Ist die gehypte App Clubhouse datenschutzkonform?
Um die Social-Media-App „Clubhouse“ ist im deutschsprachigen Raum ein wahrer Hype entbrannt. Neben Politikern geben sich Influencer, Journalisten und Start-up-Branchengrößen die Klinke in die Hand und veranstalten jeden Abend dutzende Talk-Runden. In der App, die derzeit nur für iOS-Geräte verfügbar ist, können Nutzer Gesprächen zu bestimmten Themen zuhören oder sich aktiv an Diskussionen beteiligen (hier geht es zum futurezone-Testbericht).
Wirtschaftskammer-Präsident Harald Mahrer nutzt Clubhouse bereits, Ministerin Elisabeth Köstinger ebenfalls und Thüringens Ministerpräsident Bodo Ramelow stolperte vor wenigen Tagen in einen kleinen Skandal, indem er die deutsche Bundeskanzlerin Angela Merkel in einem Clubhouse-Gespräch als „Merkelchen“ bezeichnete. Er musste sich öffentlich entschuldigen.
Telefonbuch-Daten
Insgesamt verwenden bereits rund zwei Millionen Menschen die App - und nur wenige von ihnen werden sich die Nutzungsbedingungen (AGB) und die Datenschutzerklärung bisher genauer angesehen haben. Dabei sitzen gerade hier die Probleme, denn die App ist „datenschutzrechtlich heikel“, wie es Experten ausdrücken. Wir haben uns bei zwei Datenschutz-Aktivisten und zwei Rechtsanwälten umgehört, ob die App datenschutzkonform ist.
Clubhouse fordert seine Nutzer etwa mehrfach und explizit dazu auf, ihr Telefonbuch mit der App zu teilen. Damit lassen sich „Schattenprofile“ über Menschen anlegen, die die App gar nicht nutzen - und dies auch möglicherweise nie vorhaben. „Wer andere Nutzer in die App einladen will, muss sein Adressbuch hochladen. Ähnlich wie bei WhatsApp gibt man damit dem Dienst Zugriff auf alle seine Kontakte auf dem Telefon, egal ob diese das wollen oder nicht“, sagt Thomas Lohninger, Datenschutzexperte bei epicenter.works, im Gespräch mit der futurezone.
Nur für private Zwecke
„Für den Zugriff der Daten braucht es eine Rechtsgrundlage und eine Zustimmung. Hier handelt es sich mit hoher Wahrscheinlichkeit um eine Rechtsverletzung, aber wir scheitern an der Durchsetzung“, betont Rechtsanwalt und Leiter der IT- und Datenschutzabteilung Axel Anderl von der Kanzlei DORDA gegenüber der futurezone. Auch Lukas Feiler, Datenschutz-Rechtsanwalt bei BakerMcKenzie, hält diese Praxis „in hohem Maße problematisch“: „Es ist auch völlig offen, warum das passiert.“
Private Clubhouse-Nutzer, die Telefondaten freigeben, machen sich allerdings nicht strafbar, wenn sie dies tun. Hier gilt die sogenannte „Haushaltsausnahme“, die eine derartige Praxis zu „privaten Zwecken“ erlaubt. Problematisch wird es allerdings, wenn auf dem Smartphone auch berufliche Kontakte vorhanden sind. „Anwälte oder Steuerberater verstoßen mit dieser App potenziell gegen ihre Verschwiegenheitsverpflichtung“, sagt Lohninger. „Auch Journalisten sollten die Kontaktdaten etwaiger Quellen nicht einfach aus der Hand geben.“ Wenn Firmen Clubhouse-Accounts anlegen und ihre Daten freigeben, ist dies ebenfalls heikel. Abhilfe schaffen hier Zweitgeräte oder ein Mobile Device Management System, das Kontaktdaten strikt trennt.
„Für den Zugriff der Daten braucht es eine Rechtsgrundlage und eine Zustimmung. Hier handelt es sich mit hoher Wahrscheinlichkeit um eine Rechtsverletzung, aber wir scheitern an der Durchsetzung."
Datenschutzerklärung
„Derzeit fehlen wichtige Informationen in der Datenschutzerklärung von Clubhouse, wie die Rechtsgrundlage der Verarbeitung, weshalb die Datenschutzerklärung an sich sicher nicht DSGVO-konform ist“, sagt Lohninger. Die App-Entwickler verweisen in ihren Bestimmungen einzig und allein auf „kalifornisches Recht“. „Grundsätzlich scheint Clubhouse die Meinung zu vertreten, noch nicht unter die DSGVO zu fallen“, meint Lohninger.
Laut Max Schrems, Datenschutzaktivist und Jurist bei noyb.eu, ist jedoch völlig klar, dass die App unter die Datenschutzgrundverordnung (DSGVO) fällt, sobald sie von Europäern genutzt wird. Das bestätigt auch Feiler: „Sobald ich einen Service für europäische Nutzer anbiete, egal wo auf der Welt ich eine Niederlassung habe, gilt die DSGVO.“
„Sobald ich einen Service für europäische Nutzer anbiete, egal wo auf der Welt ich eine Niederlassung habe, gilt die DSGVO.“
Auskunftsbegehren und Klagen
Doch welche Rechte haben Nutzer dann, wenn die App unter die DSGVO fällt? Europäische Clubhouse-User haben etwa das Recht, ein Auskunftsbegehren an die Betreiber, die Alpha Exploration Co. zu richten. Das Unternehmen muss binnen eines Monats bekannt geben, welche Daten die Firma über sie gespeichert hat. Sollten die App-Betreiber aus Kalifornien nicht antworten, wäre eine Klage möglich.
Anwalt Anderl meint jedoch: „Die App zeigt die faktischen Grenzen des europäischen Ansatzes der Regulierung im Bereich Datenschutz auf. Da der Anbieter der App nur in den USA sitzt ist die Durchsetzung der Bestimmungen faktisch unmöglich.“ Clubhouse ist daher eine rechtliche Grauzone. „Die aufkommende, boomende Plattform sitzt in den USA und es gibt kein Übereinkommen mit den USA für eine Vollstreckung einer etwaigen Entscheidung. Das zeigt sehr deutlich, in was für einer Blase wir leben, wenn wir glauben, mit der DSGVO sei alles geregelt“, sagt Anderl.
Feiler von BakerMcKenzie hält dem entgegen: „In nahezu allen Fällen halten sich internationale Anbieter an Urteile die in regionalen Märkten ergehen, in denen sie tätig sind, unabhängig davon, ob diese vollstreckt werden können. Ein internationaler Anbieter kann sich das nicht leisten, das Recht eines Staates, in dem er tätig ist, komplett zu ignorieren.“
"Pro Funktionalität, gegen Datenschutz"
Ein weiterer Bereich, der bei der Nutzung der App problematisch ist, ist jener, dass die Clubhouse-App alle Gespräche aufzeichnet. Wird während eines moderierten Talks ein Problem gemeldet, werden die Daten darüber hinaus gespeichert. Es ist allerdings völlig unklar, wer Zugriff auf die Gesprächsinhalte bekommt und wie lange die Daten dann eigentlich gespeichert bleiben. Hier hält sich das Unternehmen, von dem man bisher nur wenig weiß, vage.
Warum nutzen dennoch so viele prominente Menschen die App, wenn so vieles ungeregelt ist? Weil Menschen die Wahl „pro Funktionalität und gegen Datenschutz“ treffen, sagt Anderl. „Der User verwendet das Produkt, in diesem Fall eine gehypte, sexy App aus den USA dennoch.“ Wäre das Produkt aus Europa, könnte es sich hingegen diese Praxis nicht erlauben. "Der Anbieter mit Sitz in Europa ist effektiv an das strenge Datenschutzregime gebunden. Der Anbieter aus dem Ausland hält sich nicht daran und kann nicht sanktioniert werden. Der europäische Anbieter hat das Nachsehen,“ gibt Anderl zu bedenken.
Feiler rät Nutzern, die jetzt verunsichert sind: „Wenn man eine App nutzt, die das europäische Datenschutzrecht bisher nicht beachtet, sollte man sie nur dann nutzen, wenn man alle Daten, die man der App zur Verfügung stellt, auch sonst veröffentlichen würde.“