Der weltweit größte Softwarehersteller hat in Deutschland etwa 30.000 (Vertriebs-) Partner. Der Hersteller führt ein neues Vertriebsmodell für den Bereich Cloud Solution Provider ein und nimmt für sich die Geltung irischen Rechts in Anspruch. Die Partner benötigen Verträge für ihre Endkunden, die das neue Vertriebsmodell des Softwareherstellers umfassend abbilden und die Partner angemessen schützen. Zur Lösung diese Anforderungen wurden folgenden Themen aufbereitet.

F.: Wer sind unsere potenziellen Mandanten?

A.: 30.000 Partner, davon in der ersten Stufe 1%.

F: Wie viele Schulungen benötigen die Mandanten zur Anwendung der Verträge?

A.: Ziel ist max. 1 h (mit Videotraining).

F.: Wann soll das Projekt „CSP Verträge“ abgeschlossen sein?

A.: Roll out an Mandanten vor Roll out des Herstellerprogramms.

F.: Was ist die berechtigte Erwartungshaltung der Mandanten?

A.: Wasserdichte Verträge, die seine Kunden akzeptieren.

F.: Wie findet die Bekanntmachung der PRW CSP-Kundenverträge statt?

A.: Über die Kontakte zur Distribution.

F.: Welches Budget hat das Projekt? Wie wird es finanziert?

A.: Die Entwicklungskosten für das Standard-Vertragswerk werden mit EUR 150.000,00 beziffert. Die Finanzierung wird über kostengünstigen Verkauf des Standardwerks refinanziert.

F.: Was benötigen wir im Team zur Realisierung?

A.: Tiefes technisches Verständnis zur Cloud Software, kaufmännische Kalkulation zum Vertragswerk und juristische Ausarbeitung.

F.: Welche Risiken existieren für den Mandanten?

A.: Das Businessmodell Miete muss bekannt sein. „Bugwelle“ der Vorfinanzierung. Andere Risiken als beim Kauf.

Und viele Fragen + Antworten mehr. Im Ergebnis erschien das erste Standard Paket CSP im Jahr 2016. Im Nachgang wurden unterschiedliche kostengünstige Releases in Form von rechtlichen Updates gefahren. Diese waren aufgrund rechtlicher (z.B. „Schrems II“) und vertraglicher Veränderungen auf Seiten des Herstellers notwendig. Die Veränderungen wurden proaktiv erarbeitet und den Mandanten zur Verfügung gestellt. Das jüngste Release stammt aus 3/2022.

Nachbetrachtung: Unsere Mandanten sind begeistert und haben uns gebeten, weitere Produkte für Anforderungen im Cloud Umfeld nach dem gleichen „Muster“ nachzulegen. Wir arbeiten daran.

Vor dem Hintergrund des EuGH Urteils vom 16. Juli 2020 in der Sache C-311/18, bekannt als „Schrems II“, muss sich ganz Europa mit der Datenschutzthematik beim Einsatz von Anwendungen aus der Microsoft 365 (M365) Welt befassen. Teilweise gingen die Vorschläge sogar so weit, die Nutzung von M365 gänzlich als unzulässig zu bewerten, was sicherlich aus Sicht der meisten Unternehmen ein unrealistischer Ansatz ist. Die wesentlichen Gedanken von „Schrems II“ und die dazu ergangenen Entscheidungen der Gerichte und Aufsichtsbehörden mussten die Grundlagen der technologischen und rechtlichen Bewertung in einer sachgerechten DSFA sein.

F: Wer sind unsere potenziellen Mandanten?

A.: Microsoft 365 Anwender in Deutschland. MS Office hat einen Marktanteil von 85% (Quelle Statita). M 365 ist eine Untermenge davon.

F: Wer sollte eine DSFA vornehmen und weshalb?

A.: Insbesondere die Anwender von Microsoft Teams in Kombination mit OneDrive, SharePoint Online und dem Azure Active Directory. Die Aufsichtsbehörden vermuten hier eine unzulässige Übertragung von personenbezogenen Daten in ein unsicheres Drittland (USA). Dies ist sanktionsbewehrt.

F.: Wann muss das Projekt „M 365 DSFA“ abgeschlossen sein?

A.: Zeitnah nach der „Schrems II“ Entscheidung, da es keine Übergangsfristen gibt.

F.: Ein Projekt ist eine einmalige Sache, ist das hier auch so?

A.: Ja, aber es müssen aufgrund weiterer technologischer Entwicklungen und ggf. weiterer Rechtsprechung in regelmäßigen Abständen sog. Follow-ups zur Überprüfung stattfinden.

F.: Was ist die berechtigte Erwartungshaltung der Mandanten?

A.: Die DSFA muss einer behördlichen Überprüfung standhalten.

F.: Wie findet die Bekanntmachung DSFA statt?

A.: Über die Mandanten im CSP Modell. Sie bieten ihren Kunden damit einen Mehrwert.

F.: Welches Budget hat das Projekt? Wie wird es finanziert?

A.: Die Entwicklungskosten für die Standard DSFA werden mit EUR 100.000,00 beziffert. Die Finanzierung wird über kostengünstigen Verkauf des Standardwerks refinanziert. Für die kundengenaue Parametrisierung der DSFA ist pro Kunden ein individueller Aufwand von 2 Personentagen bei PRW anzusetzen.

F.: Was benötigen wir im Team zur Realisierung?

A.: Technisches Verständnis für die M 365 Software, technische Scan Möglichkeit für die Messung der Datenströme, das erfolgt über die Cloud Business Group, und juristische Ausarbeitung.

F.: Welche Risiken existieren für den Mandanten?

A.: Bei kontinuierlicher Fortsetzung und Umsetzung der gegebenen technischen und organisatorischen Empfehlungen ist das Risiko (Bußgeld) für den Mandanten sehr gering. Ohne diese Maßnahmen ist das Risiko derzeit hoch.

Und viele Fragen + Antworten mehr. Im Ergebnis erschien die erste Standard DSFA im August 2020. Im Nachgang wurden unterschiedliche kostengünstige Releases in Form von rechtlichen Updates gefahren. Diese waren aufgrund technologischer Weiterungen und Veränderungen auf Seiten des Herstellers notwendig. Die Veränderungen wurden proaktiv erarbeitet und den Mandanten zur Verfügung gestellt. Das jüngste Release stammt aus 2/2022.

F.: Wer sind unsere potenziellen Mandanten?

A.: Microsoft 365 Anwender in Deutschland. Organisationen, die M 365 rechtskonform anwenden möchten. Dies betrifft im Wesentlichen Datenschutz-, Compliance-, Mitbestimmungs-, und IT-Security Anforderungen.

F: Wer sollte ein PRW® Compliance Set: M365 beauftragen und weshalb?

A.: Die Anwender von M 365, um sich insgesamt compliant auszurichten.

F.: Ein Projekt ist eine einmalige Sache, ist das hier auch so?

A.: Ja, aber es müssen aufgrund weiterer technologischer Entwicklungen und ggf. weiterer Rechtsprechung in regelmäßigen Abständen sog. Follow-ups zur Überprüfung stattfinden.

F.: Was ist die berechtigte Erwartungshaltung der Mandanten?

A.: Das PRW® Compliance Set: M365 muss die M365 Umgebung compliant gestalten können.

F.: Welches Budget hat das Projekt? Wie wird es finanziert?

A.: Die Entwicklungskosten für das PRW® Compliance Set: M365 wurden mit EUR 1.500.000,00 beziffert. Die Finanzierung wird über kostengünstigen Verkauf von sog. Standardscans refinanziert. Für die kundengenaue Parametrisierung der ersten beiden Scans ist pro Kunden ein individueller Aufwand von 6 Personentagen anzusetzen.

F.: Was benötigen wir im Team zur Realisierung?

A.: Technisches Verständnis für die M 365 Software, technische Scan Möglichkeit für die Messung der Datenströme, das erfolgt über die Cloud Business Group, und juristische Ausarbeitung.

F.: Welche Risiken existieren für den Mandanten?

A.: Bei kontinuierlicher Fortsetzung und Umsetzung der gegebenen technischen und organisatorischen Empfehlungen ist das Risiko (Bußgeld) für den Mandanten sehr gering. Ohne diese Maßnahmen ist das Risiko derzeit hoch.

Und viele Fragen + Antworten mehr. Im Ergebnis erschien das erste PRW® Compliance Set: M365 im August 2020. Im Nachgang wurden unterschiedliche kostengünstige Releases in Form von rechtlichen Updates gefahren. Diese waren aufgrund technologischer Weiterungen und Veränderungen auf Seiten des Herstellers notwendig. Die Veränderungen wurden proaktiv erarbeitet und den Mandanten zur Verfügung gestellt. Das jüngste Release stammt aus 4/2022.