Die Hype-App Club­hou­se lockt neue Nut­zer in Scha­ren an, auch immer mehr Fir­men wol­len sie für ihre Zwecke nut­zen. Das kann jedoch sehr schnell zu einem Buß­geld wegen Ver­stö­ßen gegen Daten­schutz­vor­ga­ben wie die DSGVO führen.

Der Hype um Club­hou­se wird immer grö­ßer, spä­te­stens mit dem bald erwar­te­ten Erschei­nen der Android-Ver­si­on wird die Audio-Chat-App sich wohl end­gül­tig zu einem Mas­sen­phä­no­men ent­wickeln. Nicht nur Pri­vat­per­so­nen wol­len rat­schen, mit­dis­ku­tie­ren und zuhö­ren, auch zahl­rei­che Unter­neh­men, Poli­ti­ker und Mar­ke­ting-Pro­fis haben die App längst im Blick und ver­su­chen sie für sich zu nut­zen. Manch einer geht das vor lau­ter Eile aller­dings viel zu kopf­los an. Einer­seits inhalt­lich, indem er sich von der schein­bar unge­zwun­ge­nen Plap­per-Atmo­sphä­re zu all­zu unbe­dach­ten Aus­sa­gen hin­rei­ßen lässt, wie jüngst Thü­rin­gens Mini­ster­prä­si­dent Bodo Rame­low. All­zu schnell wer­den in den Gesprächs­run­den pri­va­te oder unter­neh­me­ri­sche Geheim­nis­se aus­ge­plau­dert sowie über­mü­ti­ge Aus­sa­gen in die Welt gesetzt, die im Ernst­fall sogar straf­recht­li­che Kon­se­quen­zen haben könn­ten. Wer sich hier geschäft­li­chen Kon­text bewegt, soll­te sich bei aller Locker­heit und trotz der ver­meint­li­chen Unsicht­bar­keit auch demen­spre­chend seri­ös verhalten.

Ande­rer­seits bie­tet Club­hou­se gera­de für Busi­ness-Nut­zer auch auf recht­li­cher und tech­ni­scher Sei­te gefähr­li­che Fall­stricke, ins­be­son­de­re was den Daten­schutz angeht. Das beginnt bereits auf Sei­ten des Anbie­ters, der bis­lang weder die Bedin­gung einer

deut­schen Daten­schutz­er­klä­rung erfüllt, noch ein Impres­sum angibt. Dar­über hin­aus haben Sicher­heits­for­scher schwe­re Lücken in der App auf­ge­deckt, über die sich Chats und Teil­neh­mer mani­pu­lie­ren und abhö­ren aber auch Mal­wa­re ein­schleu­sen las­sen. Durch die Koope­ra­ti­on mit dem chi­ne­si­schen Anbie­ter Ago­ra, der haupt­säch­lich für den Chat-Teil der Soft­ware ver­ant­wort­lich ist, lan­den Nut­zer­da­ten und Gesprä­che auch auf Ser­vern in Chi­na, wie Secu­ri­ty-Fach­leu­te bereits nach­wei­sen konnten.

Im Zen­trum der recht­li­chen Gefah­ren für Unter­neh­men steht jedoch die Ein­la­dungs­funk­ti­on, mit der Club­hou­se gezielt eine künst­li­che Ver­knap­pung schafft und so den Hype geschickt anfacht. Um selbst ande­re Mit­glie­der mit den begehr­ten »Invi­tes« ver­sor­gen zu kön­nen, müs­sen die Nut­zer dem Dienst zuerst Zugriff auf ihr Adress­buch gewäh­ren. Was im pri­va­ten Kon­text nor­ma­ler­wei­se kein gro­ßes Pro­blem ist, wird im beruf­li­chen Umfeld zur Gefahr.

Denn die Daten der Kon­tak­te aus dem Adress­buch wer­den von der App auf die Ser­ver des Anbie­ters in den USA her­un­ter­ge­la­den und dort ana­ly­siert sowie zudem mit Ago­ra geteilt. Danach folgt ein regel­mä­ßi­ger Abgleich, über den sich auch die ent­stan­de­nen Bezie­hun­gen inner­halb der App ver­fol­gen lassen.

Auch wenn der Anbie­ter wenig glaub­wür­dig beteu­ert, es wür­den hier­zu ein­zig die Tele­fon­num­mern benö­tigt, ist das nach Ansicht der mei­sten Daten­schüt­zer schon eine Wei­ter­ga­be und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Sin­ne der DSGVO. Die wie­der­um setzt vor­aus, dass zumin­dest von jedem ein­zel­nen betrof­fe­nen geschäft­li­chen Kon­takt, der nicht selbst die Bedin­gun­gen der App akzep­tiert hat, eine schrift­li­che Ein­ver­ständ­nis­er­klä­rung für den Vor­gang vor­liegt. Hin­zu kommt, dass bis­her nicht klar ist, ob der Anbie­ter zumin­dest die Vor­ga­ben des EU-US Pri­va­cy Shield erfüllt.

Sau­be­re Tren­nung pri­va­ter und beruf­li­cher Nut­zungs­be­rei­che erforderlich

Dabei spielt es aus Sicht des Daten­schut­zes kei­ne Rol­le, ob es sich um ein pri­va­tes Gerät oder ein Fir­men-Smart­pho­ne han­delt. Was zählt, ist ein­zig die Art der Kon­tak­te und Daten. Um einen ent­spre­chen­den Ver­stoß zu bege­hen, reicht es also schon, wenn auf dem pri­va­ten Smart­pho­ne nur ein ein­zi­ger Arbeits­kon­takt abge­legt ist, des­sen Daten unge­fragt an Club­hou­se gehen. Umso grö­ßer wird die Gefahr dem­entspre­chend, wenn das Gan­ze auf für bei­de Zwecke genutz­ten oder gar Fir­men­ge­rä­ten statt­fin­det und gan­ze geschäft­li­che Kon­takt­li­sten betrof­fen sind.

Die Fir­men ste­hen bei Club­hou­se somit erneut vor ähn­li­chen Pro­ble­men wie schon bei Whats­app. Gera­de die Vor­be­din­gung der schrift­li­chen Ein­ver­ständ­nis­er­klä­rung aller Kon­tak­te lässt sich in der Pra­xis nicht erfül­len. Theo­re­tisch lässt sich das zwar bei Club­hou­se – zumin­dest der­zeit noch – umge­hen, indem vor der ersten Nut­zung die Invi­te-Opti­on deak­ti­viert wird. Da sich das bei der pri­va­ten Nut­zung von Club­hou­se im Unter­neh­mens­um­feld aber kaum durch­set­zen lässt, ist hier eine strik­te Tren­nung der Kon­ten, Daten und Kon­tak­te gebo­ten. Ent­we­der phy­sisch, indem es eige­ne Gerä­te für Busi­ness und Pri­va­tes gibt. Oder tech­nisch, indem es zwei getrenn­te Kon­ten und Berei­che dafür auf einem Gerät gibt, sei es nun ein geschäft­li­ches oder im Rah­men von BYOD genutz­tes Smartphone.

Man­che Her­stel­ler wie Sam­sung bie­ten ent­spre­chen­de Lösun­gen an, der Königs­weg ist jedoch Mobi­le Device Manage­ment (MDM). Des­sen Kern sind eine kla­re Stra­te­gie und eine Lösung mit der ihre Vor­ga­ben auch über die Tren­nung hin­aus umge­setzt wer­den kann. Dazu emp­fiehlt Jan Dzu­lko, der mit Ever­pho­ne Abo-Kom­plett­pa­ke­te für Fir­mens­mart­pho­nes (Pho­ne-as-a-Ser­vice) anbie­tet, strik­te Trenn­li­ni­en. »Bei unse­ren Kun­den haben wir vor­ge­sorgt. Stan­dard­mä­ßig kön­nen kri­ti­sche Apps nur im pri­va­ten Bereich instal­liert und genutzt wer­den. Das rate ich allen Unter­neh­men, um DSGVO-Pro­ble­me und auch saf­ti­ge Buß­gel­der zu vermeiden.«