iCloud im Unternehmen

Apple bietet mit iCloud einen umfassenden Dienst an, um Daten von Nutzern extern zu speichern bzw. zu sichern. Dieser Dienst ist für Kunden sicherlich praktisch, aus Compliance- und datenschutzrechtlicher Sicht für Unternehmen allerdings problematisch.

Die Nutzungsbedingungen für iCloud

Wenn ein Unternehmen Daten in die Cloud verlagern möchte, bietet die iCloud von Apple einen vermeintlich günstigen und praktischen Dienst an. Allerdings lauert bereits in den Nutzungsbedingungen das erste Problem für Unternehmen. Inmitten des Dokuments findet sich folgende Aussage:

Außerdem stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist […].

Bereits an dieser Stelle hat sich die Thematik für die meisten Unternehmen erledigt. Offiziell darf iCloud aus Apples Sicht nicht in betrieblichem Kontext eingesetzt werden. Daraus ergibt sich auch, dass Apple in diesem Bereich kein Auftragsverarbeiter sein möchte. Im privaten Bereich findet die Datenschutz-Grundverordnung (DSGVO) gem. Art. 2 Abs. 2 lit. c DSGVO keine Anwendung, weswegen auch ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) gem. Art. 28 DSGVO nicht notwendig wird. Da bei der Nutzung im Unternehmen an Apple jedoch personenbezogene Daten übermittelt und dort verarbeitet werden, müsste ein solcher Vertrag abgeschlossen werden.

Apple und der Datenschutz

Das führt uns zum zweiten Problemfeld, dem Datenschutz. Da es sich offiziell lediglich um private und nicht unternehmerische Daten handelt, nimmt sich Apple gewisse Freiheiten. Und die kann kein Unternehmen akzeptieren, ohne sich nicht datenschutzrechtlich angreifbar zu machen.

Während für Unternehmen sicherlich auch Geschäftsgeheimnisse eine gewisse Relevanz aufweisen, sind aus Sicht des Datenschutzes nur personenbezogene Daten interessant. Daher stellt Apple zunächst klar, was unter personenbezogenen Daten verstanden wird. Apple hat hier bereits ein anderes Verständnis als die DSGVO: Während Art. 4 Nr. 1 DSGVO die Identifizierbarkeit einer Person genügen lässt, fallen für Apple nur Daten darunter, die eine Identifikation auch tatsächlich zulassen. Des Weiteren enthalten die Apple-Dokumente des Öfteren die Formulierung „Du willigst ein“ oder „Du stimmst zu“. Darauf wiederum stützt Apple einen Teil der Datenverarbeitung. Derartige Formulierung genügen jedoch nicht den Anforderungen der DSGVO an eine Einwilligung. Art. 7 DSGVO setzt voraus, dass eine Einwilligung informiert abgegeben wird. Das ist gerade nicht der Fall, wenn sie inmitten eines Fließtextes erfolgt. Zudem ist zumindest fraglich, ob nicht auch das Kopplungsverbot greift. Jedenfalls werden laut Datenschutzrichtlinie Daten von Apple für eigene Zwecke verarbeitet und auch an Dritte weitergegeben. Da die Einwilligung jedoch nicht wirksam ist, erfolgt (aus Sicht der DSGVO) eine widerrechtliche Datenverarbeitung. Für Unternehmen kommt erschwerend hinzu, dass sie nicht die Einwilligung für ihre Kunden, Mitarbeiter, etc. abgeben können.

Auch zu bedenken ist, dass Apple nicht alle übertragenen Daten verschlüsselt. Während Dienste wie iMessage und der Schlüsselbund Ende-zu-Ende-verschlüsselt sind, gilt dies nicht für den Kalender oder die Kontakte. Es ist also anzunehmen, dass Apple auch hier personenbezogene Daten zu eigenen Zwecken verarbeitet. Damit kommen bei der Nutzung von iCloud die gleichen Bedenken wie bei der Verwendung von WhatsApp im Unternehmen.

Fazit: Nutzen Sie Alternativen zu iCloud

Nach aktuellem Stand bietet Apple keinen Cloudservice an, der den Anforderungen eines Unternehmens entspricht. Zum einen ist eine Nutzung im Unternehmen von Apple ausdrücklich nicht gewünscht, zum anderen sind die datenschutzrechtlichen Probleme nicht wegzudiskutieren. Vielleicht ist Letzteres der Grund, weswegen Apple seinen Service nicht für Unternehmen anbieten möchte.

Nutzt ein Unternehmen dennoch iCloud, droht aufgrund diverser Datenschutzverstöße die Gefahr einer Beanstandung durch die Aufsichtsbehörde. Schließlich verarbeiten Unternehmen auch die Daten ihrer Mitarbeiter und Kunden, die gerade nicht ohne Weiteres bei einem Dritten gespeichert werden dürfen (Stichwort AV-Vertrag). Glücklicherweise gibt es ausreichend Alternativen, die sowohl aus Compliance- als auch aus Datenschutzsicht die notwendigen Voraussetzungen mitbringen.

Dieser aktualisierte Artikel erschien zuerst am 22. August 2012.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.