Ankündigung

Einklappen
Keine Ankündigung bisher.

Ankündigung

Einklappen
Keine Ankündigung bisher.

iCloud und die DSGVO

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    iCloud und die DSGVO

    Die iCloud und die DSGVO. Das passt irgendwie nicht zusammen?!

    Die DSGVO beinhaltet Vorschriften, die man bei der Nutzung der iCloud, in meinem laienhaften Verständnis nicht einhalten kann, mindestens im professionellen Umfeld.

    Ich versuch’s mal, so gut ich kann, auseinanderzufieseln. Ohne Gewähr und Anspruch auf Vollständigkeit. Also steinigt mich nicht!

    DSGVO - ein ganz kurzer Abriss
    Personenbezogenen Daten lt. DSGVO, Kapitel I, Artikel 4:
    1. “personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

    Historie
    • am 25. Mai 2018 in Kraft getreten
    • einheitliches Datenschutzgesetz für die gesamte EU


    Gültigkeit
    Alle Unternehmen, Körperschaften, Selbstständigen, Privatpersonen, die personenbezogene Daten Dritter in irgendeiner Form verarbeiten oder nutzen.

    Neue Rechte
    • Eigentum der personenbezogenen Daten jedes Einzelnen ist als Recht manifestiert!
    • 
Selbstbestimmung, wer welche Daten wofür speichern und nutzen darf
    • Recht auf Information und Berichtigung personenbezogener Daten verstärkt
    • Recht auf „Vergessen“: Bestimmung, dass personenbezogene Daten gelöscht werden


    Grundsätze für die Datenverarbeitung
    DSGVO, Kapitel II, Artikel 4:
    • Transparenz
    • Zweckbindung
    • Datenminimierung:
    • Richtigkeit
    • Speicherbegrenzung
    • Integrität und Vertraulichkeit


    Sonst
    Informationspflicht: Einholen der Zustimmung, kein „opt out“!
    Vertraulichkeit: keine Weitergabe an Dritte. Ohne vorherige Einhaltung der Zustimmung

    Bußgelder und Sanktionen
    Bußgelder bis zu 20 Mio € bzw. bei Unternehmen bis zu 4 % des Jahresumsatzes
    Datenschutz auf gleiche Stufe wie Steuerpflichten gehoben
    „Schmerzensgeld wegen Datenschutzverstößen“ einklagbar (Art. 82 DSGVO)


    Was bedeutet das jetzt in Bezug auf die iCloud?
    Will man personenbezogene Daten (z.B. Kontakte) in der iCloud speichern und synchronisieren, benötigt man genau genommen a) die Zustimmung eines jeden Kontaktes und b) einen sogenannten Auftragsverarbeitungsvertrag (AVV).

    Was ist ein AVV? Im Prinzip ein Vertrag mit dem Dienstleister (hier Apple), der die personenbezogenen Daten auf Anweisung für einen verarbeitet. Die Verantwortung für die ordnungsgemäße Verarbeitung bleibt dabei beim Auftraggeber.

    iCloud im beruflichen Umfeld
    Egal, ob Firma oder Freiberufler: Geht nicht. Es ist schlicht in den iCloud Nutzungsbedingungen ausgeschlossen! Apple schließt meines Wissens auch keine AVVs ab.

    Aus den iCloud Nutzungsbedingungen (IV. Nutzung des Dienstes durch dich - A. Dein Account):
    „…Außerdem stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist…“
    Quelle: iCloud Nutzungsbedingungen

    iCloud im privaten Umfeld
    Die DSGVO gilt grundsätzlich auch für Privatpersonen. Soweit ich es aber überblicken kann, ist man bei rein persönlichem und familiärem Gebrauch nicht betroffen. Also freie Bahn für iCloud.

    Doch was ist, wenn man das obligatorische Sommerfest im Elternbeirat für die Schule oder in einem Verein organisieren möchte? Ich denke da auch an die ganzen WhatsApp Gruppen, Verteiler- und Teilnehmerlisten. Da treffen die ganzen Vorschriften ja zu und man steht auch als Privatperson voll in der Verantwortung. D.h. iCloud wäre auch hier in bestimmten Fällen nicht nutzbar!?

    Mein Fazit
    Wenn man Daten, die unter die DSGVO fallen, in der iCloud speichern möchte, ist dies nicht möglich. Spätestens beim AVV scheitert man. Schade eigentlich.


    Was meint Ihr dazu?

    Vielleicht gibt’s hier ja auch noch ein paar Personen, die sich wirklich in der Materie auskennen und noch etwas Licht ins Dunkel bringen können. Oder, Jörn und Gerd machen mal einen knallhart recherchierten Beitrag über das Thema.
    amnamna

    #2
    "Vertraulichkeit: keine Weitergabe an Dritte."

    Erhält Apple diese Daten überhaupt? Mit "Daten" sind "personenbezogene Daten" gemeint.

    Oder erhält Apple einen verschlüsselten und dadurch eben gerade nicht einer Person zuordungsfähigen Datensalat? Letztlich ist kein Mitarbeiter bei Apple (oder sonst irgendjemand) in der Lage, die Adressdaten zu sehen, nichtmal theoretisch. Keine Person ist mit diesem Datensalat identifizierbar, folglich findet das Gesetz keine Anwendung.

    Keine Ahnung, ob man das so sehen kann. Aber ich kann mir nicht vorstellen, dass die EU-Politiker die ganze digitale Datenverarbeitung lahmlegen wollten (aber wie sicher kann man sich sein?).

    Kommentar


      #3
      Das ist eine gute Frage! Du meinst also: da in der iCloud alle Daten verschlüsselt und speziell personenbezogenen Daten verschlüsselt und anonymisierten gespeichert werden, können sie nicht einer Person zugeordnet werden. Damit sind wir mit der iCloud fein raus?
      Bei iMessage ist das, glaube ich, sogar der Fall. Im Gegensatz beispielsweise zu WhatsApp. Das könnte natürlich auch bei den Kontakten so sein.
      Stellt sich die Frage, wie das mit einer Numbers/Excel Adressliste wäre, die in der iCloud liegt; prinzipiell „irgendwelche“ Dokumente mit personenbezogenen Daten? Ist ja prinzipiell alles verschlüsselt. Hmm...

      Es könnte sein, dass man die iCloud damit privat DSGVO konform nutzen kann. Bleibt noch dieser Abschnitt und seine Auswirkungen in den Nutzungsbedingungen „...nur für den privaten Gebrauch...“.
      amnamna

      Kommentar


        #4
        Die private Gebrauch ist ja eine Sache zwischen dir und Apple, und nicht zwischen dir und den einzelnen Personen in deiner Adresskartei. Mir ist nicht bekannt, dass Apple sich jemals beschwert hätte.

        Kommentar


          #5
          Apple wird's egal sein. Einem Arbeitgeber oder Kunden vielleicht nicht.
          Und, du wirst keinen Auftragsverarbeitungsvertrag mit Apple abschließen können. Mal ganz zu schweigen vom Gerichtsstand und Serverstandort, die ja beiden in den USA sind. Hat direkt erstmal nichts mit DSGVO zu tun.

          Interessant fände ich, ob die Art und Weise, wie Apple die Daten speichert und verschlüsselt, irgendeinen Einfluß auf die DSGVO-Relevanz hat?

          Meint: wenn persönliche Daten oder auch Daten im Allgemeinen in der iCloud so verschlüsselt und anonymisiert wären, so dass keine Zuordnung zu natürlichen Personen lt. DSGVO hergestellt werden kann, träfe die DSGVO dann überhaupt zu oder reicht die reine Speicherung in der Cloud schon aus?

          Hmm...
          amnamna

          Kommentar


            #6
            Hat Apple Niederlassungen in der EU bzw. Deutschland?
            Werden perosnenbezogene Daten der Kunden auf Rechenzentren in Europa gespeichert und verarbeitet?

            Dann trifft die DSGVO zu.

            Für mich ist klar:
            Die AGBs von Apple sehen kein geschäftliches Nutzen der iCloud-Dienste vor, lediglich private Nutzung.
            Dadurch gibt es auch keine Angebote über Auftragsverarbeitungsverträge (AVV) und auch keine Technisch Organisatorische Maßnahmen (TOM) als Dokument.

            In dem Moment, wo ich z.B. Vereins-/Geschäftstermine, Dokumente, Kontaktdaten usw., die irgendwelche personenbezogene Daten enthalten, via iCloud handhabe, speichere und nutze, benötige ich einen AVV nebst TOM von Apple.

            Fazit: Keine irgendwie geschäftliche oder entspr. Nutzung möglich.

            Es spielt auch keine Rolle, ob Daten dort irgendwie verschlüsselt werden, was auch nur insoweit sicher wäre, wenn ich selbst ausschl. Hoheit über die verwendete Verschlüsselung hätte.

            Es bleiben aber genug alternative Dienstleister, die geschäftlich nutzbare Dienste dokumentiert und vertraglich abgesichert anbieten. MS, Apple, Facebook, Google etc. gehören imho nicht dazu.

            Es wird spannend, zu beobachten, welche Klagen und Urteile da auf uns zukommen werden.

            Kommentar


              #7
              Warum spielt Verschlüsselung keine Rolle?

              Die Vorschriften beziehen sich nur auf personenbezogene Daten. Dies wiederum sind Daten, die sich auf eine bestimmte Person rückführen lassen, sodass diese Person einwandfrei identifiziert werden kann. Ist das nicht möglich, ist es nicht personenbezogen. Folglich findet die DSGVO keine Anwendung.

              Was ist falsch an dieser Logik?

              Sind dies hier personenbezogene Daten:

              "K79YcDhYaEb44SVUymzvbGljXhwNktqkcWnRoQx9kRVVNAqEB IelBnKBpICPoGjfE7FI3k/1i1IK6auAbOpKOg=="

              Kommentar


                #8
                Gehen wir davon aus, dass das stimmt, was Apple über die E2E-Verschlüsselung der Daten in der iCloud schreibt, dann wäre bzw. ist das sehr lobenswert (https://support.apple.com/de-de/HT202303).

                Es gibt für derart verschlüsselte Daten wohl zwei Betrachtungsweisen:
                - Es handelt sich pseudonymisierte Daten, da sie ja mit Hilfe des Schlüssels wieder lesbar gemacht werden können. Diese werden als personenbezogene Daten gewertet.
                - Es handelt sich um anonymisierte Daten, deren Wiederherstellung und Rückbezüglichkeit nur sehr schwer oder nicht möglich ist. Dann könnten das u.U. keine personenbezogenen Daten sein.
                Ich will aber natürlich Zugriff auf meine Geschäftskorrespondenz, Kontaktdaten o.ä. haben. Also schwierig bzw. nicht zutreffend.

                E-Mail wird dabei lediglich - wie anderswo meist auch - nur transportverschlüsselt.
                Dort liegende Daten/Mails meiner Kunden o.ä. sind im Normalfall unverschlüsselt.

                Weiterer Gesichtspunkt: Will ich einer Firma vertrauen, deren Hauptsitz in einem Land liegt, das ihre Firmen und Bürger mit geheimrichterlichen oder geheimbehördlichen Befehlen unter Verbot selbst anwaltlicher Hilfe oder Öffentlichkeit zwingt, Daten ihrer Kunden etc. herauszugeben?

                Wie lange wird es in einem derartigen Land dauern, bis dieses den Einbau von Hintertüren erzwingt? Womöglich im Geheimen und ohne Wissen der inländischen oder ausländischen Bürger und Kunden?

                Egal. Lt. AGBs keine geschäftliche Nutzung, kein AVV, kein TOM.

                Kommentar


                  #9
                  Oh, in dem Dokument steht, dass auch die Backups verschlüsselt sind. Ist das neu?

                  War es nicht so, dass die Backups das Einzige waren, wo der Staat Zugriff hatte, weil Apple einen Schlüssel hatte?

                  Kommentar


                    #10
                    Zitat von woreich Beitrag anzeigen
                    - Es handelt sich pseudonymisierte Daten, da sie ja mit Hilfe des Schlüssels wieder lesbar gemacht werden können. Diese werden als personenbezogene Daten gewertet
                    Ist das so sicher? Nehmen wir an, die Entschlüsselung findet lokal auf Deinem Rechner statt. Auf dem Server ist es unmöglich, da der Schlüssel fehlt. Dann wären es auf dem Server keine personenbezogene Daten. Auf Deinem Rechner wären es personenbezogene Daten, da Du den Schlüssel hast.

                    Was mich hierbei interessiert: Spielt alleine der Standort des Servers oder alleine die schiere Weitergabe von Daten eine Rolle? Oder muss zusätzlich die genaue Implementierung berücksichtigt werden? Sodass es Fälle geben könnte, in denen es gesetzkonform ablaufen kann?

                    Wie ich es verstehe, sagt das Gesetz nicht, dass es alleine vom Server oder alleine von der Weitergabe abhängt. Sondern es sagt, dass ein Umstand (die Implementierung) hinzukommen muss, nämlich die Rückführung auf einzelne Personen, durchgeführt von unbefugten Dritten.

                    Wenn Du allein den Schlüssel hast, hat Apple keinen Zugriff auf die Daten, sondern nur auf etwas, was Du aus diesen Daten erzeugt hast, und was keine Rückführung erlaubt.

                    Oder etwa nicht?

                    Noch ein Beispiel. Nehmen wir an, Du druckst die Adressen auf Papier aus und deponierst das Papier im Schließfach einer Bank. Aber nur Du hast den Schlüssel. Ist dies eine Weitergabe personenbezogener Daten an Dritte? Oder ist das im Gegenteil ein sicherer Schutz vor den Augen unbefugter Dritter?

                    Denn wenn es als Kriterium nicht ausreicht, ob überhaupt jemand die Daten lesen kann, und wenn es keine Rolle spielt, wer den Schlüssel hat, dann entstehen dadurch eine Menge kurioser Probleme. Dann könntest Du die Daten nur unter Deiner Matratze aufbewahren und Dich zur Sicherheit scheiden lassen.

                    Ich würde daher vermuten, der Schlüssel spielt eine ganz wesentliche Rolle. Ebenso, ob die Daten von Dritten gelesen werden können.

                    Kommentar


                      #11
                      Tja. Das sind wohl alles die Dinge, die juristisch geklärt werden. Die Ansicht der Pseudonymisierung (verschlüsselt gespeicherte pers.bez. Daten) ist wohl die derzeit gängige Ansicht, wenn man sich so durchs Web liest.

                      Bleibt trotzdem:
                      Lt. AGBs keine geschäftliche Nutzung, kein AVV, kein TOM. .

                      Kommentar


                        #12
                        Unabhängig von der Verschlüsselungsbetrachtung hier noch zwei Links:

                        Einmal zum Thema Office 365:
                        https://datenschutz-schule.info/2018...sverarbeitung/

                        Eine Auflistung zu den ADVs verschiedener Anbieter:
                        https://www.blogmojo.de/av-vertraege/

                        Microsoft nutzt z.B. die DSGVO-Option elektronischer Verträge, also ohne beidseitige Unterschrift. Ein Häkchen als Zustimmung beim Abschluss z.B. eines O365 Business-Vertrages/Abos reicht. Microsoft stellt keine individualisierten AVVs bereit.
                        Viele andere Anbieter dagegen schon. Apple ist in der o.a. Liste nicht aufgeführt.

                        Kommentar


                          #13
                          Zitat von woreich Beitrag anzeigen
                          Hat Apple Niederlassungen in der EU bzw. Deutschland?
                          Werden perosnenbezogene Daten der Kunden auf Rechenzentren in Europa gespeichert und verarbeitet?

                          Dann trifft die DSGVO zu.
                          Der Serverstandort spielt meines Wissens keine Rolle. Relevant ist, ob die Person, welche die Daten speichert, in der EU sitzt. Ob der Server in der EU oder auf den Bahamas sitzt, ist nicht relevant.
                          Sonst könnte ich personenbezogene Daten einfach bei einer rein amerikanischen Firma auf ihrem Server speichern und wäre aus dem ganzen DSGVO Thema raus.
                          amnamna

                          Kommentar


                            #14
                            Ich verarbeite Daten meiner Kunden. In DE. Also DSGVO.

                            Ich bemühe einen Dienstleister, z.B. eine Fa. in DE oder EU, der diese Daten bei sich speichert etc. Mit diesem muss ich einen Vertrag abschließen und habe das Recht/die Pflicht die dort zugesicherten TOM zu prüfen.

                            Bemühe ich einen Dienstleister außerhalb der EU, werde ich keinen rechtsgültigen AVV usw. bekommen. Also kann ich gewisse Vorgaben der DSGVO nicht einhalten.
                            Somit spielt der Speicherort und die im jeweiligen Land geltenden Datenschutzgesetze eine erhebliche Rolle für mich.
                            Klar - wo kein Kläger...

                            Kommentar


                              #15
                              Ich hatte Dich so verstanden, dass sobald der Dienstleister außerhalb der EU sitzt, die DSGVO nicht mehr Anwendung findet. Ob die DSGVO zutrifft oder nicht entscheidet doch die Herkunft der Person, von der Daten gespeichert werden, und nicht der Server-/Speicherstandort.
                              Sehr wohl kannst Du personenenbezogene Daten DSGVO-konform auf nicht EU-Servern speichern, mit AVV und entsprechender Einverständniserklärung.

                              Ich sehe nicht, wieso ein Dienstleister außerhalb der EU keinen rechtsgültigen AVV abschließen können soll? Theoretisch ist das imho möglich. Praktisch wird es wahrscheinlich Keinen geben, der nicht auch Standorte in der EU hat. Da gebe ich Dir recht.
                              amnamna

                              Kommentar

                              Lädt...
                              X