Vorsicht, DSGVO-Falle
Clubhouse auf BYOD-Geräten und Diensthandys
Die Hype-App Clubhouse lockt neue Nutzer in Scharen an, auch immer mehr Firmen wollen sie für ihre Zwecke nutzen. Das kann jedoch sehr schnell zu einem Bußgeld wegen Verstößen gegen Datenschutzvorgaben wie die DSGVO führen.
Der Hype um Clubhouse wird immer größer, spätestens mit dem bald erwarteten Erscheinen der Android-Version wird die Audio-Chat-App sich wohl endgültig zu einem Massenphänomen entwickeln. Nicht nur Privatpersonen wollen ratschen, mitdiskutieren und zuhören, auch zahlreiche Unternehmen, Politiker und Marketing-Profis haben die App längst im Blick und versuchen sie für sich zu nutzen. Manch einer geht das vor lauter Eile allerdings viel zu kopflos an. Einerseits inhaltlich, indem er sich von der scheinbar ungezwungenen Plapper-Atmosphäre zu allzu unbedachten Aussagen hinreißen lässt, wie jüngst Thüringens Ministerpräsident Bodo Ramelow. Allzu schnell werden in den Gesprächsrunden private oder unternehmerische Geheimnisse ausgeplaudert sowie übermütige Aussagen in die Welt gesetzt, die im Ernstfall sogar strafrechtliche Konsequenzen haben könnten. Wer sich hier geschäftlichen Kontext bewegt, sollte sich bei aller Lockerheit und trotz der vermeintlichen Unsichtbarkeit auch demensprechend seriös verhalten.
Andererseits bietet Clubhouse gerade für Business-Nutzer auch auf rechtlicher und technischer Seite gefährliche Fallstricke, insbesondere was den Datenschutz angeht. Das beginnt bereits auf Seiten des Anbieters, der bislang weder die Bedingung einer deutschen Datenschutzerklärung erfüllt, noch ein Impressum angibt. Darüber hinaus haben Sicherheitsforscher schwere Lücken in der App aufgedeckt, über die sich Chats und Teilnehmer manipulieren und abhören aber auch Malware einschleusen lassen. Durch die Kooperation mit dem chinesischen Anbieter Agora, der hauptsächlich für den Chat-Teil der Software verantwortlich ist, landen Nutzerdaten und Gespräche auch auf Servern in China, wie Security-Fachleute bereits nachweisen konnten.
Im Zentrum der rechtlichen Gefahren für Unternehmen steht jedoch die Einladungsfunktion, mit der Clubhouse gezielt eine künstliche Verknappung schafft und so den Hype geschickt anfacht. Um selbst andere Mitglieder mit den begehrten »Invites« versorgen zu können, müssen die Nutzer dem Dienst zuerst Zugriff auf ihr Adressbuch gewähren. Was im privaten Kontext normalerweise kein großes Problem ist, wird im beruflichen Umfeld zur Gefahr. Denn die Daten der Kontakte aus dem Adressbuch werden von der App auf die Server des Anbieters in den USA heruntergeladen und dort analysiert sowie zudem mit Agora geteilt. Danach folgt ein regelmäßiger Abgleich, über den sich auch die entstandenen Beziehungen innerhalb der App verfolgen lassen.
Auch wenn der Anbieter wenig glaubwürdig beteuert, es würden hierzu einzig die Telefonnummern benötigt, ist das nach Ansicht der meisten Datenschützer schon eine Weitergabe und Verarbeitung personenbezogener Daten im Sinne der DSGVO. Die wiederum setzt voraus, dass zumindest von jedem einzelnen betroffenen geschäftlichen Kontakt, der nicht selbst die Bedingungen der App akzeptiert hat, eine schriftliche Einverständniserklärung für den Vorgang vorliegt. Hinzu kommt, dass bisher nicht klar ist, ob der Anbieter zumindest die Vorgaben des EU-US Privacy Shield erfüllt.
- Clubhouse auf BYOD-Geräten und Diensthandys
- Saubere Trennung privater und beruflicher Nutzungsbereiche erforderlich
Lesen Sie mehr zum Thema
