Apple hat heute bekannt gegeben, dass das Unternehmen die Advanced Data Protection (ADP) Funktion für seine britischen Nutzer einstellen wird. Diese Entscheidung erfolgt nach Forderungen britischer Sicherheitsbehörden, die von Apple den Zugang zu verschlüsselten Daten einforderten. Die ADP-Funktion, die eine End-to-End-Verschlüsselung für iCloud-Dateien, Fotos, Notizen und andere Daten bietet, wurde ursprünglich Ende 2022 eingeführt und war für Nutzer optional. Experten warnen, dass der Wegfall dieser Funktion gravierende Auswirkungen auf die Sicherheit der Daten der Nutzer haben könnte. Der Verlust dieser Funktion könnte auch allgemein die Widerstandsfähigkeit gegen Cyberangriffe verringern.
Die britische Regierung erließ eine geheime Anordnung, die Apple zur Bereitstellung eines Backdoor-Zugriffs zwang. Diese Anordnung stützt sich auf den Investigatory Powers Act von 2016, auch bekannt als „Snoopers‘ Charter“. Dieses Gesetz gibt britischen Geheimdiensten weitreichende Befugnisse, um Geräte zu hacken und große Mengen an Online-Daten zu sammeln. Beleuchtet wird insbesondere der Umstand, dass das Gesetz Unternehmen verpflichtet, Verschlüsselungen zu entfernen, um so elektronische Überwachungen zu ermöglichen. Apple äußerte sich bedauernd über den Verlust der ADP-Funktion in Großbritannien, kommentierte jedoch nicht direkt zu den Forderungen der britischen Regierung. Das UK Home Office kündigte ebenfalls an, sich nicht zu operativen Angelegenheiten oder der Existenz solcher anonymen Anordnungen zu äußern.
Auswirkungen auf die Datensicherheit
Trotz des Aussetzens der ADP-Funktion in Großbritannien bleibt diese weltweit verfügbar. Dennoch werden bestimmte Daten in Großbritannien standardmäßig weiterhin end-to-end verschlüsselt. Dazu gehören iCloud Keychain-Passwörter, Gesundheitsdaten sowie die Kommunikation über iMessage und FaceTime. End-to-End-Verschlüsselung stellt sicher, dass nur der Sender und der Empfänger die Nachrichten lesen können.
Datenschutzexperten sind alarmiert über die Folgen solcher staatlichen Eingriffe. Experten warnen, dass der Verlust der ADP-Funktion die grundsätzliche Sicherheit der Daten für alle Nutzer gefährden könnte. Dies könnte dazu führen, dass technische Standards für Sicherheit und Datenschutz untergraben werden.
Rechtskontext und Vergleich
Ein zentraler Aspekt in dieser Situation ist der rechtliche Kontext, in dem sich sowohl die britische als auch die europäische Datenschutzgrundverordnung (DSGVO) befinden. Die EU-DSGVO gilt für Organisationen mit Sitz im Europäischen Wirtschaftsraum und für Nicht-EU-Organisationen, die mit Personen in der EU interagieren. Im Kontrast dazu bezieht sich die britische DSGVO auf Organisationen, die im Vereinigten Königreich tätig sind, sowie auf nicht-britische Unternehmen, die personenbezogene Daten britischer Bürger verarbeiten. Diese unterschiedlichen Rahmenbedingungen führen zu signifikanten Differenzen in der Handhabung und Überwachung von Daten.
Nach dem Brexit gilt das Vereinigte Königreich als separate Jurisdiktion, wodurch die Übermittlung personenbezogener Daten aus der EU ins Vereinigte Königreich zusätzliche Schutzmaßnahmen benötigt. Der Austausch von Daten zwischen den beiden Jurisdiktionen wird also durch unterschiedliche Regelwerke und Aufsichtsbehörden reguliert. Während die EU-DSGVO einen One-Stop-Shop-Mechanismus für grenzüberschreitende Datenverarbeitung nutzt, muss die britische DSGVO stetig mit mehreren Aufsichtsbehörden in jedem relevanten Rechtsraum kommunizieren.
Von großer Bedeutung sind auch die möglichen Strafen für Nichteinhaltung der jeweiligen Datenschutzgesetze. Während die EU-DSGVO Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vorsieht, liegt das Maximum für die britische DSGVO bei 17,5 Millionen Pfund oder ebenfalls 4 % des weltweiten Jahresumsatzes. Diese Unterschiede in den Durchsetzungsmechanismen können erheblichen Einfluss darauf haben, wie Unternehmen Datenschutzrichtlinien umsetzen und einhalten.
Abschließend bleibt festzuhalten, dass die Entscheidung von Apple, die ADP-Funktion in Großbritannien abzulehnen, nicht nur im Kontext der Unternehmensstrategie betrachtet werden sollte, sondern auch als ein signifikanter Schritt, der die laufende Debatte um Sicherheit und Datenschutz im digitalen Zeitalter anheizt.