Die Rede ist von der relativ jungen Live-Audio-App Clubhouse, die zwar jeder iPhone-Besitzer installieren kann, die Nutzung aber nur mit einer entsprechenden Einladung möglich ist. Heiß begehrt sind deshalb die sog. Invites, die man benötigt, um „drin sein“ zu können. Ist man erst einmal drin, kann man an Audio-Chatrunden teilnehmen bzw. Diskussionen lauschen.
Umso schwieriger ist es allerdings wieder rauszukommen, da der App-Betreiber die Anforderungen der DSGVO nicht so umgesetzt hat, wie es sein sollte. Dr. Thomas Schwenke hat in seinem Beitrag die rechtlichen Problemfelder der App übersichtlich dargestellt.
Privacy by Design? Nope!
Gemäß Art 25 DSGVO haben Verantwortliche (zB. App-Betreiber) durch den abstrakten Grundsatz „Privacy by Design“ zu gewährleisten, dass ein effektiver Schutz der Privatsphäre bereits von Beginn der Entwicklung eines Systems berücksichtigt wird.[1] Es müssen somit technische und organisatorische Maßnahmen getroffen werden, um Datenschutzverstöße bereits im Vorfeld auszuschließen. Datenschutzverstöße können von unzureichenden Informationspflichten, über mangelhafte Erfüllung der Betroffenenrechte oder unzureichende Datensicherheitsmaßnahmen bis hin zur Verarbeitung ohne Rechtsgrundlage (=unzulässige Datenverarbeitung) führen. Ergänzend dazu gilt es noch entsprechende Maßnahmen zu setzen, um die Vertraulichkeit, Verfügbarkeit und Integrität zu wahren (Art 32 DSGVO).
Dass der App-Betreiber (bewusst oder unbewusst) die Vorgaben der DSGVO nicht einhält, zeigt jüngst eine Abmahnung des App-Betreibers durch die Verbraucherzentrale Bundesverband wegen Datenschutzverstöße. Mängel gibt es in mehreren Bereichen.
Her mit den Kontaktdaten
Ähnlich, wie auch bei WhatsApp, ist bei erstmaliger Nutzung ein Zugriff auf das Adressbuch erforderlich und sämtliche Kontaktdaten werden an den App-Betreiber übermittelt. Das erste datenschutzrechtliche Problem ergibt sich somit bei der unzulässigen Datenübermittlung meiner Kontaktdaten an Clubhouse. Wie kommen meine Kontakte dazu, dass ihre Daten (ohne deren Zustimmung) in die USA übermittelt werden? Naja, immerhin bekommen Sie ein Schattenkonto.[2] Dh. für alle meine Kontakte wird ein Profil bei Clubhouse angelegt. Mehr oder weniger witzig ist dann, dass der ADAC-Pannendienst als sehr gut vernetzter Nutzer vorgeschlagen wird.
Transparente Information
Um personenbezogene Daten iSd DSGVO überhaupt verarbeiten zu dürfen, ist eine transparente Information an die Betroffenen, welche Daten auf welche Art und Weise und wie lange verarbeitet werden, erforderlich. Konkretisiert wird dieser Grundsatz im Art 12, der besagt, dass der Verantwortliche geeignete Maßnahmen trifft, um den betroffenen Personen alle Informationen […], die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln […]. Nach Feiler/Forgó hat diese Information jedenfalls in jener Sprache verfügbar zu sein, in der auch der Dienst selbst angeboten wird.[3] Dass die Information lediglich in englischer Sprache angeboten wird, sei dahingestellt. Vielmehr mangelt es an der präzisen, transparenten Form.
Aufzeichnung von Gesprächen
Zweck der App ist die Teilnahme an Live-Audio-Diskussionen bzw. Audio-Vorträgen mit Audio-Chat-Möglichkeit. Interessant in diesem Zusammenhang ist, dass die Gespräche in den Chaträumen aufgezeichnet werden – ausschließlich für den Fall von Beschwerden als Beweismittel – versteht sich. Wie die Dateien verschlüsselt werden und wann eine Beschwerde vorliegt, wird auch in den Terms of Service nicht erklärt. Allerdings wird festgehalten, dass die Aufzeichnung nur mit Einwilligung gespeichert wird. Diese Einwilligung wird jedoch in deren AGBs „eingeholt“, womit die Voraussetzungen für eine gültige, freiwillige und jederzeit widerrufbare Einwilligung iSd Art 7 DSGVO nicht vorliegen.
Ob die Plattform tatsächlich für berufliche Zwecke verwendet werden soll, sei jedem selbst überlassen. Eine Empfehlung dafür kann ich derzeit nicht abgeben.
Darf’s ein bisserl mehr sein?
Unabhängig davon, dass die Daten in den USA verarbeitet werden, obwohl der Angemessenheitsbeschluss der Kommission (Privacy Shield) im Juli 2020 aufgehoben wurde und auch die Standarddatenschutzklauseln nur nach strengen Kriterien eine Datenübermittlung in die USA erlauben, wird in der Datenschutzerklärung transparent darüber informiert, dass die Daten der Nutzer auch zu Werbe- und Marketingzwecken an Dritte weitergegeben werden können. Ob diese Information ausreichend ist, um ein berechtigtes Interesse iSd Art 6 Abs 1 lit f DSGVO begründen zu können, ist fraglich.
Fazit
Die Clubhouse-App genügt nicht den datenschutzrechtlichen Grundsätzen und ermöglicht es deren Nutzern und den Kontakten (die im Adressbuch der Nutzer gespeichert und übermittelt werden) nicht, die Betroffenenrechte iSd Art 12 bis 21 DSGVO auszuüben. Dass die Gespräche (verschlüsselt) aufgezeichnet werden, ist den Nutzern nur dann bekannt, wenn die AGBs tatsächlich gelesen haben. Die Voraussetzungen für eine gültige Einwilligung iSd DSGVO liegen jedenfalls nicht vor.
Ob es sich tatsächlich lohnt, die App zu nutzen, werde ich in den nächsten Wochen herausfinden. Bis dato konnte ich den Mehrwert dieser App leider noch nicht wirklich verifizieren. Ich kann nur so viel sagen: „Ich bin drin!“ Und wie es aussieht, komm ich da auch nicht so schnell wieder raus!
[1] Vgl Hötzendorfer, Privacy by Design and Default in Knyrim (Hrsg), Datenschutz-Grundverordnung (2016) 140.
[2] Siehe https://t3n.de/news/clubhouse-schattenprofile-vs-1351026/ (Abfrage am 1.2.2021).
[3] Vgl Feiler/Forgó, EU-DSGVO Kurzkommentar (2017), Art 12 Rz 2.