Meines Wissens sehen CALDAV und CARDDAV keine Verschlüsselung der Inhalte auf dem Server vor. Es gibt nur eine Transportverschlüsselung. Dass evtl. die "Platte" des Servers (icloud) oder des Clients (ios Gerät) verschlüsselt ist, und man daher die Daten nicht einfach im Klartext lesen kann, ist etwas anderes und zählt nicht.
Aber ich kann - wie pk2061 geschrieben hat - problemlos mit anderen Clients auf icloud Kalender oder Kontakte zugreifen. Und das würde nicht funktionieren, wenn die Dateninhalte verschlüsselt auf dem icloud Server liegen und Apple keinen Schlüssel hätte.
Ich muss das nochmals genau nachforschen, aber es wäre dennoch möglich, dass die Daten verschlüsselt auf den Servern liegen und Apple keinen Schlüssel hat.
Wenn du 2FA für deinen Apple-Account eingerichtet hast, benötigst du auch für den Zugriff mit anderen Clients anderer Systeme, ein "anwendungsspezifisches Passwort" damit du auf den Account zugreifen kannst. Damit kann auch die serverseitige Verschlüsselung realisiert sein. Dieses Passwort kannst du soweit ich mich erinnere, als ich es eingerichtet habe, auch nicht mit 2 Clients gleichzeitig verwenden. Ich musst damals nämlich sowohl für den Raspi als auch für Win 10 jeweils eigene anwendungsspezifische Passwörter anlegen.
Ich kann mir nicht vorstellen, dass Apple schreibt "Verschlüsselung ... auf dem Sever" und das das anwendungsspezifische Passwort dann nur als Accountzugang dient.
Klar muss man dabei dann Apple vertrauen, dass das generierte anwendungsspezifische Passwort nicht gespeichert wird, sondern eben nur der Hash.
Die weitere Funktionalität deutet aber auch darauf hin, dass es so ist: Du kannst über deinen Apple-Account die bislang generierten anwendungsspezifischen Passwörter nicht einsehen, sondern lediglich löschen. Zudem werden alle generierten anwendungsspezifischen Passwörter ungültig, sobald du dein Passwort der 2FA-geschützen Apple-ID änderst.
Insofern ist es also durchaus möglich, dass Kalender und Kontakte nicht end-to-end verschlüsselt sind, aber dennoch verschlüsselt auf dem Server liegen (und verschlüsselt übertragen werden) und der Schlüssel Apple nicht bekannt ist.
Edit:
Okay. Ich bin den wohl entscheidenden Schritt weiter: Es gibt den "iCloud-Datenwiederherstellungsdienst" ->
https://support.apple.com/de-de/HT212516
Das bedeutet dann auch, dass ein weiterer Key für nicht end-to-end verschlüsselte Daten vorliegen muss, dessen Herausgabe dann mit anderen Faktoren (wie Identifizierung durch Ausweis) geschützt ist. Das ist dann naürlich keine unknackbare Verschlüsselung wie AES und wir wissen alle, dass in den USA die NSA dann darauf zugreifen könnte. Wenn wir nun aber Privatsphäre eines NAS im Vergleich zu Cloud-Diensten an den Auswirkungen der jeweiligen Landesgesetze ausrichten, dann kann man das machen, geht aber dann auf einen Aspekt ein, der andere, relevantere Risiken ausblendet. (fehlerhafte Konfiguration eines NAS, Zugriff durch Malware auf NAS-Daten von infizierten Clients im LAN, Backup innerhalb des gleichen Gerätes, bugs der NAS-Software, unsichere Passörter für Serverdienste)
Daher mein Fazit wie oben schon mal dargestellt und nochmals als Vorwort: ich will das NAShorn nicht schlecht machen. Aber die Werbung, dass man Apple seine Kalender und Kontakte nicht anvertrauen sollte sondern dem NAS, spielt schon damit, dass die Privatsphäre bei Apple nicht gut sei. Und das führt dann bei unbedarften Usern zu dem verallgemeinerten Eindruck, wie er auch oft hier im Forum vorherrscht, dass kein Schutz der Privatsphäre bei iCloud vorläge. Und das ist halt so nicht korrekt.
Die Gleichungen "NAS = sicher, Cloud = unsicher" sind recht kurz gesprungen. Es sind schon viele NAS Opfer von Ransomware-Angriffen und anderen Datenverlust-Szenarien geworden. Das gibt sich mit Cloud nichts. Zumindest hinsichtlich Ransomware und Datenverlusten habe ich den Eindruck, das Clouds weniger anfällig sind.