02.05.2022 iCloud und die DSGVO
Apple, iCloud, Datenschutz, DSGVO…. Passt das zusammen?
Eines vorab: Wir sehen den Einsatz von Apple als Alternative zu Android Geräte im Unternehmen durchweg positiv und setzen auch in unserem Unternehmen Apple Produkte ein.
Bei der Nutzung sind aber, wie bei allen anderen Systemen auch, gewisse Fallstricke zu beachten. Wir möchten in diesem BLOG Beitrag näher auf das Thema iCloud eingehen und Ihnen dazu ein paar Anregungen geben. Ein weiterer Blogbeitrag zur Umsetzung und Nutzung von mobilen Endgeräten wird sicherlich in nächster Zeit folgen.
Aber nun zurück zur iCloud. Los geht’s mit dem Erstellen einer Apple-ID. Wenn Sie eine Apple-ID über die Webseite erstellen möchten, müssen Sie die Nutzungs-bedingungen von Apple bestätigen. In diesen Nutzungsbedingungen steht unter Punkt IV Nutzung des Dienstes durch dich in Abschnitt A Dein Account folgender Satz: ….stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist….
Mit diesem Satz wird klar, dass Sie gegen die Nutzungsbedingungen von Apple verstoßen, wenn Sie iCloud für Ihr Unternehmen verwenden. Dazu kommt die Tatsache, dass Apple in diesem Fall zu einem Auftragsverarbeiter nach der DSGVO werden würde. Sie haben aber an dieser Stelle keine Möglichkeit einen entsprechenden Vertrag abzuschließen und würden somit eine unzulässige Verarbeitung gemäß der DSGVO beginnen.
Um das Thema auf einen Punkt zu bringen: Erstellen Sie einen Account über die Apple Webseite, haben Sie formal nur einen Account für eine private Nutzung angelegt.
In diesem Fall sollten Sie dringend die iCloud Dienste deaktivieren um zu verhindern, dass möglicherweise personenbezogene Daten an Apple übermittelt werden. Dies bezieht sich an dieser Stelle auf mögliche Daten Ihrer Kontakte und Kunden – denn Ihre eigenen persönlichen Daten sind ja bereits durch die Erstellung der Apple-ID bei Apple hinterlegt.
Je nach Größe Ihres Unternehmens war vielleicht der Apple-Business-Manager eine Option für Sie. Damit „erschlagen“ Sie zumindest das Thema Mobile-Device-Management (wird ebenfalls in einem kommenden BLOG erklärt).
Die Registrierung beim Apple-Business-Manager ist etwas aufwendiger, aber leider bewegt man sich auch dort in der Datenschutzwelt nicht wirklich DSGVO-konform.
Zwar sind in diesen Nutzungsbedingungen spezielle Passagen zum Thema Auftragsverarbeitung eingebunden, diese bieten jedoch keine volle Sicherheit. Apple räumt sich z.B in diesen Nutzungsbedingungen ein Nutzungsrecht der Daten ein.
Somit vermutet man auf den ersten Blick hinsichtlich der Nutzung des Apple-Business-Managers eine gute Lösung, bei einer tieferen Betrachtung fällt allerdings auch dieser durchs DSGVO-konforme Raster.
Hinzu kommt in beiden Fällen die Übermittlung in ein Drittland und somit gelten zusätzlich die Probleme, die wir in unserem Blogbeitrag vom 19.04.2022 bereits näher erläutert haben.
Aber was sollte man nun tun?
Jetzt kommt man zur Frage, ob es eine Lösung für das Problem gibt bzw. wie es andere Unternehmen handhaben?
Nun, für uns und einen Großteil unserer Kunden können wir sagen, dass es auch ganz gut ohne die Nutzung von iCloud geht.
Für unsere Daten verwenden wir eine eigene Cloud (siehe Beitrag vom 04.04.2022). Kontakte und Aufgaben werden über unseren E-Mail Anbieter verarbeitet und alles andere ist für uns im geschäftlichen Umfeld nicht notwendig.
Ein Tipp für Sie: Wenn Sie der Meinung sind, es muss unbedingt die Nutzung der iCloud sein, dann verwenden Sie diese bitte verschlüsselt und ohne dass der Schlüssel in der Cloud hinterlegt ist.
Für uns gilt weiterhin: Wir lassen unseren Schalter auf „off“ und leben und arbeiten sehr gut mit alternativen Möglichkeiten.
Bei Fragen zu diesem Thema unterstützen wir gerne.
Hilfreiche Links:
https://www.apple.com/de/business/it/