Cloud-Dienste machen standortunabhängiges Arbeiten möglich – überall Zugriff auf alle Daten. Apple bietet seinen Nutzern unter dem Namen „iCloud“ und „iCloud+“ verschiedene Services an, insbesondere zum Backup der auf Apple-Geräten gespeicherten Daten. Wie es dabei um den Datenschutz steht, erfährt man im folgenden Beitrag.
Nutzung von Cloud-Diensten nimmt bei Unternehmen weiter zu
Cloud-Computing und Cloud-Dienste werden stetig beliebter – über 10% Zuwachs wurden allein zwischen 2018 und 2020 gemessen. Der Trend ist weiter anhaltend. Ca. 2/3 der großen Unternehmen mit über 250 Mitarbeitern in Deutschland nutzen Cloud-Dienste an irgendeiner Stelle ihres Unternehmens (siehe DEStatis), und auch die Kleineren entscheiden sich immer häufiger für die komfortablen Cloud-Lösungen unzähliger Software- und Server-Anbieter.
Datenschutz und Datensicherheit bei Apples iCloud
Apple betont im Marketing für die eigenen Produkte immer wieder, dass ein hohes Datenschutz-Niveau und hohe Sicherheitsstandards gegeben wären. In der Realität ist das nicht immer für bare Münze zu nehmen. Insbesondere die iCloud hatte schon mit einigen hässlicheren Vorfällen zu kämpfen – ein großer Datenleak voller privater, teilweise intimer Fotos von Prominenten im Jahr 2014 stammte aus der iCloud. Die Daten in der iCloud werden nur teilweise verschlüsselt versendet und hinterlegt. Insbesondere die meist automatisch aktivierten Backups von iPad und iPhone werden trotz Ankündigungen, dies umzustellen, noch immer unverschlüsselt in die iCloud übermittelt.
Dort können sie durch verschiedene Schwachstellen unter Umständen abgegriffen werden. Verschiedene IT-Security-Forscher haben über die Jahre entsprechende Schwachstellen ermittelt. Seit dem großen Leak 2014 ist zwar 2-Faktor-Authentifizierung umfassend implementiert, aber auch diese konnte teilweise durch Brute-Force-Attacken ausgehebelt werden. In größer angelegten Bounty-Aktionen, bei denen Apple Geldpreise für entdeckte Sicherheitslücken ausgelobt hatte, wurden weitere Schwachstellen entdeckt, unter anderem eine, die ermöglichte, dass über eine mit einem AppleID-Account verknüpfte E-Mail-Adresse die in der iCloud gespeicherten Daten an eine andere E-Mail-Adresse weitergeleitet wurden. Diese Schwachstelle erlaubte gleichzeitig eine wurmartige Ausbreitung, da die Adressbuchkontakte des Opfers ebenfalls die Schadsoftware bekommen konnten.
Neben den Sicherheitslücken kommen leider auch Datenabflüsse in andere Richtungen in Betracht – Apple gibt auf entsprechende Weisung auch Datensätze an staatliche Behörden heraus. Dabei prüft Apple natürlich nicht, welche ggf. intimen oder privaten Inhalte betroffen sind. Auch Daten von Dritten können übermittelt werden, zum Beispiel aus Adressbüchern. Gerade ob der Tatsache, dass automatische Backups von Mobilgeräten unverschlüsselt gespeichert werden, erhalten staatliche Stellen somit schnell einen kompletten Überblick über das Leben der Betroffenen. Alle Fotos, Anrufprotokolle, Textnachrichten usw. landen bei Ermittlern. Die unverschlüsselte Übermittlung ist auch in anderer Hinsicht nicht zu unterschätzen. Seit den Enthüllungen von Edward Snowden ist weltweit bekannt, dass fast jede Datenübertragung in die USA ohne jede Rücksicht von der NSA und ggf. weiteren staatlichen Stellen gescannt wird. Wenn also ein Backup zu einem amerikanischen Serverstandort übermittelt wird, hat auch die NSA ihre Nase in den unverschlüsselten Adressbüchern und intimen Fotos diverser iPhone-Nutzer.
Kann die iCloud DSGVO-konform im Unternehmen genutzt werden?
Problematisch ist bei allen Cloud-Diensten, nicht nur der iCloud, auch die rechtliche Beurteilung nach der DSGVO. Nominell wird meist eine Auftragsverarbeitung angenommen. Doch diese verlangt eigentlich, dass der Auftragsverarbeiter (also der Cloud-Dienstleister) nur auf Weisung des Auftraggebers Daten verarbeitet. Wie viel Weisungsrecht – und Kontrolle – ein Kunde gegenüber den komplexen Cloud-Service-Providern hat, darf in der Realität getrost angezweifelt werden. Und auch der Auftragsverarbeiter unterliegt umfassenden rechtlichen Pflichten, insbesondere die Gewährleistung von Datensicherheit mittels TOMs. Er ist außerdem verpflichtet, einen Datenschutzbeauftragten zu benennen und ein Verarbeitungsverzeichnis zu führen.
Eine ehrliche Auseinandersetzung mit dem Cloud-Dienstleister kann aber auch zur Einschätzung führen, dass hier eine eigene Verantwortlichkeit beider Beteiligter vorliegt, keine Auftragsverarbeitung. Dann sind ggf. auch weitere rechtliche und technische Vorkehrungen zu treffen.
Das Problem mit dem Auftragsverarbeitungsvertrag
Die iCloud wurde ursprünglich nicht für Unternehmenskunden entwickelt, sondern für private Endnutzer. Die standardmäßigen Vertragsbedingungen enthalten daher auch einen Passus, der die rein private Nutzung vorsieht. Dies ist nur durch Nutzung des Business Manager-Vertrags zu umgehen, der auch Passagen zu Auftragsverarbeitung enthält. Damit ist leider aber nach bisherigem Stand keine volle Absicherung der unternehmerischen iCloud-Nutzung verbunden. Denn in der Vereinbarung sind mehrere Punkte enthalten, die der Konzeption der Auftragsverarbeitung widersprechen. Apple lässt sich Nutzungsrechte an den Daten einräumen und behält sich vor, nach Vertragsende Daten zu löschen, die zuvor nicht herausgegeben werden müssen. Dies widerspricht rechtlichen Vorgaben aus der DSGVO für Auftragsverarbeiter. Und dies sind nicht die einzigen Punkte, in denen die Vereinbarung rechtliche Standards der DSGVO unterschreitet. Gerade im Hinblick auf Kontrollrechte und die Unterstützung bei Betroffenen- oder Behördenanfragen sieht der Business-Manager-Vertrag kaum Pflichten für Apple vor.
Die Auftragsverarbeitung durch Apple in der iCloud ist damit unzureichend rechtlich abgesichert, geschweige denn adäquat kontrollierbar. Als Unternehmenslösung ist sie damit aufgrund der rechtlichen Gefahr im Fall einer Prüfung durch Aufsichtsbehörden nicht zu empfehlen. Hinzu treten außerdem umfassende und mit dem deutschen Recht kaum zu vereinbarende Haftungsausschlüsse.
Datenübertragung in ein Drittland
Die Apple iCloud hat Serverstandorte in den USA, Asien und EU. Die EU-Server stehen in Dänemark. Die iCloud bietet aber keinerlei konkrete Auswahl oder gar Zusicherung an, dass nur auf einem EU-Server gespeichert wird. Damit ist Datenübertragung in die USA bei Nutzung der iCloud immer möglich und kann weder rechtlich ausgeschlossen noch technisch verhindert werden.
Damit sind wir mit der Drittlandübermittlung im gefährlichen Fahrwasser der Schrems II-Entscheidung des EuGH. Diese hat nach dem Safe-Harbor-Abkommen auch das zu dessen Nachfolge zu ähnlich schlechten Konditionen verhandelte Privacy-Shield-Abkommen zwischen der EU und den USA für nicht wirksam erklärt. Seither gibt es kein internationales Abkommen mehr, das als Rechtsgrundlage für Datenübertragungen von der EU in die USA dienen kann. Stein des Anstoßes waren in beiden Verfahren weniger die individuellen (fehlenden) Vorkehrungen einzelner Anbieter, sondern die generelle und planmäßige Schutzlosigkeit vor Zugriffen durch US-amerikanische Behörden. Die gesamte Konzeption des Datenschutzes in den USA schützt nur streng vor allen Menschen geheim gehaltene Daten. Einmal an einen Dritten oder ein Unternehmen weitergegebene Daten werden quasi als „veröffentlicht“ gehandhabt und sind jedem Zugriff durch Behörden feilgeboten. Im Rahmen der offensiven Überwachungspolitik der USA wurden seit 2001 diverse weitere Rechtsgrundlagen geschaffen, um Daten von nicht-US-Bürgern innerhalb und außerhalb der USA einfach einsehen und beschlagnahmen zu können.
Cloud-Systeme werben oftmals mit ihrer permanenten Erreichbarkeit. Diese ist natürlich nur durch Redundanz der Systeme und quasi kontinuierliches gegenseitiges Backup möglich. Dabei verteilen viele Anbieter die Daten nur nach rein technischen Gesichtspunkten. Sie gelangen damit schnell in den Zugriffsbereich der amerikanischen Behörden. Apple selbst gibt im Business-Manager-Vertrag an, nur nach technischen Gesichtspunkten die Daten zu verteilen. Und mit den geltenden US-amerikanischen Gesetzen sind die Daten auch auf europäischen Serverstandorten nicht vor dem Zugriff durch US-Behörden sicher.
Dies alles macht die Übermittlung von persönlichen Daten in die iCloud an sich direkt rechtswidrig im Sinne der DSGVO. Eine jüngere Entscheidung aus Frankreich, bei der die Nutzung von AWS für rechtmäßig erachtet wurde, bezog sich insbesondere auf technische Sicherheitsmaßnahmen (Verschlüsselung, deren Schlüsselcode nur in Europa an sicherer Stelle verwahrt wurde) und über das Minimum hinausgehende rechtliche Garantien (jede Zugriffsanfrage von US-Behörden wird rechtlich angegriffen). Damit war nach Ansicht des Gerichts ausreichend Schutz für die persönlichen Daten gegeben, die zudem ausschließlich auf europäischen Server der europäischen AWS-Tochter lagen. All diese Garantien bietet Apple für die iCloud allerdings nicht.
Ausweg: Containerverschlüsselung für die Daten in der iCloud?
Der Notnagel – wenn es denn mit der iCloud sein muss – ist die geräteseitige Container-Verschlüsselung, die greift, bevor Daten in die Cloud übermittelt werden. Hierbei hat auch nur der Nutzer den Schlüssel für die Verschlüsselung in der Hand – liegt dieser beim Cloud-Betreiber, können US-Behörden diesen gleich mit verlangen.
Eine Container-Verschlüsselung erstellt einen verschlüsselten Datenspeicher auf dem Gerät, den Container. Man kann darin „arbeiten“, aber alles, was daraus abgerufen und dort hineingespeichert wird, wird verschlüsselt. Der verschlüsselte Container kann mit der Cloud synchronisiert werden, ohne dass bei einem Zugriff die (einfache) Möglichkeit besteht, die Daten zu entschlüsseln. Bei der Auswahl und Benutzung des Containers muss darauf geachtet werden, dass die gewählte Verschlüsselung allen aktuellen Standards entspricht und Passwörter etc. ebenfalls nicht einfach geknackt oder entwendet werden können.
Dies löst tatsächlich viele Probleme, die sonst mit der iCloud verbunden wären. Es gibt aber auch nicht die volle rechtliche Sicherheit, die ein Unternehmen braucht, das auch Dokumentationspflichten gegenüber der Aufsichtsbehörden hat.
Backups in der iCloud können ohne Warnung gelöscht werden
Zuletzt ist es auch um die dauerhafte Speicherung der iCloud-Backup-Daten nicht gut bestellt. Im Kleingedruckten versteckt, sonst aber ohne weitere Warnung, läuft hier nämlich ein 180-tägiger Countdown. Wird nicht mindestens alle 180 Tage ein weiteres Backup übermittelt, werden die Daten automatisch gelöscht. Eine andere Möglichkeit, die Speicherfrist zu verlängern, gibt es nicht. Wer länger nicht zugreift – weil ein verlorenes Gerät nicht zeitnah ersetzt werden kann oder aus andere Gründen – verliert so nach einem halben Jahr alle Daten unwiederbringlich. Und: ohne Warnung. Eine Vorwarnung per E-Mail o.ä. existiert nicht.
Auch hier geben sich für Unternehmen rechtliche Probleme, da ein derartiger Datenverlust ggf. ein meldepflichtiger Datenschutzvorfall ist.
Mehr Datenschutz mit iCloud+?
Apple hat angekündigt, mit der Einführung der iCloud+ auch neue Privatsphäre-Funktionen einzubinden. Dabei soll unter anderem eine verschlüsselte Verbindung für alle Internet-Verbindungen möglich sein, vergleichbar mit VPN. Inwieweit das aber auch eine Verschlüsselung der „ruhenden“ Daten in der Cloud bedeutet, ist nicht bekannt, dazu stellt Apple keine Informationen bereit. Zudem beseitigt es die rechtlichen Probleme der Auftragsverarbeitungsvereinbarung nicht, hier verändert sich nichts durch ein Upgrade zu iCloud+. Hauptsächlich besteht die Funktionserweiterung der iCloud+ wohl darin, dass nun 2 TB Speicherkapazität vorhanden sind und die Anbindung von Video-Überwachungskameras in die iCloud+ möglich sind. Der VPN-ähnliche „iCloud Private Relay“ ist bisher nur als open Beta verfügbar. Es werden zudem noch Möglichkeiten für eigene E-Mail-Domains bereitgestellt und austauschbare E-Mail-Adressen ermöglicht, die nur zur Weiterleitung auf die dahinter verborgene tatsächliche E-Mail-Adresse dienen. Diverse der Funktionen sind auch nur auf sehr aktueller Apple-Hardware verfügbar.
Eher no Cloud als iCloud
Die gesamte Konzeption der Apple iCloud ist als Unternehmenslösung eher wenig geeignet. Die rechtlichen Probleme sind über den Business-Manager-Vertrag nur oberflächlich gelöst. Sollte es zu einer Überprüfung durch die Aufsichtsbehörden kommen, ist eine große offene Flanke gegeben. Dazu ist ein hoher technischer Betreuungsaufwand erforderlich, um unverschlüsselte Übermittlungen zu unterbinden (diese sind meist standardmäßig aktiviert) und zusätzliche Verschlüsselung zum Schutz der Daten auch geräteseitig vorzuhalten. Die Cloud-Konkurrenz ist auch nicht fehlerfrei, aber zumindest einige Probleme sind anderswo besser gelöst. Solange insgesamt die meisten Cloud-Anbieter US-Konzerne sind und die politische und rechtliche Lage ist wie sie ist, kann vom Datenschutz-Standpunkt her nur gesagt werden: Die Gesamtsituation ist unbefriedigend. Welches Risiko ein Unternehmen dabei eingehen kann und will, muss gut abgewogen werden. Und wenn es nicht wirklich erforderlich ist, ist eine Lösung, die die Daten auf dem eigenen Computer belässt und ohne Cloud arbeitet, vielleicht doch nicht die schlechteste Wahl.
Guten Tag,
vielen Dank für den – wie ich finde – sehr gelungenen wie auch instruktiven Beitrag; ich habe den BMV selbst überprüft und teile Ihre Feststellungen in relevanten Bereichen des DS. Spannend finde ich in dem Kontext übrigens die „Legal Process Guidelines Government & Law Enforcement…“, stellen diese doch detailliert dar, unter welchen Voraussetzungen Apple u.a. unter dem CloudAct welche (personenbez.) Daten an US-Behörden herauszugeben hat. Dies aufgeschlüsselt nach sämtlichen Diensten und unter Angabe der Schlüsselverwaltung. Diese Transparenz habe ich bei anderen „großen“ CSP noch nicht wahrgenommen….