So unfassbar viel weiß Clubhouse über mich
Dieser Artikel ist älter als ein Jahr!
Wer erinnert sich noch an die Audio-App Clubhouse? Als viele von uns während der Pandemie zu Hause saßen, erlebte sie einen regelrechten Hype im deutschsprachigen Raum. Viele Medien, Journalist*innen, Kulturschaffende, Autor*innen, und Social-Media-Nutzer*innen haben einen Blick reingeworfen, selbst Talks gehostet, oder die App zumindest aktiv ausprobiert.
Viele waren begeistert, doch dann begann der Hype abzuflauen. Außerdem wurde bekannt, dass Twitter mit Spaces kurz danach ein Konkurrenzprodukt rausbringen sollte. Für viele war es bequemer, auf der bereits bekannten Plattform zu bleiben, als dauerhaft zu einer neuen zu wechseln. Als die App, die es zuvor nur für iPhone-Besitzer*innen gab, dann letztendlich im Mai auf Android rauskam, krähte in Österreich kaum ein Hahn mehr danach.
Daten nach 1,5 Jahren erhalten nach Behördenurteil
Doch bis dahin hat Clubhouse Daten von Nutzer*innen gesammelt. Alle, die sich einmal einen Account angelegt und den Dienst ausprobiert oderlänger genutzt haben, haben dem US-Dienst Daten über sich gegeben. Ich habe im Jänner 2021 ein Auskunftsbegehren bei Clubhouse eingebracht, um rauszufinden, was der Dienst alles über mich weiß.
Jetzt - 1,5 Jahre später - weiß ich es. Ich habe da nämlich einen Prozess gewonnen: Mehr dazu lest ihr hier. Clubhouse hat mir meinen Datensatz geschickt und genau erklärt, was für Daten gesammelt und gespeichert werden, und welche nicht.
Am 14. Juni 2022 gegen 20 Uhr erreichte mich ein Mail von Clubhouse mit einem .ZIP-File mit meinen Daten, das 492.689 Byte groß war. Der Datensatz besteht dabei aus 2 .jpg-Bilddateien mit meinen hochgeladenen Fotos in unterschiedlichen Formaten, jeder Menge .json-Files - und - keinen Audiodateien. Das liegt daran, dass Clubhouse in meinem Fall keine Audio-Dateien gespeichert hat. Clubhouse zeichnet Talks zwar temporär auf, aber speichert diese Daten laut Eigenangaben nur dann, wenn es zu einer Trust & Safety Verletzung kommt. Bei den Talks, bei denen ich dabei war, scheint es keine derartige Verletzung gegeben zu haben.
Unfassbar viel steht bereits in den Profildaten
Doch nun zu jenen Daten, die ich erhalten habe: Unter anderem speichert Clubhouse etwa mein Profil. Das beinhaltet nicht nur meinen Userinnennamen, meine Telefonnummer und meine E-Mail-Adresse, also die Daten, mit denen ich mich angemeldet hatte, sondern viele mehr. So ist in dem Datensatz auch meine Bio gespeichert, wie oft ich diese verändert habe, wie oft ich mein Alias geändert habe, wer mich als User*in eingeladen hat, ob ich jemals auf der „Warteliste“ für Einladungen gestanden bin, ob mein Account schon einmal suspendiert worden ist, Datum und Uhrzeit wann ich meinen Account angelegt hatte, aus welcher Stadt ich stamme und aus welchem Land, wie meine Tastatur eingestellt ist, was für eine Sprache ich eingestellt habe, wann ich zum letzten Mal auf Clubhouse aktiv war, welche Version der App ich installiert habe, wie oft ich meinen Namen geändert habe, ob ich Benachrichtigungen zugelassen habe oder nicht, wie mein Emoji-Hautfarbton eingestellt ist, wann ich zuletzt aktiv war und in welcher Zeitzone ich mich befinde. Das ist bereits eine ganze Menge.
Als Nächstes wird mir die Liste derjenigen Accounts angezeigt, denen ich folge. Das sind 355 Accounts. Mir folgen 405 Accounts. 13 Accounts bin ich wieder entfolgt, mir ist offenbar niemand entfolgt. Die Nicknames werden allerdings nicht im Klartext angezeigt, sondern sind mit Sternchen anonymisiert. Clubhouse hat auch die Namen derjenigen gespeichert, denen ich Einladungen geschickt habe. Hier wurden die Namen der User*innen ebenfalls anonymisiert, aber auch die genaue Uhrzeit gespeichert, wann die Einladungen versandt worden sind. Gespeichert wird auch, wie viele User*innen man geblockt hat. In meinem Fall waren das 0.
Was über die Clubs und Räume bekannt ist, die man besucht hat
Dann wird es wieder spannend: Clubhouse hat natürlich gespeichert, ob und wieviele Clubs man selbst kreiert hat. Bei mir war das keiner, aber ich bin bei zahlreichen Clubs Mitglied. Dazu wurde etwa gespeichert, wer mich wann eingeladen hat, wie der Club heißt, und wann der Club gestartet und zum letzten Mal upgedatet wurde. Clubs, denen ich beigetreten bin, sind etwa NaNoWriMo Club (für Autor*innen), Tech Talks, Science Fiction Talk, Literaturclub und Talk Nerdy To Me.
Neben den Clubs gibt es einen eigenen Folder für Events, die man kreiert oder gehostet hat. Dieser ist bei mir bei 0. Als Nächstes spuckt der Datensatz eine Liste von allen Clubhouse-Räumen aus, die man selbst kreiert oder denen man beigetreten ist, mit einigen Metadaten darüber, wie man in diesen Räumen partizipiert hat. Dazu gibt es 2 Datensätze: Raum-Aktivität und Raum-Handlungen. Unter Raum-Handlungen befinden sich alle „Pings“, die man bekommen oder gesendet hat, um bestimmten Räumen beizutreten mit genauer Uhrzeit, dem genauen Raumnamen, wer den Ping gesendet hat (wieder anonymisiert), wie das Profilfoto zu dieser Zeit ausgesehen hat und ob man dem Profil davor bereits gefolgt ist.
Spannender ist die zweite Datei mit der Aktivität. Darin ist nämlich gespeichert, welche Räume man selbst angelegt hat, ob diese privat waren oder öffentlich, wann sie gestartet sind und wann geendet. Dann gibt es eine Liste von Räumen, denen man beigetreten ist inklusive dem Namen des Raums, ob privat oder öffentlich, den Namen des Events, wieviele Profile in dem Raum einem zu dem Zeitpunkt bereits gefolgt sind, wieviele Profile man selbst zu diesem Zeitpunkt bereits gefolgt ist, ob man Speaker*innen gefolgt ist, wenn man den Raum wieder verlassen hat, ob man selbst als Speaker*in eingeladen wurde und ob man diese Einladung angenommen hat oder nicht, wann man dem Raum beigetreten ist und wann man ihn wieder verlassen hat.
Interessen, Lieblingszeit und Profiling
Clubhouse weiß also jetzt, 1,5 Jahre später, noch immer dass ich am 21.1.2021 um 10:06 Uhr einen Raum mit dem Namen „Corona und die Digitalisierung“ betreten habe und diesen um 10:07 Uhr bereits wieder verlassen habe. Conclusio: Er dürfte also nicht wahnsinnig spannend gewesen sein. „Auf welche Technologien wir alle warten“ war da offenbar schon spannender, denn in dem Raum hielt ich es am selben Tag deutlich länger aus.
Damit wurde eine Frage beantwortet, die ich mir gestellt hatte: Clubhouse weiß, wann ich mich wie lange um welche Uhrzeit in welchen Räumen aufgehalten habe. Die App-Anbieter*innen wissen damit auch, was meine Interessen sind. Dadurch, dass auch immer gespeichert wird, wer einen wohin eingeladen hat und welcher Einladung man gefolgt ist, weiß das US-Tech-Start-up auch Bescheid über mein Netzwerk. Etwa, welche Einladungen von wem ich zu welcher Uhrzeit interessant fand. Daraus lässt sich ein hübsches Profil basteln.
Gespeichert wird auch noch einmal extra, ob ich Benachrichtigungen erlaubt habe und welche ich davon angeklickt habe und welche nicht. Auch gespeichert ist, ob ich Zahlungen versendet oder empfangen habe - eine Funktion, die ich nie genutzt hatte. Clubhouse speichert außerdem die IP-Adresse, allerdings ist mein File leer. Dabei steht, dass diese nur für den vorherigen Monat gespeichert wird. Warum das genau so gemacht wird, steht nicht als Erklärung dabei.
Twitter-IDs von allen Follower*innen
Hat man seine Social-Media-Account-Daten mit Clubhouse verknüpft, also etwa Twitter oder Instagram, werden von Clubhouse die Zahl der Twitter-Follower*innen sowie alle Account-IDs gespeichert, die mir folgen. Gespeichert wird außerdem meine eigene Twitter-ID, ob mein Twitter-Profil verifiziert ist sowie mein Userinnen-Name. Es sind insgesamt 8.246 Account IDs von Twitter-Nutzer*innen in meinem Datensatz aufgelistet. Instagram habe ich offenbar nicht verknüpft gehabt. Das ist beeindruckend, weil man mit Account-IDs sehr viel anfangen kann, wenn es ums Profiling geht. Da sind Account-IDs oft wertvoller als die Namen oder Nicknames und damit lassen sich „Schattenprofile“ anlegen von Menschen, die Clubhouse selbst gar nicht nutzen.
Aproprops Schattenprofile: Clubhouse forderte seine Nutzer*innen Anfang Jänner 2021 mehrfach und explizit dazu auf, ihr Telefonbuch mit der App zu teilen. Auch damit lassen sich „Schattenprofile“ über Menschen anlegen, die die App gar nicht nutzen und dies möglicherweise nie vorhaben. Wer andere Nutzer*innen einladen wollte, hat Clubhouse den Zugriff auf all seine Kontakte auf dem Telefon gegeben.
Gehashte Kontaktdaten
Auch diesen Datensatz bekam ich von Clubhouse und stellte fest: Er wurde gehasht und nicht im Klartext gespeichert. Hashing bezeichnet die Umwandlung einer Zeichenfolge in einen numerischen Wert oder Schlüssel mit fester Länge. „P.zqzbpAgr04o3HPLEzm6z2bjA/ueqZDqyv3z6jmLpjF4=" heißt etwa einer der Kontakte. Ich bekam also nicht etwa mein gesamtes Telefonbuch, das ich freigegeben hatte, zurückgeschickt. Gespeichert wurde von Clubhouse aber, wann der Kontaktdatensatz zum ersten und zum letzten Mal hochgeladen wurde. Dabei lässt sich feststellen, dass dies offenbar mehrfach synchronisiert wird, denn mein Datensatz wurde am 13.6.2022 noch einmal hochgeladen.
Dazu möchte ich noch aus Quellenschutz-Gründen anmerken, dass ich als Journalistin Clubhouse natürlich nicht mit meinen „Erst-Telefon“, auf dem auch berufliche Kontakte und Kontakte zu Informat*innen gespeichert sind, genutzt habe. Während sich private Clubhouse-Nutzer*innen, die Telefondaten freigeben, nicht strafbar machen, könnte die Kontaktdatenfreigabe bei Journalist*innen und Rechtsanwält*innen nämlich durchaus zu rechtlichen Problemen führen, auch wenn diese, wie jetzt durch meinen Datensatz bekannt wird, von Clubhouse gehasht gespeichert werden.
Conclusio und Auskunftsbegehren
Alles in allem ist zum Clubhouse-Datensatz zu sagen, dass das Audio-Netzwerk zwar offenbar meine Audiodaten nicht speichert (und nutzt), aber alleine beim Ausprobieren der App einen wahren Datenschatz über mich und mein Nutzer*innenverhalten sowie meine Interessen gesammelt hat.
Wenn ihr selbst auch eure Daten bekommen möchtet, könnt ihr jederzeit ein Auskunftsbegehren bei Clubhouse stellen - jetzt wird es vermutlich keine 1,5 Jahre mehr dauern, bis ihr eure eigenen Daten bekommt. Als EU-Bürger*innen habt ihr laut Datenschutzgrundverordnung (DSGVO) ein Recht auf Auskunft - und es hat nichts mit Aktivismus zu tun, dieses Recht auch einzufordern.
Kommentare