Clubhouse und die DSGVO
Hype-App: Viele wollen rein, doch um welchen Preis?
von Karin Selzer, Consultant für Compliance & Datenschutz bei der SAVISCON GmbH
Haben Sie schon von Clubhouse gehört? Bei der kostenlosen App handelt es sich um eine neue Social-Media-Plattform, die ausschließlich die Audio-Kommunikation zulässt – keine Videos, keine Fotos, keine Textnachrichten, nur Ton. Die App der US-Firma Alpha Exploration Co. Inc. gibt es aktuell ausschließlich im App-Store für iPhone-Nutzer. Der Zugang ist nur mit einer Einladung von Freunden möglich, die diese App bereits nutzen. Ist man dann mal drin, können verschiedene virtuelle Räume besucht werden, in denen dann über diverse Themen gesprochen wird. Ähnlich einer Telefonkonferenz oder einem Podcast. Viele bekannte Persönlichkeiten sind schon drin: Thomas Gottschalk, Joko Winterscheidt, Mario Götze und Ashton Kutscher. Klingt erstmal total hip und cool. Passt gut in die aktuelle Lockdown-Zeit. Oder? Bestimmt! Doch der neue Social-Media-Hype ist datenschutzrechtlich sehr heikel:
Übertragung des Adressbuches
Das eigene Adressbuch wird an Clubhouse übertragen, wenn man das Einverständnis dazu gibt. Das ist zwar nicht verpflichtend, aber eigentlich notwendig, um die App in vollem Umfang nutzen zu können. Ohne Adressbuchfreigabe hat man z. B. keine Einladungsoption. Stimmt man der Übertragung des Adressbuches zu, findet diese aber ohne Zustimmung der betroffenen Personen statt, d.h. bei jedem einzelnen Kontakt müsste vorab eine Zustimmung eingeholt werden. Da dies nicht passiert, liegt hier ein Verstoß gegen die Rechtmäßigkeit der Verarbeitung vor (Art. 6 DSGVO). Zudem auch ein Verstoß gegen Art. 14 DSGVO: der Verantwortliche hat eine Informationspflicht gegenüber der betroffenen Person. Auch dieser kommen die Betreiber von Clubhouse nicht nach.
Speicherung diverser Daten
Die Audiobeiträge werden temporär aufgezeichnet. Laut Clubhouse, um bei Verstößen/Beschwerden reagieren zu können. Außerdem werden weitere Daten gesammelt, wie z. B. Interessen an den unterschiedlichen Themen/Beiträgen, Ortsdaten, Interaktionen mit anderen App-Nutzern. Die Speicherung der Beiträge und der sonstigen Daten sind aber zur Nutzung der App nicht wirklich notwendig und dies widerspricht den Grundsätzen für die Verarbeitung personenbezogener Daten (Art. 5 Abs. 1b DSGVO „Zweckbindung“ und Art. 5 Abs. 1c DSGVO „Datenminimierung“).
Fehlende Transparenz
Aus den Nutzungsbedingungen und aus der Datenschutzerklärung geht nicht hervor, inwieweit und zu welchen konkreten Zwecken die personenbezogenen Daten von Clubhouse genutzt werden. Die Art und der Umfang der Verwendung sind wenig transparent und unklar. Gemäß Art. 12 DSGVO ist der Verantwortliche aber verpflichtet, alle Informationen gemäß den Artikeln 13 und 14 und allen Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34 in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Dokumente sind nur in englischer Sprache vorhanden, was demnach nicht DSGVO-konform ist, denn sie müssten auch in deutscher Sprache zur Verfügung gestellt werden. Zwischenzeitlich hat das Unternehmen zumindest den Anfang der Datenschutzerklärung ins Deutsche übersetzt, aber ab den Internetaktivitätsdaten sind die Inhalte wieder nur in Englisch verfügbar (Stand 09.02.2021). Aufgrund der sehr allgemein gehaltenen Angaben gehe ich davon aus, dass sämtliche personenbezogene Daten der Nutzer auch umfassend für Marketingzwecke genutzt sowie an Dritte weitergegeben werden.
Hat Clubhouse Zukunft?
Es bleibt abzuwarten, ob der Hype rund um die App Clubhouse bestehen bleibt und vor allem, ob das Unternehmen die datenschutzrechtlichen Mängel zeitnah ausmerzen wird – angekündigt haben sie es jedenfalls. Was meinen Sie: Sollten Apps, die gegen die DSGVO verstoßen, überhaupt in deutschen App-Stores erhältlich sein? Diskutieren Sie mit uns in den Kommentaren, wir sind gespannt auf Ihre Meinung!
Über die Autorin:
Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de