Ein Freund ist selbstständig und er möchte einige Kundendaten gerne per iCloud synchronisieren. Ihm ist bewusst, dass das im Sinne der DSGVO nur mit so einem Auftragsverarbeitungsvertrag rechtssicher möglich wäre. Diesen gibt es von Apple aber nicht und sie sagen in den AGB ja auch, dass iCloud nur für den privaten Gebrauch gedacht ist. Weiß jemand, wie das aussieht, wenn die Daten vor der Übertragung verschlüsselt werden? Dann kann ja weder Dienstleister (hier Apple) noch ein Hacker mit den Daten was anfangen.

Geschäftsrelevante Daten müssen für uns Europäer in der EU gesichert werden. Eine Sicherung auf amerikanischen Servern ist nicht erlaubt. Egal ob verschlüsselt oder nicht.

Ist das wirklich noch der Fall? Ich verstehe den Artikel der IHK anders.

Aber Apple steht nicht auf der Liste. Wie soll da iCloud eingeschlossen sein? – Und ehrlich gesagt, dass Abkommen klingt ja gut, aber Rechtssicherheit scheint mir doch etwas anderes zu sein.

Und wo taucht da Apple auf?

Es ging mir nur um die Pauschalbehauptung. Auch wenn Apple da nicht explizit genannt wird, scheint es nicht der Fall zu sein, dass man grundsätzlich nicht außerhalb der EU speichern darf.

Ich bin kein Anwalt und versuche auch keiner zu sein...
Ich befasse mich allerdings recht viel mit dem Thema DSGVO und der Speicherung von personenbezogener Daten.
Pauschal ( ohne tatsächliches "Rechts"-wissen ): Nein nein, Kundendaten immer in Deutschland speichern.

Aber ich würd das Pferd mal von hinten aufzäumen, weil du ja schreibst, man könne die Daten ja "verschlüsselt" speichern.
Irgendwie sind alle Daten "verschlüsselt" gespeichert - selbst wenn sie im Klartext in einer DB stehen die durch diverse Massnahmen gegen Zugriff geschützt sind.
Also, es SCHEINT so zu sein, dass
"eine Speicherung von personenbezogenen Daten auf US Servern, selbst wenn man den Zugriff durch dritte ausschliessen kann, nicht erlaubt ist".

Ich bin nicht sicher ob das juristisch richtig ist, aber so fühlt es sich für mich an.
Ist aber auch zur Diskussion,...
aber nocheinmal: ich würd davon abraten...

Selbst wenn Speicherung außerhalb der EU erlaubt wäre, würde es trotzdem nicht reichen. Und man weiß ja noch nicht einmal, wo die Daten tatsächlich liegen. Apple behält es sich vor, die Daten an AIPO Cloud (Guizhou), IXcellerate, Amazon Web Services, Google Cloud Storage oder Microsoft Azure weiterzureichen.

Apple müsste einen Auftragsverarbeitungsvertrag abschließen und das tun sie nicht.
Apple müsste die Mindestanforderungen an den Datenschutz einhalten. Auch das tun sie nicht.

Ob die Verschlüsselung der Daten die Einschätzung der Situation ändert, ist in vielen Ländern noch nicht abschließend geklärt. Man muss aber davon ausgehen, dass das rein gar nichts ändert, denn bei der Datenweitergabe an einen Dritten spielt es eigentlich keine Rolle, ob die Daten sozusagen in einem virtuell verschlossenen Umschlag stecken oder nicht.

Daten sind Daten, ob verschlüsselt oder nicht.
Das war jedenfalls die Auskunft unseres DS-Beauftragten als ich mit derselben Frage auflief.

Danke für eure Einschätzungen. Ich werde ihm den Zahn dann wohl mal ziehen müssen bzw. muss er das auch mal mit seinem Anwalt klären.

Allerdings frage ich mich, wozu Apple Sachen wie Apple Business Essentials anbietet. Da bleibt in der EU ja dann nur noch die Verwaltung von Apps und Gerätefunktionen übrig. Die ganzen Apple-Apps sind für Unternehmen quasi nutzlos oder nur eingeschränkt nutzbar. Notizen oder Erinnerungen etwa bieten ja nur per iCloud alle Funktionen.

.
Dieses Zitat findet sich auf einer Anleitung der IHK Saarland, fasst aber die Grundhaltung der DSGVO gut zusammen.
Einen Anwalt braucht Dein Freund nicht, hier ist alles verständlich nachzulesen .
Grundsätzlich: Egal ob Recht, Steuern oder Hausbau - Berater und Architekten arbeiten immer in Deinem Auftrag und sichern zu, dass Ihre Arbeit nach den geltenden Gesetzen und Vorgaben erledigen. Verantwortlich bleibst aber immer Du.

Und BTW: Es gibt Möglichkeiten Notizen, Erinnerungen, Kalender usw. auf einer Nextcloud/Synology selbst zu hosten. Und LDAP oder ähnliches ist jetzt nicht soooo schwer selber zu verwalten.