Bereits im Frühjahr dieses Jahres berichteten wir über das Facebook Datenleck, bei dem eine halbe Milliarde Nutzerdaten betroffen waren. Ein ähnliches Szenario könnte nun bei der App Clubhouse abspielen. Wenn man den Medienberichten Glauben schenkt, ist das Ausmaß allerdings weitaus größer. Die Rede ist von 3,8 Milliarden Festnetz- und Handynummern. Füllen Sie jetzt unser Formular am Ende unseres Beitrags aus und verlangen Sie im Anschluss mit unserem Schreiben Auskunft von Clubhouse, ob Ihre Daten betroffen sind.

Ein Schweizer Sicherheitsforscher hatte auf Twitter einen Screenshot eines Darknet-Forums geteilt, in dem angeblich 3,8 Milliarden Telefonnummern von Clubhouse an den Höchstbietenden verkauft werden sollen. Ziel dieser Auktion sei es, auf die datenschutzrechtlichen Missstände bei Clubhouse aufmerksam zu machen.

Clubhouse: Wohl 3,8 Milliarden Handynummern abgegriffen

Seit Beginn an steht die App Clubhouse in der Kritik der Datenschützer. Die App Clubhouse zieht sämtliche Handynummern von dem Smartphone des Nutzers in seine Datenbank. Das Schlimme dabei: Nicht nur die Handynummer des Nutzers selbst, sondern auch das gesamte Telefonbuch – also alle Festnetz- und Handynummern der Kontakte des jeweiligen Nutzers – werden an Clubhouse übermittelt. Aus diesem Grund wird auch von dieser hohen Zahl (3,8 Milliarden Nummern) gesprochen.

Der nächste erschreckende Punkt: Diese Datenübertragung geschieht nicht nur einmalig bei der Installation der App, sondern kontinuierlich. Denn die App gleicht regelmäßig alle Daten mit den Kontakten der Nutzer ab. D.h. auch nach der Installation hinzugefügte Kontaktdaten werden regelmäßig an die Clubhouse-Datenbank übermittelt.

Jetzt könnte man denken, dass das eine gute Strategie der Datenschützer war und die Handynummern gar keine echten Handynummern sind. Leider ist dem nicht so. Um die Echtheit der Daten zu bestätigen, veröffentlichte der Hacker ein Sample mit über 83,5 Millionen Telefonnummern aus Japan. Die Nummern in dem Datensatz sollen mit einer Bewertung versehen sein: Nummern, die häufiger aufgetreten sind, sind hervorgehoben, da sie mutmaßlich besser vernetzten Personen gehören. Die Quelle sei eine „geheime Datenbank“, die Clubhouse „in Echtzeit“ aktualisiere, sobald im Adressbuch eines Clubhouse-Users ein neuer Kontakt auftauche.

Der Clubhouse-CEO hat in einem öffentlichen Statement inzwischen zugegeben, dass es sich bei den Daten um öffentliche Profilinformationen aus der Clubhouse-App handele. Lediglich einen Hacker-Angriff verneinte er. Doch das Daten abgegriffen wurden, musste man eingestehen. Hier dürfte der Sachverhalt also ähnlich liegen wie bei den 533 Millionen Daten, die 2019 über die API von Facebook ausgelesen wurden sowie den 500 Millionen LinkedIn-Daten.

Verstoß der Nutzer gegen die Datenschutzgrundverordnung (DSGVO)

Da auch Telefonnummern zu personenbezogenen Daten gehören, unterliegen diese dem Datenschutz. Die Speicherung, Nutzung, Verarbeitung und Weitergabe der persönlichen Telefonnummern ist nur dann zulässig, wenn der Betroffene dem zugestimmt hat – was im Fall von Clubhouse jedoch Millionen Nummern nicht der Fall sein wird. 

Da die Nummern der Kontakte geteilt wurden, könnten sich sämtliche (geschäftliche) Nutzer wegen eines Verstoßes gegen die DSGVO schuldig gemacht haben, da ungefragt Daten von Dritten in Datenbanken hochgeladen wurden.

Nutzerinnen und Nutzer, die nicht unmittelbar an die DSGVO gebunden sind, weil sie als Privatpersonen auftreten, könnten ebenfalls erheblichen Ärger bekommen: Wenn sie ein Firmenhandy besitzen, Clubhouse damit nutzen und Firmenkontakte in die weite Welt verteilt haben, haben sie womöglich ihre Arbeitspflichten verletzt, indem sie Daten von Kundinnen und Kunden weitergegeben haben. Ob die Datenbank Rückschlüsse darauf zulässt, wer was geteilt hat, ist noch nicht bekannt.

Haftet Clubhouse für diese Datenpanne?

Unabhängig davon, ob es sich um eine Panne oder um ein Datenleck handelt, muss auch Clubhouse selbst für den Verlust der Daten in die Haftung genommen werden.

Artikel 34 der Datenschutzgrundverordnung (DSGVO) regelt die Informationspflicht. Demnach hätte Clubhause als Verantwortlicher die betroffenen unverzüglich über die Datenpanne informieren müssen. Bereits diese fehlende Information kann Schadensersatzansprüche auslösen.

Zudem können die Nutzer auf Grundlage von Art. 15 DSGVO Auskunft gegenüber Clubhouse verlangen, ob sie von dem Datenleck betroffen sind. Erteilt Clubhouse keine oder eine unvollständige Auskunft, kann sich daraus zu Ihren Gunsten bereits ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben. Daneben kommen weitere Pflichtverletzungen von Clubhouse im Zusammenhang mit dem Datenleck in Betracht, die möglicherweise Schadensersatzansprüche zur Folge haben.

In der Vergangenheit haben die deutschen Gerichte den Klägern hohe Schadensersatzansprüche aus Art. 82 DSGVO bei DSGVO-Verstößen zugebilligt. Die Norm wird von der Rechtsprechung zunehmend sehr weit ausgelegt.

So hilft Ihnen WBS – Nutzen Sie unser Formular

Welche Folgen das vermeintliche Datenleck für die Betreiber von Clubhouse mit sich bringen wird, bleibt zunächst abzuwarten. Für etwaige Ansprüche der Nutzer muss zunächst geklärt werden, ob die gestohlenen Daten tatsächlich von Clubhouse stammen. Wenn ein solches Datenleck bestätigt wird, dann können Sie Ihre Ansprüche gegen Clubhouse geltend machen. Bei der Durchsetzung Ihrer Ansprüche helfen wir gerne. Füllen Sie in einem Schritt unser folgendes Formular aus. Anschließend erhalten Sie per Email unser Schreiben, mit welchem Sie sodann bei Clubhouse Auskunft darüber verlangen können, ob Ihre Daten betroffen sind.