Die iCloud und die DSGVO. Das passt irgendwie nicht zusammen?!
Die DSGVO beinhaltet Vorschriften, die man bei der Nutzung der iCloud, in meinem laienhaften Verständnis nicht einhalten kann, mindestens im professionellen Umfeld.
Ich versuch’s mal, so gut ich kann, auseinanderzufieseln. Ohne Gewähr und Anspruch auf Vollständigkeit. Also steinigt mich nicht!
DSGVO - ein ganz kurzer Abriss
Personenbezogenen Daten lt. DSGVO, Kapitel I, Artikel 4:
1. “personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
Historie
Gültigkeit
Alle Unternehmen, Körperschaften, Selbstständigen, Privatpersonen, die personenbezogene Daten Dritter in irgendeiner Form verarbeiten oder nutzen.
Neue Rechte
Grundsätze für die Datenverarbeitung
DSGVO, Kapitel II, Artikel 4:
Sonst
Informationspflicht: Einholen der Zustimmung, kein „opt out“!
Vertraulichkeit: keine Weitergabe an Dritte. Ohne vorherige Einhaltung der Zustimmung
Bußgelder und Sanktionen
Bußgelder bis zu 20 Mio € bzw. bei Unternehmen bis zu 4 % des Jahresumsatzes
Datenschutz auf gleiche Stufe wie Steuerpflichten gehoben
„Schmerzensgeld wegen Datenschutzverstößen“ einklagbar (Art. 82 DSGVO)
Was bedeutet das jetzt in Bezug auf die iCloud?
Will man personenbezogene Daten (z.B. Kontakte) in der iCloud speichern und synchronisieren, benötigt man genau genommen a) die Zustimmung eines jeden Kontaktes und b) einen sogenannten Auftragsverarbeitungsvertrag (AVV).
Was ist ein AVV? Im Prinzip ein Vertrag mit dem Dienstleister (hier Apple), der die personenbezogenen Daten auf Anweisung für einen verarbeitet. Die Verantwortung für die ordnungsgemäße Verarbeitung bleibt dabei beim Auftraggeber.
iCloud im beruflichen Umfeld
Egal, ob Firma oder Freiberufler: Geht nicht. Es ist schlicht in den iCloud Nutzungsbedingungen ausgeschlossen! Apple schließt meines Wissens auch keine AVVs ab.
Aus den iCloud Nutzungsbedingungen (IV. Nutzung des Dienstes durch dich - A. Dein Account):
„…Außerdem stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist…“
Quelle: iCloud Nutzungsbedingungen
iCloud im privaten Umfeld
Die DSGVO gilt grundsätzlich auch für Privatpersonen. Soweit ich es aber überblicken kann, ist man bei rein persönlichem und familiärem Gebrauch nicht betroffen. Also freie Bahn für iCloud.
Doch was ist, wenn man das obligatorische Sommerfest im Elternbeirat für die Schule oder in einem Verein organisieren möchte? Ich denke da auch an die ganzen WhatsApp Gruppen, Verteiler- und Teilnehmerlisten. Da treffen die ganzen Vorschriften ja zu und man steht auch als Privatperson voll in der Verantwortung. D.h. iCloud wäre auch hier in bestimmten Fällen nicht nutzbar!?
Mein Fazit
Wenn man Daten, die unter die DSGVO fallen, in der iCloud speichern möchte, ist dies nicht möglich. Spätestens beim AVV scheitert man. Schade eigentlich.
Was meint Ihr dazu?
Vielleicht gibt’s hier ja auch noch ein paar Personen, die sich wirklich in der Materie auskennen und noch etwas Licht ins Dunkel bringen können. Oder, Jörn und Gerd machen mal einen knallhart recherchierten Beitrag über das Thema.
Die DSGVO beinhaltet Vorschriften, die man bei der Nutzung der iCloud, in meinem laienhaften Verständnis nicht einhalten kann, mindestens im professionellen Umfeld.
Ich versuch’s mal, so gut ich kann, auseinanderzufieseln. Ohne Gewähr und Anspruch auf Vollständigkeit. Also steinigt mich nicht!
DSGVO - ein ganz kurzer Abriss
Personenbezogenen Daten lt. DSGVO, Kapitel I, Artikel 4:
1. “personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
Historie
- am 25. Mai 2018 in Kraft getreten
- einheitliches Datenschutzgesetz für die gesamte EU
Gültigkeit
Alle Unternehmen, Körperschaften, Selbstständigen, Privatpersonen, die personenbezogene Daten Dritter in irgendeiner Form verarbeiten oder nutzen.
Neue Rechte
- Eigentum der personenbezogenen Daten jedes Einzelnen ist als Recht manifestiert!
- Selbstbestimmung, wer welche Daten wofür speichern und nutzen darf
- Recht auf Information und Berichtigung personenbezogener Daten verstärkt
- Recht auf „Vergessen“: Bestimmung, dass personenbezogene Daten gelöscht werden
Grundsätze für die Datenverarbeitung
DSGVO, Kapitel II, Artikel 4:
- Transparenz
- Zweckbindung
- Datenminimierung:
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
Sonst
Informationspflicht: Einholen der Zustimmung, kein „opt out“!
Vertraulichkeit: keine Weitergabe an Dritte. Ohne vorherige Einhaltung der Zustimmung
Bußgelder und Sanktionen
Bußgelder bis zu 20 Mio € bzw. bei Unternehmen bis zu 4 % des Jahresumsatzes
Datenschutz auf gleiche Stufe wie Steuerpflichten gehoben
„Schmerzensgeld wegen Datenschutzverstößen“ einklagbar (Art. 82 DSGVO)
Was bedeutet das jetzt in Bezug auf die iCloud?
Will man personenbezogene Daten (z.B. Kontakte) in der iCloud speichern und synchronisieren, benötigt man genau genommen a) die Zustimmung eines jeden Kontaktes und b) einen sogenannten Auftragsverarbeitungsvertrag (AVV).
Was ist ein AVV? Im Prinzip ein Vertrag mit dem Dienstleister (hier Apple), der die personenbezogenen Daten auf Anweisung für einen verarbeitet. Die Verantwortung für die ordnungsgemäße Verarbeitung bleibt dabei beim Auftraggeber.
iCloud im beruflichen Umfeld
Egal, ob Firma oder Freiberufler: Geht nicht. Es ist schlicht in den iCloud Nutzungsbedingungen ausgeschlossen! Apple schließt meines Wissens auch keine AVVs ab.
Aus den iCloud Nutzungsbedingungen (IV. Nutzung des Dienstes durch dich - A. Dein Account):
„…Außerdem stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist…“
Quelle: iCloud Nutzungsbedingungen
iCloud im privaten Umfeld
Die DSGVO gilt grundsätzlich auch für Privatpersonen. Soweit ich es aber überblicken kann, ist man bei rein persönlichem und familiärem Gebrauch nicht betroffen. Also freie Bahn für iCloud.
Doch was ist, wenn man das obligatorische Sommerfest im Elternbeirat für die Schule oder in einem Verein organisieren möchte? Ich denke da auch an die ganzen WhatsApp Gruppen, Verteiler- und Teilnehmerlisten. Da treffen die ganzen Vorschriften ja zu und man steht auch als Privatperson voll in der Verantwortung. D.h. iCloud wäre auch hier in bestimmten Fällen nicht nutzbar!?
Mein Fazit
Wenn man Daten, die unter die DSGVO fallen, in der iCloud speichern möchte, ist dies nicht möglich. Spätestens beim AVV scheitert man. Schade eigentlich.
Was meint Ihr dazu?
Vielleicht gibt’s hier ja auch noch ein paar Personen, die sich wirklich in der Materie auskennen und noch etwas Licht ins Dunkel bringen können. Oder, Jörn und Gerd machen mal einen knallhart recherchierten Beitrag über das Thema.
Kommentar