Social-Media-App: Datenschützer machen bei Clubhouse große Fragezeichen

Datenschutzbeauftragte beäugen beim gehypten Social-Media-Dienst Clubhouse vor allem das Auslesen von Adressbüchern und Audiomitschnitte skeptisch.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 18 Beiträge

(Bild: olb / heise online)

Von
  • Stefan Krempl

Selten hat eine Mischung aus einer Anwendung für Videokonferenzen und Live-Podcasts einen solchen Hype ausgelöst wie Clubhouse. Selbst Promis wie Entertainer-Urgestein Thomas Gottschalk wabern bereits durch die damit einrichtbaren Kommunikationsräume. Sänger Jan Delay beschwert sich derweil noch darüber, dass sein Name dort schon vergeben ist. Doch den als Spaßbremse gefürchteten Datenschützern ist das bunte Treiben nicht geheuer.

Ob Clubhouse-Nutzer vor der Erlaubnis, dass der US-Anbieter Alpha Exploration das Adressbuch aus ihrem Smartphone hochladen könne, "auch deren Einwilligungen dafür eingeholt haben?", fragt der Bundesdatenschutzbeauftragte Ulrich Kelber auf seinem privaten Twitter-Konto. Zuständig ist er im Gegensatz etwa zu WhatsApp, das ebenfalls Telefonnummern durch solche Uploads erhebt, bei einer Social-Media-Anwendung nicht. Beschwerden in diesem Bereich nehmen die Landesdatenschutzbeauftragten entgegen.

Da das virtuelle Vereinsheim in Deutschland erst vor Kurzem an den Start gegangen und dabei clever vermarktet worden ist, hat sich die Datenschutzkonferenz von Bund und Ländern (DSK) mit dem derzeit nur iPhone-Nutzern auf Einladung offenstehenden Dienst noch nicht detailliert befasst. Die aktuelle DSK-Vorsitzende, die saarländische Datenschutzbeauftragte Monika Grethel, betonte aber gegenüber heise online: Die Möglichkeit der Anwender, dem Betreiber "Zugriff auf ihre Kontakte zu gewähren und diesem somit Kontaktinformationen von Personen, die selbst nicht Teilnehmer des Dienstes sind, zur Verfügung zu stellen, ist grundsätzlich kritisch zu sehen".

Dies gilt laut der Kontrolleurin auch für eine Anmeldung bei Clubhouse über einen weiteren Social-Media-Account des Eingeladenen. Hier behalte sich Alpha Exploration laut der Datenschutzerklärung für den Dienst einen Zugriff auf Followerlisten vor. In welcher Form und für welche Zwecke die dabei erhobenen Kontakt- und Kontoinformationen Dritter in den USA verarbeitet würden, bleibe dabei intransparent.

"Leute, ernsthaft: 7 Clubhouse-Einladungen auf meine private Mobilnummer allein in den letzten 2 Stunden?", hatte sich Moderator Richard Gutjahr zuvor gewundert. Es sei erstaunlich, wie viele Leute ohne Rücksprache mit den Betroffenen ihr komplettes Telefon-Adressbuch auf einen fremden Server hochlüden, "nur weil ein Social Network das von Euch möchte".

Kelber hinterfragt im Fall WhatsApp seit Längerem vor allem auch den potenziellen Datenaustausch mit der Firmenmutter Facebook. Denn so könne das Unternehmen grundsätzlich alle auf dem Mobiltelefon hinterlegten Kontaktdaten eines Nutzers verarbeiten. Dass diese Befürchtung viele umtreibe, zeige die hohe Zahl von Anfragen und Beschwerden dazu. Ob die WhatsApp-Praxis mit der Datenschutz-Grundverordnung (DSGVO) vereinbar ist, sollte eigentlich längst EU-weit geklärt sein. Der Fall hängt aber bei der zuständigen irischen Datenschutzbehörde fest, die als chronisch unterbesetzt und langsam gilt.

Der Zugriff von Messenger-Diensten wie WhatsApp, Signal oder Threema auf das Adressbuch kann laut IT-Sicherheitsforschern zum massenhaften Auslesen von Kontakten führen. Über einfache Crawling-Angriffe in Form der zufälligen Abfrage von Telefonnummern lasse sich das soziale Umfeld von Nutzern weitgehend ausspionieren, warnen sie. Die Privatsphäre von "weit mehr als einer Milliarde" Anwender sei bedroht.

Der schleswig-holsteinische Richter Malte Engeler verweist dagegen auf die "herrschende Meinung" unter Juristen, dass der private Upload des eigenen Adressbuchs nicht in den Anwendungsbereich der DSGVO falle. Für private Tätigkeiten gälten hier Ausnahmen, was auch Clubhouse für sich in Anspruch nehmen könne.

Bei der Synchronisation würden E-Mail-Adressen und Telefonnummern aus dem Adressbuch einwegverschlüsselt ("gehasht"), zusätzlich mit TLS gesichert an "unsere Server" übertragen und dort nur kurz im Arbeitsspeicher für einen Abgleich genutzt, erläutert Alpha Exploration in der deutschen App. Zu keinem Zeitpunkt speichere man die Ergebnisse oder die Hashes auf einem Datenträger.

Nutzer stimmen gemäß Punkt 10 der Datenschutzerklärung generell zu, dass ihre persönlichen Daten an die Server des Unternehmens und seiner Technologiepartner in den USA übertragen werden. Standardmäßig aufgezeichnet werden etwa der Standort, persönliches Verhalten und Angaben zu den Geräten, auf denen die App installiert ist. Die Wirksamkeit dieser Einwilligung hält Grethel für "mindestens fraglich".

Der Anbieter legt auch Schattenprofile an für Personen oder Kennungen, die in Adressbüchern von Nutzern auftauchen, aber selbst noch nicht auf Clubhouse sind. Die oft automatisch in Handy-Verzeichnissen gespeicherte ADAC-Pannenhilfe, der Notruf oder die Mobilbox haben daher schon erstaunlich viele "Freunde". Mit den Betroffenenrechten aus der DSGVO etwa auf Information, Widerspruch oder Korrektur dürfte das kaum vereinbar sein.

Da Clubhouse nur auf Sprachmitteilungen basiert und ein Austausch in Gesprächsrunden erfolgt, zeichnet der Dienstleister Gespräche auf. Meldet ein Teilnehmer während eines Chats ein Verstoß gegen die "Hausregeln", wird der Mitschnitt gespeichert, um der Beschwerde nachzugehen. Andernfalls werde die Aufnahme sofort wieder gelöscht, heißt es in der "Privacy Policy".

Auch sonst hat sich die App nicht nur Freunde gemacht. Kritiker geben etwa zu bedenken, dass Clubhouse nicht barrierefrei und so für gehörlose Menschen gar nichts ist. Ganz zu schweigen davon, dass Android-Nutzer außen vor seien. Die Influencer-Welle habe den Dienst überrollt, lautet die Klage. Es gebe auch keine übergeordnete Inhaltemoderation. Die Anwendungen habe sich so zu einem Sammelbecken für viele entwickelt, die bei Facebook, Instagram und Twitter rausgeflogen sind.

(olb)