Update 18.1.: Clubhouse – ein Hype mit Datenhunger

Ich bin begeistert von Clubhouse. Die Social-Media-App, die gerade einen ziemlichen Hype erlebt, bietet ungezwungene, aber oft hochkarätig besetzte moderierte Gespräche und Diskussionen zu vorher definierten Themen, an denen man sich beteiligen kann oder einfach nur zuhören kann. Wohin die Community thematisch gehen wird – und wie sie mit den früher oder später auftauchenden Populist:innen, Schwurbler:innen und Trolls umgeht – lässt sich wenige Tage nach dem Europastart noch nicht sagen. Aber mir als Bildungsmenschen, der selbst gern Veranstaltungen durchführt und moderiert, die Themen auf den Grund gehen, daneben als Radiomenschen und Digitalmenschen macht die App gerade ziemlichen Spaß.

Obwohl der Spaß mit Datensammlung erkauft wird (zu Schutzmaßnahmen siehe unten). Ein Blick auf die „Privacy Policy“ der Herstellerfirma Alpha Exploration Co. lässt jeden datenschutzsensiblen Menschen erschaudern. Einige Ausschnitte, übersetzt mit dem Übersetzer deepl.com:

Wir können Identifizierungsdaten und Internetaktivitätsdaten an Social-Media-Plattformen und andere Werbepartner weitergeben, die diese Informationen nutzen, um Ihnen gezielte Werbung auf Social-Media-Plattformen und anderen Websites Dritter zu präsentieren – unter bestimmten Vorschriften kann eine solche Weitergabe als „Verkauf“ personenbezogener Daten angesehen werden

Privacy Policy Alpha Exploration Co. (Clubhouse), 2.11.2020 (übersetzt)

Darüber hinaus können wir von Zeit zu Zeit das allgemeine Verhalten und die Eigenschaften der Nutzer unseres Dienstes analysieren und zusammengefasste Informationen wie allgemeine Nutzerstatistiken mit potenziellen Geschäftspartnern teilen. Wir können zusammengefasste Informationen durch den Dienst, durch Cookies und durch andere in dieser Datenschutzrichtlinie beschriebene Mittel sammeln.

Privacy Policy Alpha Exploration Co. (Clubhouse), 2.11.2020 (übersetzt)

Nutzungsdaten: Wir sammeln Informationen darüber, wie Sie unseren Dienst nutzen, wie z. B. die Arten von Inhalten, die Sie sich ansehen oder mit denen Sie sich beschäftigen, die Funktionen, die Sie nutzen, die Aktionen, die Sie durchführen, und die Zeit, Häufigkeit und Dauer Ihrer Aktivitäten.

Privacy Policy Alpha Exploration Co. (Clubhouse), 2.11.2020 (übersetzt)


Und, der Klassiker: Änderungen an den Datenschutzbestimmungen stimmen die Nutzer:innen innen automatisch durch Weiternutzung der App zu. Intransparenter geht nicht…

Die für mich größte Frage ist hierbei: Verdient das Unternehmen mit der Datensammlung Geld – und wenn nein: womit dann? Die Nutzung der App ist kostenfrei, über die Preisgestaltung jenseits der Betaphase ist noch nichts bekannt. Das Wissen um das hinter einer App stehenden Geschäftsmodells halte ich aber elementar für die mündige Nutzung derselben. Hier sind also wichtige Fragen offen.

Anfrage gemäß DSGVO

Immerhin beschreibt das Privacy-Dokument das Recht für Bürger:innen aus Kalifornien, genaue Infos über die über sie gesammelten Daten und mögliche Datentransfers zu erhalten. Da das Clubhouse auf dem europäischen Markt angeboten wird und damit der EU-DSGVO unterliegt, haben hiesige Nutzer*innen ähnliche Rechte. Ich habe Clubhouse also um diese Infos für meinen Account gebeten.

Schutzmaßnahmen

Bis ich hier Antwort habe (und auch darüber hinaus, wenn meine hohen Erwartungen an die App erfüllt werden und ich ihr treu bleibe), nutze ich die Clubhouse nur unter verschärften Schutzmaßnahmen:

  1. einem VPN-Dienst, der meinen Standort verschleiert und Anfragen von App-Trackern abwehrt. Hier vertraue ich seit Jahren auf Freedome des finnischen Herstellers F-Secure.
  2. der unter iOS 14 angebotenen Verschleierung der MAC-Adresse (eindeutige Identifikation meines Netzwerkgerätes, sprich: Iphones)
  3. Zudem habe ich in der App folgende Anfragen abgelehnt, ohne spürbare Einbußen in Nutzungsumfang und Komfort zu bemerken: die Verknüpfung zum Smartphne-Adressbuch und -Kalender sowie zu Social Media-Apps
  4. Zuguterletzt nutze ich ein Profilfoto, das im Internet ohnehin öffentlich ist.

Erstes Fazit

Die Idee der App ist genial und ich könnte mir vorstellen, lange und viel Spaß mit ihr und den Leuten, die ich dort treffe, zu haben. Allerdings müssen die Datenschutzanstrengungen der Herstellerfirma dringend erhöht werden: Es muss ein deutschsprachiges Privacy-Dokument her (auch eine DSGVO-Vorgabe), das deutlicher als bisher sagt, mit wem welche Daten geteilt werden. Ich hoffe, die Mail mit den Antworten auf diese Fragen kommt bald – Selbstverständlich berichte ich auf diesem Blog davon.

Update 21:45: Was echtes Interesse wert ist

Der Wert der möglicherweise in Clubhouse gesammelten und zu Geld gemachten Daten ist nicht zu unterschätzen. Anders als bei Facebook, Insta oder Tik Tok, wo die geliketen Seiten und Produkte auch eine Art Selbstinszinierung sind bzw. sein können – d.h. nicht den wirklichen Vorlieben der Nutzer:innen entsprechen müssen, ist echtes Interesse an einem Thema für Werbetätige der Jackpot. Wenn Nutzer:innen immer wieder Clubhouse-Räume zu bestimmten Themen betreten und sich dort sogar zu Wort melden, sind sie für Werbung aus diesem Umfeld mit hoher Wahrscheinlichkeit empfänglich.
Ich hoffe sehr, dass die App-Hersteller ein anderes Geschäftsmodell verfolgen als den Datenverkauf.

Update 18. Januar

Offenbar tut sich etwas in Sachen Datenschutz: In einem Townhall-Meeting auf Clubhouse, in dem sich die Entwickler:innen regelmäßig miteinander und mit den Nutzer:innen austauschen (Bravo!), wurden gestern künftige Verbesserungen im Datenschutz angekündigt. Hier vielen Dank an Kevin Kyburz, der heute in dem Clubhouse-Talk „Clubhouse und Datenschutz“ davon berichtet hat.

  • Der Adressbuchabgleich soll (Planung) entschärft werden, in dem Nutzer:innen künftig über lokale IDs identifiziert werden.
  • Als Bezahlmodell soll ein Premiummodell dienen, bei dem einige Dienste kostenpflichtig sein werden. Im Gespräch ist ein „Onlyfans-Modell“, in dem ein:e Nutzer:in kostenpflichtig Räume bucht und dort bspw. mit ihren:seinen Fans oder exklusiven Talkgästen spricht oder Musiker:innen Konzerte veranstalten. Möglicherweise gibt es dazu dann Eintrittspreise.
    Auch andere Premium-Features sind im Gespräch. Offenbar sind das alles erst Überlegungen, die den Datenhandel aber perspektivisch unnötig machen könnten. In einem anderen Talk wandte jemand dazu ein, dass die Investoren bislang deutlich in Datensammler wie Airbnb und Facebook investiert hätten. Wie dem auch sei :In Sachen Monetarisierung scheint eine Klärung in Sicht, und das ist gut.
  • Der Datenschutz hatte offenbar bislang nicht die größte Priorität – noch immer ist die App ja in der Betaphase (was natürlich keine Entschuldigung ist). Die Problematik scheint nun aber mehr in den Fokus zu zurücken, weil auch mehr deutsche (datenschutzsensible) Nutzer:innen ihre Sorgen artikulieren. Hoffen wir’s!

Datenschutzbeschwerde: Sind Whatsapp-Metadaten persönliche Daten?

Meine Beschwerde über Facebook wegen der mangelnden Auskunftspflicht über die in Whatsapp erhobenen Daten liegt seit einigen Monaten bei der irischen Datenschutzaufsicht DPC, weil Facebook dort seine Europazentrale hat. Ich hatte den Fall hier bereits geschildert, hier ebenfalls.
Kurz: Ich halte es für unzureichend, dass man beim Datenexport aus Whatsapp (Auskunftsrecht laut DSGVO) keine Metadaten über seine Kommunikation erhält, also z. B. mit wem man wann von welchem Standort aus kommuniziert.

Auf Anordnung der irischen Datenschützer hat Facebook/Whatsapp diesbezüglich nun erstmals direkt mit mir Kontakt aufgenommen (nachdem alle meinen bisherigen Mails an das Unternehmen unbeantwortet blieben). Die Argumentation:

WhatsApp hat RYI [Die Datenexport-Funkion, Anm. d. Autors] entwickelt, um WhatsApp-Benutzern den sicheren Zugriff auf ihre persönlichen Daten zu ermöglichen. Andere Metadaten können in nicht abrufbarer Form in unserem Offline-Data-Warehouse gespeichert werden.
WhatsApp bietet keinen Zugriff auf Informationen, die nicht in den Geltungsbereich der Zugriffsrechte nach GDPR [engl. Bezeichnung für DSGVO, Anm. d. Autors] fallen, keine personenbezogenen Daten darstellen oder anderweitig den geltenden gesetzlichen Ausnahmeregelungen unterliegen, und ist auch nicht dazu verpflichtet.

Aus der Mail von Facebook an mich, 31. Jan. 2020, Übersetzung durch mich.

Heißt: Wir als Facebook/Whatsapp geben im Datenexport alle Daten aus, die wir laut DSGVO ausgeben müssen.
Ich sehe das nach wie vor anders, was ich Facebook bereits mitgeteilt hatte – und worin mich auch der Bundesbeauftragte für Datenschutz unterstützt. Mein Argument: Weil die Metadaten im Facbeook-Netzwerk in personifizierter Weise weiterverwendet werden (z. B. in Form von Werbung oder als Kriterium für die Sortierung der Timeline in FB/Instagram), sind sie persönliche Daten und müssen deshalb auf Anfrage zur Verfügung gestellt werden.
Ich habe die DPC um eine Stellungnahme gebeten und werde hier darüber berichten.

[Update 25.5.2019] Whatsapp: Auf der grünen Insel nimmt man’s genau

In meiner Frage, ob Whatsapp in seiner „Datenauskunft“ für die Nutzer auch gesammelte Metadaten ausgeben muss, gehen die Ansichten des Bundes- und des irischen Datenschutzbeauftragten offenbar auseinander.

Der BfDI teilt meine Ansicht, dass die von Whatsapp gesammelten Daten darüber,

  • wann die Nutzer
  • mit welchen andern Nutzern
  • von welchem Standort aus
  • mit welchem Gerät

kommunizieren (so genannte Metadaten) personenbezogene Daten sind und damit nach DSGVO auszuweisen. Der Grund: Sie werden von Whatsapp und Facebook zu personalisierter Werbung mit Bezug zu meiner Person [Update 25.5.2019] verwendet, also nicht etwa anonym (Quelle).
Nun hat der irische Datenschutzbeauftragte, dem meine Anfrage zwecks Zuständigkeit weitergeleitet wurde, meine Anfrage abgelehnt. Warum, das hat mir ein Anwalt aus dem Hause des BfDI mitgeteilt:

Die DSGVO kam erst am 25. Mai 2018 zur Anwendung, d.h. sie war im Voraus zwar bereits in Kraft, Ihre Regelungen waren jedoch nicht anzuwenden. Bei einer strengen Auslegung hatten Sie folglich am 20. Mai 2018 noch kein Recht auf Auskunft nach der DSGVO. […] Wenngleich diese Argumentation nicht sonderlich bürgerfreundlich ist, so ist sie doch rechtlich nachvollziehbar.

Dumm gelaufen. Die Whatsapp-Funktion war am 20. Mai in Kraft, DSGVO-konform hat sie laut der irischen Behörde aber erst ab 25. Mai 2018 sein müssen.

Also habe ich erneut einen Bericht bei Whatsapp angefordert. Ob mehr drin steht, also alle personenbezogenen Daten? Ich werde hier darüber berichten.

[Update 25. Mai 2019]
Etwas später als geplant, dafür passend zum Jahrestag der DSGVO habe ich Whatsapp eine Mail geschrieben:

Sehr geehrte Damen und Herren,

der am 7. Mai 2019 angeforderte und am 10. Mai 2019 ausgelieferte Bericht über meine Whatsapp Account-Informationen („DSGVO-Bericht“) ist leider nicht vollständig.
Es fehlen sämtliche Metadaten aus den Whatsapp-Konversationen, bspw. die in dem Dokument „So arbeiten wir mit den Facebook-Unternehmen zusammen“ (https://faq.whatsapp.com/general/26000112/?eea=1) erwähnten „Nutzungsinformationen“.
Da diese Daten innerhalb der Facebook-Familie genutzt werden – und zwar nicht anonymisiert, sondern auf meine Person bezogen – müssen diese Daten laut meinem durch die DSGVO zugesicherten Informationsrecht auch in dem Bericht ausgewiesen werden.

Bereits am 20. Mai 2018 hatte ich mich mit diesem Anliegen an Sie gewendet, aber leider keine Antwort erhalten. Der Bundesbeauftragte für den Datenschutz, den ich über mein Anliegen informiert hatte, stützt meine Position.

Ich bitte Sie, mir die Metadaten aus meinen Whatsapp-Konversationen bis zum 7. Juni 2019 zukommen zu lassen.
Ich werde diese Email auf meinem Blog „Spähgypten“ (www.spaehgypten.de) veröffentlichen und Ihre Reaktion dort indirekt wiedergeben.

Es grüßt Sie
Michael Brendel
Whatsapp-Nr. +491XXXXXXXXX [in Orignalmail ist die Nummer sichtbar]

Mail an support @ whatsapp, 25. Mai 2019