Clubhouse – die Datenkrake im Audioformat
Die neue Social-Media App, die sich größter Beliebtheit erfreut, funktioniert als soziales Netzwerk in Form von Audio-Unterhaltungen, die in großer Runde oder privatem Rahmen stattfinden können und auch als Live-Podcasts genutzt werden. Die App wird wegen des Zugriffs auf Kontakte und des Speicherns von Gesprächsinhalten heftig für ihren Umgang mit Daten kritisiert. In Deutschland erwägt die Verbraucherzentrale bereits eine Klage vor dem Landgericht Berlin.

Drahtseilakt zwischen Datenschutz und Persönlichkeitsrechten
Für die Nutzung der App muss der Nutzer sämtliche Kontakte aus seinem Adressbuch freigeben und Clubhouse bereitstellen. Dabei fragt Clubhouse weder nach der Einwilligung der im Adressbuch befindlichen Personen, noch werden diese darüber verständigt (Opt-out-Lösung ohne Information nach Art 14 DSGVO). Ohne die Bereitstellung der Daten kann ein Clubhouse-Nutzer jedoch keine Einladungen verschicken und damit die App nicht nutzen.
Die abgefragten Daten werden von Clubhouse für unterschiedliche Zwecke genutzt. Neben der Erstellung von sogenannten Schattenprofilen mittels erhobener Kontaktdaten, die eigentlich keine Nutzer sind, findet auch eine Verknüpfung von Profilen mit den Diensten von Twitter und Instagram statt. So ist bekannt geworden, dass die „ADAC Pannenhilfe“ mittlerweile über Tausende „Freunde“ auf Clubhouse verfügt, da ihre Handynummer mehrfach geteilt wurde.
Zudem lässt Clubhouse sich das einseitige Recht einräumen, diese Nutzer auch mit Werbung zu beschicken. Über diese Datenverarbeitungsprozesse informiert die auf Englisch vorhandene Datenschutzerklärung nicht eindeutig.
Freigabe von Adressbüchern zulässig?
Werden Kontaktinformationen aus dem Adressbuch eines Smartphones hochgeladen, kann dies problematische Folgen haben. Bei privater Nutzung kann die sogenannte „Haushaltsausnahme“ des Art 2 Abs 2 lit c DSGVO zur Anwendung gelangen. Demnach unterliegt die Datenverarbeitung im privaten oder familiären Kontext nicht der DSGVO. Anders verhält es sich bei beruflich veranlasster Nutzung (zur Bewerbung von Produkten oder Dienstleistungen), insbesondere, wenn Politiker oder Wirtschaftstreibende ihre Adressbücher „öffnen“. Die Problematik erinnert an die Diskussion um die Nutzung von WhatsApp als Kommunikationsplattform im B2B-Bereich. Dieses Problem möchte Clubhouse dadurch lösen, dass es keine geschäftliche Nutzung erlaubt, aber ähnlich wie bei WhatsApp wird die Überprüfung und Sanktionierung von kommerzieller Nutzung der App schwer durchsetzbar sein. Damit ist allein die Freigabe von Adressbüchern schon ein problematischer Punkt bei Nutzung der App.
Was im Clubhouse passiert, bleibt im Clubhouse?
Die App ist eine Audioplattform, die Gespräche und Räume ermöglicht, um sich über vielfältige Themen auszutauschen. Diese Gespräche können dabei zu zweit oder in einem Forum geführt werden, das moderiert werden kann oder gemeinschaftliche Kommunikation erlaubt. Clubhouse gibt an, dass es geführte Gespräche aufzeichnet und speichert. Nutzer haben ebenfalls die Möglichkeit, Gespräche aufzuzeichnen. Dies wirft nicht nur datenschutzrechtliche Fragen über den Zweck und die Dauer der Speicherung auf, sondern stellt auch persönlichkeitsrechtliche Probleme dar. Unlängst ist der deutsche Ministerpräsident von Thüringen über die App gestolpert, als er offenbarte, während langer Sitzungen „Candy Crush“-Level zu bewältigen.
Internationaler Datentransfer im Lichte von Schrems II
Nachdem der EuGH das sogenannte Privacy-Shield-Abkommen für ungültig erklärt hat, ist die Übermittlung personenbezogener Daten in die USA an besondere Voraussetzungen geknüpft. Neben einer gültigen Rechtsgrundlage sind vor allem Datensicherheitsmaßnahmen im besonderen Fokus des zu Übermittelnden. Hinter der App Clubhouse steht das Unternehmen „Alpha Exploration Co., Inc.“ mit Sitz im Silicon Valley. Für die Datenübermittlung werden keine Informationen oder entsprechenden Einwilligungserklärungen bereitgestellt. Die Datenschutzerklärung informiert lediglich über die Tatsache, dass Daten an die Server in die USA übermittelt sowie auch möglichen „Partnern“ zur Verfügung gestellt werden. „By using our Service, you understand and acknowledge that your Personal Data will be transferred from your location to our facilities and servers in the United States, and where applicable, to the servers of the technology partners we use to provide our Service.“
Ein Opt-in oder die Möglichkeit, dem zu widersprechen, besteht nicht, sodass offenbleibt, auf welcher Rechtsgrundlage hier eine zulässige Übermittlung in die USA erfolgt. Zumal Clubhouse auch keinen entsprechenden Vertreter gem. Art. 27 DSGVO benannt hat, wozu es als Unternehmen, das Daten von Betroffenen in der EU verarbeitet, eigentlich verpflichtet wäre.
Fazit
Zum aktuellen Zeitpunkt kann die Nutzung von Clubhouse sowohl für Unternehmen als auch Privatperson nicht empfohlen werden. Das Unternehmen erfüllt nicht die nötigen rechtlichen Verpflichtungen aus der DSGVO und stellt auch kein Impressum bereit. Der persönlichkeitsrechtliche Schutz bei der Teilnahme an öffentlichen Diskussionen ist stets abzuwägen und es bleibt offen, wie mit einer ungewollten Veröffentlichung eines Gespräches, das man eigentlich für eine Privatkonversation gehalten hat, umzugehen ist. Daher bleiben große Bedenken beim rechtmäßigen Einsatz der App für die Nutzer von Clubhouse, da die datenschutzrechtlichen Anforderungen großteils unzureichend sind.
Das Unternehmen hat bereits Verbesserungen angekündigt, denn mit steigender Beliebtheit wird auch das Risiko einer Klage von Verbraucherschützern oder Betroffenen größer.
Zur Autorin
Mag. Katja Wyrobek ist als Juristin und Senior Consultant bei der Secur-Data Betriebsberatungs-GmbH im Bereich des Datenschutz- und Projektmanagements tätig und veröffentlicht u.a. in der „Dako“.