Apple Intelligence – datenschutzkonform oder Risiko?

Einleitung

Mit der Ankündigung von Apple Intelligence betritt der Technologiekonzern Apple eine neue Ära der künstlichen Intelligenz. Die Funktion, die fest in die Betriebssysteme von iPhone, iPad und Mac integriert werden soll, verspricht intelligente Unterstützung im Alltag – von personalisierten Textvorschlägen über kontextbezogene Automatisierungen bis hin zur tiefen Integration in Apps und Workflows. Dabei steht eines besonders im Fokus: der Schutz sensibler Nutzerdaten.

Gerade weil Apple Intelligence tief in die persönlichen und beruflichen Informationen der Nutzer*innen eingreift, stellt sich die Frage: Wie datenschutzkonform ist diese Funktion wirklich? Und welche Risiken – aber auch Chancen – ergeben sich daraus insbesondere für Unternehmen?

Dieser Beitrag nimmt eine fundierte Analyse auf Grundlage der offiziellen Informationen von Apple vor. Ziel ist es, Potenziale und mögliche Fallstricke im Unternehmenseinsatz abzuwägen – zwischen Produktivitätsgewinn und Datenschutzbedenken.

Was ist Apple Intelligence?

Apple Intelligence ist ein neues KI-System, das tief in iOS 18, iPadOS 18 und macOS Sequoia integriert ist. Es kombiniert lokale, geräteinterne Verarbeitung („on-device intelligence“) mit einer sicheren Cloud-Infrastruktur, der sogenannten Private Cloud Compute. Die Funktionen reichen von automatischen Textkorrekturen, personalisierten Vorschlägen, Siri-Verbesserungen bis hin zu Funktionen wie Bildbearbeitung, E-Mail-Zusammenfassungen oder generativen Textvorschlägen. Die Besonderheit: Apple setzt auf eine datenschutzfreundliche Architektur, die maschinelles Lernen lokal oder unter strengsten Bedingungen serverseitig ausführt.

Unsicher im Datenschutz?

Risiko vermeiden, Zeit sparen & Kunden überzeugen durch die Bestellung des ext. Datenschutzbeauftragten.

Datenschutz-Versprechen von Apple

Um ein hohes Datenschutzniveau zu gewährleisten, hat Apple bisher Folgendes versprochen:

On-Device Verarbeitung: Datenverarbeitung erfolgt lokal auf dem Gerät.
Private Cloud Verarbeitung: Verarbeitung erfolgt in der Cloud bei gewissen Fällen, aber unter höchsten Datenschutzstandards.
Transparenz und Kontrolle: Nutzer können sehen, welche Daten wie verarbeitet werden.
Keine Datenweitergabe an Dritte: Server verwenden keinen persistenten Speicher, keine Apple-ID wird mit den Daten verknüpft.

Technische Umsetzung: Privacy-by-Design

Apple hat technische Maßnahmen umgesetzt, um Privacy-by-Design (Datenschutzkonformität durch die Technikgestaltung) zu gewährleisten. Es handelt sich um folgende konkrete Maßnahmen:

Architektur der Intelligence Engine:

Trennung von Nutzerdaten und der Verarbeitung.
Verwendung von Secure Enclave, dedizierter Hardware-Schutz.
Keine Persistenz: Server vergessen alles nach der Anfrage.

Audits und Open Source Transparenz:

Apple ermöglicht unabhängige Prüfungen der Server.
Software-Code ist öffentlich zugänglich, damit Vertrauen geschaffen wird.

Minimierungsprinzipien:

Nur notwendige Daten werden verarbeitet.
Kontextabhängige Entscheidungen, z. B. um Inhalte sinnvoll zusammenzufassen.

Ist Apple Intelligence datenschutzkonform?

Auch wenn Apple betont, keine personenbezogenen Daten zu speichern, gilt: Sobald Inhalte verarbeitet werden, die eine Person identifizieren können (z. B. Namen, Kundeninformationen), handelt es sich im Sinne der DSGVO um personenbezogene Daten. Deshalb ist für ihre Verarbeitung immer eine Rechtsgrundlage notwendig.

Rechtsgrundlage der Verarbeitung

Für die Datenverarbeitung mittels Apple Intelligence sind mehrere Rechtsgrundlagen denkbar. Welche Rechtsgrundlage einschlägig ist, hängt vor allem davon ab, wer und zu welchem Zweck die Daten verarbeitet.

Im Unternehmen ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) oder lit. b (Vertragserfüllung) möglich – aber nur bei klarer Zweckbindung und Risikoabwägung. Da Apple Intelligence nicht gezielt vom Unternehmen gesteuert, sondern benutzerindividuell aktiviert wird, ist hier besondere Vorsicht geboten.

Liegt eine ausdrückliche Einwilligung des Betroffenen vor, so ist die Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO. Hier ist aber zu beachten, dass der Betroffene seine Einwilligung jederzeit widerrufen kann. Die Verarbeitung, die nach der Einwilligung und vor dem Widerruf erfolgte, bleibt dabei rechtmäßig.

Datenschutz-Folgenabschätzung (DSFA)

Falls ein Unternehmen regelmäßig sensible Daten nach Art. 9 DSGVO (Gesundheitsdaten, Daten über politische Meinungen, Religionszugehörigkeit u.a.) mittels Apple Intelligence verarbeitet, kann eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich sein. Die Unternehmen müssen im Rahmen der DSFA die möglichen Risiken bewerten, dokumentieren und ggf. technische und organisatorische Maßnahmen (TOMs) ergänzen. Mehr zum Thema DSFA können Sie hier erfahren.

Verantwortlichkeit & Kontrolle

Auch wenn ein Datenschutzbeauftragter involviert ist, bleibt Ihr Unternehmen für die Datenverarbeitung verantwortlich. Dies folgt aus dem Art. 24 DSGVO. Dabei müssen Sie vor allem sicherstellen, dass nur datenschutzkonforme Tools genutzt werden. Dies gilt auch dann, wenn Ihre Beschäftigten ihre eigenen Endgeräte nutzen dürfen (Bring-your-own-device, BYOD) oder wenn Ihr Unternehmen sowohl eigene Geräte als auch die Geräte der Beschäftigten benutzt.

Fazit

Apple setzt mit Apple Intelligence neue Maßstäbe für datenschutzfreundliche KI. Die Architektur ist durchdacht, transparent und mit klarer Ausrichtung auf die Prinzipien der DSGVO. Besonders die Trennung von Datenidentität, der Verzicht auf persistente Speicherung und die Einbindung von Open-Source-Prüfbarkeit zeigen, dass Apple das Thema ernst nimmt. Trotzdem bleibt die Verantwortung beim Unternehmen. Apple Intelligence ist nicht automatisch datenschutzkonform im Unternehmenskontext, sondern erfordert eine sorgfältige Prüfung, klare Richtlinien und ggf. technische Einschränkungen.

Empfehlung: Unternehmen sollten Apple Intelligence nicht pauschal aktiv lassen, sondern eine individuelle Bewertung und Entscheidung treffen – idealerweise unter Einbindung des Datenschutzbeauftragten.

Alle Themen im Datenschutz verstehen

Inhaltsverzeichnis

Autor

Nils Möllers

externer Datenschutzbeauftragter

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Facebook Connect
Anbieter	Meta Platforms Ireland Ltd.
Zweck	Facebook Connect nutzt im Rahmen des Webtrackings Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung unserer Webseite und Ihres Surfverhaltens ermöglichen (sogenanntes tracken).
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.facebook.com/about/privacy

Akzeptieren
Name	Google Adsense
Anbieter	Google LLC
Zweck	Wir haben auf dieser Website Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	Salesviewer
Anbieter	SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, Deutschland.
Zweck	Auf dieser Webseite werden mit der SalesViewer®-Technologie der SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, auf Grundlage einer Einwilligung & berechtigter Interessen des Webseitenbetreibers Daten zu Marketing-, Marktforschungs- und Optimierungszwecken gesammelt und gespeichert. Hierzu wird ein javascript-basierter Code eingesetzt, der zur Erhebung unternehmensbezogener Daten und der entsprechenden Nutzung dient. Die mit dieser Technologie erhobenen Daten werden über eine nicht rückrechenbare Einwegfunktion (sog. Hashing) verschlüsselt. Die Daten werden unmittelbar pseudonymisiert und nicht dazu benutzt, den Besucher dieser Webseite persönlich zu identifizieren.
Laufzeit
Weiterführende Infos	https://www.salesviewer.com/de/datenschutzerklaerung/
Opt-Out Link	https://www.salesviewer.com/de/opt-out/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Matomo / Piwik
Anbieter	Piwik PRO GmbH
Zweck	Unsere Webseite verwendet Matomo (ehemals Piwik), eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Anbieter ist die Piwik PRO GmbH, Lina-Bommer-Weg 6, 51149 Köln.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://matomo.org/docs/privacy/

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy