Clubhouse und Datenschutz - Zur Zulässigkeit der Nutzung für Unternehmen

Die neue Social-Media-App „Clubhouse“ erfreut sich aktuell großer Beliebtheit, nicht zuletzt aufgrund der Corona-bedingten Einschränkungen. Manche sprechen von einem „Hype“. Clubhouse ist eine Anwendung, bei der Nutzer in einem virtuellen Meeting-Room aktiv an Gesprächen teilnehmen und mit anderen Nutzern diskutieren können, und dies ganz ohne Zugriff auf die Kamera und ohne die Möglichkeit, Textnachrichten zu verfassen. Die App setzt dem aktuellen Podcast-Boom folgend ganz auf Audio, allerdings nicht auf Konserven, sondern Live. Für die Nutzung der App benötigt man eine Einladung eines anderen registrierten Nutzers. Die App ist aktuell nur im Apple-Store für iOS-Geräte verfügbar.

Aufgrund der einfachen Bedienbarkeit stellt sich die Frage, ob Clubhouse nicht auch für Unternehmenszwecke eingesetzt werden kann, etwa für Marketingaktionen oder zur internen Kommunikation mit Mitarbeitern. Lässt sich ein „Morning-Briefing“ nicht auch bequem und kostenlos über Clubhouse organisieren? Und wie sieht es rechtlich aus, wenn Mitarbeiter die App nutzen?

Die Nutzung der App ist aus mehreren Gründen problematisch:

1. Zunächst gestattet Clubhouse die Nutzung nur für private Zwecke. Geschäftliche Zwecke sind daher schon nach den Nutzungsbedingungen ausgeschlossen. Viele User nutzen die App aber für Marketingzwecke, um sich mit anderen zu vernetzen und sich über allgemeine berufliche Themen auszutauschen. Bislang ist kein Fall bekannt, dass bestimmte Nutzer deshalb gesperrt wurden.
2. Dennoch ist die Nutzung der App für Unternehmens-Meetings keine gute Idee: Zum einen können an den Audio-Sitzungen auch andere Nutzer als Zuhörer teilnehmen. Zum anderen werden die Sitzungen von Clubhouse temporär aufgezeichnet. Beides ist „Gift“ für geheimhaltungsbedürftige geschäftsinterne Informationen. Eine Teilnahme kann den Schutz von Geschäftsgeheimnissen zunichtemachen.
3.  Hinzu kommen – zumindest gegenwärtig – erhebliche datenschutzrechtliche Bedenken:

• Um Einladungen an Kontakte versenden zu können, ist es erforderlich, Clubhouse Zugriff auf Kontakteinträge zu gewähren. Dafür ist datenschutzrechtlich eine Einwilligung der Betroffenen erforderlich. Diese wird in vielen Fällen fehlen. Jedenfalls müsste vor dem Hochladen einer Kontaktliste jeder einzelne Betroffene um Erlaubnis gefragt werden. Dies ist zwar nicht unmöglich, aber aufwändig. Diese Problematik ist bereits von der WhatsApp-Nutzung bekannt. Es ist aber auch möglich, den Zugriff auf die eigene Kontaktliste zu verweigern. Dann können zwar keine Einladungen verschickt, die App aber im Übrigen genutzt werden.
• Hinter Clubhouse verbirgt sich ein Anbieter mit Sitz in den USA, so dass personenbezogene Daten auf Servern in den USA gespeichert werden. Der EuGH hat im vergangenen Sommer die USA zum datenschutzrechtlich unsicheren Drittstaat erklärt. Das führt zu erhöhten Schutzanforderungen und es ist sehr fraglich, ob Clubhouse diese erfüllen kann. Eine vorformulierte Einwilligung in den Datenschutzbedingungen reicht jedenfalls nicht aus. Bislang wurde auch noch kein Vertreter in der EU benannt, was für US-Unternehmen aber nach der DSGVO erforderlich ist.
• Wie schon erwähnt zeichnet Clubhouse die Audiomitschnitte temporär auf, um Rechtsverletzungen wie beispielsweise Beleidigungen (Stichwort „Hate Speech“) dokumentieren zu können. Wenn sich keine Beanstandungen ergeben, werden die Mitschnitte laut Nutzungsbedingungen nach Beendigung eines Chat-Events gelöscht. Dies erscheint unschlüssig, weil Beschwerden ja auch noch einige Zeit nach Beendigung eines Audio-Chats eingehen können. Unklar ist zudem, ob die Aufzeichnungen nicht eventuell auch für andere Zwecke genutzt werden. Sieht man von diesen Bedenken einmal ab, dürfte Clubhouse aber m.E. ein berechtigtes Interesse haben, Verstöße gegen die Nutzungsbedingungen für einen begrenzten Zeitraum zu dokumentieren. Über erste prominente Fälle wird in den Medien bereits berichtet.
• Ähnlich wie dies in der Vergangenheit schon bei Facebook zu beobachten war, ergibt sich weder aus den Nutzungsbedingungen noch aus der Datenschutzerklärung, inwieweit und zu welchen konkreten Zwecken die personenbezogenen Daten von Clubhouse genutzt werden. Art und Umfang der Verwendung sind wenig transparent und unklar. Aufgrund allgemeiner Angaben muss angenommen werden, dass sämtliche personenbezogene Daten der Nutzer umfassend für Marketingzwecke genutzt und auch an Dritte weitergegeben werden.
• Fraglich ist, ob Unternehmen berechtigt sind, Mitarbeitern die Nutzung der App während der Arbeitszeit zu untersagen. Nutzen die Mitarbeiter ihre eigenen Geräte im Rahmen von Bring Your Own Device – BYOD-Konzepten auch für dienstliche Zwecke, wird man die Nutzung der App nicht generell untersagen können. Wegen der aktuellen datenschutzrechtlichen Bedenken und zum Schutz von Mitarbeiterdaten ist es aber zulässig, die Nutzung der App für dienstliche Zwecke zu verbieten. Entsprechendes gilt erst recht bei der Nutzung von Dienstgeräten, wobei es im Einzelfall aber zulässig sein dürfte, Mitarbeitern die Nutzung der App für private Zwecke zu erlauben, wenn die private Nutzung der Diensthandys in eingeschränktem Umfang erlaubt ist. Wird die Nutzung der App auf einen engen privaten Kreis begrenzt, gilt die DSGVO nach dem sog. „Haushaltsprivileg“ ohnehin nicht.

Es ist zu erwarten, dass Clubhouse – ähnlich wie ZOOM und andere Videokonferenz-Anbieter – noch auf die datenschutzrechtliche Kritik reagiert und nachbessert, weshalb diese rechtlichen Hinweise nur eine Momentaufnahme sind und jeweils eine aktuelle Neubewertung notwendig wird.

Clubhouse hat angekündigt (Stand: 25.01.2021), die App in Kürze auch für Android-Geräte zu öffnen. Unternehmen, die nicht so lange warten wollen oder eine Alternative suchen, können auf andere Drop-In-Audio-Chat-Apps ausweichen. Es empfiehlt sich in jedem Fall aber, die datenschutzrechtliche Zulässigkeit vor deren Einsatz überprüfen zu lassen.