"Clubhouse" – ist eine DSGVO-konforme Nutzung für Unternehmen möglich?

Stefan Hessel

Die App "Clubhouse" ist ein soziales Netzwerk, das im Wesentlichen über Live-Podcasts funktioniert. Nutzer der App können sich über "Clubhouse" so beispielsweise zu größeren Online-Talkrunden verabreden, aber auch individuell austauschen. Obwohl die App bisher nur für iOS zur Verfügung steht und neben einem Download über den Appstore von Apple zur Nutzung auch eine persönliche Einladung erforderlich ist, wachsen die Nutzerzahlen weltweit rapide. Bisher scheint der Großteil der Nutzer "Clubhouse" eher privat zu nutzen, doch auch für Unternehmen, Politiker, Verbände oder Veranstalter ist die App interessant, da sie z.B. für Marketingzwecke oder die Kundenkommunikation genutzt werden kann. 

Kritik am Datenschutz

Gleichzeitig mit der steigenden Popularität der App haben sich jedoch auch kritische Stimmen gemeldet, die bei "Clubhouse" den Datenschutz gefährdet sehen. Zu den Kritikern der App zählt unter anderem die saarländische Landesbeauftragte für den Datenschutz, Monika Grethel, die sich nicht nur in der WirtschaftsWoche kritisch zur App äußerte, sondern über einen Behördensprecher in der Tagesschau auch "drei Punkte mit datenschutzrechtlicher Fragwürdigkeit" benannte. Kritisch bewertet die saarländische Datenschutzaufsicht demnach den Zugriff der App auf die Kontaktdaten der Nutzer, unklare Regeln zum Umgang mit personenbezogenen Daten und das Mitschneiden von Gesprächen.

Inwieweit diese Kritik verfängt und welche weiteren Aspekte der App problematisch sein können, soll die folgende datenschutzrechtliche Bewertung zeigen:

1. Der Zugriff von "Clubhouse" auf die Kontaktdaten der Nutzer

Grundsätzlich benötigt die App keinen Zugriff auf die Kontaktdaten der Nutzer, weshalb die folgenden Ausführungen einer Nutzung der App grundsätzlich nicht entgegenstehen. Wer jedoch eine Einladung an einen anderen Nutzer verschicken will, muss der App einen Zugriff auf das Adressbuch des genutzten Smartphones einräumen. Hierbei werden die Kontaktdaten an "Clubhouse" übermittelt und von "Clubhouse" für eine Vielzahl von unterschiedlichen Zwecken verarbeitet (vgl. Clubhouse Privacy Policy, Nr. 2). Teil der Datennutzung ist, wie Medienberichten zu entnehmen ist, offenbar auch das Anlegen von sog. Schattenprofilen, also die Speicherung von Informationen über Betroffene, die überhaupt nicht bei "Clubhouse" angemeldet sind. Gerade letzteres ist mit Blick darauf, dass ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f) DSGVO) an der Verarbeitung von Nicht-Nutzerdaten kaum begründbar sein dürfte als kritisch anzusehen (siehe hierzu ausführlich: Hessel/Leffer, WhatsApp im Unternehmen?, CR 2020, 139-144). Weitere Zugriffe auf Kontaktdaten von Nutzern erfolgen bei der Verknüpfung von Twitter- bzw. Instagram-Konten. In der Datenschutzinformation von "Clubhouse" heißt es hierzu "When you create your account, and/or authenticate with a third-party service like Twitter, we may collect, store, and periodically update information associated with that third-party account, such as your lists of friends or followers." (vgl. Clubhouse Privacy Policy, Nr. 1 - Personal Data Collected from Third Parties/Publicly Available Sources). Auch in diesem Fall erfolgt also eine weitreichende Nutzung der Kontaktdaten bzw. Profilinformationen, die sich im Einzelnen jedoch nicht nachvollziehen lässt.

2. Unklare Regeln zum Umgang mit personenbezogenen Daten

Am Beispiel der dargestellten Unklarheiten, die sich aus der Datenschutzinformation von "Clubhouse"ergeben, zeigt sich, dass die Kritik der saarländischen Datenschutzaufsicht durchaus berechtigt erscheint. Sollte "Clubhouse"in Zukunft seine Datenschutzinformationen anpassen, kann sich dieser Aspekt aber auch ändern. Gleichzeitig ist jedoch anzumerken, dass nicht jede Kritik an unklaren Datenschutzinformationen verfängt. Für die teilweise kritisierte fehlende Option zur Löschung des Nutzerkontos enthält die Datenschutzerklärung beispielsweise eine klare Regelung (vgl. Clubhouse Privacy Policy, Nr. 5).

3. Mitschneiden von Gesprächen

Der Vorwurf, dass "Clubhouse" sämtliche Gespräche der Nutzer mitschneide, wiegt schwer. Ein Blick in die Datenschutzinformation der App offenbart jedoch, dass eine Speicherung der Mitschnitte über die Dauer des Meetings hinaus nur erfolgt, wenn während dessen ein Verstoß gegen die Nutzungsbedingungen gemeldet wird (vgl. Clubhouse Privacy Policy, Nr. 1 - Personal Data You Provide). Der Datenschutzinformation nach werden die erhobenen Daten auch nur zum Zweck der Aufklärung entsprechender Vorfälle gespeichert und in keinem Fall Daten von stummgeschalteten Sprechern oder dem Publikum aufgezeichnet. Vor diesem Hintergrund erscheint die kurzfristige Speicherung der Audioaufzeichnung unter Datenschutzgesichtspunkten deutlich weniger kritisch, insbesondere, da sie streng zweckgebunden zur Dokumentation und Verfolgung von Vertragsverstößen im Verhältnis zwischen "Clubhouse" und dem Nutzer erfolgt.

Datenübermittlung in die USA

Hinter "Clubhouse" steht das US-Unternehmen "Alpha Exploration Co., Inc." mit Sitz in San Francisco. Zum internationalen Datenverkehr heißt es in der Datenschutzinformation von "Clubhouse": "By using our Service, you understand and acknowledge that your Personal Data will be transferred from your location to our facilities and servers in the United States, and where applicable, to the servers of the technology partners we use to provide our Service." (vgl. Clubhouse Privacy Policy, Nr. 10 – International Users). Eine wirksame Einwilligungserklärung, die eine Datenübertragung in Drittländer nach Art. 49 Abs. 1 lit. a) DSGVO auch ohne Angemessenheitsbeschluss oder sonstige Garantien erlauben könnte, stellt der Passus jedoch nicht dar. Hierfür fehlt es etwa an der erforderlichen "Ausdrücklichkeit" der Einwilligung. Vor dem Hintergrund, dass nach wie vor umstritten ist, ob auf Basis von Art. 49 DSGVO überhaupt dauerhaft Daten in Drittstaaten übertragen werden dürfen, ist auch die These, dass die Übermittlung in die USA zur Erfüllung des Nutzungsvertrags zwischen "Clubhouse" und den Nutzern erforderlich sein könnte, eher kritisch zu bewerten. Gleichzeitig hat "Clubhouse" bisher auch keinen Vertreter in der EU benannt, obwohl das Unternehmen als nicht in der EU niedergelassener Verantwortlicher nach Art. 27 DSGVO hierzu verpflichtet wäre.

Auswirkungen auf die Nutzung

Soweit eine Bewertung der App "Clubhouse" zum jetzigen Zeitpunkt möglich ist, verfängt die Kritik, dass nicht alle Vorgaben der DSGVO eingehalten werden durchaus. Damit ist jedoch noch nicht gesagt, dass eine Nutzung der App unzulässig wäre, denn die DSGVO verpflichtet grundsätzlich nur denjenigen, der über die Zwecke und Mittel der Datenverarbeitung entscheidet und kennt insbesondere für Datenverarbeitungen zu persönlichen Zwecken Ausnahmen. Bei der Beantwortung der Frage, wer für etwaige Datenschutzverstöße bei "Clubhouse" verantwortlich ist, muss daher zunächst zwischen der persönlichen oder geschäftlichen Nutzung der App unterschieden werden.

Für eine persönliche Nutzung gilt die DSGVO nach Art. 2 Abs. 2 lit. c) DSGVO nicht, wenn die Verarbeitung von personenbezogenen Daten ausschließlich für persönliche oder familiäre Tätigkeiten gilt. Solange "Clubhouse" also nur zur privaten Kommunikation genutzt wird, müssen die strengen Vorgaben der DSGVO vom Nutzer tendenziell nicht beachtet werden. "Clubhouse" selbst bleibt aber unter der DSGVO verpflichtet (ErwG 18 DSGVO). Aus diesem Grund sieht die bayerische Datenschutzaufsicht für den nichtöffentlichen Bereich, das BayLDA, sogar die Nutzung von WhatsApp durch Vereine "in den meisten Fällen" als zulässig an. Allerdings hat auch die Haushaltsausnahme ihre Grenzen. So hat der Europäische Gerichtshof (EuGH) in der Vergangenheit insbesondere bei Veröffentlichung von personenbezogenen Daten im Internet einen Bezug zum Privat- oder Familienleben verneint. Insbesondere die Übertragung der Kontaktdaten aus dem Adressbuch an "Clubhouse" ist daher rein rechtlich betrachtet nicht ganz unproblematisch. Aus praktischer Sicht dürfte die Gefahr für Privatnutzer, Ärger mit der Datenschutzaufsicht zu bekommen, aber überschaubar sein.

Für eine geschäftliche Nutzung von "Clubhouse" gilt diese sog. Haushaltsausnahme jedoch nicht. Folglich müssen Unternehmen bei Datenverarbeitungen über die App die Vorgaben der DSGVO einhalten und sich insbesondere der Herausforderung stellen, dass die App zumindest derzeit keine geschäftliche Nutzung erlaubt (vgl. Conditions of Use, User Conduct, Nr. 1). Dass "Clubhouse"gegen ein Unternehmen einschreitet, das die App nutzt, ist zwar eher unwahrscheinlich, allerdings folgt aus den aktuellen Nutzungsbedingungen auch, dass die App für eine Nutzung durch Unternehmen nicht ausgelegt ist. Es fehlt somit an einer klaren Aufteilung der datenschutzrechtlichen Verantwortlichkeiten, was insbesondere mit Blick auf eine mögliche gemeinsame Verantwortlichkeit i.S.v. Art. 26 Abs. 1 DSGVO, die zumindest für einige Datenverarbeitungen bei der Nutzung von "Clubhouse" in Betracht kommt, problematisch ist. Darüber hinaus müssen Unternehmen auch daran denken, dass nicht nur Daten von Kunden, sondern auch Daten ihrer Mitarbeiter, etwa aus den Bereichen Sales oder Marketing, bei der Nutzung von "Clubhouse" verarbeitet werden. Eine Lösung kann hier jedoch darin bestehen, dass eine Einwilligung von den jeweiligen Mitarbeitern eingeholt wird.

Fazit und Empfehlung für Unternehmen

Aus rechtlicher Sicht besteht beim Datenschutz in "Clubhouse"noch Verbesserungspotential. Unternehmen, die über eine geschäftliche Nutzung der App nachdenken, sollten diese daher intensiv rechtlich prüfen, um Ärger mit den Datenschutzbehörden oder Schadensersatzklagen von Mitarbeitern und Kunden zu vermeiden. Einige Probleme, etwa die Freigabe der Kontaktdaten, lassen sich auch durch eine sinnvolle Technikgestaltung vermeiden. Klar ist jedoch, dass eine risikofreie Nutzung der App, wie bei vielen anderen Diensten, derzeit nicht möglich ist. Wer Wert auf mehr Rechtssicherheit legt, kann jedoch darauf hoffen, dass die App im Rahmen ihrer Weiterentwicklung eine datenschutzfreundlichere Ausgestaltung erfährt.

Sollte Ihr Unternehmen eine geschäftliche Nutzung von "Clubhouse" oder anderen sozialen Netzwerken in Erwägung ziehen, unterstützen wir Sie hierbei gerne. Ebenso stehen wir gerne für Presseanfragen zum Datenschutz bei "Clubhouse" zur Verfügung.

[Januar 2021]