Logo der activeMind AG

iCloud im Unternehmen

Inhalt

Apple bietet mit iCloud einen umfassenden Dienst an, um Daten von Nutzern extern zu speichern bzw. zu sichern. Dieser Dienst ist für Kunden sicherlich praktisch, aus Compliance- und datenschutzrechtlicher Sicht für Unternehmen allerdings problematisch.

Update, Dezember 2020: Inzwischen bietet Apple mit dem Business Manager-Vertrag eine scheinbar datenschutzkonforme Lösung für Unternehmen an. Dadurch lässt sich zumindest der Kritikpunkt des rein privaten Gebrauchs entkräften. Die restlichen Probleme bleiben hingegen bestehen:

  • Der Begriff der personenbezogenen Daten wird ebenso eigenwillig definiert, wie in den iCloud Nutzungsbedingungen.
  • Apple gibt zwar an, Auftragsverarbeiter zu sein. Jedoch deuten diverse Regelungen im Vertrag nicht darauf hin, dass sich Apple an die Vorgaben des Art. 28 DSGVO halten möchte. Ein Beispiel ist die Rückgabe der Daten nach Vertragsende, in der Apple sich das Recht vorbehält, Daten ohne Herausgabe zu löschen:

„Sie erkennen an und stimmen zu, dass Sie nach Ablauf oder Kündigung dieses Vertrags nicht auf den Dienst zugreifen können und dass Apple sich das Recht vorbehält, den Zugriff auszusetzen oder Daten bzw. Informationen zu löschen, die Sie, Ihre Administratoren, berechtigten Benutzer, berechtigten juristischen Personen oder zugelassenen Benutzer im Zuge Ihrer Nutzung des Diensts gespeichert haben.“

  • Im Vertragstext finden sich noch weitere Beispiele, die im Ergebnis eine Stellung als Auftragsverarbeiter nicht zulassen.
  • Unter Punkt 10.2 findet sich eine „Einwilligung in die Erhebung, Verarbeitung und Nutzung von Daten“. Da es sich hierbei um die personenbezogenen Daten der Nutzer handelt, ist auch eine solche Einwilligung nicht wirksam, da sie nicht von der betroffenen Person selbst abgegeben wurde. Konkret lautet diese Einwilligung im Wortlaut:

„Sie erkennen an und willigen ein in die Erhebung, Verarbeitung, Nutzung und Speicherung von Diagnose-, Technik- und Nutzungsdaten und zugehörigen Informationen, insbesondere eindeutige System- oder Hardwarekennungen, Cookies oder IP-Adressen, Informationen über Ihre Nutzung des Diensts, Ihren MDM-Server, Ihre Geräteregistrierungseinstellungen, Ihre Computer, Ihre Geräte, Ihre System- und Anwendungssoftware sowie andere Software und Peripheriegeräte durch Apple und seine Partner und Vertreter, die regelmäßig erhoben werden, um die Bereitstellung von Diensten im Zusammenhang mit dem Dienst für Sie zu vereinfachen, um Geräte und Dienste von Apple bereitzustellen, zu testen und zu verbessern, für interne Zwecke wie Auditing, Datenanalyse und Recherche zur Verbesserung von Geräten, Diensten und Kundenkommunikation von Apple, um die Bereitstellung von Software und Softwareupdates, Gerätesupport und anderer Dienste für Sie (sofern vorhanden) in Verbindung mit dem Dienst oder etwaiger solcher Software zu vereinfachen, zu Sicherheits- und Accountverwaltungszwecken und um die Einhaltung der Bestimmungen dieses Vertrags zu überprüfen.“

Durch den Apple Business Manager-Vertrag lässt sich zumindest der Kritikpunkt der rein privaten Nutzung beseitigen. Alle anderen datenschutzrechtlichen Probleme bleiben bestehen, weswegen das in diesem Artikel ursprünglich getroffene Fazit Bestand hat.

Die Nutzungsbedingungen für iCloud

Wenn ein Unternehmen Daten in die Cloud verlagern möchte, bietet die iCloud von Apple einen vermeintlich günstigen und praktischen Dienst an. Allerdings lauert bereits in den Nutzungsbedingungen das erste Problem für Unternehmen. Inmitten des Dokuments findet sich folgende Aussage:

Außerdem stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist […].

Bereits an dieser Stelle hat sich die Thematik für die meisten Unternehmen erledigt. Offiziell darf iCloud aus Apples Sicht nicht in betrieblichem Kontext eingesetzt werden. Daraus ergibt sich auch, dass Apple in diesem Bereich kein Auftragsverarbeiter sein möchte. Im privaten Bereich findet die Datenschutz-Grundverordnung (DSGVO) gem. Art. 2 Abs. 2 lit. c DSGVO keine Anwendung, weswegen auch ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) gem. Art. 28 DSGVO nicht notwendig wird. Da bei der Nutzung im Unternehmen an Apple jedoch personenbezogene Daten übermittelt und dort verarbeitet werden, müsste ein solcher Vertrag abgeschlossen werden.

Apple und der Datenschutz

Das führt uns zum zweiten Problemfeld, dem Datenschutz. Da es sich offiziell lediglich um private und nicht unternehmerische Daten handelt, nimmt sich Apple gewisse Freiheiten. Und die kann kein Unternehmen akzeptieren, ohne sich nicht datenschutzrechtlich angreifbar zu machen.

Während für Unternehmen sicherlich auch Geschäftsgeheimnisse eine gewisse Relevanz aufweisen, sind aus Sicht des Datenschutzes nur personenbezogene Daten interessant. Daher stellt Apple zunächst klar, was unter personenbezogenen Daten verstanden wird. Apple hat hier bereits ein anderes Verständnis als die DSGVO: Während Art. 4 Nr. 1 DSGVO die Identifizierbarkeit einer Person genügen lässt, fallen für Apple nur Daten darunter, die eine Identifikation auch tatsächlich zulassen. Des Weiteren enthalten die Apple-Dokumente des Öfteren die Formulierung „Du willigst ein“ oder „Du stimmst zu“. Darauf wiederum stützt Apple einen Teil der Datenverarbeitung. Derartige Formulierung genügen jedoch nicht den Anforderungen der DSGVO an eine Einwilligung. Art. 7 DSGVO setzt voraus, dass eine Einwilligung informiert abgegeben wird. Das ist gerade nicht der Fall, wenn sie inmitten eines Fließtextes erfolgt. Zudem ist zumindest fraglich, ob nicht auch das Kopplungsverbot greift. Jedenfalls werden laut Datenschutzrichtlinie Daten von Apple für eigene Zwecke verarbeitet und auch an Dritte weitergegeben. Da die Einwilligung jedoch nicht wirksam ist, erfolgt (aus Sicht der DSGVO) eine widerrechtliche Datenverarbeitung. Für Unternehmen kommt erschwerend hinzu, dass sie nicht die Einwilligung für ihre Kunden, Mitarbeiter, etc. abgeben können.

Auch zu bedenken ist, dass Apple nicht alle übertragenen Daten verschlüsselt. Während Dienste wie iMessage und der Schlüsselbund Ende-zu-Ende-verschlüsselt sind, gilt dies nicht für den Kalender oder die Kontakte. Es ist also anzunehmen, dass Apple auch hier personenbezogene Daten zu eigenen Zwecken verarbeitet. Damit kommen bei der Nutzung von iCloud die gleichen Bedenken wie bei der Verwendung von WhatsApp im Unternehmen.

Fazit: Nutzen Sie Alternativen zu iCloud

Nach aktuellem Stand bietet Apple keinen Cloudservice an, der den Anforderungen eines Unternehmens entspricht. Zum einen ist eine Nutzung im Unternehmen von Apple ausdrücklich nicht gewünscht, zum anderen sind die datenschutzrechtlichen Probleme nicht wegzudiskutieren. Vielleicht ist Letzteres der Grund, weswegen Apple seinen Service nicht für Unternehmen anbieten möchte.

Nutzt ein Unternehmen dennoch iCloud, droht aufgrund diverser Datenschutzverstöße die Gefahr einer Beanstandung durch die Aufsichtsbehörde. Schließlich verarbeiten Unternehmen auch die Daten ihrer Mitarbeiter und Kunden, die gerade nicht ohne Weiteres bei einem Dritten gespeichert werden dürfen (Stichwort AV-Vertrag). Glücklicherweise gibt es ausreichend Alternativen, die sowohl aus Compliance- als auch aus Datenschutzsicht die notwendigen Voraussetzungen mitbringen.

Dieser aktualisierte Artikel erschien zuerst am 22. August 2012.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.