Datenkrake „Clubhouse“? – Neue US-App im Fokus der Datenschützer
Datenschützer kritisierten die Betreiber der US-App „Clubhouse“ unlängst für den Umgang mit personenbezogenen Nutzerdaten sowie den Daten von – die App nicht nutzenden – Dritten. Bereits Ende Januar hat der Bundesverband deutscher Verbrauchzentralen (VZBV) die App-Betreiber wegen „gravierender Mängel“ beim Datenschutz abgemahnt und zur Abgabe einer strafbewehrten Unterlassungserklärung aufgefordert. Auch die Stiftung Warentest hat in ihrem Datenschutz-Check der „Clubhouse“-App Anfang Februar mehrere Datenschutzverstöße festgestellt.
Hintergrund
„Clubhouse“ ist aktuell in aller Munde und erfreut sich rasant wachsender Beliebtheit. Die App ermöglicht es ihren Nutzern, Gesprächen ähnlich eines Live-Podcasts zu lauschen und sich aktiv an Diskussionen zu beteiligen. Doch um welchen Preis?
Kritisiert wird insbesondere, dass die Adressbücher in den Endgeräten derjenigen Nutzer, die andere Personen zur Nutzung der App einladen, automatisch ausgelesen und die ermittelten Daten auf den US-Servern der App-Betreiber gespeichert werden. Hierdurch gelangen die Kontaktdaten einer Vielzahl von Personen ohne deren Kenntnis und unabhängig davon, ob sie die App selbst nutzen, in die Hände der App-Betreiber, wo sie u.a. zu Werbezwecken und für Kontaktanfragen verwendet werden können (Clubhouse Privacy Policy, Nr. 2 und Nr. 3). „Clubhouse“ fertigt zudem Mitschnitte der in den Meetings geführten Gespräche an und speichert diese – zur Verfolgung von Missbrauch – zumindest vorübergehend.
Doch ist die Kritik der Datenschützer gerechtfertigt?
Umfassende Informationspflichten: ungenügend.
Aus dem datenschutzrechtlichen Grundsatz der Transparenz folgt, dass betroffene Personen – unabhängig davon, ob die Datenerhebung bei ihnen selbst oder einem Dritten erfolgt – von dem für die Verarbeitung Verantwortlichen leicht zugänglich und in verständlicher, klarer und einfacher Sprache über die Verarbeitung ihrer personenbezogenen Daten informiert werden müssen (Art. 5 Abs. 1 lit. a, 12, 13, 14 DSGVO). Betroffene sollen so die Möglichkeit erhalten, die Verarbeitung ihrer personenbezogenen Daten, insbesondere deren Zweck, nachvollziehen zu können. Dabei ist im Hinblick auf die aktuelle Clubhouse Privacy Policy insbesondere zu monieren, dass sie nur lückenhafte Angaben zur Speicherdauer und zur Rechtsgrundlage der jeweiligen Verarbeitung enthält. Zudem werden europäische Nutzer nicht über die Ihnen zustehenden Rechte aufgeklärt. Das betrifft insbesondere diejenigen Betroffenen, die die App nicht nutzen, deren Kontaktdaten jedoch über das Adressbuch eines Nutzers ausgelesen und, wie Medienberichten zu entnehmen ist, als sog. „Schattenprofile“ auf den „Clubhouse“-Servern gespeichert werden.
Zugriff auf das Adressbuch der Nutzer: unberechtigt.
Damit Nutzer eine Einladung verschicken können, müssen sie der App Zugriff auf das Adressbuch ihres Smartphones einräumen. Sofern die hierdurch an „Clubhouse“ übermittelten Daten in den o.g. Schattenprofilen gespeicherten werden, lässt sich dies aus datenschutzrechtlicher Sicht schwerlich auf eine hierzu erforderliche Rechtsgrundlage stützen. Ein überwiegendes berechtigtes Interesse (Art. 6 Abs. 1 S. 1 lit. f DSGVO) der App-Betreiber an einer Verarbeitung von Nicht-Nutzerdaten wird sich kaum begründen lassen. Verknüpfen Nutzer „Clubhouse“ mit ihren Twitter- oder Instagram-Konten, so erfolgt zudem eine weitreichende Nutzung der auf den jeweiligen Konten hinterlegten Kontaktdaten bzw. Profilinformationen (Clubhouse Privacy Policy, Nr. 1). Diese Nutzung lässt sich im Einzelnen jedoch nicht nachvollziehen.
Gesprächsmitschnitte: Weniger kritisch.
Das Mitschneiden von Gesprächen erfolgt, nach Angaben in der Clubhouse Privacy Policy, nur zum Zweck der Aufklärung eventueller Verstöße gegen die Nutzungsbedingungen, wobei Daten von stummgeschalteten Nutzern oder dem Publikum in keinem Fall aufgezeichnet werden. Eine Speicherung über die Dauer des Meetings hinaus findet dabei nur statt, wenn entsprechende Verstöße während des Meetings gemeldet werden (Clubhouse Privacy Policy, Nr.1). Die Verarbeitung der Mitschnitte erfolgt insoweit also stark zweckgebunden zur Dokumentation und Verfolgung von Vertragsverstößen im Verhältnis zwischen „Clubhouse“ und dem jeweiligen Nutzer. Vor diesem Hintergrund scheint die kurzfristige Audioaufzeichnung unter Datenschutzgesichtspunkten deutlich weniger kritisch.
Transfer personenbezogener Daten in die USA: kritisch.
Daneben weist „Clubhouse“ seine Nutzer nur pauschal darauf hin, dass mit der Nutzung von „Clubhouse“ eine Übermittlung personenbezogener Daten in die USA einhergeht (Clubhouse Privacy Policy, Nr. 10). Dieser unspezifische, banale Hinweis dürfte jedoch nicht den Anforderungen an eine wirksame, insbesondere eine ausdrückliche, Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a DSGVO genügen, die eine Datenübertragung in Drittländer auch ohne Angemessenheitsbeschluss oder sonstige Garantien erlauben könnte. Ebenfalls fraglich ist, ob der zwischen Nutzer und App-Betreiber geschlossene Nutzungsvertrag die Übermittlung der personenbezogenen Daten legitimiert (vgl. Art. 49 Abs. 1 S. 1 lit. b DSGVO). Denn es ist nicht unumstritten, ob eine dauerhafte Datenübermittlung auf Grundlage des Art. 49 DSGVO überhaupt zulässig ist. Und „Clubhouse“ ist, als nicht in der EU niedergelassener Verantwortlicher, bis dato nicht der Verpflichtung zur Benennung eines europäischen Vertreters nach Art. 27 DSVGO nachgekommen.
Fazit:
Nach aktuellem Kenntnisstand ist die Kritik an der US-App aus datenschutzrechtlicher Sicht durchaus berechtigt. Dies führt zwar nicht dazu, dass die Nutzung der App für den rein privaten Nutzer ohne Weiteres unzulässig ist, denn die DSGVO dürfte aufgrund der sog. „Haushaltsausnahme“ für diese Konstellation nicht gelten (Art. 3 Abs. 2 lit. c, ErwG 18 DSGVO). Allerdings hat der Europäische Gerichtshof (EuGH) in der Vergangenheit insbesondere bei Veröffentlichung von personenbezogenen Daten im Internet einen Bezug zum Privat- oder Familienleben verneint (EuGH, Urteil vom 6.11.2004 – Rs. C-101/01). Für Unternehmen bzw. für Unternehmensangehörige, die „Clubhouse“ für geschäftliche Zwecke nutzen möchten, gilt diese Ausnahme jedoch nicht. Und „Clubhouse“ selbst, davon kann man derzeit getrost ausgehen, trägt dem Datenschutz in deutscher und europäischer Ausprägung nicht Rechnung.
Es bleibt daher hoffnungsfroh abzuwarten, wie die „Clubhouse“-Betreiber auf die Abmahnung des VZBV und den Fragenkatalog, den die deutschen Aufsichtsbehörden unter Federführung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) zur Überprüfung der Einhaltung des europäischen Datenschutzrechts an die App-Betreiber übersandt haben, reagieren werden.
Stephan Menzemer, Rechtsanwalt
David Thies, Rechtsanwalt
beide Frankfurt am Main
Weiterführende Links:
Clubhouse Privacy Policy
Stellungnahme des HmbBfDI
Testergebnis der Stiftung Warentest
Mitteilung des VZBV