Reuschlaw

“Club­house” – ist eine DSGVO-konforme Nut­zung für Unter­neh­men möglich?

Die App “Club­house” ist ein sozia­les Netz­werk, das im Wesent­li­chen über Live-Podcasts funk­tio­niert. Nut­zer der App kön­nen sich über “Club­house” so bei­spiels­wei­se zu grö­ße­ren Online-Talkrunden ver­ab­re­den, aber auch indi­vi­du­ell aus­tau­schen. Obwohl die App bis­her nur für iOS zur Ver­fü­gung steht und neben einem Down­load über den App­s­to­re von Apple zur Nut­zung auch eine per­sön­li­che Ein­la­dung erfor­der­lich ist, wach­sen die Nut­zer­zah­len welt­weit rapi­de. Bis­her scheint der Groß­teil der Nut­zer “Club­house” eher pri­vat zu nut­zen, doch auch für Unter­neh­men, Poli­ti­ker, Ver­bän­de oder Ver­an­stal­ter ist die App inter­es­sant, da sie z.B. für Mar­ke­ting­zwe­cke oder die Kun­den­kom­mu­ni­ka­ti­on genutzt wer­den kann. 

Kri­tik am Datenschutz

Gleich­zei­tig mit der stei­gen­den Popu­la­ri­tät der App haben sich jedoch auch kri­ti­sche Stim­men gemel­det, die bei “Club­house” den Daten­schutz gefähr­det sehen. Zu den Kri­ti­kern der App zählt unter ande­rem die saar­län­di­sche Lan­des­be­auf­trag­te für den Daten­schutz, Moni­ka Grethel, die sich nicht nur in der Wirt­schafts­Wo­che kri­tisch zur App äußer­te, son­dern über einen Behör­den­spre­cher in der Tages­schau auch “drei Punk­te mit daten­schutz­recht­li­cher Frag­wür­dig­keit” benann­te. Kri­tisch bewer­tet die saar­län­di­sche Daten­schutz­auf­sicht dem­nach den Zugriff der App auf die Kon­takt­da­ten der Nut­zer, unkla­re Regeln zum Umgang mit per­so­nen­be­zo­ge­nen Daten und das Mit­schnei­den von Gesprächen.

Inwie­weit die­se Kri­tik ver­fängt und wel­che wei­te­ren Aspek­te der App pro­ble­ma­tisch sein kön­nen, soll die fol­gen­de daten­schutz­recht­li­che Bewer­tung zeigen:

1. Der Zugriff von “Club­house” auf die Kon­takt­da­ten der Nutzer

Grund­sätz­lich benö­tigt die App kei­nen Zugriff auf die Kon­takt­da­ten der Nut­zer, wes­halb die fol­gen­den Aus­füh­run­gen einer Nut­zung der App grund­sätz­lich nicht ent­ge­gen­ste­hen. Wer jedoch eine Ein­la­dung an einen ande­ren Nut­zer ver­schi­cken will, muss der App einen Zugriff auf das Adress­buch des genutz­ten Smart­phones ein­räu­men. Hier­bei wer­den die Kon­takt­da­ten an “Club­house” über­mit­telt und von “Club­house” für eine Viel­zahl von unter­schied­li­chen Zwe­cken ver­ar­bei­tet (vgl. Club­house Pri­va­cy Poli­cy, Nr. 2). Teil der Daten­nut­zung ist, wie Medi­en­be­rich­ten zu ent­neh­men ist, offen­bar auch das Anle­gen von sog. Schat­ten­pro­fi­len, also die Spei­che­rung von Infor­ma­tio­nen über Betrof­fe­ne, die über­haupt nicht bei “Club­house” ange­mel­det sind. Gera­de letz­te­res ist mit Blick dar­auf, dass ein berech­tig­tes Inter­es­se (Art. 6 Abs. 1 lit. f) DSGVO) an der Ver­ar­bei­tung von Nicht-Nutzerdaten kaum begründ­bar sein dürf­te als kri­tisch anzu­se­hen (sie­he hier­zu aus­führ­lich: Hessel/Leffer, Whats­App im Unter­neh­men?, CR 2020, 139–144). Wei­te­re Zugrif­fe auf Kon­takt­da­ten von Nut­zern erfol­gen bei der Ver­knüp­fung von Twitter- bzw. Instagram-Konten. In der Daten­schutz­in­for­ma­ti­on von “Club­house” heißt es hier­zu “When you crea­te your account, and/or authen­ti­ca­te with a third-party ser­vice like Twit­ter, we may coll­ect, store, and peri­odi­cal­ly update infor­ma­ti­on asso­cia­ted with that third-party account, such as your lists of fri­ends or fol­lo­wers.” (vgl. Club­house Pri­va­cy Poli­cy, Nr. 1 – Per­so­nal Data Coll­ec­ted from Third Parties/Publicly Available Sources). Auch in die­sem Fall erfolgt also eine weit­rei­chen­de Nut­zung der Kon­takt­da­ten bzw. Pro­fil­in­for­ma­tio­nen, die sich im Ein­zel­nen jedoch nicht nach­voll­zie­hen lässt.

2. Unkla­re Regeln zum Umgang mit per­so­nen­be­zo­ge­nen Daten

Am Bei­spiel der dar­ge­stell­ten Unklar­hei­ten, die sich aus der Daten­schutz­in­for­ma­ti­on von “Clubhouse“ergeben, zeigt sich, dass die Kri­tik der saar­län­di­schen Daten­schutz­auf­sicht durch­aus berech­tigt erscheint. Soll­te “Clubhouse“in Zukunft sei­ne Daten­schutz­in­for­ma­tio­nen anpas­sen, kann sich die­ser Aspekt aber auch ändern. Gleich­zei­tig ist jedoch anzu­mer­ken, dass nicht jede Kri­tik an unkla­ren Daten­schutz­in­for­ma­tio­nen ver­fängt. Für die teil­wei­se kri­ti­sier­te feh­len­de Opti­on zur Löschung des Nut­zer­kon­tos ent­hält die Daten­schutz­er­klä­rung bei­spiels­wei­se eine kla­re Rege­lung (vgl. Club­house Pri­va­cy Poli­cy, Nr. 5).

3. Mit­schnei­den von Gesprächen

Der Vor­wurf, dass “Club­house” sämt­li­che Gesprä­che der Nut­zer mit­schnei­de, wiegt schwer. Ein Blick in die Daten­schutz­in­for­ma­ti­on der App offen­bart jedoch, dass eine Spei­che­rung der Mit­schnit­te über die Dau­er des Mee­tings hin­aus nur erfolgt, wenn wäh­rend des­sen ein Ver­stoß gegen die Nut­zungs­be­din­gun­gen gemel­det wird (vgl. Club­house Pri­va­cy Poli­cy, Nr. 1 – Per­so­nal Data You Pro­vi­de). Der Daten­schutz­in­for­ma­ti­on nach wer­den die erho­be­nen Daten auch nur zum Zweck der Auf­klä­rung ent­spre­chen­der Vor­fäl­le gespei­chert und in kei­nem Fall Daten von stumm­ge­schal­te­ten Spre­chern oder dem Publi­kum auf­ge­zeich­net. Vor die­sem Hin­ter­grund erscheint die kurz­fris­ti­ge Spei­che­rung der Audio­auf­zeich­nung unter Daten­schutz­ge­sichts­punk­ten deut­lich weni­ger kri­tisch, ins­be­son­de­re, da sie streng zweck­ge­bun­den zur Doku­men­ta­ti­on und Ver­fol­gung von Ver­trags­ver­stö­ßen im Ver­hält­nis zwi­schen “Club­house” und dem Nut­zer erfolgt.

Daten­über­mitt­lung in die USA

Hin­ter “Club­house” steht das US-Unternehmen “Alpha Explo­ra­ti­on Co., Inc.” mit Sitz in San Fran­cis­co. Zum inter­na­tio­na­len Daten­ver­kehr heißt es in der Daten­schutz­in­for­ma­ti­on von “Club­house”: “By using our Ser­vice, you under­stand and ack­now­ledge that your Per­so­nal Data will be trans­fer­red from your loca­ti­on to our faci­li­ties and ser­vers in the United Sta­tes, and whe­re appli­ca­ble, to the ser­vers of the tech­no­lo­gy part­ners we use to pro­vi­de our Ser­vice.” (vgl. Club­house Pri­va­cy Poli­cy, Nr. 10 – Inter­na­tio­nal Users). Eine wirk­sa­me Ein­wil­li­gungs­er­klä­rung, die eine Daten­über­tra­gung in Dritt­län­der nach Art. 49 Abs. 1 lit. a) DSGVO auch ohne Ange­mes­sen­heits­be­schluss oder sons­ti­ge Garan­tien erlau­ben könn­te, stellt der Pas­sus jedoch nicht dar. Hier­für fehlt es etwa an der erfor­der­li­chen “Aus­drück­lich­keit” der Ein­wil­li­gung. Vor dem Hin­ter­grund, dass nach wie vor umstrit­ten ist, ob auf Basis von Art. 49 DSGVO über­haupt dau­er­haft Daten in Dritt­staa­ten über­tra­gen wer­den dür­fen, ist auch die The­se, dass die Über­mitt­lung in die USA zur Erfül­lung des Nut­zungs­ver­trags zwi­schen “Club­house” und den Nut­zern erfor­der­lich sein könn­te, eher kri­tisch zu bewer­ten. Gleich­zei­tig hat “Club­house” bis­her auch kei­nen Ver­tre­ter in der EU benannt, obwohl das Unter­neh­men als nicht in der EU nie­der­ge­las­se­ner Ver­ant­wort­li­cher nach Art. 27 DSGVO hier­zu ver­pflich­tet wäre.

Aus­wir­kun­gen auf die Nutzung

Soweit eine Bewer­tung der App “Club­house” zum jet­zi­gen Zeit­punkt mög­lich ist, ver­fängt die Kri­tik, dass nicht alle Vor­ga­ben der DSGVO ein­ge­hal­ten wer­den durch­aus. Damit ist jedoch noch nicht gesagt, dass eine Nut­zung der App unzu­läs­sig wäre, denn die DSGVO ver­pflich­tet grund­sätz­lich nur den­je­ni­gen, der über die Zwe­cke und Mit­tel der Daten­ver­ar­bei­tung ent­schei­det und kennt ins­be­son­de­re für Daten­ver­ar­bei­tun­gen zu per­sön­li­chen Zwe­cken Aus­nah­men. Bei der Beant­wor­tung der Fra­ge, wer für etwa­ige Daten­schutz­ver­stö­ße bei “Club­house” ver­ant­wort­lich ist, muss daher zunächst zwi­schen der per­sön­li­chen oder geschäft­li­chen Nut­zung der App unter­schie­den werden.

Für eine per­sön­li­che Nut­zung gilt die DSGVO nach Art. 2 Abs. 2 lit. c) DSGVO nicht, wenn die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten aus­schließ­lich für per­sön­li­che oder fami­liä­re Tätig­kei­ten gilt. Solan­ge “Club­house” also nur zur pri­va­ten Kom­mu­ni­ka­ti­on genutzt wird, müs­sen die stren­gen Vor­ga­ben der DSGVO vom Nut­zer ten­den­zi­ell nicht beach­tet wer­den. “Club­house” selbst bleibt aber unter der DSGVO ver­pflich­tet (ErwG 18 DSGVO). Aus die­sem Grund sieht die baye­ri­sche Daten­schutz­auf­sicht für den nicht­öf­fent­li­chen Bereich, das BayL­DA, sogar die Nut­zung von Whats­App durch Ver­ei­ne “in den meis­ten Fäl­len” als zuläs­sig an. Aller­dings hat auch die Haus­halts­aus­nah­me ihre Gren­zen. So hat der Euro­päi­sche Gerichts­hof (EuGH) in der Ver­gan­gen­heit ins­be­son­de­re bei Ver­öf­fent­li­chung von per­so­nen­be­zo­ge­nen Daten im Inter­net einen Bezug zum Privat- oder Fami­li­en­le­ben ver­neint. Ins­be­son­de­re die Über­tra­gung der Kon­takt­da­ten aus dem Adress­buch an “Club­house” ist daher rein recht­lich betrach­tet nicht ganz unpro­ble­ma­tisch. Aus prak­ti­scher Sicht dürf­te die Gefahr für Pri­vat­nut­zer, Ärger mit der Daten­schutz­auf­sicht zu bekom­men, aber über­schau­bar sein.

Für eine geschäft­li­che Nut­zung von “Club­house” gilt die­se sog. Haus­halts­aus­nah­me jedoch nicht. Folg­lich müs­sen Unter­neh­men bei Daten­ver­ar­bei­tun­gen über die App die Vor­ga­ben der DSGVO ein­hal­ten und sich ins­be­son­de­re der Her­aus­for­de­rung stel­len, dass die App zumin­dest der­zeit kei­ne geschäft­li­che Nut­zung erlaubt (vgl. Con­di­ti­ons of Use, User Con­duct, Nr. 1). Dass “Clubhouse“gegen ein Unter­neh­men ein­schrei­tet, das die App nutzt, ist zwar eher unwahr­schein­lich, aller­dings folgt aus den aktu­el­len Nut­zungs­be­din­gun­gen auch, dass die App für eine Nut­zung durch Unter­neh­men nicht aus­ge­legt ist. Es fehlt somit an einer kla­ren Auf­tei­lung der daten­schutz­recht­li­chen Ver­ant­wort­lich­kei­ten, was ins­be­son­de­re mit Blick auf eine mög­li­che gemein­sa­me Ver­ant­wort­lich­keit i.S.v. Art. 26 Abs. 1 DSGVO, die zumin­dest für eini­ge Daten­ver­ar­bei­tun­gen bei der Nut­zung von “Club­house” in Betracht kommt, pro­ble­ma­tisch ist. Dar­über hin­aus müs­sen Unter­neh­men auch dar­an den­ken, dass nicht nur Daten von Kun­den, son­dern auch Daten ihrer Mit­ar­bei­ter, etwa aus den Berei­chen Sales oder Mar­ke­ting, bei der Nut­zung von “Club­house” ver­ar­bei­tet wer­den. Eine Lösung kann hier jedoch dar­in bestehen, dass eine Ein­wil­li­gung von den jewei­li­gen Mit­ar­bei­tern ein­ge­holt wird.

Fazit und Emp­feh­lung für Unternehmen

Aus recht­li­cher Sicht besteht beim Daten­schutz in “Clubhouse“noch Ver­bes­se­rungs­po­ten­ti­al. Unter­neh­men, die über eine geschäft­li­che Nut­zung der App nach­den­ken, soll­ten die­se daher inten­siv recht­lich prü­fen, um Ärger mit den Daten­schutz­be­hör­den oder Scha­dens­er­satz­kla­gen von Mit­ar­bei­tern und Kun­den zu ver­mei­den. Eini­ge Pro­ble­me, etwa die Frei­ga­be der Kon­takt­da­ten, las­sen sich auch durch eine sinn­vol­le Tech­nik­ge­stal­tung ver­mei­den. Klar ist jedoch, dass eine risi­ko­freie Nut­zung der App, wie bei vie­len ande­ren Diens­ten, der­zeit nicht mög­lich ist. Wer Wert auf mehr Rechts­si­cher­heit legt, kann jedoch dar­auf hof­fen, dass die App im Rah­men ihrer Wei­ter­ent­wick­lung eine daten­schutz­freund­li­che­re Aus­ge­stal­tung erfährt.

Soll­te Ihr Unter­neh­men eine geschäft­li­che Nut­zung von “Club­house” oder ande­ren sozia­len Netz­wer­ken in Erwä­gung zie­hen, unter­stüt­zen wir Sie hier­bei ger­ne. Eben­so ste­hen wir ger­ne für Pres­se­an­fra­gen zum Daten­schutz bei “Club­house” zur Verfügung.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.