Apple iCloud und Touch ID: Daten „vernünftigerweise“ an Dritte weitergeben

cloud 09
News

Am Dienstag hat Apple das neue iPhone 5S nebst iOS7 vorgestellt. Integraler Bestandteil des neuen iOS7 wird auch weiterhin die iCloud sein. Hinzugekommen ist die neue Funktion des Fingerabdrucksensors Touch ID.

Das Apple bei der Vorstellung allerdings überhaupt nicht auf die NSA-Affäre eingeht, ist als symptomatisch für die Stellung zum Datenschutz zu betrachten.

Grundfunktionen der iCloud

Grundsätzlich lassen sich Dokumente, Bilder und eine Vielzahl weiterer Dateien in der iCloud speichern. Wir hatten bereits vor zwei Jahren über die Grundfunktionen und Gefahren der iCloud berichtet.

Nutzer haben die komfortable Möglichkeit, Datenbestände über verschiedene Endgeräte zu synchronisieren und über ein sicheres Backup in der Cloud zu verfügen. Die iCloud findet sogar das iPhone im Verlustfalle.

Die Nutzung der iCloud ist für den Nutzer grundsätzlich kostenfrei möglich.

Daten können „vernünftigerweise“ an Dritte weitergegeben werden

Auf der rechtlichen Seite ist Apple sogar Safe Harbor zertifiziert. Von der technischen Seite betrachtet, sollten die Rechenzentren von Apple auch sicher sein. Die Daten liegen sogar verschlüsselt in der iCloud, wobei Apple „freundlicherweise“ die Schlüsselverwaltung für den Nutzer übernimmt. Der Nutzer bezahlt diesen Service jedoch möglicherweise mit seinen Daten, denn in den Nutzungsbedingungen heißt es zum Datenschutz:

Sie willigen außerdem ein, dass diese Daten in die USA oder in andere Länder übermittelt werden können, um von Apple, seinen verbundenen Unternehmen und/oder deren Dienstleistern gespeichert, verarbeitet und genutzt zu werden.

Die Daten können also einen eigenen Weg gehen, in andere Länder und zu anderen Unternehmen. Ganz vernünftigerweise kann Apple auch die Daten entschlüsseln und weitergeben, denn in den Nutzungsbedingungen heißt es weiter:

Zugriff auf Ihr Konto und Ihre Inhalte

Apple behält sich das Recht vor, Schritte einzuleiten, die Apple für vernünftigerweise erforderlich oder angemessen erachtet, um die Einhaltung aller Teile dieser Vereinbarung durchzusetzen und/oder zu überprüfen. Sie erklären sich damit einverstanden, dass Apple, ohne Ihnen gegenüber zu haften, auf Ihre Kontoinformationen und Ihre Inhalte zugreifen, diese nutzen, aufbewahren und/oder an Strafverfolgungsbehörden, andere Behörden und/oder sonstige Dritten weitergeben darf, wenn Apple der Meinung ist, dass dies vernünftigerweise erforderlich oder angemessen ist, wenn dies gesetzlich vorgeschrieben ist oder wenn Apple einen hinreichenden Grund zu der Annahme hat, dass ein solcher Zugriff, eine solche Nutzung, Offenlegung oder Aufbewahrung angemessenerweise notwendig ist, um:
(a) rechtliche Verfahren einzuhalten oder rechtlichen Anfragen zu entsprechen;
(b) diese Vereinbarung durchzusetzen, einschließlich der Prüfung potenzieller Verletzungen dieser Vereinbarung;
(c) Sicherheits-, Betrugs- oder technische Probleme zu ermitteln, zu verhindern oder in anderer Weise darauf einzugehen; oder (d) …

Auf iCloud sollte man möglichst verzichten

„Vernünftigerweise“, „erforderlich“ und „angemessen“, dass sind sehr weiche Begriffe die ggf. Tür und Tor öffnen können.

Durch die Enthüllungen von Edward Snowden, ist bekannt geworden, dass Daten in US-amerikanischen Cloud-Systemen kompromittiert werden. Damit legt der iCloud Anwender seine Daten in einen „Cloud-Käfig“, aus dem er nicht so leicht entfliehen kann und die Daten für unbekannte Dritte, oder auch bekannte Dritte, wie etwa die NSA, möglicherweise einsehbar sind – wohlgemerkt ohne das Nutzer das mitbekommt. Zudem kann eine Ortung des Nutzers durch die Funktion „Mein iPhone finden“ erfolgen.

Vor diesem Hintergrund raten wir von der Nutzung der iCloud ab.

Touch ID und der Datenschutz

Am Ende des Beitrages noch ein paar Worte zum Touch ID (Apple Fingerabdruck Sensor) und Datenschutz. Aussagen über die Sicherheit des im neuen iPhone 5S eingebauten Fingerabdrucksensor lassen sich derzeit noch nicht treffen, dafür wird erst eine genaue Analyse des Gerätes und des Betriebssystems erforderlich sein. Apple versichert bereits jetzt, dass der Fingerabdruck nicht das iPhone verlässt und nicht auf ihren Servern gespeichert wird.

Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein führt dazu aus:

Ein gesetzliche Regelung, die sich explizit auf biometrische Verfahren bezieht und die Weitergabe verbietet, existiert bislang nicht. Nach der derzeitigen Rechtslage müssen Sie für eine Weitergabe in der Regel eine Einwilligung erteilen, damit solche Daten weitergegeben werden dürfen. Wenn mit Hilfe eines biometrischen Verfahrens eine Anlage zur Datensicherung oder Sicherstellung des Datenschutzes betrieben wird (z.B. „biometrisches Passwort“ beim Computer-Login für personenbezogenen Daten, biometrischer Zugangsschutz zum Rechenzentrum), dürfen die biometrischen Daten grundsätzlich nicht anderweitig verwendet werden (§ 31 BDSG).

Gefahren der Touch ID

Ohne eine gesetzliche Regelung greift folglich nur der datenschutzrechtliche Zweckbindungsgrundsatz. Die Gefahr ist nun, neben der Datenbank mit Fingerabdrücken von Millionen Nutzern die Apple möglicherweise leicht erstellen und weitergeben kann, dass Schwinden der Sensibilität im Umgang mit biometrischen Daten.

Kai Biermann, Redakteur der ZEIT ONLINE führt dazu in einem Kommentar aus:

Viel wichtiger ist, dass das iPhone damit zum Wegbereiter der Biometrie werden wird. Dank seiner großen Verbreitung und seiner hohen Akzeptanz bei Nutzern wird es dafür sorgen, dass wir es bald als völlig normal, harmlos und sicher empfinden werden, uns mit unserem Fingerabdruck zu identifizieren oder damit zu bezahlen.

Bislang ist der Einsatz von Biometrie eher mit der Einreise in die USA verknüpft oder der in der Regel unfreiwilligen Abgabe auf dem örtlichen Polizeirevier. Immerhin kann der Nutzer derzeit noch selbst entscheiden, ob er Touch ID einsetzen möchte, oder auf seine herkömmliche PIN zurückgreift.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Auswahl eines Cloud Anbieters nach Aspekten des Datenschutzes
  • Einhaltung gesetzlicher Anforderungen bei Beauftragung internationaler Cloud Anbieter
  • Datenschutzvereinbarungen und Zertifizierungen für Cloud Anbieter

Informieren Sie sich hier über unser Leistungsspektrum: Outsourcing mit Cloud-Diensten

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.