Endpoint Manager – iCloud & DSGVO?
Die seit dem 25.05.2018 eingeführte Datenschutzgrundverordnung (DSGVO) regelt den Umgang mit personenbezogene Daten innerhalb der gesamten Europäischen Union. Darüber hinaus fallen Unternehmen, welche Daten von EU-Bürgen erheben sowie eine Niederlassung in der EU haben, im Einflussbereich der Verordnung. Die DSGVO wurde mit dem ursprünglichen Gedanken zur Regulierung großer Unternehmen wie Facebook, Google und co. ins Leben gerufen, welche sich bis dato hinter US-Amerikanischem Recht versteckt haben. Wirft man einen genaueren Blick auf die iCloud-Nutzungsbedingungen, stellt man schnell fest, dass der Einsatz im Unternehmensbereich seitens Apple problematisch ist, denn wir werden explizit zur Zustimmung der folgenden Absätze aufgefordert:
iCloud-Nutzungsbedingungen, Ziffer IV A –Dein Account
„Als angemeldeter Nutzer des Dienstes musst du einen Account einrichten. Gib deine Accountinformationen nicht an Dritte weiter. Du bist alleine für die Wahrung der Vertraulichkeit und Sicherheit deines Accounts und aller Aktivitäten, die auf oder über deinen Account erfolgen, verantwortlich. Du stimmst zu, dass du Apple unverzüglich über etwaige Sicherheitsverletzungen auf deinem Account informieren wirst. Außerdem stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist und du die Details zu deinem Account und/oder deinem Passwort nicht an Dritte weitergeben darfst. Soweit Apple den Dienst mit angemessener Sorgfalt und Fachkenntnis erbringt, ist Apple nicht für jegliche Verluste verantwortlich, die aus der unbefugten Nutzung deines Accounts aufgrund deiner Nichtbeachtung dieserRegeln resultieren..“iCloud-Nutzungsbedingungen, Ziffer IC –NutzungsbeschränkungenDu verpflichtest dich, den Dienst nur für in dieser Vereinbarung gestattete Zwecke zu nutzen und nur soweit dies durch anwendbare Gesetze und Rechtsvorschriften gestattet oder in der betreffenden Rechtsprechung allgemein anerkannte Praxis ist. …“
iCloud-Nutzungsbedingungen, Ziffer IC –Nutzungsbeschränkungen
Wenn du eine Covered Entity, ein Business Associate oder Vertreter einer Covered Entity oder eines Business Associate (gemäß Definition dieser Begriffe im 45 C.F.R § 160.103) bist, erklärst du dich damit einverstanden, keinerlei Komponente, Funktion oder sonstige Einrichtung von iCloud zu verwenden, um „geschützte Gesundheitsinformationen“ jeglicher Art (gemäß Definition diesesBegriffs im 45 C.F.R § 160.103) zu erstellen, zu empfangen, zu verwalten oder zu übertragen, oder iCloud in einer Art und Weise zu verwenden, durch die Apple (oder jegliche Apple-Tochtergesellschaft) zu deinem Business Associate oder zum Business Associate eines Dritten wird.
Mit der Einführung von Apple Business Manager sind die obigen Punkte für den Unternehmensbereich rechtens, jedoch weiterhin nicht nach Konformität der DSGVO. Schauen wir uns einige der Paragraphen aus dem Apple Business Manager Vertrag genauer an:
Apple Business Manager Vertrag, Absatz6 –Laufzeit und Kündigung
„Sie erkennen an und stimmen zu, dass Sie nach Ablauf oder Kündigung dieses Vertrags nicht auf den Dienst zugreifen können und dass Apple sich das Recht vorbehält, den Zugriff auszusetzen oder Daten bzw. Informationen zu löschen, die Sie, Ihre Administratoren, berechtigten Benutzer, berechtigten juristischen Personen oder zugelassenen Benutzer im Zuge Ihrer Nutzung des Diensts gespeichert haben.“
Diese Aussage hat zur Folge, dass Apple sich das Recht zur Löschung der Daten vorbehält, ohne diese vorher herauszugeben. Grund, weshalb es im direkten Konflikt mit DSGVO, Artikel 28, Punkt h steht.
Welche Möglichkeiten habe ich als Unternehmen?
1 . iCloud mithilfe von Geräteeinschränkungen verbieten
Sollten Ihre iOS Geräte mithilfe des Apple Business Managers oder des Apple School Managers mit automatischer Geräteregistrierung ADE (ehemals DEP, Device Enrollment Programm) in Intune automatisch registriert worden sein, können wir die iCloud-Sicherung mithilfe von Konfigurationsprofilen ausschalten. Die folgenden Schritte sollen den Implementierungsprozess von Geräteeinschränkungen veranschaulichen:
2 . Datenweitergabe an Dritte mithilfe von App-Schutzrichtlinien
Alternativ können wir die App-Schutzrichtlinien verwenden, um ein vergleichbares Ergebnis zu erzielen. Im Gegensatz zu den Geräteeinschränkungen, lässt sich die Datenweitergabe an Dritte mithilfe der App Protection Policies einschränken, sodass wir ein DSGVO-konformes Konzept erstellen können.