Kategorie: DSGVO

LG Lüneburg unterläuft Datenschutzpanne

11. Februar 2021

Jeden Tag arbeiten Gerichte mit einer regelrechten Flut an Daten. Urteile und Beschlüsse werden der Öffentlichkeit regelmäßig durch die zuständigen Gerichte in entsprechenden Datenbanken zugänglich gemacht. Grundsätzlich werden solch sensible Dokumente vor einer Veröffentlichung anonymisiert und neutralisiert, was in der Praxis bedeutet, dass die Verfahrensbeteiligten und deren Adressen nicht mehr auf dem veröffentlichten Dokument zu sehen sind.

Allerdings ist dem LG Lüneburg bei genau diesem Vorgang ein Fehler unterlaufen. Das Gericht veröffentlichte ein Urteil, das nur auf den ersten Blick geschwärzt wurde. Tatsächlich wurden entsprechende Stellen aber nur schwarz markiert, sodass es möglich war den Text zu kopieren und in einem Textverarbeitungsprogramm einzufügen, um so eine ungeschwärzte Version des Urteils zu erhalten. Durch diese Methode wurden die vollen Namen der Prozessbeteiligten, sowie deren Adressen, für Jedermann sichtbar.

Das besonders pikante an dem Vorfall ist, dass das Urteil ausgerechnet einen DSGVO-Verstoß behandelte. Für eine Stellungnahme gegenüber LTO verwies das LG Lüneburg auf seinen Datenschutzbeauftragten.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

VfB Stuttgart: Bußgeldverfahren eröffnet

9. Februar 2021

In einer Presseerklärung vom 03.02.2021 hat der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg – Stefan Brink – angekündigt, dass aufgrund festgestellter “erheblicher” Datenschutzverstöße ein Bußgeldverfahren gegen den VfB Stuttgart (e.v. und AG) eröffnet wurde. Die Behörde habe über mehrere Monate ermittelt, insbesondere in Bezug auf Datenverarbeitungen, die im Zusammenhang mit der Mitgliederversammlung des Vereins im Jahr 2017 stehen. Aber auch weitere Datentransfers an externe Dienstleister sowie die generelle Umsetzung der DS-GVO standen im Fokus der Behörde. Dabei seien – auch in Kooperation mit den Verantwortlichen des Vereins sowie der AG – hinreichende tatsächliche Anhaltspunkte für Datenschutzverstöße festgestellt worden.

Hintergrund der Ermittlungen

Ausgangspunk der Ermittlungen war ein Bericht des Sportmagazins Kicker, wonach im Vorfeld der fraglichen Mitgliederversammlung wiederholt Mitgliederdaten an Dritte übermittelt wurden. Auf der Mitgliederversammlung wurde darüber entschieden, die Fußballabteilung des e.V. in eine AG auszugliedern. Um für dieses Vorhaben zu werben, soll der Verein mit einer externen PR-Agentur zusammengearbeitet haben. Der Inhaber der Agentur sollte zudem über eine Facebook-Seite eine Empfehlung zur Ausgliederung abgeben, heißt es. An den Inhaber der Agentur sollen zu diesem Zweck im Vorfeld der Mitgliederversammlung verschiedenste Daten der Mitglieder übermittelt worden seien. Nach Angaben des Vereins soll dieser Übermittlung ein Auftragsverarbeitungsvertrag zugrunde gelegen haben, der Kicker äußerte an dieser Darstellung jedoch Zweifel.

Bereits unmittelbar nach Erscheinen des Berichts kündigte Brink an, ein Auskunftsverfahren einzuleiten, um den erhobenen Vorwürfen nachzugehen. Auch der VfB Stuttgart selbst ließ den Sachverhalt extern durch eine Kanzlei untersuchen, wobei aber auch Berichte kursierten, die AG habe versucht, Einfluss auf die Ermittlungen seitens der Kanzlei zu nehmen. Auch sei festgestellt worden, dass zehntausende Mitglieder von den angeblich unzulässigen Datentransfers betroffen gewesen seien.

“Spürbares” Bußgeld droht

Zwar betonte Brink, dem Verein und der AG drohe trotz der ausdrücklich gelobten Kooperation ein “spürbares” Bußgeld, jedoch ereigneten sich die vorgeworfenen Verstöße bereits in den Jahren 2016 und 2017, also noch vor Inkraftreten der DS-GVO mit ihren weitaus gravierenderen Bußgeldmöglichkeiten. Insofern könnte der Imageschaden für den VfB Stuttgart unter Umständen größer sein als der wirtschaftliche Verlust. Mit der Verhängung des Bußgelds soll noch im Februar zu rechnen sein.

Dating-App Grindr erwartet Millionenbußgeld

8. Februar 2021

Die norwegische Datenschutzbehörde “Datatilsynet” hat die Dating-App Grindr frühzeitig über ein Bußgeld in Höhe von 100.000.000 NOK (ca. 9,6 Millionen Euro) informiert.

Vorangegangen war eine Beschwerde des Norwegischen Verbraucherrats “Forbrukerrådet” und dem Europäischen Zentrum für digitale Rechte (noyb). Die Beschwerde richtete sich gegen Grindr sowie fünf weitere Handelspartner der Dating-App.

Die Norwegische Datenschutzbehörde ist der Ansicht, dass Grindr ohne rechtliche Grundlage personenbezogene Daten mit zahlreichen Werbepartnern geteilt hat. Besonders schwerwiegend sei dabei die Tatsache, dass bereits die Nutzung von Grindr einen Einblick in die sexuelle Orientierung des Nutzers gewährleistet. Damit ergibt sich der Anwendungsbereich des Art. 9 DSGVO, welcher einen besonderen Schutz der sensiblen Daten durch den Verantwortlichen voraussetzt.

Den Usern wurde eine effektive Nutzung der App nur unter Zustimmung der Datenschutzbestimmungen gestattet. Auch hatten die Nutzer keine Möglichkeit eine Einwilligung bezüglich der Weitergabe der Daten an Dritte abzugeben. Dies verstößt gegen die Bestimmungen der Datenschutzgrundverordung. Zwar ist Norwegen als Nicht-EU-Mitglied nicht direkt von der DSGVO betroffen, als Mitglied des Europäischen Wirtschaftsraums (EWR) führte es die DSGVO aber trotzdem ein.

Das Bußgeld könnte das höchste in der Geschichte des norwegischen Datenschutzes werden. Zuvor hat Grindr jedoch die Möglichkeit sich zu den erhobenen Vorwürfen zu äußern.

Fahrtenbuchauflage zum Zwecke der Gefahrenprävention zulässig

4. Februar 2021

Im Rahmen eines Beschwerdeverfahrens lag dem OVG Hamburg (Az. 4 Bs 84/20) vor kurzem die Frage vor, ob die mit der Fahrtenbuchauflage (§ 31a StVZO) verfolgten Zwecke der Gefahrenprävention im öffentlichen Interesse im Sinne von Art. 6 Abs. 1 lit. d DSGVO liegen.

Der Sachverhalt

Die Antragsstellerin betreibt eine gewerbliche Autovermietung und verfügt dementsprechend über eine Vielzahl an Autos, die auf sie zugelassen sind. Mit einem dieser Autos wurde in der Vergangenheit die zulässige Höchstgeschwindigkeit von 30 km/h um 25 km/h überschritten. Als Folge dieses Geschwindigkeitsverstoßes erhielt die Antragsstellerin einen Zeugenfragebogen und ein, bei der automatischen Geschwindigkeitsmessung aufgenommenes, Frontfoto der Fahrerin. Hierzu gab die Antragsstellerin an, das Fahrzeug zum Tatzeitpunkt nicht vermietet zu haben und die Fahrerin auch nicht zu erkennen. Die zuständige Ordnungsbehörde ordnete der Antragsstellerin darauhin an, ein Fahrtenbuch für das verwendete Auto über einen Zeitraum von 6 Monaten zu führen.

Die Zulässigkeit der Fahrtenbuchauflage

Nach Auffassung der Antragstellerin ist die Auflage ein Fahrtenbuch zu führen unverhältnismäßig und rechtswidrig. Das Erheben von Nutzungsdaten über die Fahrzeuge stelle einen Verstoß gegen die DSGVO dar.

Anderer Ansicht ist jedoch das OVG Hamburg. Bei einem Sacherverhalt wie im vorliegenden Fall, kann eine Datenerhebung durch Art. 6 Abs. 1 lit. e) DSGVO legitimiert sein. Danach kann eine Datenverarbeitung rechtmäßig sein, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt.

Die Voraussetzung des öffentlichen Interesses sieht das OVG Hamburg als erfüllt an, “weil die Fahrtenbuchauflage eine Maßnahme zur vorbeugenden Abwehr von Gefahren für die Sicherheit und Ordnung des Straßenverkehrs ist. Mit ihr soll dafür Sorge getragen werden, dass künftig die Feststellung des Fahrzeugführers nach einer Zuwiderhandlung gegen Verkehrsvorschriften ohne Schwierigkeiten möglich ist.”

Kategorien: Allgemein · DSGVO
Schlagwörter: ,

Bundesnetzagentur verhängt Bußgeld gegen den Betreiber “Cell it!” GmbH&Co. KG wegen unerlaubter Telefonwerbung

3. Februar 2021

Das Call-Center “Cell it!” hatte im Auftrag des Mobilfunkanbieters Mobilcom-Debitel Abonnements für Hörbücher, Versicherungen, Sicherheitssoftwares und Zeitschriften verkauft und zuvor unerlaubt Telefonwerbung für diese Produkte betrieben. Die Betroffenen erhielten dabei im Nachgang des Telefonats Zusatzdienstleistungen in Rechnung gestellt, die sie nicht bestellt hatten. Auch für den Pay-TV Anbieter Sky Deutschland hatte “Cell it!” versucht, telefonisch Neukunden zu akquirieren, obwohl die Betroffenen zuvor keine Werbeeinwilligung abgegeben oder diese sogar ausdrücklich widerrufen hatten. “Cell it!” hatte dafür Adresskontingente bei Adresshändlern eingekauft. 

“Cell it!” verstößt demnach mehrfach gegen Art. 6 DSGVO sowie gegen § 7 Abs. 2 und 3 UWG. Auch wenn Direktwerbung von dem in Art. 6 Abs. 1 S. 1 lit. f DSGVO genannten berechtigen Interesse gedeckt sein kann, wird dies durch das Gesetz gegen den unlauteren Wettbewerb eingegrenzt. So liegt eine unzumutbare Belästigung gegenüber Verbrauchern nach § 7 Abs. 2 Nr. 2 UWG vor, wenn Werbung durch einen Telefonanruf ohne die vorherige ausdrückliche Einwilligung des Verbrauchers erfolgt. Aufgrund dessen verhängte die Bundesnetzagentur gegen “Cell it!” GmbH&Co. KG ein Bußgeld in Höhe von 145.000 Euro.

Auch gegen die beiden beteiligten Unternehmen Mobilcom-Debitel und Sky Deutschland verhängte die Bundesnetzagentur Bußgelder. “Wir ahnden unerlaubte Telefonwerbung und gehen konsequent gegen alle beteiligten Unternehmen vor“, so Jochen Hamann, Präsident der Bundesnetzagentur.

LG Lüneburg: Bank muss wegen Schufa-Eintrag Schadensersatz von 1.000 Euro zahlen

Wie nun bekannt wurde, hat das Landgericht Lüneburg mit Urteil vom 14.07.2020, Az. 9 O 145/19 eine Bank zur Zahlung von Schadensersatz in Höhe von 1.000 EUR verurteilt. Für die Richter lag ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) vor, weil die Bank eine Kontoüberziehung ihres Bankkunden in Höhe von 20 Euro zu Unrecht einer Kredit-Auskunftei, der Schufa Holding AG (nachfolgend Schufa) meldete.

Sachverhalt:

Der Kläger unterhielt bei der Beklagten, einer größeren Bank, ein Girokonto. Auf dem Konto wurde dem Kläger auch ein Dispositionskredit über 1.000 Euro zur Verfügung gestellt. Dieser Dispositionskredit wurde von der Bank unter Berufung auf die Allgemeinen Geschäftsbedingungen (AGB) aus wichtigem Grund gekündigt. Zu diesem Zeitpunkt überschritt der Kläger den ihm eingeräumten Dispokredit um 20 Euro, der Sollsaldo betrug mithin 1.020 Euro. Nach Erhalt der Kündigung glich der Kläger die überzogenen 20 Euro aus, so dass das Konto des Klägers einen Sollsaldo von 999,99 Euro auswies. Weitere Verfügungen über das Konto wurden nicht mehr zugelassen. Nachdem es in der Folge mehrere Lastschriftrückgaben gab, kündigte die Beklagte sodann auch die Kontoverbindung des Klägers aus wichtigem Grund und stütze sich dabei auf einen Kündigungsgrund innerhalb ihrer AGB. Dabei setzte sie dem Kläger eine Frist zur Rückzahlung des bestehenden Schuldsaldos inklusive Zinsen. Dieser Fristsetzung kam der Kläger nach und beglich den noch offenen Sollsaldo, vor Ablauf der Frist hatte die Bank aber bereits bei der Schufa eine Negativ-Einmeldung i.H.v. 1.020 Euro veranlasst.

Dagegen erhob der Kläger Klage vor dem Landgericht Lüneburg und beantrage unter anderem den Widerruf dieser Einmeldung sowie die Zahlung eines Schmerzensgeldes.

Entscheidung:

Das Gericht gab dem Kläger teilweise Recht und verurteilte die Beklagte zum Widerruf der von ihr veranlassten Datenübermittlung an die Schufa sowie zur Zahlung eines Schadensersatzes.

Dabei hielt es einen Anspruch auf Ersatz eines immateriellen Schadens in Gestalt eines Schmerzensgeldes nach Art. 82 Abs. 1 DSGVO in Höhe von 1.000 Euro für angemessen. Den immateriellen Schaden begründete es vorliegend mit dem Kontrollverlust des Klägers über seine personenbezogenen Daten. Durch die Übermittlung der Daten an die Schufa habe die Beklagte, so das Gericht, personenbezogene Daten an einen unbeteiligten und unberechtigten Dritten weitergegeben. Dadurch sei der Kläger bloß gestellt worden und es drohe zudem mittelbar eine potenzielle Stigmatisierung, die durch einen Eintrag bei der Schufa entstehen könne. Das Gericht führte weiter aus, dass es sich bei den an die Schufa übermittelten Daten um schützenswerte und sensible Daten des Klägers handle, die maßgeblichen negativen Einfluss auf seine Teilnahme am wirtschaftlichen Verkehr haben können, indem ihm Kredite oder Verträge aufgrund der Eintragung versagt werden können. Auch Grundrechte wie die Berufsfreiheit und die allgemeine Handlungsfreiheit können durch eine solche Eintragung beeinträchtigt werden.

Vorliegend sah das Gericht daher das Interesse des Klägers, dass seine Daten nicht an die Schufa gemeldet werden und gegebenenfalls durch unbekannte Dritte eingesehen werden können, als besonders schützenswert an. Ein berechtigtes Interesse der Beklagten an der Datenübermittlung an die Schufa, verneinte das Gericht. Im Rahmen der Interessenabwägung, stütze es seine Abwägungskriterien auf § 31 Abs. 2 Nr. 4 Bundesdatenschutzgesetz (BDSG). Die Voraussetzungen des § 31 Abs. 2 Nr. 4 BDSG, wonach der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden sein; die erste Mahnung mindestens vier Wochen zurückliegen; der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichten worden sein muss und der Schuldner die Forderung nicht bestritten haben darf, lagen nach Ansicht des Gerichts nicht vor. Damit lag für das Gericht ein Indiz für die Rechtswidrigkeit der Datenübermittlung an die Schufa vor.

Ausblick:

Die Besonderheit dieses Falles liegt wohl darin, dass obwohl das Landgericht die Beeinträchtigung des Klägers als eher gering einschätzte und die Negativeintragung nur 14 Tage bestand, es dem Kläger einen Schadensersatz in Höhe von 1.000 Euro zusprach. Zudem hielt das Gericht vorliegend – anders als viele andere Gerichte – auch eine Erheblichkeitsschwelle bei einem immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO für nicht geboten, sondern wollte auch einen Bagatellschäden entschädigt sehen.

Es bleibt daher abzuwarten, welche Signalwirkung dieses Urteil auf andere Gerichte hat und wie die Gerichte bei einem länger andauernden Datenschutzverstoß entscheiden werden.

Landgericht Stuttgart: Voraussetzungen und Umfang eines Auskunftsersuchens gegen den Versicherer

31. Januar 2021

Vergangenen November urteilte das Langreicht Stuttgart über eine Klage gegen eine Versicherung (04.11.2020 – 18 O 333/19).

In dem Verfahren begehrte die Klägerin Auskunft gem. Art. 15 Absatz 1 DS-GVO über diverse Daten und Informationen bezüglich eines Versicherungsvertrags, um anhand dieser Informationen prüfen zu können, ob sie ein „ewiges Widerrufsrecht“ geltend machen könne. Dabei ging es um Auskünfte zu verschiedenen Daten, wie zum Beispiel sämtliche Gesundheitsdaten zu ihrer Person, das Datum, an dem sie bei der Beklagten den Antrag auf Versicherung gestellt hatte, Beitragsdynamikplan inkl. Rhythmus für sie, Höhe der ersten gezahlten Raten u.v.m. und beantragte Kopien dieser Informationen nebst weiterer Unterlagen.

Das Gericht stellte fest, dass die Geltendmachung des datenschutzrechtlichen Auskunftsanspruchs ausdrücklich der Prüfung diene, ob die Klägerin ein solches „ewiges Widerrufsrecht“ geltend machen könne und welche wirtschaftlichen Konsequenzen sich hieraus ergeben würden.

Für einen Anspruch sei es erforderlich, dass in den Informationen eine Aussage über die betroffene Person getroffen wird bzw. werden kann. Ein Anspruch auf allumfassende Auskunft und Kopie sämtlicher vorhandener Daten sei mit dem Sinn und Zweck des datenschutzrechtlichen Auskunftsanspruchs nicht vereinbar. Nach dem Erwägungsgrund EWG DS-GVO Nummer 63 DS-GVO, diene das Auskunftsrecht aus Art. 15 DS-GVO dem Betroffenen vielmehr dazu, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. So solle Art. 15 DS-GVO eine Rechtmäßigkeitskontrolle der Datenverarbeitungsvorgänge ermöglichen und auf dieser Basis könne dann eine Entscheidung über die weitere Verwendung, d.h. das „Schicksal der Daten“, wie ihre Löschung oder Sperrung getroffen werden. Der Betroffene soll so den Umfang und Inhalt der gespeicherten Daten beurteilen können. Die Auskünfte dienen auch dazu, der betroffenen Person die Wahrnehmung der weiteren Rechte nach der Datenschutzgrundverordnung zu ermöglichen.

Somit sei der Auskunftsanspruch seiner Rechtsnatur nach ein Hilfsanspruch in Bezug auf einen Hauptanspruch, nämlich in Bezug auf die weiteren datenschutzrechtlichen Rechte.

Vorlage zum Europäischen Gerichtshof: Einführung von Livestream-Unterricht an Schulen

Das Verwaltungsgericht Wiesbaden hat mit Beschluss vom 21.12.2020 bezüglich der Einführung eines Livestream-Unterrichtes den Gerichtshof der Europäischen Union angerufen. Gegenstand des Verfahrens vor dem Verwaltungsgericht ist die Frage, ob es bei dieser Form des Unterrichtes neben der Einwilligung der Eltern für ihre Kinder oder der volljährigen Schüler auch der Einwilligung der jeweiligen Lehrkraft bedarf.

Die zuständige Fachkammer entschied (Az.: 23 K 1360/20.WI), dem Gerichtshof die Frage vorzulegen, ob eine Vorschrift bestimmte inhaltliche Anforderungen der DSGVO erfüllen müsse, um eine „spezifische Vorschrift“ im Sinne der DSGVO zu sein. Zudem sei zu klären, ob eine nationale Norm, wenn sie diese Anforderungen offensichtlich nicht erfülle, trotzdem noch anwendbar bleiben könne.

Von der Klärung dieser Frage hänge ab, ob die hessischen Vorschriften zum Datenschutz die Anforderungen der DSGVO erfüllten und ob diese Normen trotz eines möglichen Verstoßes anwendbar blieben, so das Gericht.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

DS-GVO in Drittstaaten nicht durchsetzbar? noyb klagt gegen Aufsichtsbehörde aus Luxemburg

27. Januar 2021

Die Datenschutz-Grundverordnung (DS-GVO) findet unter bestimmten Bedingungen auch auf Unternehmen Anwendung, die ihren Sitz außerhalb der EU bzw. des EWR, also in sog. Drittstaaten haben. Insbesondere wenn diese ihre Waren oder Dienstleistungen auch gegenüber Kunden anbieten, die sich innerhalb der EU bzw. des EWR aufhalten, unterliegen diese Unternehmen den europäischen Datenschutzbestimmungen (Art. 3 Abs. 2 DS-GVO). Insbesondere um solche Unternehmen effektiv kontrollieren zu können, müssen diese nach Art. 27 DS-GVO einen Vertreter in der Union benennen.

Keine wirksamen Durchsetzungsmöglichkeiten gegen Unternehmen aus Drittstaaten?

Adressat von zwei Beschwerden vor der luxemburgischen Datenschutzbehörde CNPD waren zwei solcher Unternehmen, die zwar personenbezogene Daten des Beschwerdeführers aus Luxemburg verarbeiteten, auf die Geltendmachung der Betroffenenrechte (Art. 15 sowie Art. 17 DS-GVO) jedoch nicht reagierten. Dennoch wies die CNPD – trotz Bestätigung der Anwendbarkeit der DS-GVO – die Beschwerde ab, mit der Begründung, wegen der fehlenden Vertretung in der Union seien keine wirksamen Durchsetzungsmaßnahmen zu erwarten.

noyb: Sehr wohl Durchsetzungsmöglichkeiten vorhanden

Gegen diese Entscheidung hat der Beschwerdeführer in Zusammenarbeit mit der NGO noyb – vor allem bekannt durch Mitgründer Max Schrems – Berufung eingelegt. Würde sich die luxemburgische Datenschutzbehörde weigern, Verstöße gegen die DS-GVO durch Unternehmen aus Drittstaaten zu verfolgen, würde dies die vorgesehene internationale Anwendung der Verordnung untergraben, so noyb in der Stellungnahme. Außerdem würde dies zu einem Wettbewerbsvorteil nicht-europäischer Unternehmen führen, welche sich nicht um die Einhaltung von europäischen Datenschutzvorschriften bemühen müssten. Auch wird verneint, dass keine effektiven Durchsetzungsmaßnahmen gegen Unternehmen aus Drittstaaten bestünden. So sei es durchaus möglich, Vermögenswerte in der Union – auch bei Dritten – einzufrieren oder gar Webseiten sperren zu lassen. Klagen von Betroffenen nur deswegen abzuweisen, weil die Durchsetzung von Maßnahmen aufwändig oder mit Hindernissen verbunden ist, sei nicht hinnehmbar.

noyb pocht auf effektive Durchsetzung der DS-GVO

Gleichzeitig kündigte noyb an, dass dieser Berufung noch weitere Klagen folgen könnten, die sich gegen untätige Aufsichtsbehörden richten. Es sei wichtig sicherzustellen, dass die DS-GVO durch die zuständigen Aufsichtsbehörden effektiv durchgesetzt wird, auch gegenüber Unternehmen aus Drittstaaten. Andernfalls bestünden die Grundrechte von betroffenen Personen, die durch die DS-GVO geschützt werden sollen, nur noch auf dem Papier.

Der fragliche Datenschutz im Clubhouse

Clubhouse ging in den USA bereits im März 2020 an den Start und steckt aktuell noch im Beta-Stadium. Bereitgestellt wird die App von dem US-Unternehmen Alpha Exploration Co. Inzwischen hat sie einen Wert von schätzungsweise 100 Millionen US-Dollar. Die Idee stammt von dem Stanford-Absolventen und ehemaligen Pinterest-Mitarbeiter Paul Davison und dem ehemaligen Google-Mitarbeiter Rohan Seth. In Deutschland wurde die App bis Anfang Januar 2021 kaum genutzt, bis einige deutsche Influencer auf der Plattform aktiv wurden. Nach eigenen Angaben ist der Dienst so konzipiert, dass Benutzer audiobasierte Unterhaltungen mit Freunden und anderen Menschen auf der ganzen Welt führen können. Vor kurzem war die App die meist heruntergeladene iOS-Anwendung in Deutschland. In den Diskussionsräumen diskutieren zunehmend bekannte Persönlichkeiten aus Wirtschaft, Politik, Medien und Sport.

Funktion

Clubhouse ist eine Anwendung, bei der sich die User Gespräche anhören und sich dabei auch aktiv an Diskussionen beteiligen können. Neben den öffentlichen Diskussionen bietet die App auch die Möglichkeit zur Diskussion in geschlossenen Gruppen. Die Diskussionsräume sind mit virtuell gestalteten Podiumsdiskussionen vergleichbar.

Die Moderatoren sprechen in den Räumen live über bestimmte Themen und die Zuhörer können dann dem virtuellen Raum beitreten. Die Teilnehmenden sind zunächst stumm geschaltet und können durch die Moderatoren zum Gespräch freigeschaltet werden. Darüber hinaus können die Moderatoren die Teilnehmer auch stumm schalten oder auch aus dem jeweiligen Raum auszuschließen.

Bisher kann die App nur auf iOS Geräten verwendet werden. Auch wenn sie schon im App Store zum Download bereitsteht, so wird für die Nutzung des erstellten Accounts eine Einladung von einem aktiven Anwender benötigt. Durch dieses Marketing-Konzept der künstlichen Verknappung sind Einladungen zurzeit noch sehr begehrt. Aktuell werden sie sogar zum Kauf auf Online-Auktionsplattformen angeboten.

Hinsichtlich des Datenschutzes ist die Nutzung der Anwendung nicht unbedenklich. Die Datenschutzkonferenz von Bund und Ländern (DSK) konnte sich mit dem Dienst bisher noch nicht detailliert befassen. Insofern steht eine Stellungnahme derzeit noch aus.

Zugriff auf Kontakte

Schon die Registrierung ist aus datenschutzrechtlicher Sicht bedenklich. Die dafür notwendige Einladung erfolgt über das Adressbuch des einladenden Nutzers. Das führt dazu, dass die eigenen Kontakte auf dem Smartphone mit Clubhouse geteilt werden müssen. Dabei ist es problematisch, dass die Kontaktdaten von Personen, die noch nicht bei Clubhouse registriert sind, ohne deren Einwilligung an das Unternehmen übermittelt werden. Diese Vorgehensweise wurde auch schon bei der Einführung von WhatsApp heftig kritisiert, da rechtlich gesehen jeder Kontakt zuvor um Erlaubnis gefragt werden müsste, bevor die personenbezogenen Daten verarbeitet werden können. Auf diese Weise kann Alpha Exploration persönliche Daten von Kontakten sammeln, die zuvor nicht in eine Verarbeitung einwilligten und auch die App nicht nutzen. Durch ein solches Auslesen von Kontakten ließe sich das soziale Umfeld von Nutzern weitgehend ausspionieren.

Die Frage nach der Rechtmäßigkeit dieses Vorgehens liegt aktuell der irischen Datenschutzbehörde zur Entscheidung vor. Baden-Württembergs Landesdatenschutzbeauftragter Stefan Brink sieht dieses Vorgehen äußerst kritisch. Es sei nicht auszuschließen, dass Clubhouse neben den Telefonnummern auch E-Mail-Adressen und Wohnadressen der Kontakte auslesen würde, sofern diese hinterlegt wären. Des Weiteren habe es ein erhebliches Verführungspotenzial, wenn man die App im vollen Umfang nutzen wolle und dafür nur schnell die Kontakte freigeben müsse, so Stefan Brink. Nach seiner Auffassung könnten die Nutzer rechtswidrig handeln, wenn sie der App Zugriff auf ihre Kontakte geben.

Nach der Aktivierung fordert die App dann auch beim neuen Nutzer Zugriff auf sämtliche Einträge im Adressbuch des verwendeten Smartphones. Auch bei der Anmeldung über einen Social-Media-Account behält sich Clubhouse den Zugang für Follower und Freundeslisten vor. Es ist nicht ersichtlich, in welcher Form und für welche Zwecke die dabei erhobenen Kontakt- und Accountinformationen Dritter in den USA verarbeitet werden.

Audiomitschnitte

Nach eigenen Angaben werden Audiomitschnitte ausschließlich zur Unterstützung der Untersuchung von Vorfällen aufgezeichnet. Temporäre Audioaufzeichnungen werden dabei verschlüsselt. Sollten diese Angaben so zutreffen, könnte sich Clubhouse bei den Aufzeichnungen auf die “Wahrung berechtigter Interessen” gemäß Art. 6 Abs. 1 lit. f DSGVO berufen. Hierbei muss jedoch beachtet werden, dass auch temporäre Aufzeichnungen auf den US-Servern des Unternehmens gespeichert werden und somit ein Zugriff Dritter nicht ausgeschlossen werden kann. Darüber hinaus fehlen auch Angaben über die Existenz einer Transportverschlüsselung.

Schattenprofile

Es deutet einiges darauf hin, dass zusätzlich zum Abfragen der Kontaktdaten nichtbeteiligter Dritter, vom Anbieter für diese auch Schattenprofile angelegt werden, selbst wenn sie die Plattform bisher nicht nutzen. Dies dürfte im Widerspruch zu den Betroffenenrechten der DSGVO stehen.

Identifizierung

Das gesamte Netzwerk einer Person ist für alle Nutzer weitgehend einsehbar. Das gilt auch für die Mitglieder innerhalb der verschiedenen Räume. Das kann dann von Vorteil sein, wenn beispielsweise die Nutzer gegen die Nutzungsbedingungen oder auch allgemeinen Gesetze verstoßen, da das Gesprochene, über den Klartextnamen, so schnell einer Person zugeordnet werden kann. Dadurch findet auch eine gewisse Selbstkontrolle statt, da andere Nutzer Verstöße melden können. Es könnte jedoch problematisch sein, wenn Nutzer innerhalb des betroffenen Netzwerks fälschlicherweise mit Äußerungen anderer Nutzer assoziiert werden. Wie auch bei anderen Netzwerken gab es auch bei Clubhouse schon Fälle von Diskriminierung und Rassismus.

Transparenz

In den Terms of Service (AGB) und der Privacy Policy (Datenschutzerklärung) von Clubhouse wird die DSGVO nicht erwähnt. Auch eine Adresse für Datenschutzauskünfte in der EU existiert nicht. Diese ist jedoch zwingend erforderlich, da auch die personenbezogenen Daten von EU-Bürgern verarbeitet werden (Marktortprinzip).

Laut Datenschutzerklärung gibt es bei der Version für das Smartphone eventuell keine Möglichkeit, das Tracking zu unterbinden. Somit kann nicht völlig ausgeschlossen werden, dass eine Profilbildung der Nutzer stattfindet.

Auch die Empfänger der personenbezogenen Daten werden nicht transparent dargestellt. Zwar werden nach offiziellen Angaben keine Daten an Geschäftspartner verkauft, der folgende Absatz der Datenschutzerklärung deutet jedoch auf Gegenteiliges hin.

    „We may share Identification Data and Internet Activity Data with social media platforms and other advertising partners that will use that information to serve you targeted advertisements on social media platforms and other third party websites – under certain regulations such sharing may be considered a “sale” of Personal Data“

Fazit

Zu diesem Zeitpunkt ist es trotz des schnellen Wachstums nur schwer zu prognostizieren, wie sich Clubhouse innerhalb der EU in Zukunft entwickeln wird. Es scheint, als würde man die Datenschutzerklärung bewusst vage halten. Schon jetzt liegen wohl Verstöße gegen die DSGVO vor. Es bleibt somit abzuwarten, wie die europäischen Datenschutzbehörden darauf reagieren werden.

1 18 19 20 21 22 32