logo
logo
iCloud und die DSGVO - Mac-TV.de
Zurück   Mac-TV.de > Allgemeine Diskussionen über Computertechnik > Diskussionen rund um Apple
Registrieren Hilfe Suchen Heutige Beiträge Alle Foren als gelesen markieren

Antwort
 
Themen-Optionen Thema durchsuchen
  #1  
Alt 01.04.2019, 19:40
safrakido safrakido ist offline
Erfahrener Benutzer
 
Registriert seit: 13.01.2010
Ort: Nicht Bayern, sondern Franken
Beiträge: 223
iCloud und die DSGVO

Die iCloud und die DSGVO. Das passt irgendwie nicht zusammen?!

Die DSGVO beinhaltet Vorschriften, die man bei der Nutzung der iCloud, in meinem laienhaften Verständnis nicht einhalten kann, mindestens im professionellen Umfeld.

Ich versuch’s mal, so gut ich kann, auseinanderzufieseln. Ohne Gewähr und Anspruch auf Vollständigkeit. Also steinigt mich nicht!

DSGVO - ein ganz kurzer Abriss
Personenbezogenen Daten lt. DSGVO, Kapitel I, Artikel 4:
1. “personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

Historie
  • am 25. Mai 2018 in Kraft getreten
  • einheitliches Datenschutzgesetz für die gesamte EU

Gültigkeit
Alle Unternehmen, Körperschaften, Selbstständigen, Privatpersonen, die personenbezogene Daten Dritter in irgendeiner Form verarbeiten oder nutzen.

Neue Rechte
  • Eigentum der personenbezogenen Daten jedes Einzelnen ist als Recht manifestiert!
  • 
Selbstbestimmung, wer welche Daten wofür speichern und nutzen darf
  • Recht auf Information und Berichtigung personenbezogener Daten verstärkt
  • Recht auf „Vergessen“: Bestimmung, dass personenbezogene Daten gelöscht werden

Grundsätze für die Datenverarbeitung
DSGVO, Kapitel II, Artikel 4:
  • Transparenz
  • Zweckbindung
  • Datenminimierung:
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Sonst
Informationspflicht: Einholen der Zustimmung, kein „opt out“!
Vertraulichkeit: keine Weitergabe an Dritte. Ohne vorherige Einhaltung der Zustimmung

Bußgelder und Sanktionen
Bußgelder bis zu 20 Mio € bzw. bei Unternehmen bis zu 4 % des Jahresumsatzes
Datenschutz auf gleiche Stufe wie Steuerpflichten gehoben
„Schmerzensgeld wegen Datenschutzverstößen“ einklagbar (Art. 82 DSGVO)


Was bedeutet das jetzt in Bezug auf die iCloud?
Will man personenbezogene Daten (z.B. Kontakte) in der iCloud speichern und synchronisieren, benötigt man genau genommen a) die Zustimmung eines jeden Kontaktes und b) einen sogenannten Auftragsverarbeitungsvertrag (AVV).

Was ist ein AVV? Im Prinzip ein Vertrag mit dem Dienstleister (hier Apple), der die personenbezogenen Daten auf Anweisung für einen verarbeitet. Die Verantwortung für die ordnungsgemäße Verarbeitung bleibt dabei beim Auftraggeber.

iCloud im beruflichen Umfeld
Egal, ob Firma oder Freiberufler: Geht nicht. Es ist schlicht in den iCloud Nutzungsbedingungen ausgeschlossen! Apple schließt meines Wissens auch keine AVVs ab.

Aus den iCloud Nutzungsbedingungen (IV. Nutzung des Dienstes durch dich - A. Dein Account):
„…Außerdem stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist…“
Quelle: iCloud Nutzungsbedingungen

iCloud im privaten Umfeld
Die DSGVO gilt grundsätzlich auch für Privatpersonen. Soweit ich es aber überblicken kann, ist man bei rein persönlichem und familiärem Gebrauch nicht betroffen. Also freie Bahn für iCloud.

Doch was ist, wenn man das obligatorische Sommerfest im Elternbeirat für die Schule oder in einem Verein organisieren möchte? Ich denke da auch an die ganzen WhatsApp Gruppen, Verteiler- und Teilnehmerlisten. Da treffen die ganzen Vorschriften ja zu und man steht auch als Privatperson voll in der Verantwortung. D.h. iCloud wäre auch hier in bestimmten Fällen nicht nutzbar!?

Mein Fazit
Wenn man Daten, die unter die DSGVO fallen, in der iCloud speichern möchte, ist dies nicht möglich. Spätestens beim AVV scheitert man. Schade eigentlich.


Was meint Ihr dazu?

Vielleicht gibt’s hier ja auch noch ein paar Personen, die sich wirklich in der Materie auskennen und noch etwas Licht ins Dunkel bringen können. Oder, Jörn und Gerd machen mal einen knallhart recherchierten Beitrag über das Thema.
__________________
amnamna
Mit Zitat antworten
  #2  
Alt 01.04.2019, 22:27
Jörn Jörn ist offline
Administrator
 
Registriert seit: 05.01.2008
Beiträge: 8.064
"Vertraulichkeit: keine Weitergabe an Dritte."

Erhält Apple diese Daten überhaupt? Mit "Daten" sind "personenbezogene Daten" gemeint.

Oder erhält Apple einen verschlüsselten und dadurch eben gerade nicht einer Person zuordungsfähigen Datensalat? Letztlich ist kein Mitarbeiter bei Apple (oder sonst irgendjemand) in der Lage, die Adressdaten zu sehen, nichtmal theoretisch. Keine Person ist mit diesem Datensalat identifizierbar, folglich findet das Gesetz keine Anwendung.

Keine Ahnung, ob man das so sehen kann. Aber ich kann mir nicht vorstellen, dass die EU-Politiker die ganze digitale Datenverarbeitung lahmlegen wollten (aber wie sicher kann man sich sein?).
Mit Zitat antworten
  #3  
Alt 02.04.2019, 08:00
safrakido safrakido ist offline
Erfahrener Benutzer
 
Registriert seit: 13.01.2010
Ort: Nicht Bayern, sondern Franken
Beiträge: 223
Das ist eine gute Frage! Du meinst also: da in der iCloud alle Daten verschlüsselt und speziell personenbezogenen Daten verschlüsselt und anonymisierten gespeichert werden, können sie nicht einer Person zugeordnet werden. Damit sind wir mit der iCloud fein raus?
Bei iMessage ist das, glaube ich, sogar der Fall. Im Gegensatz beispielsweise zu WhatsApp. Das könnte natürlich auch bei den Kontakten so sein.
Stellt sich die Frage, wie das mit einer Numbers/Excel Adressliste wäre, die in der iCloud liegt; prinzipiell „irgendwelche“ Dokumente mit personenbezogenen Daten? Ist ja prinzipiell alles verschlüsselt. Hmm...

Es könnte sein, dass man die iCloud damit privat DSGVO konform nutzen kann. Bleibt noch dieser Abschnitt und seine Auswirkungen in den Nutzungsbedingungen „...nur für den privaten Gebrauch...“.
__________________
amnamna
Mit Zitat antworten
  #4  
Alt 02.04.2019, 10:49
Jörn Jörn ist offline
Administrator
 
Registriert seit: 05.01.2008
Beiträge: 8.064
Die private Gebrauch ist ja eine Sache zwischen dir und Apple, und nicht zwischen dir und den einzelnen Personen in deiner Adresskartei. Mir ist nicht bekannt, dass Apple sich jemals beschwert hätte.
Mit Zitat antworten
  #5  
Alt 04.04.2019, 10:08
safrakido safrakido ist offline
Erfahrener Benutzer
 
Registriert seit: 13.01.2010
Ort: Nicht Bayern, sondern Franken
Beiträge: 223
Apple wird's egal sein. Einem Arbeitgeber oder Kunden vielleicht nicht.
Und, du wirst keinen Auftragsverarbeitungsvertrag mit Apple abschließen können. Mal ganz zu schweigen vom Gerichtsstand und Serverstandort, die ja beiden in den USA sind. Hat direkt erstmal nichts mit DSGVO zu tun.

Interessant fände ich, ob die Art und Weise, wie Apple die Daten speichert und verschlüsselt, irgendeinen Einfluß auf die DSGVO-Relevanz hat?

Meint: wenn persönliche Daten oder auch Daten im Allgemeinen in der iCloud so verschlüsselt und anonymisiert wären, so dass keine Zuordnung zu natürlichen Personen lt. DSGVO hergestellt werden kann, träfe die DSGVO dann überhaupt zu oder reicht die reine Speicherung in der Cloud schon aus?

Hmm...
__________________
amnamna
Mit Zitat antworten
  #6  
Alt 04.04.2019, 12:42
woreich woreich ist offline
Erfahrener Benutzer
 
Registriert seit: 05.01.2008
Beiträge: 658
Hat Apple Niederlassungen in der EU bzw. Deutschland?
Werden perosnenbezogene Daten der Kunden auf Rechenzentren in Europa gespeichert und verarbeitet?

Dann trifft die DSGVO zu.

Für mich ist klar:
Die AGBs von Apple sehen kein geschäftliches Nutzen der iCloud-Dienste vor, lediglich private Nutzung.
Dadurch gibt es auch keine Angebote über Auftragsverarbeitungsverträge (AVV) und auch keine Technisch Organisatorische Maßnahmen (TOM) als Dokument.

In dem Moment, wo ich z.B. Vereins-/Geschäftstermine, Dokumente, Kontaktdaten usw., die irgendwelche personenbezogene Daten enthalten, via iCloud handhabe, speichere und nutze, benötige ich einen AVV nebst TOM von Apple.

Fazit: Keine irgendwie geschäftliche oder entspr. Nutzung möglich.

Es spielt auch keine Rolle, ob Daten dort irgendwie verschlüsselt werden, was auch nur insoweit sicher wäre, wenn ich selbst ausschl. Hoheit über die verwendete Verschlüsselung hätte.

Es bleiben aber genug alternative Dienstleister, die geschäftlich nutzbare Dienste dokumentiert und vertraglich abgesichert anbieten. MS, Apple, Facebook, Google etc. gehören imho nicht dazu.

Es wird spannend, zu beobachten, welche Klagen und Urteile da auf uns zukommen werden.
Mit Zitat antworten
  #7  
Alt 04.04.2019, 13:01
Jörn Jörn ist offline
Administrator
 
Registriert seit: 05.01.2008
Beiträge: 8.064
Warum spielt Verschlüsselung keine Rolle?

Die Vorschriften beziehen sich nur auf personenbezogene Daten. Dies wiederum sind Daten, die sich auf eine bestimmte Person rückführen lassen, sodass diese Person einwandfrei identifiziert werden kann. Ist das nicht möglich, ist es nicht personenbezogen. Folglich findet die DSGVO keine Anwendung.

Was ist falsch an dieser Logik?

Sind dies hier personenbezogene Daten:

"K79YcDhYaEb44SVUymzvbGljXhwNktqkcWnRoQx9kRVVNAqEB IelBnKBpICPoGjfE7FI3k/1i1IK6auAbOpKOg=="
Mit Zitat antworten
  #8  
Alt 04.04.2019, 19:52
woreich woreich ist offline
Erfahrener Benutzer
 
Registriert seit: 05.01.2008
Beiträge: 658
Gehen wir davon aus, dass das stimmt, was Apple über die E2E-Verschlüsselung der Daten in der iCloud schreibt, dann wäre bzw. ist das sehr lobenswert (https://support.apple.com/de-de/HT202303).

Es gibt für derart verschlüsselte Daten wohl zwei Betrachtungsweisen:
- Es handelt sich pseudonymisierte Daten, da sie ja mit Hilfe des Schlüssels wieder lesbar gemacht werden können. Diese werden als personenbezogene Daten gewertet.
- Es handelt sich um anonymisierte Daten, deren Wiederherstellung und Rückbezüglichkeit nur sehr schwer oder nicht möglich ist. Dann könnten das u.U. keine personenbezogenen Daten sein.
Ich will aber natürlich Zugriff auf meine Geschäftskorrespondenz, Kontaktdaten o.ä. haben. Also schwierig bzw. nicht zutreffend.

E-Mail wird dabei lediglich - wie anderswo meist auch - nur transportverschlüsselt.
Dort liegende Daten/Mails meiner Kunden o.ä. sind im Normalfall unverschlüsselt.

Weiterer Gesichtspunkt: Will ich einer Firma vertrauen, deren Hauptsitz in einem Land liegt, das ihre Firmen und Bürger mit geheimrichterlichen oder geheimbehördlichen Befehlen unter Verbot selbst anwaltlicher Hilfe oder Öffentlichkeit zwingt, Daten ihrer Kunden etc. herauszugeben?

Wie lange wird es in einem derartigen Land dauern, bis dieses den Einbau von Hintertüren erzwingt? Womöglich im Geheimen und ohne Wissen der inländischen oder ausländischen Bürger und Kunden?

Egal. Lt. AGBs keine geschäftliche Nutzung, kein AVV, kein TOM.
Mit Zitat antworten
  #9  
Alt 04.04.2019, 20:28
cordcam cordcam ist offline
Erfahrener Benutzer
 
Registriert seit: 13.04.2010
Beiträge: 2.456
Oh, in dem Dokument steht, dass auch die Backups verschlüsselt sind. Ist das neu?

War es nicht so, dass die Backups das Einzige waren, wo der Staat Zugriff hatte, weil Apple einen Schlüssel hatte?
Mit Zitat antworten
  #10  
Alt 04.04.2019, 20:39
Jörn Jörn ist offline
Administrator
 
Registriert seit: 05.01.2008
Beiträge: 8.064
Zitat:
Zitat von woreich Beitrag anzeigen
- Es handelt sich pseudonymisierte Daten, da sie ja mit Hilfe des Schlüssels wieder lesbar gemacht werden können. Diese werden als personenbezogene Daten gewertet
Ist das so sicher? Nehmen wir an, die Entschlüsselung findet lokal auf Deinem Rechner statt. Auf dem Server ist es unmöglich, da der Schlüssel fehlt. Dann wären es auf dem Server keine personenbezogene Daten. Auf Deinem Rechner wären es personenbezogene Daten, da Du den Schlüssel hast.

Was mich hierbei interessiert: Spielt alleine der Standort des Servers oder alleine die schiere Weitergabe von Daten eine Rolle? Oder muss zusätzlich die genaue Implementierung berücksichtigt werden? Sodass es Fälle geben könnte, in denen es gesetzkonform ablaufen kann?

Wie ich es verstehe, sagt das Gesetz nicht, dass es alleine vom Server oder alleine von der Weitergabe abhängt. Sondern es sagt, dass ein Umstand (die Implementierung) hinzukommen muss, nämlich die Rückführung auf einzelne Personen, durchgeführt von unbefugten Dritten.

Wenn Du allein den Schlüssel hast, hat Apple keinen Zugriff auf die Daten, sondern nur auf etwas, was Du aus diesen Daten erzeugt hast, und was keine Rückführung erlaubt.

Oder etwa nicht?

Noch ein Beispiel. Nehmen wir an, Du druckst die Adressen auf Papier aus und deponierst das Papier im Schließfach einer Bank. Aber nur Du hast den Schlüssel. Ist dies eine Weitergabe personenbezogener Daten an Dritte? Oder ist das im Gegenteil ein sicherer Schutz vor den Augen unbefugter Dritter?

Denn wenn es als Kriterium nicht ausreicht, ob überhaupt jemand die Daten lesen kann, und wenn es keine Rolle spielt, wer den Schlüssel hat, dann entstehen dadurch eine Menge kurioser Probleme. Dann könntest Du die Daten nur unter Deiner Matratze aufbewahren und Dich zur Sicherheit scheiden lassen.

Ich würde daher vermuten, der Schlüssel spielt eine ganz wesentliche Rolle. Ebenso, ob die Daten von Dritten gelesen werden können.
Mit Zitat antworten
Antwort


Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge anzufügen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

vB Code ist An.
Smileys sind An.
[IMG] Code ist An.
HTML-Code ist Aus.
Gehe zu




Powered by vBulletin® Version 3.6.8 (Deutsch)
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.