Clubhouse, die US-amerikanische Audio-Chat App, ist in allen Ohren. Dabei gibt es einige Probleme auf die insbesondere Unternehmen, deren Mitarbeiter die Clubhouse nutzen, achten sollten. Da die App nun bald auch für Android herauskommen soll, wird das Thema ein Massenphänomen. Everphone hat nachfolgende die wichtigsten Fallstricke und passenden Lösungen zusammengestellt.

Clubhouse löst nicht nur Begeisterungsstürme aus, sondern wurde bereits von der Verbraucherschutzzentrale aufgrund von Datenschutzmängeln abgemahnt. Nun haben die Macher von Clubhouse eine Version für Android angekündigt und werden damit noch mehr Menschen erreichen. Besonders heikel ist die Nutzung der App auf dem Firmensmartphone. Hier stellt sie oft direkt einen DSGVO-Verstoß dar.

Clubhouse erntet besonders Kritik für das fehlende Impressum, fehlende Datenschutz- Hinweise und für die Tatsache, dass die allgemeinen Geschäftsbedingungen nicht auf Deutsch verfügbar sind. Zudem werden Gespräche in den Clubhouse-Räumen auch aufgezeichnet.

Das Hauptproblem für die Nutzung der App auf dem Firmenhandy ist jedoch, dass die App immer wieder auf das Adressbuch zugreift und die Kontaktdaten ausliest. Wer die App nutzen und die begehrten Invites (Einladungen zur Teilnahme) versenden will, muss der App den Zugriff auf sein Telefonbuch gewähren. Die Kontaktdaten werden dann an US-Server übertragen und dort abgeglichen.

Ähnlich wie bei Whatsapp auf dem Firmenhandy ist genau das allerdings äußerst kritisch, denn hier findet im Sinne der DSGVO eine Verarbeitung personenbezogener Daten statt, die grundsätzlich einer Zustimmung des Gegenübers bedarf. Um sich vor Datenschutzverstößen zu schützen und Bußgelder zu vermeiden, müsste also von jedem gespeicherten Kontakt eine schriftliche Einverständniserklärung für die Datennutzung eingeholt werden. Das ist in der Realität nicht besonders praktikabel.

Clubhouse auf dem Diensthandy stellt also einen deutlichen DSGVO-Verstoß dar. Die rein private Nutzung von Clubhouse ist aus Firmensicht erstmal kein Problem.

Diese Lösungsansätze können helfen, Datenschutzfallen bei der Nutzung von Clubhouse auf dem Diensthandy zu umgehen:

  • Private Nutzung von geschäftlichen Smartphones
    Wer nur ein Gerät für berufliche und private Zwecke nutzt, sollte beide Bereiche trennen. Dazu werden die dienstlichen Apps von privaten Apps separiert und in einem verschlüsselten Bereich verwaltet. Das funktioniert über Mobile-Device-Management-Systeme (MDM). Dabei legt der Arbeitgeber in einer Whitelist vorher fest, welche Apps zu geschäftlichen Zwecken genutzt werden dürfen.

    Alle anderen Apps können dann nicht in den gesicherten Bereich heruntergeladen und dort verwendet werden. Dafür bleibt die private Zone, in der Mitarbeiter*innen Clubhouse installieren können, ohne dass auf die Firmenkontakte zugegriffen werden kann und somit Mitarbeiter*innen DSGVO-konform Clubhouse auf ihrem Firmenhandy nutzen können.

  • BYOD – Bring Your Own Device
    BYOD ist die geschäftliche Nutzung privater Smartphones. Wenn die Firma BYOD erlaubt, ist es unerlässlich, dass im Rahmen des Enterprise Mobility Managements ein MDM oder zumindest eine Container-App installiert ist, um die geschäftlichen Daten zu schützen. So werden die privaten und geschäftlichen Kontakte sauber voneinander getrennt.

    Damit kann die App im privaten Bereich installiert werden und dort entsprechend nur auf die privaten Kontakte zugreifen. Sollte jedoch nur ein geschäftlicher Kontakt im privaten Adressbuch gespeichert sein, worauf die App dann zugreifen kann, läge bereits ein DSGVO-Verstoß vor.

  • Einfach niemanden einladen
    Erhält man selbst eine Einladung auf sein Firmenhandy, darf man diese erst einmal annehmen. Allerdings sollte man die Möglichkeit, selbst weitere Kontakte einzuladen auf jeden Fall ablehnen. So kann man zwar selbst keine Invites versenden, hat jedoch Zugang zu der App und kann diese nutzen. Zu bedenken ist dann aber immer noch, dass die App Daten speichert beziehungsweise Gespräche zum Teil auch aufzeichnet.

Fazit
Solange geschäftliche und private Daten getrennt sind, steht einer Nutzung auch von datenschutzkritischen Apps rechtlich nichts im Wege. Am besten arbeiten Unternehmen daher mit Spezialisten zusammen, um Probleme von vorneherein zu vermeiden. Sonst kann es hinterher teuer werden.

Weitere Beiträge....