Clubhouse: Schattenprofile vs. DSGVO – Hype in der Grauzone
Die App Clubhouse ist auf dem Höhepunkt ihres Hypes in Deutschland – und auf Platz eins von Apples App-Store-Charts. Die Einladungen zu der exklusiven Mitmach-Podcast-App sind begehrt. Doch wer sich dort anmeldet, wird erstmal gebeten, sein komplettes Telefonbuch auf die Server des Mutterfirma Alpha Exploration Co zu laden. Nur, wer Clubhouse erlaubt, das eigene Telefonbuch zu durchforsten, kann eine Einladung an seine Freunde schicken.
Und genau da, bei der Anmeldung, wird es datenschutzrechtlich schon problematisch. Dabei ist der Clubhouse-Hype so frisch, dass auch die Datenschutzbehörden noch nicht wissen, wie sie damit umgehen sollen.
Wie Clubhouse Schattenprofile anlegt
Bisher ist über die Datenverarbeitung der App Clubhouse noch nicht viel bekannt – außer dass Clubhouse mit den hochgeladenen Telefonbüchern der Nutzerinnen und Nutzer Schattenprofile auf dem eigenen Netzwerk anlegt: Profile für Menschen, die zwar in den Telefonbüchern von anderen vorkommen, aber sich selbst nicht auf Clubhouse angemeldet haben. Wie der ehemalige t3n-Chefredakteur Stephan Dörner schon auf Twitter feststellte, hält Clubhouse deswegen Nummern wie den ADAC Pannendienst für sehr, sehr gut vernetzte mögliche Nutzer.
Datenschützer sind nicht begeistert
„Ich halte das für zumindest grenzwertig“, erklärt Peter Schaar, ehemaliger Bundesbeauftragter für Datenschutz, am Telefon. „Die Betreiber müssen die Menschen vorab informieren, deren Daten sie verarbeiten: Dass sie überhaupt Daten verarbeiten, zu welchem Zweck sie das tun, wie sie das tun. Da greift der Transparenzgrundsatz des Datenschutzes. Eine nachträgliche Info ist dafür nicht ausreichend.“
Bisher gibt es auch noch keine einfache Möglichkeit, zu widersprechen, wenn jemand nicht will, dass ein Schattenprofil mit Namen, Nummer und möglichen Kontakten auf der Plattform angelegt wird. Der Berliner IT-Rechtler Martin Schirmbacher sieht da ein Problem: „Diese Betroffenen müssten nach Art. 14 DSGVO informiert werden. Das findet nicht statt. Alle müssen eine Opt-out-Möglichkeit haben, es ist fraglich, ob diese existiert“, schreibt Schirmbacher in einer E-Mail an t3n.
Auch interessant: Hype um Clubhouse: Was ist diese Social-App eigentlich und wo ist meine Einladung?
Ist es dann überhaupt legal, das eigene Telefonbuch bei Clubhouse hochzuladen?
Anwalt Martin Schirmbacher sieht dabei kein rechtliches Problem für Menschen, die ihre Kontakte aus privaten Gründen bei Clubhouse hochladen. Wenn Menschen die Kontakte aus ihrem Telefonbuch aber für „Dual-Use, also beruflich und privat, hochladen, kann es sein, dass diese Personen selbst zu Verantwortlichen werden. Dann ist das Hochladen von Kontaktdaten Dritter eine Übermittlung, die wohl nicht gerechtfertigt ist“, so Schirmbacher weiter.
Der Fall Clubhouse erinnert dabei an ein Datenschutzverfahren mit dem Messenger Whatsapp: Wer den Messenger auf seinem Handy installiert, lässt die App auch das eigene Telefonbuch nach Kontakten durchforsten. Ein wichtiger Unterschied: Bei Whatsapp geht es mehr um den Kontakt zu Menschen aus dem eigenen Telefonbuch – bei Clubhouse liegt der Fokus eher auf dem Gedanken der Öffentlichkeit und des sozialen Netzwerks. Braucht eine App dafür unbedingt das ganze Telefonbuch?
Clubhouse ist „zu schnell gewachsen“
Der Fall Whatsapp wurde damals in Hamburg bearbeitet – von allen Datenschutzbeauftragten Deutschlands kennt man sich an der Elbe deswegen am besten mit sozialen Netzwerken aus. „Die gesamte Datenschutzarchitektur der App Clubhouse zeigt, dass der Dienst offenbar zu schnell gewachsen ist und den Anforderungen der DSGVO nicht Rechnung trägt“, schreibt Johannes Caspar, der Hamburgische Beauftragte für Datenschutz, in einer E-Mail an t3n. Bisher würde Clubhouse sich lediglich an dem kalifornischen Privacy Act orientieren. „Hier ist am Ende jeder Nutzer dieser App selbst verantwortlich und sollte sich vorher überlegen, ob es in Ordnung ist, die Daten der Familie, Freunde, Bekannten und Geschäftspartner einfach so ins Blaue hinein wegzugeben zu einem Dienst, der offenkundig nicht in der Lage ist, die Vorgaben zum Schutz der Privatsphäre, wie sie in Europa gelten, einzuhalten“, so Caspar.
Laut der DSGVO müssen Unternehmen, die die Daten europäischer Bürger verarbeiten, auch Verantwortliche dafür in Europa benennen. Bisher ist nicht erkennbar, dass Clubhouse in Europa diese Verantwortlichen überhaupt hat.
Ist Clubhouse also illegal?
Erstmal heißt das, dass Clubhouse sich in einer rechtlichen Grauzone befindet. Um zu wissen, ob Clubhouses Datenverarbeitung rechtmäßig ist, so der ehemalige Bundesdatenschutzbeauftragte Peter Schaar, „muss erstmal der Sachverhalt geklärt werden: Welche Daten werden wie verarbeitet? Wer hat Zugang zu ihnen? Für welche Zwecke werden sie genutzt? Werden die Daten verkauft oder weitergegeben? Was ist überhaupt das Geschäftsmodell?“ Wirklich aufklären, so Schaar, können das nur die jeweiligen Datenschutzbehörden oder Gerichte.
Datenschutzbeauftragte wie Johannes Caspar haben den Fall Clubhouse jetzt auf dem Schirm. Spätestens wenn bei einer der Datenschutzbehörden der Bundesländer die erste Beschwerde eingeht, müssen die Datenschützer auch tiefergehend prüfen. Dann wäre es an den staatlichen Datenschützern, sich bei den Clubhouse-Betreibern in den USA zu melden und nachzufragen, was mit den Clubhouse Daten aus Deutschland und der EU passiert.
Auch denkbar ist, dass eine Person, deren Daten ohne Einwilligung (als Schattenprofil) bei Clubhouse gelandet sind, klagt – dann müssten Gerichte den Datenschutz bei Clubhouse klären. In solchen Verfahren gegen Facebook hatte der österreichische Jurist und Aktivist Max Schremms schon zwei Daten-Deals zwischen den USA und der EU gekippt: Safe Harbor und Privacy Shield.
Zum Weiterlesen: Clubhouse und der Datenschutz: Nach dem Hype kommt die Ernüchterung