Apple bietet mit iCloud einen umfassenden Dienst an, um Daten von Nutzern extern zu speichern. Dieser Dienst ist für Kunden des Konzerns praktisch, datenschutzrechtlich ist er allerdings bedenklich.

Cloud Computing Datenschutz

Dem iCloud-Nutzer werden vom Anbieter mehrere Dokumente zur Verfügung gestellt, die (auch) den Datenschutz regeln sollen: die iCloud Datenschutzrichtlinie und die iCloud Nutzungsbedingungen. Einige Inhalte sind hier jedoch nicht frei von Zweifeln.

Ausgangspunkt für die Bewertung soll die gesetzliche Regelung sein: Die Erhebung, Speicherung, Verarbeitung, Weitergabe und ganz allgemein die Nutzung personenbezogener Daten ist nur erlaubt, wenn dies ein Gesetz vorsieht oder der Betroffene wirksam eingewilligt hat. Eine Verarbeitung personenbezogener Daten ohne explizitgesetzliche Grundlage oder eine vorherige Einwilligung ist gemäß § 4a BDSG rechtswidrig. Eine Einwilligung muss dabei, abgesehen von einigen weiteren Erfordernissen, aber stets aktiv vom Betroffenen abgegeben werden. Der Einwilligende muss tätig werden und sich äußern. Die Einwilligung kann nicht unterstellt oder gemutmaßt werden.

Aus Sicht des Datenschutzes sind nur personenbezogene Daten interessant. Gut also zu wissen, was Apple unter personenbezogenen Daten versteht: Personenbezogene Daten sind Daten, die verwendet werden können, um eine Person eindeutig zu identifizieren oder um eine bestimmte Person zu kontaktieren.“ Apple privacy [Apple Inc., 1 Infinite Loop, Cupertino, Kalifornien, USA 95014 Stand: 12. Oktober 2011] § 3 Abs. 1 BDSG sieht das weiter. Danach ist eine Identifikation gerade nicht nötig, es genügt die Bestimmbarkeit einer Person. Je nach dem um welche Information es geht, besteht hier also die Möglichkeit, dass es zu unterschiedlichen Auffassungen kommt. Der Anwendungsbereich des BDSG dürfte hier weiter sein als der der privacy Regelung. Das kann man bereits  in der Datenschutzrichtlinie selbst erkennen. Die im Abschnitt Erhebung von nicht-personenbezogenen Daten genannten „individuellen Geräteidentifizierungsmerkmale“ sind ebenso wie etwa ein Autokennzeichen sehr wohl personenbezogen, erlauben sie es doch, den Besitzer zu bestimmen bzw. eindeutig wiederzuerkennen.

Ohne die gesamten Bedingungen zu analysieren und zu bewerten, sollen hier nur einige prägnante Formulierungen angesprochen werden.

Die Nutzungsbedingungen für iCloud

(Stand 10. Oktober 2011)

An vielen Punkten der Nutzungsbedingungen finden sich Formulierungen wie „Sie willigen ein“ oder „Sie stimmen zu“.  Hier liegt keine aktive Erklärung des Betroffenen vor. Sein Einverständnis wird vielmehr unterstellt. Eine wirksame Einwilligung ist nicht gegeben. So zum Beispiel im Rahmen der Standortbestimmung: Die Informationen darüber, wer sich zu welcher Zeit an welchem Ort aufhält, wie lange er das macht und welche Wege er geht, sind personenbezogene Daten. Die Nutzungsbedingungen schreiben hierzu: „Sie erklären sich hiermit einverstanden, dass Apple und seine Partner und Lizenzgeber diese Standortdaten erheben, nutzen, übermitteln, verarbeiten und aufbewahren, um diese Dienstleistungen anbieten zu können.“

Etwas später findet man folgende Formulierung: „Sie willigen außerdem ein, dass diese Daten in die USA oder in andere Länder übermittelt werden können, um von Apple, seinen verbundenen Unternehmen und/oder deren Dienstleistern gespeichert, verarbeitet und genutzt zu werden.“ Dieser Freibrief für die Übertragung von Daten an möglicherweise viele anderen Unternehmen ist äußerst zweifelhaft, bedarf es doch für diese Weitergabe nach BDSG stets einer Rechtsgrundlage – und für eine Übertragung in das Ausland gelten oft zusätzliche (und deutlich erhöhte) Anforderungen, die mit einer solchen einseitigen Erklärung allein nicht erfüllt werden können.

„Apple behält sich jedoch das Recht vor, jederzeit zu überprüfen, ob Inhalte angemessen sind und mit dieser Vereinbarung übereinstimmen, und kann ohne vorherige Ankündigung und in seinem alleinigen Ermessen Inhalte jederzeit vorab sichten, verschieben, ablehnen, modifizieren und/oder entfernen, wenn diese Inhalte diese Vereinbarung verletzen oder in sonstiger Weise anstößig sind.“  Es ist damit offensichtlich möglich und auch vorgesehen, dass Inhalte zur Kenntnis genommen werden. Damit ist sogar über den Umfang in dem die Nutzung und Weitergabe ohnehin vorbehalten bleibt, die Vertraulichkeit sämtlicher Daten nicht mehr gewährleistet.

Die Apple Datenschutzrichtlinie

Auch hier finden sich früh, bemerkemswerte Punkte: Wenn du mit Apple oder einem mit Apple verbundenem Unternehmen in Kontakt trittst, kannst du jederzeit dazu aufgefordert werden, personenbezogene Daten anzugeben. Apple und seine verbundenen Unternehmen können diese personenbezogenen Daten untereinander austauschen und sie nach Maßgabe dieser Datenschutzrichtlinie nutzen. Sie können solche Daten auch mit anderen Informationen verbinden, um unsere Produkte, Dienstleistungen, Inhalte und Werbung anzubieten oder zu verbessern.“ Wie bereits oben gezeigt, spätestens in dem Moment, in dem Daten an andere Unternehmen weitergegeben werden, dürfte es sehr schwer werden, hierfür noch eine Rechtsgrundlage zu finden. Als Einwilligung taugt diese einseitige Formulierung nicht.

Auch an anderer Stelle finden sich Passagen über die Erfassung und Nutzung von Daten, ohne dass ersichtlich ist, auf Basis welcher Rechtsgrundlage dies geschieht. „Wenn Sie Ihre Inhalte mit Familie oder Freunden teilen und dabei Produkte von Apple verwenden, Geschenkgutscheine und Produkte verschicken oder andere einladen, sich Ihnen in einem Apple Forum anzuschliessen, kann Apple die Daten erfassen, welche Sie über diese Personen zur Verfügung stellen, wie Name, Adresse, E-Mailadresse und Telefonnummer.“  Hier werden Daten von Personen erfasst, die hiervon nichts wissen und damit auch nicht nicht eingewilligt haben können. Nur in den Ausnahmefällen, in denen zur Erfüllung eines Vertrages die Daten eines Dritten erforderlich sind, etwa um diesem ein Geschenk zuzustellen, kann von einer datenschutzkonformen Nutzung ausgegangen werden. Diese muss sich allerdings auf diese eine Ausnahme beschränken. Eine Nutzung der Daten zu anderen Zwecken ist nicht erlaubt.

Die Fülle der Daten, die der Cloud und damit dem dahinter stehenden Dienstleister anvertraut werden, ist schnell recht groß: „Nach Maßgabe der Bedingungen dieser Vereinbarung ermöglicht Ihnen der Dienst, bestimmte Internetdienstleistungen zu nutzen, einschließlich der Speicherung von persönlichen Inhalten (wie iCloud Emails, Kontakte, Kalender und Fotos) und der Möglichkeit, auf diese mit kompatiblen Geräten und Computern zuzugreifen, sowie bestimmter, auf Standortdaten basierender Dienstleistungen. Sobald Sie iCloud aktivieren, werden Ihre Inhalte automatisch an Apple geschickt und von Apple gespeichert, damit Sie später auf diese Inhalte zugreifen können oder damit die Inhalte drahtlos an Ihre anderen Geräte und Computer, die iCloud aktiviert haben, geschickt werden.“ Wie all diese Daten gespeichert und genutzt werden, ist weitgehend unklar. Welche konkreten Sicherheitsmaßnahmen getroffen wurden ist unbekannt. Es muss aber bereits nach der Datenschutzrichtlinie davon ausgegangen werden, dass die Speicherung von Daten und auch die vorbehaltene Nutzung weltweit (und im Zweifel ohne Rechtsgrundlage hierfür, siehe oben) erfolgt. Welche Maßnahmen im Sinne des § 9 BDSG getroffen werden und ob diese angemessen sind, ist nicht erkennbar.

Auch abgesehen von den konkreteren Erfordernissen des Datenschutzes ist fraglich, ob die drei Grundwerte der Informationssicherheit beachtet werden:

  • Vertraulichkeit: Apple behält sich das Recht vor, sämtliche Inhalte zu sichten. Es erfolgen vielfältige Weitergaben an Dritte.
  • Integrität: Die Nutzungsbedingungen schreiben hierzu in Fettdruck: „…garantiert Apple nicht […] dass die Inhalte, die Sie möglichweise über den Dienst speichern oder auf die Sie möglicherweise mit Hilfe dieses Dienstes zugreifen, nicht versehentlich beschädigt oder verfälscht werden, verloren gehen oder entfernt werden.“
  • Verfügbarkeit – siehe Integrität.

Fazit:

Sowohl bei der Erhebung als auch bei der Nutzung und Weitergabe der Daten behält sich Apple vieles vor, was nach europäischem, speziell deutschem Datenschutzrecht zumindest bedenklich ist. Ob angemessene „technische und organsiatorische Maßnahmen“ bestehen, ist unklar. Dass Zugriff auch für Dritte besteht und durch Apple ggf. ermöglicht wird, ist nach den Nutzungsbedingungen und den Datenschutzhinweisen klar.

Für den privaten Nutzer stellt sich hier allein die Frage, ob er sich angesichts der aufgezeigten Risiken auf eine Nutzung der cloud einlassen will oder nicht. Hier drohen zumindest keine rechtlichen Schwierigkeiten – wo kein Kläger, da kein Richter. Das Risiko für eigene Daten mag jeder selbst für sich beurteilen.

Wer aber – insbesondere als Unternehmer – für die Daten anderer verantwortlich ist, der sollte hier gründlich nachdenken. Wie gezeigt, erfolgen bei Nutzung der iCloud sehr schnell Weitergaben an Dritte und Transfers über Grenzen, die sich nur reichlich schwer rechtfertigen lassen. Auch die Erfüllung der Gebote des Datenschutzes und der Datensicherheit, für die man selbst Sorge tragen muss, werden sich nicht erfüllen lassen. Der Abschluss einer gesetzlich gefoderten Vereinbarung nach § 11 BDSG und eine Kontrolle von technischen und organisatorischen Maßnahmen scheidet offensichtlich aus.
Hier ist man schnell anderen Rechenschaft schuldig und kann zur Verantwortung gezogen werden.

Mehr zum Thema:
Cloud Computing und Datenschutz in der EU
Cloud Computing und Datenschutz ausserhalb der EU
Datenpanne bei Dropbox
Pentest: Wie sicher ist Ihr Netzwerk?
1 Antwort
  1. Otto
    Otto sagte:

    Ich benutze die iCloud seit Jahrzehnten, noch nie habe ich durch meine Tätigkeit irgendwelche Kontaktaunahmen ausgelöst, sehr wohl aber durch Google oder bloßes ansurfen bestimmter Webseiten, durch eben diese Firma, alle mein bei Apple gemeldeten Mails bekommen wenig Spam Mails. Ich verstehe diese Hysterie nicht, gegenüber einem Unternehmen, das die sicherstenComputer der Welt erzeugt. Ämter und Behœrden hätten viel weniger Auwand Ihre Systeme zu schützen. Warum blockt man Apple und arbeitet noch immer mit der stark viruslastigen Windowsumgebung?

    Antworten

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.