Gefahr durch Clubhouse auf BYOD-Geräten und Diensthandys
Die Hype-App Clubhouse lockt neue Nutzer in Scharen an, auch immer mehr Firmen wollen sie für ihre Zwecke nutzen. Das kann jedoch sehr schnell zu einem Bußgeld wegen Verstößen gegen Datenschutzvorgaben wie die DSGVO führen.
Der Hype um Clubhouse wird immer größer, spätestens mit dem bald erwarteten Erscheinen der Android-Version wird die Audio-Chat-App sich wohl endgültig zu einem Massenphänomen entwickeln. Nicht nur Privatpersonen wollen ratschen, mitdiskutieren und zuhören, auch zahlreiche Unternehmen, Politiker und Marketing-Profis haben die App längst im Blick und versuchen sie für sich zu nutzen. Manch einer geht das vor lauter Eile allerdings viel zu kopflos an. Einerseits inhaltlich, indem er sich von der scheinbar ungezwungenen Plapper-Atmosphäre zu allzu unbedachten Aussagen hinreißen lässt, wie jüngst Thüringens Ministerpräsident Bodo Ramelow. Allzu schnell werden in den Gesprächsrunden private oder unternehmerische Geheimnisse ausgeplaudert sowie übermütige Aussagen in die Welt gesetzt, die im Ernstfall sogar strafrechtliche Konsequenzen haben könnten. Wer sich hier geschäftlichen Kontext bewegt, sollte sich bei aller Lockerheit und trotz der vermeintlichen Unsichtbarkeit auch demensprechend seriös verhalten.
Andererseits bietet Clubhouse gerade für Business-Nutzer auch auf rechtlicher und technischer Seite gefährliche Fallstricke, insbesondere was den Datenschutz angeht. Das beginnt bereits auf Seiten des Anbieters, der bislang weder die Bedingung einer
deutschen Datenschutzerklärung erfüllt, noch ein Impressum angibt. Darüber hinaus haben Sicherheitsforscher schwere Lücken in der App aufgedeckt, über die sich Chats und Teilnehmer manipulieren und abhören aber auch Malware einschleusen lassen. Durch die Kooperation mit dem chinesischen Anbieter Agora, der hauptsächlich für den Chat-Teil der Software verantwortlich ist, landen Nutzerdaten und Gespräche auch auf Servern in China, wie Security-Fachleute bereits nachweisen konnten.
Im Zentrum der rechtlichen Gefahren für Unternehmen steht jedoch die Einladungsfunktion, mit der Clubhouse gezielt eine künstliche Verknappung schafft und so den Hype geschickt anfacht. Um selbst andere Mitglieder mit den begehrten »Invites« versorgen zu können, müssen die Nutzer dem Dienst zuerst Zugriff auf ihr Adressbuch gewähren. Was im privaten Kontext normalerweise kein großes Problem ist, wird im beruflichen Umfeld zur Gefahr.
Denn die Daten der Kontakte aus dem Adressbuch werden von der App auf die Server des Anbieters in den USA heruntergeladen und dort analysiert sowie zudem mit Agora geteilt. Danach folgt ein regelmäßiger Abgleich, über den sich auch die entstandenen Beziehungen innerhalb der App verfolgen lassen.
Auch wenn der Anbieter wenig glaubwürdig beteuert, es würden hierzu einzig die Telefonnummern benötigt, ist das nach Ansicht der meisten Datenschützer schon eine Weitergabe und Verarbeitung personenbezogener Daten im Sinne der DSGVO. Die wiederum setzt voraus, dass zumindest von jedem einzelnen betroffenen geschäftlichen Kontakt, der nicht selbst die Bedingungen der App akzeptiert hat, eine schriftliche Einverständniserklärung für den Vorgang vorliegt. Hinzu kommt, dass bisher nicht klar ist, ob der Anbieter zumindest die Vorgaben des EU-US Privacy Shield erfüllt.
Saubere Trennung privater und beruflicher Nutzungsbereiche erforderlich
Dabei spielt es aus Sicht des Datenschutzes keine Rolle, ob es sich um ein privates Gerät oder ein Firmen-Smartphone handelt. Was zählt, ist einzig die Art der Kontakte und Daten. Um einen entsprechenden Verstoß zu begehen, reicht es also schon, wenn auf dem privaten Smartphone nur ein einziger Arbeitskontakt abgelegt ist, dessen Daten ungefragt an Clubhouse gehen. Umso größer wird die Gefahr dementsprechend, wenn das Ganze auf für beide Zwecke genutzten oder gar Firmengeräten stattfindet und ganze geschäftliche Kontaktlisten betroffen sind.
Die Firmen stehen bei Clubhouse somit erneut vor ähnlichen Problemen wie schon bei Whatsapp. Gerade die Vorbedingung der schriftlichen Einverständniserklärung aller Kontakte lässt sich in der Praxis nicht erfüllen. Theoretisch lässt sich das zwar bei Clubhouse – zumindest derzeit noch – umgehen, indem vor der ersten Nutzung die Invite-Option deaktiviert wird. Da sich das bei der privaten Nutzung von Clubhouse im Unternehmensumfeld aber kaum durchsetzen lässt, ist hier eine strikte Trennung der Konten, Daten und Kontakte geboten. Entweder physisch, indem es eigene Geräte für Business und Privates gibt. Oder technisch, indem es zwei getrennte Konten und Bereiche dafür auf einem Gerät gibt, sei es nun ein geschäftliches oder im Rahmen von BYOD genutztes Smartphone.
Manche Hersteller wie Samsung bieten entsprechende Lösungen an, der Königsweg ist jedoch Mobile Device Management (MDM). Dessen Kern sind eine klare Strategie und eine Lösung mit der ihre Vorgaben auch über die Trennung hinaus umgesetzt werden kann. Dazu empfiehlt Jan Dzulko, der mit Everphone Abo-Komplettpakete für Firmensmartphones (Phone-as-a-Service) anbietet, strikte Trennlinien. »Bei unseren Kunden haben wir vorgesorgt. Standardmäßig können kritische Apps nur im privaten Bereich installiert und genutzt werden. Das rate ich allen Unternehmen, um DSGVO-Probleme und auch saftige Bußgelder zu vermeiden.«