Der Hype um die Clubhouse-App ist riesig, die datenschutzrechtliche Situation hingegen ist zu hinterfragen. Das frisch aus den USA nach Europa importierte soziale Netzwerk verstößt in seiner jetzigen Form gleich gegen mehrere Rechtsprinzipien der Datenschutz-Grundverordnung (DS-GVO). Was das für die Nutzer der App und insbesondere für Unternehmen bedeutet, die auf den Trend aufspringen und über Clubhouse ihre Bekanntheit steigern oder Marketing-Leads generieren möchten? Die wichtigsten Aspekte und Antworten im Überblick.
Das Wichtigste in Kürze
- Die Clubhouse-App rockt die Download-Charts, ist im Hinblick auf Datenschutz und Informationssicherheit aber bedenklich
- Die App verstößt gegen die Transparenz- und Informationspflichten gemäß DS-GVO (Art 12, 13 und 14) und gegen das Prinzip der datenschutzfreundlichen Voreinstellungen (Art. 25 DS-GVO)
- Der Anbieter nutzt Adressbuchdaten seiner Nutzer auch, um widerrechtlich sogenannte Schattenprofile zu erstellen
- Eine datenschutzkonforme Nutzung der App durch Unternehmen wäre theoretisch denkbar und kann unter Beachtung einiger Maßnahmen gelingen
- Abmahnungen durch Verbraucherschützer bleiben rechtlich vorerst wirkungslos
In diesem Beitrag
- Warum setzen viele junge US-Firmen europäische Datenschutzstandards nicht um?
- Zentraler Kritikpunkt an der Clubhouse-App ist das automatische Zugreifen auf die Adressbuchkontakte der Nutzer. Was ist daran datenschutzrechtlich so bedenklich?
- Datenschützer kritisieren, dass Clubhouse sogenannte Schattenprofile anlegt. Was ist damit gemeint und worin besteht das Problem?
- Die Gespräche in den Clubhouse-Rooms werden aufgezeichnet. Ist das rechtens?
- Müssen Nutzer befürchten, dass in einem Clubhouse-Room getätigte Aussagen gegen sie verwendet werden könnten?
- Apropos Datenschutzerklärung: Bei Clubhouse gibt es diese bisher nur auf Englisch. Ein Problem?
- Gibt es für Unternehmen eine Möglichkeit, die App datenschutzkonform zu nutzen?
- Datenschutzkonforme Clubhouse-Nutzung – 5 Empfehlungen an Unternehmen
- Der Bundesverband der Verbraucherzentralen Deutschlands hat Clubhouse inzwischen abgemahnt. Was bedeutet das für Nutzer und Unternehmen?
Warum setzen viele junge US-Firmen europäische Datenschutzstandards nicht um?
US-Dokumentarfilme wie „Das Dilemma der sozialen Medien“ prangern Datenmissbrauch und Manipulation durch soziale Netzwerke an. Warum setzen US-Firmen wie der Anbieter der Clubhouse-App europäische Datenschutzstandards dennoch nicht um?
Clubhouse ist da kein Einzelfall. Viele Messenger- und Kommunikations-Apps, die aus den USA zu uns rüberkommen, erfüllen europäische Transparenz- und Datenschutzstandards zunächst nicht. Warum sollten sie auch? In den USA gelten (noch) andere Regeln. Dort ist das Sammeln personenbezogener Daten in sehr viel größerem Umfang als hierzulande erlaubt und auch das Datenschutzbewusstsein der Nutzer weniger stark ausgeprägt. Auch wenn sich eine Trendumkehr in ersten US-Bundesstaaten abzeichnet, bleiben die Unterschiede zu Europa groß. Deshalb wird Clubhouse nicht der letzte Fall dieser Art sein.
Als sich im Frühjahr 2020 die Zoom-App rasend schnell in Deutschland verbreitete, gab es ganz ähnliche Diskussionen. Mittlerweile hat Zoom im Datenschutz nachgebessert und auf Kritikpunkte der europäischen Datenschutzbehörden reagiert. Dies lässt ein Muster erkennen, das auf das hohe Wachstums- und Skalierungstempo von Apps wie Zoom oder Clubhouse zurückzuführen ist. Auf den Punkt gebracht hat es im Handelsblatt kürzlich der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar: „Die gesamte Datenschutzarchitektur der App Clubhouse zeigt, dass der Dienst offenbar zu schnell gewachsen ist und den Anforderungen der DS-GVO nicht Rechnung trägt.“
Zentraler Kritikpunkt an der Clubhouse-App ist das automatische Zugreifen auf die Adressbuchkontakte der Nutzer. Was ist daran datenschutzrechtlich so bedenklich?
Wer Clubhouse installiert, wird dazu angehalten, der App automatisch Zugriff auf alle Kontakte im eigenen Adressbuch zu geben. Die Kontakte werden darüber weder durch den App-Betreiber und üblicherweise auch nicht durch den jeweiligen Nutzer in Kenntnis gesetzt noch haben sie eingewilligt, dass ihre personenbezogenen Daten zur Verarbeitung an einen Dritten weitergegeben werden. Dies sind eindeutige Verstöße gegen die Transparenz- und Informationspflichten gemäß Art. 12, 13 und 14 der DS-GVO.
Hinzu kommt, dass die Clubhouse-App mit einer automatischen Synchronisation des Adressbuchs auch gegen das in Art. 25 DS-GVO formulierte Prinzip der datenschutzfreundlichen Voreinstellungen verstößt. Zwar haben Anwender die Möglichkeit, den automatischen Zugriff über die Einstellungen abzuwählen. Tun sie dies, können sie aber keine Einladungen mehr versenden und die App nur noch eingeschränkt nutzen.
Datenschützer kritisieren, dass Clubhouse sogenannte Schattenprofile anlegt. Was ist damit gemeint und worin besteht das Problem?
Es wurde geleakt, dass Clubhouse die automatisch ausgelesenen Daten nicht einfach nur irgendwo speichert. Vielmehr nutzt der App-Anbieter die oft rechtswidrig erhobenen Informationen, um sie in Datenbanken einzuspeisen und Schattenprofile aufzubauen. Sprich: Mithilfe personenbezogener Daten werden Profile von Menschen angelegt, die gegebenenfalls in keinerlei Vertragsbeziehung mit Clubhouse stehen. Es werden Personen ermittelt, die noch nicht zum Anwenderkreis der App zählen, sehr wohl aber zur Zielgruppe von Clubhouse.
Der App-Anbieter wertet also personenbezogene Daten aus, verarbeitet sie hochgradig und nutzt die gewonnenen Informationen, ohne dass die Menschen hinter den Daten davon etwas wissen. Für dieses Vorgehen gibt es keinerlei Rechtsgrundlagen und auch die DS-GVO Konformität ist hier zu hinterfragen. Clubhouse kann dieses Vorgehen weder mit dem Hinweis auf bestehende Vertragsverhältnisse begründen noch mit einem überwiegenden berechtigten Interesse. Es überwiegt ganz klar das berechtigte Interesse der Nicht-Kunden an einer Nichtnutzung ihrer personenbezogenen Daten durch Clubhouse.
Datenschutz als Wettbewerbsvorteil
Wer es schafft, datenschutzrechtlich gut aufgestellt zu sein, kann einen echten Wettbewerbsvorteil haben. In unserem kostenlosen SaaS Whitepaper stellen wir Ihnen genau das vor.
Die Gespräche in den Clubhouse-Rooms werden aufgezeichnet. Ist das rechtens?
Aus datenschutzrechtlicher Sicht ist dies nur erlaubt, soweit eine Einwilligung vorliegt – und zwar von jedem einzelnen Gesprächsteilnehmer. Liegen diese Einwilligungen nicht vor, handelt es sich regelmäßig um unerlaubte Ton- und Bildmitschnitte. Wer diese anfertigt, begeht nach deutschem Recht mitunter sogar eine Straftat.
Wichtig zu wissen: Im Business-Umfeld – die DS-GVO gilt nämlich nicht im Privatkontext – kann es rechtlich zu weiteren Komplikationen kommen, wenn die App auf einem Mobiltelefon läuft, welches dem Arbeitgeber gehört. Dieser wird dann rechtlich gegebenenfalls als Telekommunikationsanbieter eingestuft und unterliegt zusätzlich dem Fernmeldegeheimnis gemäß § 88 TKG (Telekommunikationsgesetz).
Müssen Nutzer befürchten, dass in einem Clubhouse-Room getätigte Aussagen gegen sie verwendet werden könnten?
Diese Befürchtung ist nicht unberechtigt. In Deutschland gab es ja bereits den ersten prominenten Fall. Der thüringische Ministerpräsident hatte bei Clubhouse gestanden, dass er bei Konferenzen mit dem Kanzleramt nicht immer bei der Sache ist. Kurz darauf war die Aussage in allen Medien. Wer hier was geleakt hat, ist völlig unklar. Aus der Datenschutzerklärung geht nicht hervor, was mit den Clubhouse-Aufzeichnungen passiert. Ein Problem, denn ihre Rechte können Nutzer am Ende nur effektiv wahrnehmen, wenn sie wissen, was mit ihren Daten passiert.
Apropos Datenschutzerklärung: Bei Clubhouse gibt es diese bisher nur auf Englisch. Ein Problem?
Laut DS-GVO muss jeder Nutzer die Möglichkeit haben, sich in transparenter und verständlicher Weise über die Datenschutz-Rahmenbedingungen zu informieren. Bei Clubhouse ist dies in mehrfacher Hinsicht nicht der Fall. Zum einen, weil hier nur eine englischsprachige Datenschutzerklärung einsehbar ist. Dies ist in Deutschland nach Ansicht der Datenschutzbehörden unzulässig. Zum anderen, weil Clubhouse in der Datenschutzerklärung die Vorgaben aus Art. 13 und 14 DS-GVO nicht oder nur unzureichend erfüllt. In den genannten Artikeln ist genau definiert, was in der Datenschutzerklärung stehen muss – unter anderem der Zweck und Umfang der Datenerhebung, wie die Daten gespeichert und verarbeitet werden, durch wen und wo. Wichtig und in diesem Fall ein weiteres Problem: Eine Übermittlung in datenschutzrechtlich unsichere Drittstaaten ist ohne weitere Datenschutzmaßnahmen unzulässig. Als ein solcher Drittstaat gelten auch die USA.
Gibt es für Unternehmen eine Möglichkeit, die App datenschutzkonform zu nutzen?
Ein Einsatz der Clubhouse-App im geschäftlichen Umfeld ist aus heutiger Sicht kritisch zu beurteilen und mit zahlreichen rechtlichen Herausforderungen verbunden. Theoretisch ließe sich eine datenschutzkonforme Nutzung aber durchaus realisieren – dies zeigt etwa der Vergleich mit dem Messenger-Dienst WhatsApp. Manche Datenschutzbehörden halten den Einsatz des Messenger-Dienstes durch Unternehmen unter bestimmten Voraussetzungen für datenschutzkonform.
Der Bundesverband der Verbraucherzentralen Deutschlands hat Clubhouse inzwischen abge-mahnt. Was bedeutet das für Nutzer und Unternehmen?
Clubhouse ist ein amerikanisches Unternehmen ohne Tochtergesellschaften in Deutschland oder Europa. Rechtlich bleibt die erteilte Abmahnung daher wohl folgenlos. Deutsches Recht und europäische Datenschutzvorgaben lassen sich damit nicht ohne Weiteres durch deutsche Verbraucherschützer in den USA durchsetzen. Die Botschaft dürfte aber ankommen sein und könnte den Anbieter schon aus Vermarktungsgründen zum Umdenken bewegen.
Auf längere Sicht könnte es im Anschluss an die Abmahnung auch zu einem Gerichtsurteil gegen Clubhouse kommen. Folgen wären beispielsweise, dass Apple den Vertrieb über den Apple Store – dieser wird von einer in Europa ansässigen Apple Tochter betrieben – untersagt, weil die App nicht DS-GVO-konform ist. Käme ein solches Urteil, könnten zudem Verbrauchschutzzentralen die Clubhouse-Nutzung durch Unternehmen entsprechend abmahnen und ein entsprechendes Bußgeld wäre die Folge.
Sie haben weitere Fragen zum Datenschutz in der Clubhouse-App, zu allgemeinen Fragen rund um das Thema Datenschutz und DS-GVO oder suchen nach einem externen Datenschutzbeauftragten? Dann stehen unsere Experten Ihnen in einem kostenlosen Erstgespräch jederzeit gerne zur Verfügung.