Datenschutzbeauftragte in Europa erwägen eine Beschwerde gegen Apple, die von einer ehemaligen Mitarbeiterin, Ashley Gjøvik, eingereicht wurde, die behauptet, das Unternehmen habe sie entlassen, nachdem sie intern und öffentlich eine Reihe von Bedenken geäußert hatte, darunter über die Sicherheit am Arbeitsplatz.
Gjøvik, ein ehemaliger Senior Engineering Program Manager bei Apple, wurde aus dem Unternehmen entlassen letzten September nachdem sie auch Bedenken hinsichtlich des Ansatzes ihres Arbeitgebers in Bezug auf die Privatsphäre der Mitarbeiter geäußert hatte, von denen einige von der abgedeckt waren Rand in einem Bericht im August 2021.
Zu diesem Zeitpunkt war Gjøvik von Apple in den Verwaltungsurlaub versetzt worden, nachdem es Bedenken hinsichtlich Sexismus am Arbeitsplatz und einer feindseligen und unsicheren Arbeitsumgebung geäußert hatte, die es nach eigenen Angaben untersuchte. Anschließend reichte sie ein Beschwerden gegen Apple beim US National Labor Relations Board.
Diese früheren Beschwerden hängen mit der Datenschutzbeschwerde zusammen, die sie jetzt an internationale Aufsichtsbehörden geschickt hat, weil Gjøvik sagt, sie wünsche eine Überprüfung der Datenschutzpraktiken von Apple, nachdem sie der US-Regierung offiziell die Gründe für ihre Entlassung mitgeteilt hatte – und „fühlte sich wohl dabei, zuzugeben, dass sie Mitarbeiter wegen Protests entlassen würden Eingriffe in die Privatsphäre“, wie sie es ausdrückt, und beschuldigte Apple, ihre Bedenken hinsichtlich des Umgangs mit der Privatsphäre der Mitarbeiter als Vorwand zu verwenden, um ihr zu kündigen um allgemeinere Sicherheitsbedenken zu melden und sich mit anderen Mitarbeitern über arbeitsrechtliche Bedenken zu organisieren.
Das britische Information Commissioner’s Offie (ICO) und die französische CNIL bestätigten beide den Eingang von Gjøviks Datenschutzbeschwerde gegen Apple.
Ein Sprecher des ICO sagte gegenüber Tech: „Wir sind uns dieser Angelegenheit bewusst und werden die bereitgestellten Informationen prüfen.“
Die französische CNIL schickte ebenfalls eine Bestätigung, dass sie sich mit Gjøviks Beschwerde befasst.
„Wir haben diese Beschwerde erhalten, die derzeit untersucht wird“, sagte uns ein CNIL-Sprecher und fügte hinzu: „Ich kann derzeit keine weiteren Einzelheiten mitteilen.“
Die Entwicklung wurde zunächst von abgedeckt Der Telegraph — die gestern berichteten, dass es so ist dachte das erste mal Gjøvik hat versucht, ihre Datenschutzbeschwerde gegen Apple in Großbritannien einzureichen.
Die irische Datenschutzkommission (DPC), die Apples wichtigste Datenschutzbehörde in der Europäischen Union für die pan-EU-Datenschutz-Grundverordnung (DSGVO) ist – und die im Rahmen des One-Stop-Shop-Mechanismus der Verordnung wahrscheinlich eine Führung übernehmen würde Rolle bei Anfragen im Zusammenhang mit einer DSGVO-Beschwerde, die auch bei anderen EU-Datenschutzbehörden (wie der französischen CNIL) eingereicht wurde – lehnte eine Stellungnahme ab. Auch würde die DPC den Erhalt der Beschwerde von Gjøvik nicht bestätigen oder dementieren.
Ein Sprecher des DPC sagte: „Das DPC kann sich nicht zu Einzelfällen äußern. Alle Anfragen, die vor dem DPC eingehen, werden im Einklang mit den Beschwerdebearbeitungsfunktionen des DPC bewertet und bearbeitet, sofern dies angemessen ist.“
In Irland laufen eine Reihe von DSGVO-Untersuchungen zu den Datenverarbeitungspraktiken von Apple – Aufnahme in die Datenschutzrichtlinien des Unternehmens — aber das DPC hat noch keine Entscheidungen in Bezug auf diese mehrjährigen Untersuchungen erlassen.
Sollte die DPC entscheiden, dass diese Beschwerde es verdient, eine neue Untersuchung gegen Apple einzuleiten, würde es angesichts des umfangreichen Rückstands der irischen Regulierungsbehörde bei den DSGVO-Fällen wahrscheinlich Jahre dauern, bis ein öffentliches Ergebnis erzielt wird.
In einer Schlussfolgerung zu der Beschwerde fordert Gjøvik die Regulierungsbehörden auf, „die von mir angesprochenen Angelegenheiten zu untersuchen und eine umfassendere Untersuchung dieser Themen innerhalb der Apple-Unternehmensniederlassungen weltweit einzuleiten“, und behauptet weiter: „Apple behauptet, dass sich die Menschenrechte nicht je nach geografischem Standort unterscheiden. Apple gibt jedoch auch zu, dass die französische und die deutsche Regierung ihm niemals erlauben würden, das zu tun, was es in Cupertino, Kalifornien und anderswo tut.“
Face ID Gobbler-App
Das 54-seitig „Datenschutzverletzungsbeschwerde“, die laut Gjøvik Anfang dieses Monats bei den europäischen Aufsichtsbehörden eingereicht wurde, befasst sich mit dem Ansatz des Unternehmens zum Datenschutz der Mitarbeiter – und wirft Bedenken hinsichtlich einer Reihe von Praktiken auf, darunter ein internes Programm von Apple zum Sammeln biometrischer Daten von Mitarbeitern mithilfe einer App namens „Gobbler“ (später „Glimmer“), offenbar im Rahmen des Produktentwicklungsprozesses für Face ID.
Im weiteren Sinne konzentriert sich die Beschwerde auf den Umfang von Apples Geheimhaltungs- und „Mitarbeiter-Datenschutz“-Richtlinien sowie auf das, was Gjøvik als „rechtswidrig restriktive“ Geheimhaltungsvereinbarungen bezeichnet.
Apple wurde um einen Kommentar zu der Beschwerde gebeten, aber zum Zeitpunkt des Verfassens dieses Artikels hatte das Unternehmen noch nicht geantwortet.
Der Ansatz des Technologieriesen, Mitarbeiter einzuladen, sich an Produkttests zu beteiligen, bei denen zeitweise biometrische Daten erfasst wurden, ließ Gjøvik das Gefühl haben, dass ihre Teilnahme gemäß der Beschwerde obligatorisch sei, und – in einem Fall, den sie detailliert ausführt – beschreibt sie, wie sie auf das reagierte, was sie für einen „ obligatorisches gesellschaftliches Ereignis“, bei dem sich herausstellte, dass Face ID manuell mit der Gobbler-App getestet wurde, während es bei vollem Sonnenschein auf einem sicheren Gelände im Freien eingepfercht wurde.
Laut der Beschwerde forderten Informationen, die Apple den Mitarbeitern intern über Gobbler zur Verfügung stellte, die Mitarbeiter auf, Daten aus der App hochzuladen, die in ihren Häusern erfasst wurden.
„Apple hat Mitarbeiter unter Druck gesetzt, ihre „Gesichtsabdruckdaten“ auf Apple-interne Server hochzuladen, geheime Fotos und Videos von Mitarbeitern aufzunehmen, und den Mitarbeitern mitgeteilt, dass gesichtsbezogene Protokolle täglich automatisch von ihren iPhones hochgeladen werden“, behauptet Gjøvik.
„Es war außerordentlich unklar, welche Daten wie und wann automatisch hochgeladen wurden“, behauptet sie auch. „Meine offenen Fragen beinhalteten, ob meine personenbezogenen Daten waren auf Mitarbeiter-iCloud-Backups gesichert werden, über iCloud synchronisiert werden, und/oder von Apples Unternehmens-MDM-Profilen abgerufen/kopiert – oder Sonstige Globale Sicherheitsüberwachung von Mitarbeitertelefonen. Es auch Mich hat gestört, dass die App Fotos/Videos ohne welche aufgenommen hat Benachrichtigung (Ton, Signal usw.), was mich denken ließ, dass Apple, wenn es wollte, konnte meine Gerätekameras aktivieren und mir ohne zuschauen Ich weiß es auch jederzeit. Ich habe mit anderen Mitarbeitern, einschließlich Managern, mit ähnlichen Bedenken gesprochen.“
Gjøvik zitiert eine öffentliche Erklärung von Apple, dass mehr als eine Milliarde Bilder bei der Entwicklung seines Face ID-Algorithmus verwendet wurden – und behauptet, das Unternehmen habe nie Fragen von Senator Al Franken beantwortet, der es gefragt hatte, woher diese Bilder nach der Einführung von Face ID stammten . „Was [Apple VP Craig] Federighi hat nicht gesagt, dass diese Bilder von Mitarbeitern wie mir stammen, ob ich sie teilen wollte oder nicht“, schlägt sie vor.
Laut der Beschwerde informierte Apple die Mitarbeiter über Beschränkungen für das Hochladen von Daten auf Gobbler durch Mitarbeiter in Ländern außerhalb der USA – obwohl die Beschwerde auch eine E-Mail eines Apple-Managers zitiert, die besagt, dass eine solche Studie in „den USA, Brasilien, Tel Aviv“ durchgeführt wurde “ und die EU „aber nicht Frankreich oder Deutschland“.
„Ich habe auch in Notizen gesehen, dass die Verwendung der App in Japan und China verboten war, aber irgendwann hat Apple beschlossen, dort trotzdem einige Protokolle zu sammeln“, schlägt Gjøvik weiter vor.
Apple hat Niederlassungen in Europa – darunter in Großbritannien, Frankreich, Irland und anderswo in der Region –, sodass es zumindest möglich ist, dass Mitarbeiter an diesen Standorten die Gobbler-App zum Hochladen ihrer biometrischen Daten verwendet haben. In diesem Fall könnten datenschutzrechtliche Überlegungen angestellt werden, z. B. in Bezug auf die Rechtsgrundlage, auf die Apple sich bei der Verarbeitung dieser Daten berufen könnte. Aber ob die europäischen Regulierungsbehörden, die ihre Beschwerde erhalten haben, entscheiden, dass es hier etwas zu untersuchen gibt, bleibt abzuwarten.
Gemäß der DSGVO ist die Einwilligung eine von mehreren möglichen Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Damit die Einwilligung jedoch eine gültige Rechtsgrundlage darstellt, muss sie informiert, spezifisch und frei erteilt werden – und abgesehen von der Frage, ob die Mitarbeiter angemessene Informationen darüber erhalten, was mit ihren biometrischen Daten geschehen würde, muss es eine Machtdynamik zwischen Arbeitgeber und Arbeitnehmer geben könnten ihre Fähigkeit zur freien Zustimmung untergraben (dh im Gegensatz zu dem Gefühl, dass sie an solchen Tests teilnehmen müssen, weil es ihr Arbeitgeber ist, der darum bittet). Es könnte also Gründe für eine genauere Betrachtung geben.
Die Beschwerde von Gjøvik wurde auch an den Europäischen Datenschutzbeauftragten (EDSB) gerichtet, obwohl ein Sprecher des Gremiums bestätigte, dass der EDSB eine solche Angelegenheit nicht untersuchen würde, da sich seine Aufsichtsfunktion auf die eigenen Organe, Einrichtungen oder Agenturen der EU konzentriert.
Die Beschwerde listet auch das kanadische Büro des Datenschutzbeauftragten als eine weitere Stelle auf, bei der sie eingereicht wurde, zusammen mit den Gruppen für digitale Rechte EFF und Big Brother Watch.
Über die Gobbler/Glimmer-App hinaus äußert Gjøvik Bedenken hinsichtlich des Potenzials von Apples Softwareentwicklungs-Ticket-/Fehlermeldesystem, personenbezogene Daten zu sammeln, ohne dass die Mitarbeiter dies richtig wissen – und behauptet, dass das System standardmäßig Berichte an alle Softwareentwicklungsfunktionen des Unternehmens weitergibt (potenziell Zehntausende Menschen). Es heißt auch, dass diese Tickets Mitarbeiter auffordern könnten, Diagnosedateien einzufügen – was laut Gjøvik dazu führen könnte, dass zusätzliche persönliche Daten vom persönlichen Gerät eines Mitarbeiters, wie beispielsweise ihre iMessages, an Apple weitergegeben werden, ohne dass der Mitarbeiter es vollständig merkt.
In dem Artikel von The Verge aus dem letzten Jahr, in dem Gjøvik und eine Reihe anderer Apple-Mitarbeiter zitiert wurden, wurde berichtet, dass Mitarbeiter des Unternehmens routinemäßig aufgefordert wurden, ihre persönliche Apple-ID mit ihrem Arbeitskonto zu verknüpfen.
„Das Verwischen von persönlichen und beruflichen Konten hat zu einigen ungewöhnlichen Situationen geführt, darunter Gjøvik, die angeblich gezwungen war, kompromittierende Fotos von sich an Apple-Anwälte zu übergeben, als ihr Team in einen unabhängigen Rechtsstreit verwickelt wurde“, berichtete The Verge, bevor er sich auf das bezog, was es beschrieb als „strenger Arbeitsvertrag, der Apple das Recht gibt, eine umfassende Mitarbeiterüberwachung durchzuführen, einschließlich ‚physischer, Video- oder elektronischer Überwachung‘ sowie die Möglichkeit, ‚Ihren Arbeitsplatz wie Aktenschränke, Schreibtische und Büros zu durchsuchen (selbst wenn sie verschlossen sind). ), Telefonaufzeichnungen überprüfen oder jegliches nicht von Apple stammende Eigentum (z. B. Rucksäcke, Geldbörsen) auf dem Firmengelände durchsuchen“.
Eine weitere Apple-Richtlinie, die der Verge-Bericht hervorhob, war ein Verbot für Mitarbeiter, Geräte zu löschen, bevor sie sie an das Unternehmen zurückgeben, einschließlich, wenn/wenn sie Apple verlassen – was darauf hindeutet, dass Mitarbeiter, die ihre persönliche Apple-ID mit ihren Arbeitskonten verknüpft haben, möglicherweise Datenschutzdaten an das Unternehmen weitergeben Unternehmen, wenn sie Unternehmensgeräte zurückgeben.