Das Thema Apple und hier vor allem die Nutzung der iCloud durch Schulen für das Backup von Schüler- und Lehrer-Geräten ist auch im Tätigkeitsbericht für das abgelaufene Jahr, das Jahr 2025 (31. Tätigkeitsbericht) vertreten. Das überrascht nicht, denn iPads sind an Schulen in NRW stark vertreten, zahlenmäßig vermutlich sogar die am häufigsten anzutreffenden digitalen Endgeräte, und die datenschutzrechtlichen Fragen, welche mit der Nutzung der Geräte, des Betriebssystems und des Onlinespeichers iCloud einhergehen, sind weiterhin nicht zufriedenstellend geklärt. 2025 ergab sich für die Aufsichtsbehörde ein neuer Anlass, sich wieder mit dem Thema zu befassen. Dem Bericht zufolge suchte auf Initiative einer Bezirksregierung ein Schulträger das Gespräch mit Apple bezüglich iCloud und die LDI NRW beteiligte sich an diesen Gesprächen beratend. Im vorherigen Tätigkeitsbericht hatte die Aufsichtsbehörde von einer Nutzung der iCloud abgeraten und hatte dieses mit Angaben in den Vertragsunterlagen begründet, aus denen eine Verwendung von Nutzungsdaten zur Produktentwicklung und für weitere eigene Zwecke hervorging sowie eine Datenübermittlung in Drittländer ohne angemessenes Datenschutzniveau. In den Gesprächen mit der LDI NRW stellte Apple richtig, dass der Apple School Manager Vertrag (ASM) maßgeblich ist für die Verarbeitung von personenbezogenen Daten im Bildungskontext1(und nicht der Apple Business Manager Vertrag wie im vorherigen Tätigkeitsbericht fälschlich von der Aufsichtsbehörde angegeben) und wies auf die Nutzung der Standardvertragsklauseln (Standard Contractual Clauses, SCC) für internationale Datentransfers hin. Außerdem gab man von Apples Seite an, die Daten deutscher Nutzer ausschließlich in der EU und im EWR zu verarbeiten. Die von Apple dargestellte Verarbeitung ließ sich für die Aufsichtsbehörde jedoch aus dem für deutsche Schulen geltenden ASM nicht klar nachvollziehen, da dieser „teilweise nicht eindeutige und schwer verständliche Passagen“ enthält. Aus diesem Vertrag lassen sich nach Einschätzung der Aufsichtsbehörde nach wie vor Anhaltspunkte dafür ableiten, dass Apple Daten der Nutzenden zur Verbesserung seiner Produkte verwendet oder sich dies zumindest vorbehält. Genauso wenig schließt der ASM die Übermittlung von Daten auch in weitere Drittländer jenseits der USA aus. Abschließend spricht die LDI NRW zwei Empfehlungen aus, wie Apple eine datenschutzfreundliche Lösung umsetzen könnte:
- Die Speicherung von Daten in iCloud wird mit einer Ende-zu-Ende Verschlüsselung (E2EE) geschützt, bei welcher Apple keinen Zugriff auf die Schlüssel hat.
- Apple öffnet die Backup-Funktion der iPads für alternative Cloud-Lösungen.
Diese Empfehlungen will Apple prüfen. In ihrem Fazit bewertet die LDI NRW die bisherigen Entwicklungen zwar positiv und zeigt sich optimistisch, dass die noch offenen datenschutzrechtlichen Fragen künftig auch im ASM bzw. den zugrunde liegenden Vertragsunterlagen hinreichend klar abgebildet werden können. Bis zu einer abschließenden Klärung empfiehlt sie Schulen jedoch weiterhin, auf die Nutzung der iCloud zu verzichten.
Bewertung
Es ist für deutsche Verhältnisse wirklich bemerkenswert, was sich hier in NRW in Sachen Apple und Datenschutz tut. Ein Schulträger suchte auf Anregung einer Bezirksregierung unter Beteiligung der Aufsichtsbehörde das Gespräch mit Apple. In der Vergangenheit war das in der Regel anders. Man wusste um die datenschutzrechtlichen Probleme und wartete immer auf ein Wunder, wie es schien. Viele Schulträger deaktivierten die iCloud vollständig, stellten Schulen damit aber vor ein erhebliches Problem, denn es war so kein vollständiges Backup von Geräten möglich. Dadurch waren bei Verlust oder Totalausfall eines Gerätes sämtliche darauf gespeicherten Daten und Einstellungen vollständig verschwunden. Auch wenn es durchaus Möglichkeiten gibt, Daten einzeln auf andere Medien oder Plattformen zu speichern, so ist ohne iCloud Backup der Zeitaufwand zur manuellen Wiederherstellung eines Gerätes sehr groß. Der Wunsch von Schulen und Schulträgern nach unkomplizierten Backups von personalisierten iPads ist von daher sehr gut nachzuvollziehen. Entsprechend häufig dürften Nachfragen diesbezüglich bei Bezirksregierungen eingehen.
Nun spricht endlich jemand mit Apple direkt, anstatt abzuwarten. Damit folgt man dem Vorbild aus anderen Bundesländern, wo es ebenfalls direkten Austausch mit Anbietern gab, wie etwa in Niedersachsen bezüglich der Nutzung von MS Teams in der öffentlichen Verwaltung oder in Hessen, wo es um Microsoft 365 und die Nutzung in der öffentlichen Verwaltung und im Bildungsbereich ging.
Was ist dran an der Kritik der LDI NRW an den vertraglichen Regelungen im ASM?
Im ASM (Version 2026-04-14) schließt Apple eine Verarbeitung von personenbezogenen Daten von Schülerinnen und Schülern zu eigenen Zwecken aus:
„Apple wird die persönlichen Daten der Schüler:innen nicht dazu nutzen, Werbung zu erstellen, zu entwickeln, zu betreiben, anzubieten oder zu verbessern. „
behält sich aber eine Nutzung von nicht persönlichen Daten, welche aus der Nutzung der Dienste durch Schülerinnen und Schüler entstehen vor:
„Apple darf nicht persönliche Diagnose-, technische, Nutzungs- und verwandte Informationen, einschließlich unter anderem Identifikatoren, Informationen zu autorisierten Geräten, System- und Anwendungssoftware, Peripheriegeräte und Cookies verwenden, um den Dienst bereitzustellen und zu verbessern.„
und
„Darüber hinaus dürfen Apple sowie seine verbundenen Unternehmen und Vertreter aggregierte statistische, diagnostische, technische, Nutzungs- und verwandte Informationen erfassen, erstellen und verarbeiten, und zwar in einer Weise, die Ihre Endnutzer:innen nicht persönlich identifiziert, um den Dienst bereitzustellen und zu verbessern.„
Andererseits findet sich eine Aussage, die eigentlich für US-Recht gedacht ist zu COPPA2 meint Children’s Online Privacy Protection Act, ein Datenschutzgesetz zum Schutz von Kindern, die der ersten Aussage inhaltlich widerspricht:
„Sie erteilen Apple die Erlaubnis, diese persönlichen Daten zur Bereitstellung und Verbesserung des Dienstes und wie in Anlage A dargelegt zu erfassen, zu verwenden und zu veröffentlichen.“
Bezüglich der Verarbeitungsorte finden sich im aktuellen ASM nur Regelungen, welche Zusagen machen, wie Apple Übermittlungen von personenbezogenen Daten in andere Staaten rechtlich absichert:
„Datenübertragung. Sofern gesetzlich vorgeschrieben, stellt Apple sicher, dass jede internationale Datenübertragung nur in ein Land erfolgt, das ein angemessenes Schutzniveau gewährleistet, angemessene Schutzvorkehrungen gemäß geltendem Recht, z. B. Artikel 46 und 47 der DSGVO (Standard-Datenschutzklauseln), getroffen hat oder einer Ausnahmeregelung nach Artikel 49 der DSGVO unterliegt. „
Eine Aussage, die die Datenverarbeitung ausdrücklich auf die Europäische Union (EU) oder den Europäischen Wirtschaftsraum (EWR) beschränkt, findet sich im Vertragstext nicht. Der Vertrag schließt damit eine Übermittlung personenbezogener Daten in Drittstaaten außerhalb der EU und des EWR nicht aus. Als Schutzmechanismen nennt Apple insbesondere Angemessenheitsbeschlüsse, wie sie beispielsweise für die Schweiz, Kanada oder Südkorea bestehen, sowie geeignete Garantien nach Art. 46 und 47 DS-GVO, etwa Standardvertragsklauseln. Darüber hinaus können Datenübermittlungen nach Angaben Apples auf Ausnahmetatbestände des Art. 49 DS-GVO gestützt werden.
Anders als im vorherigen Tätigkeitsbericht hat sich die LDI NRW nicht zu managed Apple IDs geäußert. Im Bildungsbereich setzt die Nutzung der iCloud-Backup-Funktion für schulisch verwaltete iPads in der Regel eine managed Apple ID voraus. Allerdings muss die Nutzung von managed Apple IDs zur personalisierten Zuweisung und Verwaltung von iPads nicht zwingend mit einer Nutzung von iCloud einhergehen. Im Szenario einer datensparsamen Nutzung von managed Apple IDs werden diese lediglich für die Anmeldung, die Klassenzuordnung, die App-Verteilung und die MDM-Steuerung sowie gegebenenfalls für die Nutzung von Apple Classroom zur Steuerung von iPads eingesetzt. Mit Ausnahme einiger zentraler Apple-Dienste lassen sich für alle anderen Apps Zugriffe auf iCloud unterbinden.
Die Möglichkeit, Backups in iCloud so zu verschlüsseln, dass Apple keinen Zugriff auf die Schlüssel hat, besteht seit Ende 2022, wie im Beitrag Apple weitet iCloud Verschlüsselung aus, leider jedoch nicht für managed Apple IDs im Bildungsbereich, wie im Beitrag zum vorherigen Tätigkeitsbericht ausführlicher erklärt. Ob Apple nun nach Anregung durch die LDI NRW die Funktion endlich auch für den Bildungsbereich freigeben wird, ist – wenn man der bisherigen Argumentation Apples folgt – wenig wahrscheinlich.
Neben einer Ende-zu-Ende-Verschlüsselung der iCloud für managed Apple IDs verweist die LDI NRW auch auf die Möglichkeit, die iOS-Backup-Funktion für andere Cloud-Dienste zu öffnen. Zwar besteht bereits die Möglichkeit, einzelne iCloud-Funktionen auf andere Anbieter auszulagern, etwa auf Box. Für ein vollständiges Gerätebackup, das unter anderem Geräteeinstellungen, App-Daten, den Home-Bildschirm, Nachrichten, lokale Dateien und weitere Systemdaten sichert, gibt es derzeit jedoch keine Alternative zur iCloud. Abgesehen von lokalen Backups über Kabel auf einen Mac oder Windows-PC stehen keine anderen Sicherungslösungen zur Verfügung.
Was bedeutet das nun alles für Schulen? Hat sich irgendetwas geändert, verbessert? Die Aufsichtsbehörde beurteilt die Entwicklung insgesamt positiv, kann aber keine Entwarnung geben und von daher die Nutzung der iCloud nicht empfehlen. Damit ist eine Nutzung der iCloud nicht verboten, aber Schulen können sich eben nicht auf die Aufsichtsbehörde berufen. Sollten Nutzer an einer Schule der Verwendung von iCloud für ein Backup der Geräte widersprechen und sich bei der Aufsichtsbehörde beschweren, dann würde die Aufsichtsbehörde ziemlich sicher nicht hinter der Schule stehen. Soweit es um die Nutzung von managed Apple IDs geht, so würde die Aufsichtsbehörde vermutlich die gleiche Position einnehmen wie zuvor und eine pseudonymisierte Form empfehlen.