Datenschutz Hands-On: Die Clubhouse-App

Datenschutz Hands-On: Die Clubhouse-App

Let´s talk about Clubhouse!

Jens Spahn, Thomas Gottschalk und Toni Kroos sind dabei, Bodo Ramelow hat dem neuen Dienst unfreiwillig zu noch mehr Bekanntheit verholfen: die Rede ist von Clubhouse, der aktuell brandheißen Social-Audio-Chat-App.

Wer drin ist, kann sich in Gesprächsräumen verschiedenster Art einbringen oder einfach zuhören. Man tauscht sich aus zu Hobbies, Business, Politik. Wer drin ist, hat außerdem eine der heiß begehrten Einladungen bekommen. Damit das geht, hat ein anderer Nutzer Clubhouse den Zugriff auf sein gesamtes Smartphone-Adressbuch freigegeben.

Hier steigen wir in unser Thema ein: Clubhouse und der Datenschutz.

Gleich vorweg: wir geben keine detaillierte datenschutzrechtliche Betrachtung der App. In diesem Beitrag zeigen wir mit einem kurzen Überblick auf, welche Datenschutz-Themen bei der Nutzung von Clubhouse auftauchen und wie man damit umgehen kann.

Knackpunkt Kontakte: Ohne Adressbuch keine Einladungen?

Der am meisten diskutierte Kritikpunkt bei der Nutzung Clubhouse ist der Zwang zur Freigabe des Zugriffs auf die Kontaktliste. Wer andere in die App einladen möchte – und anders kommen die nicht hinein – muss diesen Zugriff freigeben. Achtung: es geht hier wirklich nur um die Möglichkeit, andere Nutzer auf die Plattform einzuladen. Um Clubhouse „nur“ zu nutzen, muss man diese Freigabe nicht erteilen.

Im rein privaten Bereich ist die Freigabe weniger kritisch. Grundsätzlich sollten aber auch hier Daten von Kontakten nur weitergegeben werden, wenn deren Einverständnis vorliegt. Zur Erklärung: gibt man die Daten anderer Personen an Unternehmen weiter, die diese Daten ganz offensichtlich – wie hier der Fall – zu gewerblichen Zwecken nutzen, kann die DSGVO zum Tragen kommen, die eine solche Datenweitergabe nur mit Einwilligung des Betroffenen erlaubt. Dazu muss man wissen, dass Clubhouse diese Daten zur Bildung von Profilen nutzt diese und laut der eigenen Datenschutzerklärung auch an Dritte weitergibt. Die gleiche Problematik besteht beispielsweise bei der Nutzung von WhatsApp, auch hier möchte die App Zugriff auf die Kontaktliste des Nutzers.

Wer Einladungen vergeben möchte, aber keine Kontaktdaten hochladen will, installiert Clubhouse sicherheitshalber auf einem Device mit leerem Adressbuch und fügt dort nur die Mobilfunknummern von Personen hinzu, die vorher explizit ihre Einwilligung gegeben haben. Nicht komfortabel, aber durchaus umsetzbar.

Wer Clubhouse zu geschäftlichen Zwecken nutzt, muss diese Praxis deutlich kritischer bewerten. Für Unternehmen gelten hier auf jeden Fall die Vorschriften der DSGVO. Bei der Freigabe der Kontaktliste in Clubhouse handelt es sich dann um den Sachverhalt der Übermittlung von personenbezogenen Daten an Dritte. In diesem Fall sitzt der Dritte, also die Clubhouse-Entwickler „Alpha Exploration Co.“, in den USA und damit zumindest aktuell in einem unsicheren Drittland. Auch bei der Nutzung für geschäftliche Zwecke empfehlen wir sicherheitshalber die oben beschriebene Installation auf einem Device mit leerem Adressbuch. Zusätzlich handelt es sich bei der geschäftlichen Nutzung von Clubhouse sehr wahrscheinlich um eine sog. „gemeinsame Verarbeitung“, die im Moment schwer rechtskonform zu umsetzbar sein dürfte.

Zusammengefasst: eine Nutzung von Clubhouse zu geschäftlichen Zwecken ist – hauptsächlich – aus den oben geschilderten Gründen datenschutzrechtlich nicht sauber abbildbar. An der Stelle hilft uns im Übrigen der Anbieter selbst unkompliziert weiter: die geschäftliche Nutzung im kommerziellen Sinne wird in den Nutzungsbedingungen untersagt. The service is for personal use only. Natürlich darf sich jeder als Privatperson zu fachlichen Themen, die ihn beruflich betreffen, mit anderen austauschen.

Die Aufzeichnung von Gesprächen

Wer die Nutzungsbedingungen nicht im Detail gelesen hat, bekommt nicht mit, dass die Gesprächsrunden in Clubhouse aufgezeichnet werden. Nach Angaben des Anbieters werden solche Aufzeichnungen in verschlüsselter Form angefertigt und nach Ende des Gesprächs gelöscht. Sollte sich jemand über Mißbrauch im Gespräch beschweren, z.B. über sexistische Äußerungen, wird die Aufzeichnung zur Nachverfolgung der Beschwerde aufgehoben. Aus den Angaben lässt sich nicht genau herauslesen, wann die Aufzeichnungen gelöscht werden, was im Falle einer Beschwerde damit passiert, wer Zugang hat, welche Verschlüsselung zum Einsatz kommt und wie auch die laufenden Gespräche technisch abgesichert sind. Wer Clubhouse geschäftlich nutzen möchte, muss diesen Punkt unbedingt im Auge behalten und seine Gesprächspartner sowie Personen, die er in das Netzwerk einlädt, im Vorfeld über diese Aufzeichnungen informieren.

Zweifel an der Sicherheit der Infrastruktur sind momentan durchaus berechtigt, was z.B. der Artikel von Felix Frank schnell deutlich macht:

Clubhouse offene Baustellen

Wer sich an Gesprächen beteiligt oder Gesprächsrunden initiiert, sollte daher mit dem Inhalt umsichtig umgehen und allzu kreative Nutzungsideen eher mit Vorsicht betrachten. Als Datenschützer hatten wir es schon mit Steuerkanzleien zu tun, die unverschlüsselte Auswertungen via Dropbox an Mandanten übertragen haben, und mit Personalern, für die WhatsApp das geeignete Medium zur Kommunikation von Schichtplänen, Urlaubsanträgen und Krankmeldungen erschien. Warten wir ab, wann die ersten Ärzte eine Online-Sprechstunde auf Clubhouse anbieten.

Für Gesprächsrunden in Clubhouse sollten wir die gleichen Grundsätze verfolgen, wie für alle Informationen, die in den sozialen Medien geteilt werden: man erzählt am besten nur das, was gerne auch über einen selbst am nächsten Tag in der Zeitung stehen dürfte.

Rechtliche Grautöne

Neben diesen beiden Hauptkritikpunkten gibt es weitere rechtliche Schauplätze, an denen Clubhouse noch nicht konsequent oder transparent genug aufgestellt ist. Das ist bei diesem noch jungen Dienst nicht verwunderlich, schließlich operiert das Unternehmen weltweit und hätte verschiedenste Rechtsbereiche zu berücksichtigen. Sollte Clubhouse als nette Beschäftigung für die aktuell zwangsverordneten Couch-Abende in den Kinderschuhen stecken bleiben, erledigt sich die Problematik mit Zeitablauf.

Kann sich das Geschäftsmodell durchsetzen, wird sicherlich auch hier noch deutlich nachgebessert – sowohl was die Regelungen und Bedingungen angeht, als auch was die technischen Gegebenheiten betrifft. Das ist auch dringend notwendig, hier bestehen durchaus noch Lücken. Da Clubhouse Daten von EU-Bürgern verarbeitet, müssen hier auch die Vorschriften der DSGVO tiefergehende Berücksichtigung finden.

Wie das funktionieren kann, haben wir in den vergangenen Monaten bei Zoom gesehen. Der Videokonferenzdienst hat in Zuge der Corona-Pandemie einen wahren Boom erlebt, und die teils dringlichen datenschutzrechtlichen Bedenken mittlerweile durch sinnvolle Erweiterungen und technische Umgestaltung weitestgehend entkräftet. Bleiben wir gespannt, wie die Entwicklung bei Clubhouse aussieht.

Unser Fazit

Wer Clubhouse privat nutzt, kann dies recht bedenkenlos tun – sofern er den Zugriff auf die Kontaktliste nicht freigibt. Wir sollten hier grundsätzlich überlegen, wie wir selbst mit den Daten anderer Personen umgehen wollen. Clubhouse behält sich nämlich vor, diese Daten für nicht genau definierte eigene Zwecke zu nutzen, unter anderem auch um unsere Kontakte mit Werbung zu versorgen.

Um deutlich klarzustellen, dass es sich um ein privates Profil handelt – auch wenn man sich z.B. in diversen Gesprächsrunden über Businessthemen aus dem eigenen Tätigkeitsbereich unterhält – sollte man genau diesen Hinweis in die Bio aufnehmen: „Privates Profil“. Behalten wir einfach im Hinterkopf, dass Clubhouse aktuell noch keinen sicheren rechtlichen Rahmen für die Nutzung des Dienstes anbietet und planen die eigenen Aktivitäten und Inhalte entsprechend mit Vorsicht.

Wer sich trotz aller Gegenargumente dafür entscheidet, ein geschäftliches persönliches Profil oder ein Profil für ein Unternehmen anzulegen, sollte den Rahmen unbedingt so sicher wie möglich gestalten. Wichtig ist insbesondere die Angabe von Links zum Impressum und der Datenschutzerklärung des Unternehmens in der Bio – das gilt übrigens für alle geschäftlichen Social Media Profile. Die verlinkte Datenschutzerklärung sollte um einen Clubhouse-Passus erweitert werden, in dem auch detailliert auf die einzelnen datenschutzrechtlichen Herausforderungen bei der Nutzung eingegangen wird. Hier darf auf jeden Fall ein Datenschutz-Profi tätig werden, da diese Inhalte grundsätzlich nicht trivial sind.

An dieser Stelle sei nochmal darauf hingewiesen, dass eine rechtssichere geschäftliche Nutzung von Clubhouse aktuell aus unserer Sicht nicht möglich ist.

Zu guter Letzt noch ein Hinweis für alle Unternehmen, die eine Social-Media-Richtlinie auch für die private Nutzung von Diensten erstellt haben: diese sollte möglichst schnell auch um Hinweise zu Clubhouse ergänzt werden.

Disclaimer – in eigener Sache

Dieser Beitrag bietet keine abschließende Betrachtung aller rechtlichen Sachverhalte bezüglich der Nutzung von Clubhouse. Hier soll lediglich ein kurzer Überblick über die Kernfragen zum Datenschutz bei der Nutzung des Dienstes gegeben werden. Die gegebenen Hinweise sind allgemeine Empfehlungen. Zur Klärung der rechtlichen Anforderungen sind im konkreten Einzelfall tiefgreifendere Betrachtungen notwendig, die in Zusammenarbeit mit dem Rechtsexperten / Datenschutzexperten erarbeiten werden sollten.


zurück