Warum Apple’s iCloud für Unternehmen derzeit ein Problem sein kann…

Podcast

Liebe Apple-Nutzer im Business-Umfeld,

ihr müsst jetzt ganz stark sein. Es geht um die Beantwortung folgender Frage:

Ist es für Unternehmen rechtlich zulässig ist, personenbezogene Daten in iCloud zu speichern?

Die Antwort ist leider nicht so positiv, wie sich das mancher erhofft hätte.

Mehr dazu in dieser Podcast-Episode.

Ich würde mich sehr freuen, wenn Apple hierzu mal eine Info geben könnte. Das wäre für uns Apple-User im Business-Umfeld wirklich sehr, sehr wichtig.

Update, 22.03.2018: Ich bin via Twitter von geschätzten Kollegen („You know who you are“) darauf hingewiesen worden, dass es mitnichten herrschende Meinung sei, dass der Personenbezug bei einer Ende-zu-Ende-Verschlüsselung entfalle. Und ich muss eingestehen, dass die Kollegen hier richtig liegen. Es ist in der Tat nicht die herrschende Meinung. Letztere besagt, dass die Ende-zu-Ende verschlüsselten Daten pseudonymisierte Daten sind. Und da bei pseudonymisierten Daten der Personenbezug nicht entfällt, würde es sich auch dabei um eine Verarbeitung von personenbezogenen Daten im Auftrag handeln. Ich denke, die Kollegen haben hier leider einen Punkt. Auch Erwägungsgrund 26 der DSGVO spricht für diese Sichtweise.

Update, 23.03.2018: Ein Hörer hat mich außerdem noch auf zwei Passagen in den iCloud Nutzungsbedingungen (nachgesehen von mir am 22.03.2018) unter Ziff. I C am Ende aufmerksam gemacht:

Wenn du eine Covered Entity, ein Business Associate oder Vertreter einer Covered Entity oder eines Business Associate (gemäß Definition dieser Begriffe im 45 C.F.R § 160.103) bist, erklärst du dich damit einverstanden, keinerlei Komponente, Funktion oder sonstige Einrichtung von iCloud zu verwenden, um „geschützte Gesundheitsinformationen“ jeglicher Art (gemäß Definition dieses Begriffs im 45 C.F.R § 160.103) zu erstellen, zu empfangen, zu verwalten oder zu übertragen, oder iCloud in einer Art und Weise zu verwenden, durch die Apple (oder jegliche Apple-Tochtergesellschaft) zu deinem Business Associate oder zum Business Associate eines Dritten wird.

Apple möchte also schon auf diese Weise verhindern, dass wir hier Vertragspartner im unternehmerischen Sinne werden. Das könnte (muss aber nicht) bedeuten, dass also von vornherein keine Auftragsverarbeitung mit Apple möglich wird.

Noch deutlicher wird es dann aber noch in der Passage der iCloud Nutzungsbedingungen (auch hier ein Danke für den Hinweis des Hörers) unter Ziff. IV A:

Außerdem stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist (…)

Okay, dann ist Apple in der Hinsicht zumindest ehrlich und gibt hier zu, dass sie nichts mit Unternehmen zu tun haben wollen. Oder gibt es etwas doch noch irgendwo Nutzungsbedingungen für die berufliche Nutzung von iCloud? Dear Apple, wir hätten da ein Markt. Kenne genug zahlende und zahlungskräftige Apple-User, die bereit wären, für geschäftliche iCloud Services zu zahlen, wenn ihr uns dann auch die Möglichkeit bietet, das rechtskonform zu nutzen. So schwer ist das ja nicht…

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.