Apple verpflichtet sich zur Achtung der Menschenrechte, einschließlich des Rechts auf Privatsphäre sowie der Informations- und Meinungsfreiheit. Unsere Richtlinie zu Menschenrechten regelt, wie wir alle Menschen behandeln, von unseren Kund:innen und Teams bis zu unseren Geschäftspartner:innen und Personen auf allen Ebenen unserer Lieferkette.
Bei Apple gestalten wir unsere Produkte und Dienste standardmäßig nach dem Datenschutzprinzip und erfassen nur das Minimum an Daten, das erforderlich ist, um unseren Benutzer:innen ein Produkt oder einen Dienst bereitzustellen. Wir stellen unseren Benutzer:innen eine einzige Version unserer Software zur Verfügung. Wenn wir diese Daten erfassen, bewahren wir sie nur so lange auf, wie es für die Erfüllung der Zwecke, für die sie erfasst wurden, erforderlich ist, einschließlich wie in unserer Datenschutzrichtlinie oder in unseren dienstspezifischen Datenschutzhinweisen beschrieben oder wie gesetzlich vorgeschrieben.
Des Weiteren setzen wir branchenführende Zustimmungsmechanismen ein, um unseren Kund:innen die Wahl zu geben, ob sie bestimmte Daten mit Apps teilen möchten, darunter Daten zu ihrem Standort, Kontakten, Erinnerungen, Fotos, Bluetooth-Freigabe, Mikrofon, Spracherkennung, Kamera, Gesundheit, HomeKit, Medien und Apple Music, Bewegung und Fitness und mehr.
Apple verfolgt bei der Datenschutzverwaltung einen funktionsübergreifenden Ansatz. Die Datenschutzverwaltung deckt alle Bereiche des Unternehmens ab und gilt sowohl für Kunden- als auch für Mitarbeiterdaten. Das Legal Team verfügt über eine:n Vice President, der:die für die Compliance hinsichtlich Datenschutz und Strafverfolgung zuständig ist und direkt dem General Counsel von Apple unterstellt ist. Apple verfügt außerdem über ein Privacy Engineering Team, das mit dem Privacy Legal Team und einem dedizierten Product Counsel zusammenarbeitet, um Produkte von Grund auf so zu entwickeln, dass sie die Privatsphäre unserer Kund:innen schützen und sicherstellen, dass wir die erfassten Daten schützen, solange sie unter der Kontrolle von Apple sind. Dazu gehören strenge Prozesse, die sicherstellen, dass die erfassten Daten nur für die vorgesehenen rechtmäßigen Zwecke verwendet werden.
Apple verfügt außerdem über ein Privacy Steering Committee unter dem Vorsitz des General Counsel von Apple, dem unter anderem der:die Senior Vice President of Machine Learning and AI Strategy von Apple sowie eine funktionsübergreifende Gruppe hochrangiger Vertreter:innen aus den Bereichen Internet Software and Services, Software Engineering, Product Marketing, Corporate Communications, Information Services & Technology, Information Security, Privacy Legal sowie der:die Head of Business Assurance angehören. Das Privacy Steering Committee legt Datenschutzstandards für Teams überall bei Apple fest und fungiert als Eskalationspunkt für Datenschutz-Compliance-Probleme, um über diese zu entscheiden oder sie weiter zu eskalieren.
Das Privacy Steering Committee betreut auch Fälle, in denen Daten, für die Apple verantwortlich ist, von Dritten im Namen von Apple verwaltet oder gehostet werden. Wir überprüfen diese Dritten vor der Beauftragung und anschließend durch Audits und Dokumentationsprüfungen, um sicherzustellen, dass sie die gleichen Sicherheitsstandards wie Apple erfüllen können.
Darüber hinaus unterstützt das Audit and Finance Committee des Vorstands den Vorstand bei Überwachung und Kontrolle von Datenschutz und Datensicherheit.
Alle Apple Mitarbeiter:innen müssen an einer jährlichen Schulung zum Thema Business Conduct (Geschäftsgebaren) teilnehmen. Dies spiegelt unsere Verpflichtung wider, die Menschenrechte zu respektieren und unsere Geschäfte ethisch, ehrlich und im Einklang mit den geltenden Gesetzen und Vorschriften zu führen. Datenschutz ist ein wesentlicher Bestandteil dieser Schulung zum Geschäftsgebaren. Apple verlangt von seinen Mitarbeiter:innen, die Zugriff auf Apple Kundendaten und persönliche Informationen haben, alle zwei Jahre oder nach Aktualisierung von Gesetzen wie der EU-Datenschutz-Grundverordnung (DSGVO) und dem California Consumer Privacy Act (CCPA) eine zusätzliche Datenschutz- und Sicherheitsschulung zu absolvieren. Darüber hinaus werden auf Teamebene weitere spezielle Datenschutz- und Sicherheitsschulungen für Mitarbeiter:innen angeboten, die mit großen Datenmengen oder sensiblen personenbezogenen Daten umgehen bzw. Zugriff darauf haben oder wenn dies zusätzlich durch örtliche Gesetze vorgeschrieben ist. Die Einhaltung der Datenschutz- und Sicherheitsstandards von Apple, einschließlich jener in Zusammenhang mit Anonymisierung, unterliegt der Prüfung durch das Apple Privacy Compliance Audit & Verification Team.
Über unsere E-Mail-Adresse dpo@apple.com können unsere Mitarbeiter:innen zudem anhand eines klaren Prozesses Anfragen und Fragen rund um Datenschutz stellen. Ein dediziertes Team kümmert sich um die Bearbeitung aller eingehenden Anfragen bis zur Lösung.
Im Rahmen unserer DSGVO- und Menschenrechtsarbeit führen wir Datenschutz-Folgenabschätzungen (Privacy Impact Assessments, PIAs) für unsere wichtigsten Produkte und Dienste durch und integrieren diese PIAs in die Entwicklung neuer Produkte und Dienste. Dabei wird unter anderem beurteilt, ob Entscheidungen auf Basis algorithmischer Systeme getroffen werden und welche Auswirkungen diese Entscheidungen auf Einzelpersonen und ihre Rechte haben. Allen Datennutzungsfällen werden Risikostufen zugeordnet, wobei die Neuprüfungszeiträume je nach identifiziertem Risiko zwischen einem und zwei Jahren liegen. Wenn personenbezogene Daten für die Entwicklung algorithmischer Systeme verwendet werden, geben wir unseren Benutzer:innen im Einklang mit den branchenführenden nutzerseitigen Kontrolloptionen von Apple die Möglichkeit, der Nutzung dieser Daten zuzustimmen und sie zu kontrollieren. Im Rahmen des PIA-Prozesses bewerten wir außerdem umfassend die Datenschutzpraktiken aller Akquisitionen. Die PIAs berücksichtigen, wie sich Gesetze auf den Datenschutz auswirken, und bewerten alle damit verbundenen Datenschutzrisiken in den relevanten Gerichtsbarkeiten, in denen wir tätig sind. PIA-Prüfer:innen sind außerdem darin geschult, potenzielle Auswirkungen auf die Meinungsfreiheit zu erkennen und diese zu melden. Apple arbeitet außerdem regelmäßig mit einer Vielzahl von Vertreter:innen der weltweiten Zivilgesellschaft zu verschiedenen Fragen des Datenschutzes und der Meinungsfreiheit zusammen, darunter „Privacy by Design“ (eingebauter Datenschutz) und Verschlüsselung.
Apple verfügt über aktuelle Zertifizierungen nach ISO 27001 und 27018. Um diese Zertifizierungen zu erhalten, durchläuft Apple jährliche Audits.
Um die Sicherheit Ihrer persönlichen Daten zu gewährleisten, setzen wir innerhalb des Unternehmens strikte Datenschutzmaßnahmen durch. Das bedeutet, dass wir Zugriffsmanagement und -kontrollen einsetzen, die dem Risiko für die jeweiligen Daten entsprechen, um sicherzustellen, dass jeglicher Datenzugriff mit einem geschäftlichen Bedarf verbunden ist, beispielsweise der Erbringung von Support. Der Leitfaden Sicherheit der Apple Plattformen enthält ausführliche technische Details darüber, wie wir unsere Betriebssysteme – darunter iOS, iPadOS, macOS und watchOS – sowie unsere Produkte und Dienste – darunter iMessage, FaceTime, Apple Pay und iCloud – so entwickeln, dass sie Ihre Sicherheit schützen. Außerdem stellt Apple öffentliche Informationen über das Programm Apple Security Bounty zur Verfügung.
Wenn Apple einen potenziellen Datensicherheitsvorfall feststellt, der sich möglicherweise auf die personenbezogenen Daten unserer Benutzer:innen auswirkt, lassen wir den Vorfall von speziellen Teams untersuchen, die entscheiden, welche Maßnahmen als Reaktion ergriffen werden müssen. Wenn wir derartige Auswirkungen feststellen, arbeiten wir sofort daran, das Problem zu beheben und Abhilfemaßnahmen zu ergreifen, gegebenenfalls auch durch Softwareupdates.
Wir analysieren die vorliegenden Fakten – im Kontext der geltenden Gesetze, Vorschriften, Branchennormen und vor allem der etablierten Apple Datenschutzrichtlinien –, um zu bestimmen, ob wir die betroffenen Personen oder andere relevante Parteien wie Regulierungsbehörden benachrichtigen sollten. Apple hält alle geltenden Gesetze ein, die eine unverzügliche Benachrichtigung über Datensicherheitsvorfälle erfordern. Wir können solche Benachrichtigungen per Telefon oder E-Mail vornehmen.
Das bedeutet, dass wir zeitnah Untersuchungen und Analysen durchführen, um bei Bedarf rechtzeitig Benachrichtigungen bereitstellen zu können. Wir sind außerdem bestrebt, Benutzer:innen, die von einem Vorfall betroffen sind, angemessene Hilfe zukommen zu lassen – etwa Informationen zu Maßnahmen, die sie zur Verringerung des Schadensrisikos ergreifen können, oder Support durch AppleCare.
Apple sind keine Fälle bekannt, in denen iCloud-Daten eines Benutzers durch eine Sicherheitslücke auf den iCloud-Servern gestohlen oder weitergegeben wurden. Wenn du Fragen zu Vorfällen hast, kannst du dich jederzeit an uns wenden. Informationen zur Bearbeitung von behördlichen Anfragen nach Kundendaten durch Apple findest du im Transparenzbericht.
Wenn Benutzer:innen eine Datenschutzbeschwerde einreichen, die auf ein wesentliches Datenschutzproblem hinweist, werden wir Schritte ergreifen, um dieses Problem bei der nächsten angemessenen Gelegenheit zu beheben. Falls sich ein Datenschutzproblem erheblich negativ auf ein:e Benutzer:in oder eine verbundene Drittperson ausgewirkt hat, werden wir Maßnahmen ergreifen, um das Problem mit dem:der Benutzer:in oder der anderen Person zu lösen.
Bei wesentlichen Änderungen an unserer Datenschutzrichtlinie veröffentlichen wir mindestens eine Woche im Voraus eine Mitteilung auf der Webseite, auf der die Datenschutzrichtlinie veröffentlicht ist, und kontaktieren Benutzer:innen, deren Daten wir zu diesem Zweck gespeichert haben, um sie direkt über die Änderung zu informieren.
Apple gibt keine Benutzerdaten an Dritte weiter, wenn diese Informationen ohne klare Rechtsgrundlage angefordert werden, die Apple die Weitergabe erlauben würde. Selbst wenn eine solche Rechtsgrundlage angegeben wird, wird Apple diese gründlich prüfen und bei Fehlen einer Rechtsgrundlage nur reagieren, wenn dies durch einen Gerichtsbeschluss oder ein anderes gleichwertiges Verfahren erzwungen wird. Apple verpflichtet sich zu Transparenz bei allen derartigen Anfragen und veröffentlicht dazu einen ausführlichen Bericht, der regelmäßig aktualisiert wird.
Bei der Anonymisierung wird die Verbindung zwischen einem Satz an personenbezogenen Daten und einer Person aufgehoben, sodass die Person anhand dieser Daten nicht mehr identifiziert werden kann. Damit Daten bei Apple als anonymisiert gelten, müssen alle personenbezogenen Datenelemente entfernt werden, einschließlich der vollständigen IP-Adresse und aller mit den personenbezogenen Daten verknüpften Kennungen.
Um Verarbeitungsaktivitäten wie die in unserer Datenschutzrichtlinie beschriebenen im Zusammenhang mit Ihrer Nutzung unserer Produkte und Dienste durchzuführen, können Ihre personenbezogenen Daten an mit Apple verbundene Unternehmen, Apple Service Provider oder Partner übermittelt oder von diesen abgerufen werden, unabhängig davon, wo sie sich befinden. Die von uns verwendeten Service Provider und Partner können je nach Wohnort variieren. Beispielsweise können unsere Notruf-SOS-Anrufe über Satellit oder SMS in einigen asiatischen Ländern über das Relaiszentrum unseres Service Providers in Malaysia geleitet werden, um eine effektive und effiziente Verbindung mit den entsprechenden Notdiensten zu gewährleisten. Unabhängig davon, wo Ihre persönlichen Daten gespeichert sind, sorgt Apple stets für das gleiche hohe Maß an Schutz und Schutzmaßnahmen. Für Benutzer in Japan sind Informationen darüber, wie die Rechtssysteme einiger Länder die ordnungsgemäße Handhabung spezifischer Benutzerinformationen beeinflussen könnten, auf der PPC-Website zu finden.
Im Sinne der Rechenschaftspflicht müssen Unternehmen die Verantwortung für den Umgang mit Daten übernehmen und nachweisen, dass ihre Praktiken, Systeme, Richtlinien und Schulungen die Compliance-Ziele von Apple erfüllen. Dank laufender Kontrollen und Sicherheitsprüfungen verfügt Apple für sein globales Datenschutzprogramm seit 2014 über Zertifizierungen zur Datenschutzverantwortung, die den Datenschutzprinzipien der Asiatisch-Pazifischen Wirtschaftsgemeinschaft (APEC) entsprechen. In den APEC-Ländern, in denen Apple tätig ist, werden bei der internationalen Übermittlung erfasster personenbezogener Daten die Bestimmungen des APEC Cross-Border Privacy Rules (CBPR)-Systems und des Privacy Recognition for Processors (PRP)-Systems eingehalten. Die globalen Datenschutzrichtlinien und -praktiken von Apple werden von einem zugelassenen unabhängigen externen Accountability Agent überprüft, der die Einhaltung der APEC CBPR- und PRP-Programmanforderungen überwacht und durchsetzt. Hinsichtlich Abhilfe und externer Durchsetzung können sich Einzelpersonen an unseren externen Streitbeilegungspartner wenden.