Das soziale Netzwerk, das wohl alle Podcast-Fans begeistert und jedem – zumindest den iPhone-Besitzer*innen, denn die App ist momentan nur für iOS verfügbar – den Lockdown zu Hause unterhaltsamer gestaltet, gerät zunehmend in die Kritik. Die Grundidee wird viel gelobt, denn nirgendwo sonst erlebt man eine Art Live-Podcast, bei der der Zuhörer bzw. die Zuhörerin auch mitreden darf.
Andererseits ernten die Entwickler aufgrund erheblicher Datenschutzbedenken jede Menge Kritik. Auch die Verbraucherzentrale hat kürzlich bestätigt, dass die Hype-App erhebliche Datenschutzmängel aufweist. Im Hinblick auf die Nutzung der App auf dem Diensthandy haben wir deshalb genauer hingeschaut.
Das sind die Clubhouse-Datenschutzprobleme:
1. Datenschutzerklärung nicht auf Deutsch
Los geht es damit, dass die Datenschutzerklärung ausschließlich auf Englisch zu lesen ist. In der EU angebotene Apps müssen jedoch in jeder der EU-Landessprachen verfügbar sein. Ein Impressum gibt es auch nicht. Klingt erstmal wenig dramatisch, es wird jedoch problematischer.
2. Kontaktdaten werden gespeichert
Wer die App nutzen und die begehrten Invites (Einladungen zur Teilnahme) versenden will, muss der App den Zugriff auf sein Telefonbuch gewähren. Die Kontaktdaten aus dem Telefonbuch werden dann an US-Server übertragen und dort abgeglichen – um Freunde zu finden, die die App ebenfalls nutzen.
Ähnlich wie bei Whatsapp auf dem Firmenhandy ist genau das allerdings äußerst kritisch. Denn hier findet im Sinn der DSGVO eine Verarbeitung personenbezogener Daten statt, die grundsätzlich einer Zustimmung bedarf.
Lese hierzu auch: Whatsapp und DSGVO – wo ist das Problem?
Das Unternehmen speichert auch die Daten der Kontakte, die den Datenschutzbestimmungen der App nicht zugestimmt haben und den Dienst gar nicht nutzen. Das ist datenschutzrechtlich äußerst kritisch zu sehen. Theoretisch benötigt man die schriftliche Zustimmung jeden Kontaktes. Das dürfte im Geschäftsbereich wenig praktikabel sein. Im Zweifel läuft es dann eben auf den DSGVO-Verstoß hinaus.
Datenabgleich wiederholt sich
Zudem geschieht der Abgleich der Nummern nicht nur einmal, sondern wiederholt sich bei jeder Einladung, die verschickt wird. So lässt sich nämlich nachverfolgen, wie die Beziehungen zwischen den User*innen entstanden sind. Eine interessante Funktion, aber nicht gerade datensparsam.
Inzwischen hat sich zwar herausgestellt, dass nur die Nummern aus dem Adressbuch gespeichert werden und keine Namen oder andere Informationen.
Fraglich ist nichtsdestotrotz, ob man als User*in möchte, dass sämtliche Nummern der Kontakte aus dem eigenen Adressbuch auf den Servern eines Anbieters ohne Impressum gespeichert werden sollen.
Ein Tipp: Es gibt jedoch vor dem ersten Nutzen der App die Option, die Invite-Funktion abzulehnen. Dieser Weg scheint unpopulär zu sein, da die App quasi von dem exklusiven Einladungssystem lebt, jedoch ist es möglich.
3. Die Gespräche werden aufgezeichnet
Das Tolle an der App ist der Austausch auf Augenhöhe. Nirgendwo sonst kann so nah mit Politiker*innen oder Promis ein lockeres Gespräch geführt oder sich mit Entscheider*innen der Branche ausgetauscht werden. Man sollte jedoch nicht ganz so frei Schnauze reden. Die App zeichnet nämlich Gespräche auf. Nach Angaben der Entwickler geschieht dies aus Sicherheitsgründen.
Wenn jemand in einem Raum einen Verstoß gegen die Nutzungsbedingungen, zum Beispiel Hate Speech, meldet, sollen die Aufzeichnungen zur Klärung des Falls dienen. Wenn in einem Raum keine Beschwerde gemeldet wurde, werden die Daten nach dem Schließen des Raums wieder gelöscht, so heißt es.
Sprecher*innen in einem Raum bei Clubhouse sollten sich also genau überlegen, was sie sagen und letztendlich die Plattform auch als öffentlichen Raum betrachten.
Clubhouse auf dem Firmenhandy?
Die Lücken im Datenschutz sind unübersehbar. Aufgrund der gravierenden Mängel hat der Bundesverband der Verbraucherzentrale Clubhouse auch bereits abgemahnt. Daher ist die Nutzung der App auf dem Firmensmartphone auch äußerst heikel, weil die App auf das Telefonbuch mit geschäftlichen Kontakten zugreifen kann – und die Daten auf einem US-Server speichert.
Um sich vor Datenschutz-Verstößen zu schützen und Bußgelder zu vermeiden, müsste also von jedem gespeicherten Kontakt eine schriftliche Einverständniserklärung für die Datennutzung eingeholt werden. Ähnlich wie bei Whatsapp ist das eher unpraktisch und in der Realität nicht besonders praktikabel. Clubhouse auf dem Diensthandy stellt also einen deutlichen DSGVO-Verstoß dar.
Wie sieht es aus bei BYOD?
Will man Clubhouse privat nutzen, steht dies jedem natürlich frei. Arbeitet man jedoch mit seinem privaten Handy auch geschäftlich (BYOD), dann sollte zum Schutz vor Datenleaks eine Mobile-Device-Management-Software (MDM) installiert und die privaten und geschäftlichen Kontakte sauber voneinander getrennt sein.
Damit kann die App im privaten Bereich installiert werden und dort entsprechend nur auf die privaten Kontakte zugreifen. Zur Erinnerung: Sollte auch nur ein geschäftlicher Kontakt im privaten Adressbuch gespeichert sein, worauf die App dann zugreifen kann, läge bereits ein DSGVO-Verstoß vor.
Wenn deine Firma BYOD erlaubt, ist es unerlässlich, dass im Rahmen des Enterprise-Mobility-Managements ein MDM oder zumindest eine Container-App installiert ist.
Mehr über DSGVO und BYOD erfährst du in unserem kostenlosen Whitepaper.
Lösungsvorschläge für die Nutzung von Clubhouse
Erhält man eine Einladung, könnte man diese annehmen und die Funktion, nun selbst zwei weitere Kontakte einzuladen, ablehnen. So kann man zwar selbst keine Invites versenden, hat jedoch Zugang zu der App und kann sie nutzen. Zu bedenken gilt dann aber trotzdem, dass die App Daten speichert bzw. Gespräche zum Teil auch aufzeichnet.
Ein weiterer Hinweis von uns
Datenschutz auf Firmenhandys ist nicht zu unterschätzen. Wenn Mitarbeiter*innen Apps wie Whatsapp oder auch Clubhouse ohne Sicherheitsmaßnahmen auf ihren eigenen Geräten oder auf Firmengeräten verwenden, liegt schnell ein DSGVO-Verstoß vor.
Die Datenschutzkontrollen steigen und die Bußgelder sind bei Verstößen erheblich (hier eine Liste der DSGVO-Strafen). Wir empfehlen, sichere Maßnahmen zum Schutz geschäftlicher Daten zu ergreifen und BYOD kritisch zu hinterfragen. Nutze lieber ein sicheres Modell, wie zum Beispiel „Choose Your Own Device“, bei der die Firmen-IT den verschlüsselten Firmenbereich verwalten und regulieren kann, welche Apps auf den Handys ihrer Mitarbeiter*innen erlaubt sind („Whitelisting“). Im Fall von Clubhouse kann vorsorglich der Download aus dem App-Store eingeschränkt werden und du bist auf der sicheren Seite.
Lesen Sie mehr auf:
- Clubhouse: Audio-Chat mit Mängeln im Datenschutz (Verbraucherzentrale.de)
- „Gravierende Mängel“: Verbraucherschützer mahnen Betreiber von Clubhouse-App ab (Handelsblatt.de)
- Clubhouse und Datenschutz: So fleißig sammelt die App eure Kontaktdaten (t3n.de)
- Clubhouse, das schlimmere WhatsApp? (wdr.de)