Die in Deutschland aktuell in Kreisen von Plaudertaschen angesagte App Clubhouse ist jetzt offiziell auch ein Fall für Deutschlands Datenschützer. Der Hamburgische Datenschutzbeauftragte Johannes Caspar teilte am Dienstag mit, dass es im Kreis der hiesigen Aufsichtsbehörden "einige Zweifel" an Praktiken des US-Betreibers Alpha Exploration gebe. Er habe daher "einen Katalog von Fragen an die Betreiber in Kalifornien übersandt, um die Einhaltung des europäischen Datenschutzrechts zu überprüfen".

Es komme leider immer wieder vor, "dass Anbieter aus den USA auf den europäischen Markt drängen oder einfach nur mit ihren Produkten und Dienstleistungen bei uns erfolgreich sind, ohne die grundlegendsten datenschutzrechtlichen Vorgaben des europäischen Digitalmarktes einzuhalten" zeigte sich Caspar besorgt. "Hier gilt es, zügig darauf hinzuweisen, welche Regeln auf dem Spielfeld Europa gelten und diese auch durchzusetzen."

Privatsphäre muss gewahrt bleiben

Laut Caspar ist es im Interesse aller europäischen Nutzer, Dienste in Anspruch nehmen zu können, "die weder eigene noch fremde Rechte verletzen und die nicht erst nach Jahren erfolgreicher Nutzerbindung in Europa sich den Prinzipien des Schutzes der Privatheit öffnen". Er habe sich daher mit den anderen deutschen Aufsichtsbehörden abgestimmt und die Federführung in der sich abzeichnenden Auseinandersetzung übernommen.

Dass Clubhouse derzeit in aller Munde ist und einen erheblichen Nutzeransturm zu verzeichnen habe, kann Caspar nachvollziehen. Viele Menschen hätten gerade in der gegenwärtigen Corona-Krise und dem Lockdown ein überwältigendes Interesse an einer neuen diskursiven Plattform, die "spannende Kommunikation und den ungezwungenen Austausch mit anderen verspricht". Dabei müsse aber die Privatsphäre der Nutzer gewahrt bleiben.

Telefonbücher ausgelesen und Mitschnitte erstellt

Der Datenschützer moniert, dass die Adressbücher in den Mobilfunkgeräten von Nutzern, die weitere Personen einladen, automatisch ausgelesen und durch die Betreiber in den USA gespeichert würden. Dadurch gerieten Kontaktdaten von zahlreichen Menschen in fremde Hände, "ohne dass diese überhaupt mit der App in Kontakt kommen". Sie könnten dann zu Zwecken wie Werbung und Kontaktanfragen verwendet werden.

Weiter stört sich Caspar daran, dass der Anbieter nach eigenen Angaben Mitschnitte aller in den verschiedenen Kommunikationsräumen geführten Gespräche speicherten, um Missbräuche zu verfolgen. Die näheren Umstände blieben intransparent. Online-Dienstleister, die sich an europäische Nutzer richten, müssten laut der Datenschutz-Grundverordnung (DSGVO) aber deren Rechte auf Information, Auskunft, Widerspruch und Löschung achten. Gleichzeitig seien sie verpflichtet, die technisch-organisatorischen Maßnahmen zum Schutz persönlicher Daten zu gewährleisten.

Abmahnung von Verbraucherschützern

Die Vorsitzende der Datenschutzkonferenz von Bund und Ländern (DSK), die saarländische Datenschutzbeauftragte Monika Grethel, hatte bereits vorige Woche vor allem den Zugriff des Betreibers auf Kontakte und Followerlisten der Nutzer als kritisch betrachtet. Unter Juristen ist umstritten, ob der der private Upload des eigenen Adressbuchs in den Anwendungsbereich der DSGVO fällt. Auch der Bundesdatenschutzbeauftragte Ulrich Kelber hatte Bedenken angemeldet. Der Bundesverband der Verbraucherzentralen (vzbv) hat den Anbieter bereits abgemahnt wegen gravierender rechtlicher Mängel.

IT-Sicherheitsexperten der Gruppe "Zerforschung" warnen, dass bei Nutzung der Funktion, mit der sich andere Nutzer zur Clubhouse-App einladen lassen, "alle Telefonnummern aus dem Adressbuch hochgeladen" würden. Dieses Vorgehen sei aus Datenschutzaspekten "höchst bedenklich", insbesondere da sich der Betreiber "weitreichende Nutzungsrechte an den hochgeladenen Kontaktdaten einräumt". Zudem lasse sich so eine Übersicht über das Beziehungsgeflecht eines Nutzers ("Social Graph") erzeugen, das "auch Kontakte umfasst, die gar nicht bei Clubhouse angemeldet sind und auch den Nutzungsbedingungen nie zugestimmt haben". Der Messaging-Dienst Signal etwa verwende ein komplizierteres Verfahren und stelle so sicher, "dass die Server keinen dauerhaften Zugriff auf die Kontaktdaten haben".

[UPDATE, 2.02.2021, 17:55]

In einer früheren Fassung stand, dass das Telefonbuch der Nutzer bei Annahme einer Clubhouse-Einladung automatisch hochgeladen werde. Das ist falsch und wurde korrigiert. Ebenfalls wurde eine unzutreffende Übersetzung von Social Graph berichtigt.

(axk)