Die eigenen Daten stets auf jedem Gerät verfügbar zu haben, ist praktisch. Dies setzt ein Vertrauen gegenüber dem Synchronisierungsdienst voraus, dass dieser die äußerst privaten Informationen nicht zu Marketingzwecken auswertet, zum Training künstlicher Intelligenzen zweckentfremdet oder zum willkürlichen Scannen autoritärer Regime weitergibt. Der Sync-Dienst iCloud bietet einen Modus an, den Apple „erweiterten Datenschutz“ nennt. Ist er aktiv, bleiben alle Daten chiffriert auf den Servern – entschlüsseln können sie nur die einzelnen Geräte, welche mit dem iCloud-Konto verbunden sind. Dieser ist optional, Sie müssen ihn zunächst in einer aufwendigen Prozedur aktivieren. Wir klären, für wen sich das lohnt und wie das vonstattengeht.
[banner]
Was macht "erweiterter Datenschutz"?Standardmäßig sind iCloud-Konten so eingerichtet, dass iCloud-Server einen Schlüssel vorhalten; diese lagern in einem besonders geschützten Bereich, dem "Hardware Security Module". Das hat Komfort-Vorteile, so sind insbesondere die meisten iCloud-Inhalte nach einer Anmeldung via Web-Browser verfügbar. Zumindest theoretisch ist Apple damit jedoch in der Lage, staatlichen Behörden Zugriff auf die persönlichen Daten zu gewähren, etwa iCloud-Backups. Ebenso besteht ein (theoretisches) Risiko, dass böswillige Hacker Sicherheitslücken in der Server-Software ausnutzen und serverseitig iCloud-Daten dechiffrieren. Wenn ein Nutzer iCloud-Backups aktiviert, wird der Server-Schlüssel gelöscht, und alle verknüpften Geräte legen sich neue Schlüsselpaare an. Danach könne Apple selbst nicht mehr die Serverdaten in Klartext übersetzen,
verspricht der Konzern – und spricht von vollständiger Ende-zu-Ende-Verschlüsselung.
Welche iCloud-Accounts können erweiterten Datenschutz aktivieren?Die Funktion steht allen regulären iCloud-Nutzern zur Verfügung. Man muss nicht iCloud+ abonniert haben, also monatlich für mehr Speicherplatz zahlen. Nur bei verwalteten Accounts und Kinder-Konten steht die Funktion nicht zur Verfügung. Wer kein Apple-Gerät hat und einen reinen Web-Account (mit 1 GByte Speicherplatz) verwendet, kann den erweiterten Datenschutz ebenfalls nicht einschalten. Zwingend notwendig ist auch eine aktive Zwei-Faktor-Authentifizierung.
Was bleibt unverschlüsselt?Apple listet in einem
Support-Dokument auf, welche Datentypen standardmäßig verschlüsselt sind, welche nur bei erweitertem Datenschutz, und welche in keinem Fall. In Kürze: Für iCloud-Mail, Kontakte und Kalender hält Apple in jedem Fall die Schlüssel auf dem Server vor. Kennwörter, Gesundheits-, Home-, Journal-, Zahlungsdaten sowie iMessage sind auch in der Standardversion komplett chiffriert. Der Rest, darunter iCloud Drive, Fotos, Notizen und iCloud-Backups, wird nur Ende-zu-Ende-verschlüsselt, wenn der erweiterte Datenschutz aktiv ist.
Was wird Ende-zu-Ende-verschlüsselt?| Datenquelle | Standard | Erweiterter Datenschutz |
| iCloud Mail, Kalender, Kontakte | nein | nein |
| iCloud Backup, iCloud Drive, Fotos, Notizen, Erinnerungen | nein | ja |
| Safari-Lesezeichen, Kurzbefehle, Sprachmemos, Wallet, Freeform | nein | ja |
| Passwörter, Health, Home, iMessage, Journal | ja | ja |
| Zahlungen, Karten, Safari, Bildschirmzeit, Siri, Memoji | ja | ja |
(Stand: Oktober 2025, Quelle:
Apple Support)
[banner]
Welche Hardware wird unterstützt?Der erweiterte Datenschutz steht ab macOS 13.1 (Ventura), iOS, iPadOS sowie tvOS 16.2, watchOS 9.2, HomePod 16.0 sowie iCloud für Windows 14.1 (auf PCs) zur Verfügung. Wichtig: Um Ende-zu-Ende-Verschlüsselung einzuschalten, müssen
alle mit diesem Apple Account verknüpften Geräte auf die entsprechende Version aktualisiert werden – oder Sie melden Ihren Apple Account auf dem älteren Gerät ab. Sonst bricht die Aktivierung ab.
Unterstützte Geräte| Gerät | ab System | ab Gerät |
| Mac | macOS 13.1 | MacBook Air Retina, MacBook Pro 2017, iMac 2017 |
| iPhone | iOS 16.2 | iPhone 8 |
| iPad | iPadOS 16.2 | iPad (mini/Air) 5, iPad Pro |
| Apple Watch | watchOS 9.2 | Series 4 |
| Apple TV | tvOS 16.2 | Apple TV HD |
Pferdefuß App-Store-AktualisierungenWer ein älteres Gerät sein Eigen nennt, etwa ein iPad der 4. Generation oder ein MacBook Air ohne Retina-Display, sollte sich zweimal überlegen, ob er den erweiterten Datenschutz aktivieren will. Auf dem Altgerät meldet man sich nämlich nicht nur von der iCloud ab, sondern auch zwangsweise von allen anderen Apple-Diensten, also Apple Music, Apple TV und App Store. Fortan ist es auf diesen Geräten nicht mehr möglich, Medien aus dem Apple-Mikrokosmos zu konsumieren. Deutlich schwerer wiegt, dass Updates im App Store verwehrt bleiben: Eine Auftrennung von iCloud- und App-Store-Account erlaubt Apple seit einiger Zeit nicht mehr. Wer eine neuere App-Version benötigt, muss die alte App löschen, sich mit einem neuen Apple Account (ohne erweiterten Datenschutz) anmelden, die App erneut herunterladen (und gegebenenfalls noch einmal bezahlen).
Keine App-Updates für alte Hardware: Bei aktivierter Ende-zu-Ende-Verschlüsselung lässt der App Store älterer Systemversionen keine Anmeldung mehr zu.
[banner]
Wie läuft die Aktivierung ab?Da erweiterter Datenschutz für einen iCloud-Account gilt, spielt es keine Rolle, mit welchem Gerät Sie die Aktivierung beginnen: iPhone, iPad oder Mac eignen sich gleichermaßen. Dazu öffnen Sie die Einstellungen-App, und gehen dann folgendermaßen vor:
- Klicken Sie auf Ihren Apple Account (oberster Eintrag)
- Wählen Sie den Eintrag "iCloud"
- Scrollen Sie nach unten, bis der Eintrag "Erweiterter Datenschutz" erscheint.
- Tippen Sie "Erweiterter Datenschutz" an.
- Tippen Sie auf "Erweiterten Datenschutz aktivieren".
Die Funktion "Erweiterter Datenschutz" verbirgt sich tief in den iCloud-Einstellungen.
Dann startet ein Assistent, der zunächst die Voraussetzungen überprüft. Sie müssen mindestens eine Form der Accountwiederherstellung einrichten: Entweder sie geben ein zweites iCloud-Account an oder sie lassen den Assistenten eine lange, zufällige Zeichenkette erstellen, welche Sie ausdrucken und an einem sicheren Ort aufbewahren. Danach tippen Sie erneut unter iCloud/Erweiterter Datenschutz auf "Aktivieren". Falls Ihr Account auf Geräten mit nicht unterstützten Systemversionen angemeldet ist, listet der Assistent diese auf. Erst wenn Sie sich von diesen abgemeldet haben, erlaubt iCloud die Aktivierung. Dafür müssen Sie jedes Gerät mit dem Netz verbinden und gegebenenfalls Ihr iCloud- sowie Ihr Gerätekennwort eingeben. Nachdem diese Prozedur abgeschlossen ist, verwendet Ihr iCloud-Account fortan Ende-zu-Ende-Verschlüsselung bei fast allen iCloud-Diensten.
Der Einrichtungsassistent beginnt erst mit der Aktivierung, sobald alle angemeldeten Geräte die Funktion auch unterstützen.