Clubhouse – Der neue Shootingstar?

Spätestens seit der Thüringer Ministerpräsident dafür bekannt wurde, bei Ministerpräsidentenkonferenzen das Handyspiel „Candycrush“ zu spielen, ist die App, über die er dies nebenbei bekannt gegeben hat, in aller Munde: „Clubhouse“. Die App gilt als der neue Shootingstar unter den sozialen Medien. Zeit also, die App unter die Datenschutzrechtliche Lupe zu nehmen.

Was ist Clubhouse eigentlich?

Die App Clubhouse wurde von zwei US-Amerikanern gegründet (inzwischen von: Alpha Exploration Co.), seit Februar 2020 verfügbar (in Deutschland allerdings erst seit Januar 2021 vermehrt genutzt) und bis heute –Stand Ende Februar 2021– im Beta-Stadium.

Clubhouse ist eine App, in denen ihre Nutzer in digitalen Räumen live miteinander diskutieren können. Auch ist es möglich, andere Nutzer lediglich zuhören zu lassen. Die App verzichtet auf Text- und Foto-Elemente, ist also eine reine Audioplattform.

Clubhouse ist zurzeit nur für IPhone-Nutzer verfügbar. Darüber hinaus ist die Nutzung der App an einen Einladungslink gekoppelt, den man von einem bereits registrierten Nutzer erhalten hat. Sobald man selbst bei Clubhouse ist, wird man dazu aufgefordert, seine Kontaktbuch des IPhone mit Clubhouse zu teilen, um ebenfalls zwei Einladungslinks versenden zu können.

Was ist problematisch?

Bei Clubhouse ist einiges noch unklar, anderes lässt sich mit dem heutigen Wissensstand jedoch bewerten:

1. Zugriff auf die Adressbuchkontakte

Der aktuell größte Problembereich von Clubhouse ist der eben erwähnte Zugriff seitens Clubhouse auf das Adressbuch seiner Nutzer, wenn dieser zustimmt. Die Personen im Adressbuch eines Clubhousenutzers werden weder durch Alpha Exploration Co. über die Datenerhebung informiert, noch wird ihre Einwilligung eingeholt.

Nicht nur, dass damit Informationspflichten nach Art. 12, 13, 14 DSGVO verletzt werden, es könnte auch an einer Rechtsgrundlage für die Verarbeitung der Daten von Personen, die nicht bei Clubhouse sind, fehlen. Nach der DSGVO ist eine rechtsgrundlose Verarbeitung verboten.

Ein Rechtsgrund könnte Art. 6 I 1 lit. a DSGVO, die Einwilligung des Betroffenen darstellen. Hier findet zwar die Einwilligung des Nutzers in die Verarbeitung des Adressbuches statt, jedoch ist der Betroffene eine Person aus dem Adressbuch. Sie hat nicht eingewilligt (da sie von der Verarbeitung nichts weiß, geht das auch gar nicht), und eine Einwilligung von Nutzern der App ersetzt nicht die nötige Einwilligung des Betroffenen. Somit liegt keine Einwilligung vor.

Ein weiterer Rechtsgrund könnte Art. 6 I 1 lit. b DSGVO, die für Vertragserfüllung notwendige Verarbeitung, sein. Art. 6 I 1 lit. b DSGVO verlangt jedoch, dass der Betroffene Vertragspartei ist, was hier ja gerade nicht der Fall ist. Somit ist eine Verarbeitung auch nach Art. 6 I 1 lit. b DSGVO nicht zulässig.

Ein weiterer Rechtsgrund könnte Art. 6 I 1 lit. f DSGVO, das berechtigte Interesse, sein. Dazu müsste zunächst seitens Clubhouse ein berechtigtes Interesse vorliegen, und zweitens Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Ersteres kann offenbleiben, wenn es an zweiterem fehlt. Da die Nicht-Clubhouse-Nutzer nicht einmal wissen, dass Ihre Daten genutzt werden und auch nicht damit rechnen können, überwiegt ihr Recht auf informationelle Selbstbestimmung des Einzelnen, egal, welches Interesse Clubhouse an der Nutzung hat. Somit stellt auch Art. 6 I 1 lit. f DSGVO keinen Rechtsgrund für eine Verarbeitung dar.

Die Verarbeitung der Daten aus dem Adressbuch seiner Nutzer ist für Clubhouse also nicht zulässig.

Diese Option ist darüber hinaus voreingestellt, was gegen das in Art. 25 DS-GVO formulierte Prinzip der datenschutzfreundlichen Voreinstellungen verstößt.

2. Mitschneiden der Audios

Ein weiterer Problematischer Aspekt, der jedoch hier nur kurz erwähnt werden soll, ist dass sie Gespräche in den Clubhouse-Rooms aufgezeichnet werden. Auch wenn aus der Datenschutzerklärung[1] hervorgeht, dass die Gespräche nur für die Dauer eines Talks (es sei denn, es geht eine Meldung ein) und nur von aktiven Gesprächsteilnehmern aufgezeichnet werden, bestehen bedenken, dass diese Audiodaten unrechtmäßigerweise weitergeleitet werden.[2]

3. Sitz in den USA

Da Alpha Exploration Co. in den USA sitzt, ergeben sich daraus ebenfalls zwei Probleme: Erstens hat Alpha Exploration Co. weder einen Sitz in der EU noch nach einem Vertreter in der EU bestimmt, wozu sie nach Art 27 I DSGVO verpflichtet wäre.

Auch sei für Unternehmen bei der Verwendung von Clubhouse zu Vorsicht geraten, da das Übermitteln von personenbezogenen Daten in die USA, wie jedes nur unter den besonderen Bestimmungen des Kapitels 5 der DSGVO zulässig ist und die USA nicht das gleiche Schutzniveau aufweist wie die EU[3]. Zu diesem Thema sei auf unser FAQ verwiesen: FAQ: Folgen des EuGH ‘Schrems II’ Urteils für die Praxis – ap-datenschutz (ap-datenschutz.de).

Fazit

Unabhängig von der Frage, ob es sinnvoll ist, einen Dienst zu nutzen, der sowohl –Stand Ende Februar 2021–Nicht-I-Phone-Besitzer und damit weniger wohlhabende Personen als auch etwa gehörlose Menschen ausgegrenzt[4], stellt sich also der neue Shootingstar bei genauerer Betrachtung datenschutzrechtlich eher als graue Maus heraus, die aktuell besser gemieden werden sollte.

[1] Privacy Policy (notion.so)

[2] Clubhouse: Ärger wegen Sicherheitslücken und Datentransfer nach China | heise online

[3] Siehe Schrems II Urteil.

[4] Clubhouse: “Wir Gehörlosen nehmen den Hörenden doch nichts weg” | ZEIT ONLINE