Endpoint Manager – iCloud & DSGVO?

Modern Workplace Blog

Endpoint Manager – iCloud & DSGVO?

0

Die seit dem 25.05.2018 eingeführte Datenschutzgrundverordnung (DSGVO) regelt den Umgang mit personenbezogene Daten innerhalb der gesamten Europäischen Union. Darüber hinaus fallen Unternehmen, welche Daten von EU-Bürgen erheben sowie eine Niederlassung in der EU haben, im Einflussbereich der Verordnung. Die DSGVO wurde mit dem ursprünglichen Gedanken zur Regulierung großer Unternehmen wie Facebook, Google und co. ins Leben gerufen, welche sich bis dato hinter US-Amerikanischem Recht versteckt haben. Wirft man einen genaueren Blick auf die iCloud-Nutzungsbedingungen, stellt man schnell fest, dass der Einsatz im Unternehmensbereich seitens Apple problematisch ist, denn wir werden explizit zur Zustimmung der folgenden Absätze aufgefordert:

iCloud-Nutzungsbedingungen, Ziffer IV A –Dein Account

„Als angemeldeter Nutzer des Dienstes musst du einen Account einrichten. Gib deine Accountinformationen nicht an Dritte weiter. Du bist alleine für die Wahrung der Vertraulichkeit und Sicherheit deines Accounts und aller Aktivitäten, die auf oder über deinen Account erfolgen, verantwortlich. Du stimmst zu, dass du Apple unverzüglich über etwaige Sicherheitsverletzungen auf deinem Account informieren wirst. Außerdem stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist und du die Details zu deinem Account und/oder deinem Passwort nicht an Dritte weitergeben darfst. Soweit Apple den Dienst mit angemessener Sorgfalt und Fachkenntnis erbringt, ist Apple nicht für jegliche Verluste verantwortlich, die aus der unbefugten Nutzung deines Accounts aufgrund deiner Nichtbeachtung dieserRegeln resultieren..“iCloud-Nutzungsbedingungen, Ziffer IC –NutzungsbeschränkungenDu verpflichtest dich, den Dienst nur für in dieser Vereinbarung gestattete Zwecke zu nutzen und nur soweit dies durch anwendbare Gesetze und Rechtsvorschriften gestattet oder in der betreffenden Rechtsprechung allgemein anerkannte Praxis ist. …“

iCloud-Nutzungsbedingungen, Ziffer IC –Nutzungsbeschränkungen

Wenn du eine Covered Entity, ein Business Associate oder Vertreter einer Covered Entity oder eines Business Associate (gemäß Definition dieser Begriffe im 45 C.F.R § 160.103) bist, erklärst du dich damit einverstanden, keinerlei Komponente, Funktion oder sonstige Einrichtung von iCloud zu verwenden, um „geschützte Gesundheitsinformationen“ jeglicher Art (gemäß Definition diesesBegriffs im 45 C.F.R § 160.103) zu erstellen, zu empfangen, zu verwalten oder zu übertragen, oder iCloud in einer Art und Weise zu verwenden, durch die Apple (oder jegliche Apple-Tochtergesellschaft) zu deinem Business Associate oder zum Business Associate eines Dritten wird.

Mit der Einführung von Apple Business Manager sind die obigen Punkte für den Unternehmensbereich rechtens, jedoch weiterhin nicht nach Konformität der DSGVO. Schauen wir uns einige der Paragraphen aus dem Apple Business Manager Vertrag genauer an:

Apple Business Manager Vertrag, Absatz6 –Laufzeit und Kündigung

„Sie erkennen an und stimmen zu, dass Sie nach Ablauf oder Kündigung dieses Vertrags nicht auf den Dienst zugreifen können und dass Apple sich das Recht vorbehält, den Zugriff auszusetzen oder Daten bzw. Informationen zu löschen, die Sie, Ihre Administratoren, berechtigten Benutzer, berechtigten juristischen Personen oder zugelassenen Benutzer im Zuge Ihrer Nutzung des Diensts gespeichert haben.“

Diese Aussage hat zur Folge, dass Apple sich das Recht zur Löschung der Daten vorbehält, ohne diese vorher herauszugeben. Grund, weshalb es im direkten Konflikt mit DSGVO, Artikel 28, Punkt h steht.

Welche Möglichkeiten habe ich als Unternehmen?

1 . iCloud mithilfe von Geräteeinschränkungen verbieten

Sollten Ihre iOS Geräte mithilfe des Apple Business Managers oder des Apple School Managers mit automatischer Geräteregistrierung ADE (ehemals DEP, Device Enrollment Programm) in Intune automatisch registriert worden sein, können wir die iCloud-Sicherung mithilfe von Konfigurationsprofilen ausschalten. Die folgenden Schritte sollen den Implementierungsprozess von Geräteeinschränkungen veranschaulichen:

Erstellen Sie ein neues Profil unter ‚Konfigurationsprofile‘. Hierbei wählen wir als Platform ‚iOS/ iPadOS‘ aus und legen als Profiltyp ‚Geräteeinschränkungen‘ fest
Als nächstes wählen wir einen passenden Namen und Beschreibung für unser neues Konfigurationsprofil aus
Unter ‚Konfigurationseinstellungen‘ wählen Sie den Reiter ‚Cloud & Speicher‘ aus

2 . Datenweitergabe an Dritte mithilfe von App-Schutzrichtlinien

Alternativ können wir die App-Schutzrichtlinien verwenden, um ein vergleichbares Ergebnis zu erzielen. Im Gegensatz zu den Geräteeinschränkungen, lässt sich die Datenweitergabe an Dritte mithilfe der App Protection Policies einschränken, sodass wir ein DSGVO-konformes Konzept erstellen können.

Ein Bild, das Text enthält. Automatisch generierte Beschreibung
Unter ‚App-Schutzrichtlinien‘ können wir anschließend eine neue Richtlinie für ‚iOS/ iPadOS‘ Geräte erstellen
Als nächstes wählen wir einen passenden Namen und Beschreibung für unser neue Schutzrichtlinie aus. Denken Sie daran, dass Sie für die zukünftige Auseinanderhaltung der unterschiedlichen Richtlinien eine möglichst detaillierte Beschreibung benutzen
Unter ‚Datenschutz‘ blockieren wir zuerst die Datenübertragung der Organisationsdaten in iTunes und iCloud. Anschließend konfigurieren wir ‚Organisationsdaten an andere Apps senden‘ und setzten den Wert auf ‚Richtlinienverwaltete Apps‘. Außerdem blockieren wir ‚Kopieren von Organisationsdaten speichern‘, ermöglichen dem User jedoch das Ablegen der Daten auf ‚OneDrive for Business‘. ‚Telekommunikationsdaten übertragen in‘ wird auf ‚Keine, diese Daten nicht zwischen Apps übertragen‘ gesetzt. Abschließend blockieren wir die Synchronisation zwischen verwalteten und nativen Apps.  

Tags: , , ,

Newsletter

©  2024 ZEALTECH GmbH. Erstellt mit WordPress und dem Highlight Theme