunde kann zwar von seinem CSP diese Zusätze erhalten, aber es ist bisher heute nicht möglich, sauber zu dokumentieren, dass diese mit Microsoft Ireland Operations Ltd., dem Vertragspartner für die Cloud-Dienste, abgeschlossen worden sind.
Viele Schweizer CSP sind mit dieser Situation überfordert. Auch verstehen manche nicht das Vertragskonstrukt und erst recht nicht die Bedeutung der verschiedenen Zusätze. Diese ändern sich obendrein immer wieder, und es fehlen Versionsnummern, die ein sauberes Tracking ermöglichen. Die deutschen Übersetzungen weisen zudem regelmässig sinnentstellende Fehler auf (wir empfehlen daher immer nur die Verwendung der englischen Fassungen). Einige CSP sind zum Beispiel fälschlicherweise der Ansicht, sie selbst wären Vertragspartner für die Erbringung der Cloud-Leistungen von Microsoft, was ebenso falsch ist wie die teilweise verbreitete Auffassung, dass die Cloud-Leistungen vertraglich mit Microsoft Schweiz vereinbart würden (letztere erbringt nur sog. Professional Services).
Für das Problem des fehlenden Unterschriftsprozesses bei KMU-Kunden haben wir aber mit einem Workaround eine Lösung finden können. Der geht so:
- Der CSP wird gebeten, dem Kunden die nötigen Vertragszusätze zum MCA auszuhändigen, vorzugsweise die englischen Fassungen. Der CSP kann diese aus dem Partner Portal von Microsoft abrufen (indirekte CSP, d.h. solche, die über einen anderen CSP versorgt werden, müssen hingegen die Vertragszusätze über 'ihren' CSP beziehen).
- Es wird ein schriftlicher Vertrag zwischen CSP und Kunde aufgesetzt. Darin können auch etwaige Leistungen des CSP abgedeckt sein.
- In diesem Vertrag wird festgehalten, dass der Kunde mit Microsoft Ireland Operations Ltd. das MCA und die namentlich aufzuzählenden MCA-Zusätze vereinbart.
- Es wird zusätzlich die untenstehende Klausel aufgenommen (die eckigen Klammern werden entsprechend angepasst).
- Im Vertrag wird weiter festgehalten, dass der Kunde zu Händen von Microsoft Ireland Operations Ltd. die Annahme des MCA und der MCA-Zusätze erklärt.
- Der CSP und der Kunde unterzeichnen den Vertrag.
Die englische Klausel lautet:
"[CSP Partner] confirms that they are authorized by Microsoft (as defined in the Microsoft Customer Agreement (MCA)) under their Microsoft Partner Agreement to provide eligible customers with additional contractual components (the "MCA Amendments") officially published in the Microsoft Partner Portal at the time of the transaction, in addition to the MCA, and that Microsoft has confirmed to [CSP Partner] for the attention also of [Customer] that the MCA Amendments will come into force directly between the respective customer and the relevant Microsoft entitie(s) upon unilateral valid acceptance by the customer of these terms, in addition to the MCA terms. Expressly limited to the validity and enforceability of the MCA and the MCA Amendments between Microsoft and [Customer] [CSP] acts as a declaratory and receiving messenger of Microsoft. The MCA Amendments under this Agreement consist of [above contractual components 1, 2, and 3] – as provided in appendices [one] – [two] – [three]."
In der deutschen Übersetzung:
"[CSP-Partner] bestätigt, dass er von Microsoft (gemäss der Definition im Microsoft-Customer Agreement (MCA)) im Rahmen seines Microsoft-Partnervertrags autorisiert ist, berechtigten Kunden zusätzlich zum MCA weitere Vertragsbestandteile (die "MCA-Änderungen"), die zum Zeitpunkt der Transaktion offiziell im Microsoft-Partnerportal veröffentlicht waren, zur Verfügung zu stellen, und dass Microsoft [CSP-Partner] auch zu Handen von [Kunde] bestätigt hat, dass die MCA-Änderungen zusätzlich zu den MCA-Bedingungen direkt zwischen dem jeweiligen Kunden und der/den entsprechenden Microsoft-Einheit(en) in Kraft treten, sobald der Kunde diese Bedingungen seinerseits rechtsgültig akzeptiert hat. Ausdrücklich beschränkt auf die Gültigkeit und Durchsetzbarkeit des MCA und der MCA-Änderungen zwischen Microsoft und [Kunde] handelt [CSP] als Erklärungs- und Empfangsbote von Microsoft. Die MCA-Änderungen im Rahmen dieser Vereinbarung bestehen aus [oben genannten Vertragsbestandteilen 1, 2 und 3] – wie in den Anhängen [eins] – [zwei] – [drei] angegeben."
Auf diese Weise werden neben dem MCA auch die MCA-Zusätze nicht nur direkt mit Microsoft Ireland Operations Ltd. vereinbart, sondern durch die Vereinbarung mit dem CSP auch schriftlich dokumentiert. Diese Lösung setzt natürlich voraus, dass Microsoft Ireland Operations Ltd. die Schweizer CSP tatsächlich, wie in der Klausel beschrieben, im Rahmen ihrer Instruktionen und Schulungen der CSP ermächtigt hat, die betreffende Aussage von ihr an die Kunden weiterzugeben und ihre Aussagen zu ihren Händen entgegenzunehmen. Dies ist nach unseren Informationen aufgrund unserer Abklärungen mit Schweizer CSP der Fall, womit diese unseres Erachtens abgesichert sind. Diese Konstruktion via CSP als Erklärungs- und Empfangsboten mussten wir wählen, weil die CSP rechtlich gesehen keine sog. Stellvertreter von Microsoft Ireland Operations Ltd. sind, d.h. die Vertragszusätze nicht in ihrem Namen unterzeichnen dürfen.
Wir haben diese Vorgehensweise in der Praxis für Klienten von uns bereits umgesetzt.
Wir haben auch Microsoft Ireland Operations Ltd. über Microsoft Schweiz über diese Vorgehensweise informiert und speziell darüber, dass wir die CSP als Erklärungs- und Empfangsboten von Microsoft Ireland Operations Ltd. für die genannten Zwecke betrachten. Die Klausel haben wir ihnen auch vorgelegt. Es erfolgte kein Widerspruch. Nachdem eine Microsoft-interne Prüfung gezeigt hat, dass in dem CSP zur Verfügung stehenden Vertragstool (noch) keine technische Möglichkeit zur Bestätigung des Abschlusses der MCA-Zusätze bei KMU-Kunden besteht, akzeptiert sie die von uns entwickelte Vorgehensweise als Workaround und hat ihre CSP entsprechend informiert.
Es bleibt zu hoffen, dass bald ein sauberer Prozess zur Dokumentation des Abschlusses der diversen MCA-Zusätze geschaffen wird.