„Natürlich ist das auch Marketing”, sagt Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg. „Aber es ist ja auch das gute Recht desjenigen, der besser ist, seine Vorzüge zu betonen.“ Seinen Speicherdienst iCloud habe Apple beispielsweise schon sehr früh an europäischen Maßstäben ausgerichtet.
Dass sich Cook diese Strategie leisten kann, liegt am grundlegend anderen Geschäftsmodell, das Apple verfolgt. Anders als die Konkurrenz, die davon lebt, das Wissen um Interessen und Verhalten der Nutzer vor allem für den Verkauf passender Werbung zu vermarkten, ist der Konzern bis heute in erster Linie ein Hardware-Verkäufer.
Im zweiten Quartal des Geschäftsjahres war weiter das iPhone mit rund 38 Milliarden Dollar der größte Umsatzbringer des Unternehmens. Datenorientierte Dienste wie der Verkauf von Musik oder Filmen, das Zusammenstellen von Fotobüchern aber auch Speicherplatz zum Sichern persönlicher Informationen machte nur gerade einmal ein Viertel der iPhone-Erlöse aus.
Kurz & knapp: Die Grundsätze der DSGVO
"Datensparsamkeit" ist die Devise der DSGVO. Das heißt, Unternehmen dürfen nur jene Daten ihrer Kunden oder Nutzer abfragen, die für den betreffenden Zweck auch benötigt werden. Dementsprechend müssen auch die Standard-Einstellungen bei der Anmeldung neuer Nutzer oder Kunden gestaltet sein.
Anbieter von Dienstleistungen oder Waren müssen die Sicherheit der erhobenen Kundendaten gewährleisten. Das kann bedeuten, dass Unternehmen diese Informationen verschlüsseln müssen.
Persönliche Daten von Kunden oder Nutzern dürfen nur dann ins außereuropäische Ausland übermittelt werden, wenn die EU-Kommission den betreffenden Staaten ein "angemessenes Schutzniveau" bescheinigt hat. Ist das nicht der Fall, muss der Absender der Daten "geeignete Garantien" für deren Sicherheit abgeben.
Beim Wechsel zu einem anderen Anbieter haben Kunden und Nutzer ein Anrecht darauf, ihre Daten mitzunehmen. Das Unternehmen muss die Daten dann übertragen.
Datenschutzbehörden haben das Recht, das Löschen bestimmter Daten anzuordnen.
Unternehmen drohen bei Verstößen gegen die neuen Regeln hohe Strafen - sie können sich auf bis zu vier Prozent des Jahresumsatzes belaufen. Verstöße gegen die DSGVO müssen Unternehmen innerhalb einer Frist von 72 Stunden den Behörden melden.
Die DSGVO gilt nicht nur für in der EU ansässige Unternehmen. Kriterium für die Anwendung ist das sogenannte Marktort-Prinzip. Das heißt: Anbieter, die sich an Konsumenten in der EU wenden, unterliegen den europäischen Datenschutzregeln, auch wenn der Konzern seinen Hauptsitz etwa in den USA hat.
Für außereuropäische Unternehmen sind die Datenschutzbehörden jenes EU-Landes zuständig, in dem die Unternehmen ihren Hauptsitz haben. So sind etwa die irischen Datenschützer für Facebook zuständig, weil der US-Konzern seine Europa-Zentrale in Dublin hat. Stellen deutsche Datenschützer also bei Facebook einen Verstoß gegen die DSGVO fest, dann kontaktieren sie nicht das Unternehmen direkt. Stattdessen schalten sie die irischen Kollegen ein, die den Fall prüfen und sich dann gegebenenfalls an Facebook wenden.
Bei Unstimmigkeiten zwischen nationalen Datenschutzbehörden wird der Europäische Datenschutz-Ausschuss eingeschaltet, der am 25. Mai seine Arbeit aufnimmt. In diesem Gremium hat jedes EU-Mitglied eine Stimme.
Die Konsequenz lässt sich Apple allerdings auch bezahlen. Ein Beispiel: Das aktuelle Topmodell, das iPhone X kostet mit knapp 1150 Euro. Das sind – bei gleicher Display- und Speichergröße – glatte 300 Euro mehr als Samsung für das Galaxy S9 verlangt. Das basiert auf Googles Betriebssystem Android und erfasst – speziell mit den darauf vorinstallierten Google-Diensten – jede Menge Nutzerdaten. „Das Problem ist nicht das Marketing, sondern ein anderes”, sagt auch Datenschützer Stefan Brink: „Wir dürfen den Datenschutz nicht zu einem Premiumprodukt machen, das sich nur leisten kann, wer genug Geld für ein iPhone hat.”
So konsequent, wie sich Apple heute in Sachen Privatsphäre präsentiert, war das Unternehmen allerdings nicht immer – und ist es bis heute nicht überall. Vor sieben Jahren zog Apple den Zorn der Nutzer und Datenschützer auf sich, weil iPhones heimlich Bewegungsprofile der Benutzer aufgezeichnet hatten. Mit iOS 6 hatte das Unternehmen eine neue Form der Werbeanalyse eingeführt und so lange aufgezeichnet, welche Werbung Nutzer angezeigt bekommen hatten, wie der das nicht ausdrücklich abgeschaltet hatte. Die entsprechende Einstellung hatten die Software-Designer auch noch so missverständlich bezeichnet, dass selbst sensible Anwender dabei in die Irre geführt werden konnten.
Auch wenn die Kritikpunkte inzwischen abgestellt sind und Konzernchef Cook Apple eindeutig gegen die Datensammler positioniert hat. An einer Stelle aber beugt sich auch der selbsternannte Vorkämpfer für den Datenschutz seiner Nutzer dem politischen und ökonomischen Druck von außen. Ende Februar übergaben die Kalifornier den Betrieb der Server, auf denen chinesische Kunden ihre Informationen in Apples iCloud-Dienst sichern, an den staatlich kontrollierten chinesischen Dienstleister GCBD.
Damit, so Kritiker, bekämen die chinesischen Behörden leichteren Zugriff auf die Daten. Zwar verweist Apple dabei auf die entsprechende chinesische Rechtslage, die nichts Anderes zulasse. Aber zumindest Kritiker werden Cook an dieser Stelle Halbherzigkeit vor. Im Konflikt mit dem FBI sei er standhaft geblieben. An der Stelle aber, wo der Zugang zum chinesischen Milliardenmarkt gefährdet ist – da sei er eingeknickt.