Clubhouse und Datenschutz – was Nutzer und Unternehmen wissen sollten

Der Hype um die Clubhouse-App ist riesig, die datenschutzrechtliche Situation hingegen ist zu hinterfragen. Das frisch aus den USA nach Europa importierte soziale Netzwerk verstößt in seiner jetzigen Form gleich gegen mehrere Rechtsprinzipien der Datenschutz-Grundverordnung (DS-GVO). Was das für die Nutzer der App und insbesondere für Unternehmen bedeutet, die auf den Trend aufspringen und über Clubhouse ihre Bekanntheit steigern oder Marketing-Leads generieren möchten? Die wichtigsten Aspekte und Antworten im Überblick. 

 

Das Wichtigste in Kürze 

  • Die Clubhouse-App rockt die Download-Charts, ist im Hinblick auf Datenschutz und Informationssicherheit aber bedenklich 
  • Die App verstößt gegen die Transparenz- und Informationspflichten gemäß DS-GVO (Art 12, 13 und 14) und gegen das Prinzip der datenschutzfreundlichen Voreinstellungen (Art. 25 DS-GVO) 
  • Der Anbieter nutzt Adressbuchdaten seiner Nutzer auchum widerrechtlich sogenannte Schattenprofile zu erstellen  
  • Eine datenschutzkonforme Nutzung der App durch Unternehmen wäre theoretisch denkbar und kann unter Beachtung einiger Maßnahmen gelingen 
  • Abmahnungen durch Verbraucherschützer bleiben rechtlich vorerst wirkungslos 

In diesem Beitrag 

Warum setzen viele junge US-Firmen europäische Datenschutzstandards nicht um?

US-Dokumentarfilme wie „Das Dilemma der sozialen Medien“ prangern Datenmissbrauch und Manipulation durch soziale Netzwerke an. Warum setzen US-Firmen wie der Anbieter der Clubhouse-App europäische Datenschutzstandards dennoch nicht um? 

Clubhouse ist da kein Einzelfall. Viele Messenger- und Kommunikations-Apps, die aus den USA zu uns rüberkommen, erfüllen europäische Transparenz- und Datenschutzstandards zunächst nicht. Warum sollten sie auch? In den USA gelten (noch) andere Regeln. Dort ist das Sammeln personenbezogener Daten in sehr viel größerem Umfang als hierzulande erlaubt und auch das Datenschutzbewusstsein der Nutzer weniger stark ausgeprägtAuch wenn sich eine Trendumkehr in ersten US-Bundesstaaten abzeichnetbleiben die Unterschiede zu Europa groß. Deshalb wird Clubhouse nicht der letzte Fall dieser Art sein.  

Als sich im Frühjahr 2020 die Zoom-App rasend schnell in Deutschland verbreitete, gab es ganz ähnliche Diskussionen. Mittlerweile hat Zoom im Datenschutz nachgebessert und auf Kritikpunkte der europäischen Datenschutzbehörden reagiert. Dies lässt ein Muster erkennen, das auf das hohe Wachstums- und Skalierungstempo von Apps wie Zoom oder Clubhouse zurückzuführen istAuf den Punkt gebracht hat es im Handelsblatt kürzlich der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar„Die gesamte Datenschutzarchitektur der App Clubhouse zeigt, dass der Dienst offenbar zu schnell gewachsen ist und den Anforderungen der DS-GVO nicht Rechnung trägt.“ 

Zentraler Kritikpunkt an der Clubhouse-App ist das automatische Zugreifen auf die Adressbuchkontakte der Nutzer. Was ist daran datenschutzrechtlich so bedenklich?

 
Wer Clubhouse installiertwird dazu angehalten, der App automatisch Zugriff auf alle Kontakte im eigenen Adressbuch zu geben. Die Kontakte werden darüber weder durch den App-Betreiber und üblicherweise auch nicht durch den jeweiligen Nutzer in Kenntnis gesetzt noch haben sie eingewilligt, dass ihre personenbezogenen Daten zur Verarbeitung an einen Dritten weitergegeben werden. Dies sind eindeutige Verstöße gegen die Transparenz- und Informationspflichten gemäß Art. 12, 13 und 14 der DS-GVO 

Hinzu kommt, dass die Clubhouse-App mit einer automatischen Synchronisation des Adressbuchs auch gegen das in Art. 25 DS-GVO formulierte Prinzip der datenschutzfreundlichen Voreinstellungen verstößt. Zwar haben Anwender die Möglichkeit, den automatischen Zugriff über die Einstellungen abzuwählen. Tun sie dies, können sie aber keine Einladungen mehr versenden und die App nur noch eingeschränkt nutzen.  

Datenschützer kritisieren, dass Clubhouse sogenannte Schattenprofile anlegt. Was ist damit gemeint und worin besteht das Problem? 

Es wurde geleakt, dass Clubhouse die automatisch ausgelesenen Daten nicht einfach nur irgendwo speichert. Vielmehr nutzt der App-Anbieter die oft rechtswidrig erhobenen Informationenum sie in Datenbanken einzuspeisen und Schattenprofile aufzubauen. Sprich: Mithilfe personenbezogener Daten werden Profile von Menschen angelegt, die gegebenenfalls in keinerlei Vertragsbeziehung mit Clubhouse stehen. Es werden Personen ermittelt, die noch nicht zum Anwenderkreis der App zählen, sehr wohl aber zur Zielgruppe von Clubhouse.  

Der App-Anbieter wertet also personenbezogene Daten aus, verarbeitet sie hochgradig und nutzt die gewonnenen Informationen, ohne dass die Menschen hinter den Daten davon etwas wissen. Für dieses Vorgehen gibt es keinerlei Rechtsgrundlagen und auch die DS-GVO Konformität ist hier zu hinterfragen. Clubhouse kann dieses Vorgehen weder mit dem Hinweis auf bestehende Vertragsverhältnisse begründen noch mit einem überwiegenden berechtigten Interesse. Es überwiegt ganz klar das berechtigte Interesse der Nicht-Kunden an einer Nichtnutzung ihrer personenbezogenen Daten durch Clubhouse 

SaaS DE-1

Datenschutz als Wettbewerbsvorteil

Wer es schafft, datenschutzrechtlich gut aufgestellt zu sein, kann einen echten Wettbewerbsvorteil haben. In unserem kostenlosen SaaS Whitepaper stellen wir Ihnen genau das vor. 

 

Die Gespräche in den Clubhouse-Rooms werden aufgezeichnet. Ist das rechtens? 

Aus datenschutzrechtlicher Sicht ist dies nur erlaubt, soweit eine Einwilligung vorliegt – und zwar von jedem einzelnen Gesprächsteilnehmer. Liegen diese Einwilligungen nicht vor, handelt es sich regelmäßig um unerlaubte Ton- und BildmitschnitteWer diese anfertigt, begeht nach deutschem Recht mitunter sogar eine Straftat.  

Wichtig zu wissen: Im Business-Umfeld – die DS-GVO gilt nämlich nicht im Privatkontext – kann es rechtlich zu weiteren Komplikationen kommen, wenn die App auf einem Mobiltelefon läuft, welches dem Arbeitgeber gehörtDieser wird dann rechtlich gegebenenfalls als Telekommunikationsanbieter eingestuft und unterliegt zusätzlich dem Fernmeldegeheimnis gemäß § 88 TKG (Telekommunikationsgesetz). 

Müssen Nutzer befürchten, dass in einem Clubhouse-Room getätigte Aussagen gegen sie verwendet werden könnten? 

Diese Befürchtung ist nicht unberechtigt. In Deutschland gab es ja bereits den ersten prominenten FallDer thüringische Ministerpräsident hatte bei Clubhouse gestanden, dass er bei Konferenzen mit dem Kanzleramt nicht immer bei der Sache ist. Kurz darauf war die Aussage in allen Medien. Wer hier was geleakt hat, ist völlig unklar. Aus der Datenschutzerklärung geht nicht hervor, was mit den Clubhouse-Aufzeichnungen passiertEin Problem, denn ihre Rechte können Nutzer am Ende nur effektiv wahrnehmen, wenn sie wissen, was mit ihren Daten passiert.  

Apropos Datenschutzerklärung: Bei Clubhouse gibt es diese bisher nur auf Englisch. Ein Problem? 

Laut DS-GVO muss jeder Nutzer die Möglichkeit haben, sich in transparenter und verständlicher Weise über die Datenschutz-Rahmenbedingungen zu informieren. Bei Clubhouse ist dies in mehrfacher Hinsicht nicht der Fall. Zum einen, weil hier nur eine englischsprachige Datenschutzerklärung einsehbar ist. Dies ist in Deutschland nach Ansicht der Datenschutzbehörden unzulässig. Zum anderen, weil Clubhouse in der Datenschutzerklärung die Vorgaben aus Art. 13 und 14 DS-GVO nicht oder nur unzureichend erfüllt. In den genannten Artikeln ist genau definiert, was in der Datenschutzerklärung stehen muss – unter anderem der Zweck und Umfang der Datenerhebung, wie die Daten gespeichert und verarbeitet werden, durch wen und wo. Wichtig und in diesem Fall ein weiteres ProblemEine Übermittlung in datenschutzrechtlich unsichere Drittstaaten ist ohne weitere Datenschutzmaßnahmen unzulässig. Als ein solcher Drittstaat gelten auch die USA.  

Gibt es für Unternehmen eine Möglichkeit, die App datenschutzkonform zu nutzen 

Ein Einsatz der Clubhouse-App im geschäftlichen Umfeld ist aus heutiger Sicht kritisch zu beurteilen und mit zahlreichen rechtlichen Herausforderungen verbunden. Theoretisch ließe sich eine datenschutzkonforme Nutzung aber durchaus realisieren – dies zeigt etwa der Vergleich mit dem Messenger-Dienst WhatsAppManche Datenschutzbehörden halten den Einsatz des Messenger-Dienstes durch Unternehmen unter bestimmten Voraussetzungen für datenschutzkonform. 

 

Clubhouse Infographic-1 (1)

 

Der Bundesverband der Verbraucherzentralen Deutschlands hat Clubhouse inzwischen abge-mahnt. Was bedeutet das für Nutzer und Unternehmen?  

Clubhouse ist ein amerikanisches Unternehmen ohne Tochtergesellschaften in Deutschland oder Europa. Rechtlich bleibt die erteilte Abmahnung daher wohl folgenlos. Deutsches Recht und europäische Datenschutzvorgaben lassen sich damit nicht ohne Weiteres durch deutsche Verbraucherschützer in den USA durchsetzen. Die Botschaft dürfte aber ankommen sein und könnte den Anbieter schon aus Vermarktungsgründen zum Umdenken bewegen.  

Auf längere Sicht könnte es im Anschluss an die Abmahnung auch zu einem Gerichtsurteil gegen Clubhouse kommen. Folgen wären beispielsweise, dass Apple den Vertrieb über den Apple Store – dieser wird von einer in Europa ansässigen Apple Tochter betrieben – untersagt, weil die App nicht DS-GVO-konform ist. Käme ein solches Urteil, könnten zudem Verbrauchschutzzentralen die Clubhouse-Nutzung durch Unternehmen entsprechend abmahnen und ein entsprechendes Bußgeld wäre die Folge. 

Sie haben weitere Fragen zum Datenschutz in der Clubhouse-App, zu allgemeinen Fragen rund um das Thema Datenschutz und DS-GVO oder suchen nach einem externen Datenschutzbeauftragten? Dann stehen unsere Experten Ihnen in einem kostenlosen Erstgespräch jederzeit gerne zur Verfügung.

Kostenlose Erstberatung vereinbaren

Über den Autor

Dr. Frank Schemmel Dr. Frank Schemmel
Dr. Frank Schemmel

Dr. Frank Schemmel, CIPP/E, CIPP/US, CIPM, CIPT, ist seit 2018 bei DataGuard in verschiedenen Managementpositionen tätig (zuletzt als Head of Privacy) und derzeit verantwortlich für die unternehmensweite inhaltliche und strategische Gestaltung sowie Optimierung der DataGuard Service Lines "Privacy" und "Compliance", einem hybriden Modell aus erstklassiger Beratung und Unterstützung durch selbstentwickelte, skalierbare Softwarelösungen. Als zertifizierter Datenschutzbeauftragter (TÜV) und Compliance Officer (Univ.) berät er zu allen Themen des Datenschutzes, der IT-Sicherheit und der allgemeinen Compliance. Vor seinem Wechsel zu DataGuard war er fünf Jahre für Allen & Overy LLP im Bereich Datenschutz und Arbeitsrecht als Berater und Legal Project Manager tätig. Er publiziert regelmäßig in einschlägigen Medien und gibt seine Erfahrung als Dozent an Hochschulen (u.a. Düsseldorf, Augsburg), Sprecher auf Konferenzen (u.a. euroforum Datenschutzkongress, bitkom Privacy Conference, IAPP Data Protection Intensive: Deutschland) und als Webinar-Host weiter.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren