Wie steht es eigentlich beim iCloud-Dienst von Apple um den Datenschutz? Dürfen Unternehmen Daten von Personen – beispielsweise im Adressbuch – durch oder von Apple in der «Cloud» bearbeiten lassen?
Die Frage ist relevant, weil die meisten iCloud-Daten zwar verschlüsselt übertragen und gespeichert werden, aber nicht durch Ende-zu-Ende-Verschlüsselung geschützt sind. Apple kann deshalb auf die meisten Daten von Nutzerinnen und Nutzern zugreifen, zum Beispiel bei Anfragen von Sicherheitsbehörden.
Grundsätzlich ist davon auszugehen, dass Apple angemessene Massnahmen für die Datensicherheit von iCloud trifft, auch wenn Ende-zu-Ende-Verschlüsselung für alle Daten wünschenswert ist. Die Möglichkeit von Behördenanfragen und Überwachung ist unerfreulich, aber nicht Apple-spezifisch und betrifft auch nicht nur die USA.
Auf Nachfrage hin erhielt ich vom Apple-Datenschutzteam folgende Rückmeldung:
«Wir möchten Ihnen zu Ihrer Information mitteilen, dass Apple Distribution International, Irland (ADI) der Datenverantwortliche für personenbezogene Daten von Kunden in der EU / im EWR ist. ADI stellt Einzelpersonen seine Dienste wie iCloud zur Verfügung. In dieser Hinsicht agiert ADI als Datenkontrolleur für persönliche Informationen von Endnutzern und nicht als Datenverarbeiter.»
Apple: Keine Auftragsbearbeitung für iCloud
Apple argumentiert demnach, man sei nicht Auftragsbearbeiter (Art. 10a DSG), sondern als Inhaber selbst für die Datensammlung verantwortlich, das heisst man entscheide selbst über Inhalt und Zweck (Art. 3 lit. i DSG). Behauptet Apple damit etwa, über den Inhalt von iCloud-Adressbüchern zu entscheiden?
Auch wenn Apple vergessen hat, dass die Schweiz weder Mitglied in der Europäischen Union (EU) noch im Europäischen Wirtschaftsraum (EWR) ist, so erklärt Apple letztlich, dass Apple Distribution International (ADI) in Irland als Inhaber der Datensammlung gilt, wobei die Bearbeitung aber durch Apple insbesondere in den USA erfolgt, wofür «Mustervertragsbedingungen für die internationale Übermittlung von persönlichen Daten» verwendet werden (Art. 6 Abs. 2 lit. a DSG). Irland selbst gilt aus Schweizer Sicht als Land mit einem angemessenen Datenschutz (Art. 6 Abs. 1 DSG).
Natürliche Personen können aufgrund der Ausnahme von Art. 2 Abs. 2 lit. a DSG mit der Rückmeldung von Apple leben. Aber wie sollen juristische Personen und überhaupt Unternehmen, die iCloud verwenden, damit umgehen?
Podcast: «Datenschutz-Guru» Stephan Hansen-Oest über iCloud in Unternehmen
Mit Anwaltskollege (und «Datenschutz-Guru») Stephan Hansen-Oest in Deutschland habe ich die Problematik per E-Mail diskutiert. Anlass war ein Online-Beitrag von Stephan Hansen-Oest zur Problematik.
Wieso die Verwendung von iCloud durch Unternehmen ein datenschutzrechtliches Problem sein kann, erklärt Stephan Hansen-Oest nun ausführlich in seiner aktuellen Podcast-Folge (Download als MP3-Datei) mit Blick auf das Bundesdatenschutzgesetz (BDSG) und die neue Datenschutz-Grundverordnung (DSGVO):
Die Erklärungen von Stephan Hansen-Oest gelten sinngemäss auch für das schweizerische Datenschutzrecht. Unterschiede bestehen im Vokabular, zum Beispiel spricht man in der EU von «Verarbeitung» und nicht von «Bearbeitung».
Ist durch Apples neues Update nun das Bedenken bezüglich DSGVO und der unternehmerischen Nutzung von iCloud hinfällig?
Hier ein Artikel dazu:
https://www.datenschutz-praxis.de/fachnews/dsgvo-apple-passt-privatsphaeren-einstellungen-an/
Da geht es, so wie ich das sehe, nur um die Einsicht der eigenen personenbezogenen Daten. Eben das, was Apple definitiv einhalten muss.
Das hilft aber meinem Verständnis nach überhaupt nicht bei der geschäftlichen Nutzung.
Und was jetzt, warten bis Apple eine Lösung gefunden hat? Einfach ignorieren? Alles umstellen auf andere Dienste? Geht das überhaupt?