Dating-Apps wie Tinder, OkCupid & Grindr geben mehr Userdaten an Dritt-Firmen weiter als erlaubt

Konsumentenschützer aus Norwegen haben zusammen mit Max Schrems und weiterer Hilfe aus Österreich untersucht, wie häufig sensible Daten an Analysefirmen weitergegeben werden. Auch Make-Up-Apps und Menstruations-Apps sind betroffen. Rechtliche Schritte gegen die Datensammelwut sind geplant.

Von Alex Wagner

Wie easy ist es doch geworden, jemanden zu daten. Apps wie Tinder, OkCupid oder Grindr machen es möglich: Anmelden, Profilbild hochladen, ein paar gute One-Liner, um sich selbst zu beschreiben, persönliche Vorlieben und zack: it’s a match. Aber Dating-Apps wissen oft mehr von dir, als dir vielleicht bewusst ist. Intime Daten wie sexuelle Vorlieben, HIV-Status, Drogenkonsum und Medikamente - und diese Daten sollten möglichst geschützt sein und wenigen zur Verfügung stehen.

Genau das Gegenteil ist aber der Fall, wie eine neue Studie des norwegischen Verbraucherschutzverbands zeigt: Bei zehn untersuchten Apps, die exemplarisch ausgewählt wurden, wurde die Weitergabe von Daten an 135 verschiedene Dritt-Firmen nachgewiesen. Viele davon sind Werbeplattformen, die die Daten im Zuge des Werbegeschäfts an eine Vielzahl weiterer Firmen weiterleiten und kommerziell verwenden. Wieviele tausende externe Firmen das genau sind, lässt sich nur schwer feststellen. Teilweise sind diese Firmen bekannte Tech-Riesen: Googles Marketing-Firma DoubleClick bekommt von acht der zehn untersuchten Apps Daten übermittelt, Facebook sogar von neun.

„Jedes Mal, wenn du eine App wie Grindr öffnest, erhalten Werbenetzwerke deinen GPS-Standort, Gerätekennungen und sogar die Tatsache, dass du eine Dating-App für Homosexuelle benutzt. Dies ist eine eklatante Verletzung der EU-Datenschutzgesetze“, sagt Max Schrems von der NGO NOYB (None of Your Business), der zusammen mit dem Österreicher Wolfie Christl an der Studie „Außer Kontrolle“ mitgearbeitet hat.

„Grindr gibt an extrem viele Unternehmen Daten weiter“

„Wir haben uns angeschaut, wie die verschiedenen Apps funktionieren. Oft haben diese Apps Werbung eingebunden, diese Werbung wird nicht von den Apps selber, sondern von Werbenetzwerken zur Verfügung gestellt. Die Apps geben die Daten der User*innen weiter - grad bei Grindr ist das interessant, weil das ja exklusiv für Schwule und bisexuelle Menschen ist. Und die App schickt an die Werbeunternehmen weiter: dieser Nutzer nutzt grad eine App, die nur für Schwule und bisexuelle Leute ist, schickt die Geo Location weiter oder von welchem Gerät das gerade genutzt wird. Grindr ist von den Dating-Apps schon eine, die an extrem viele Unternehmen Daten weitergibt“, sagt Max Schrems im FM4-Interview.

Anhand dieser Daten können Firmen umfangreiche Profile über ihre User*innen erstellen, die wiederum für gezielte Werbung, aber auch für andere Zwecke verwendet werden können. Neben Standortdaten und IP-Adresse der User*innen werden auch IDs der verwendeten Smartphones geschickt, obwohl die Dritt-Firmen gerne betonen, nur pseudonymisierte Daten weiterzugeben. So können zum Beispiel Bewegungsprofile von User*innen erstellt werden. Firmen erhalten damit ein detailliertes Bild über eindeutig zuordenbare Personen und deren Alltag, ihre geheimen Wünsche und Nöte.

Die Dating-App Grindr soll gegen die seit Mai 2018 gültige EU-Datenschutz-Grundverordnung DSGVO verstoßen, da IP-Adresse, GPS-Standort, Alter, Geschlecht und Advertising ID an eine Vielzahl an Dritt-Firmen weitergeleitet werden und sich eine Vielzahl an User*innen darüber nicht mal im Klaren ist.

„Der normaler Nutzer wird von der Datenweitergabe nichts gewusst haben. Wenn man tief in die Privacy Policy hineingeht, dann kann man schon was finden. Da steht dann, dass es Partner gibt, mit denen Daten ausgetauscht werden. Die mehr als 4000 Firmen, die wir nachweisen konnten, werden natürlich nicht aufgelistet, sondern da gibt es teilweise Zwischenpartner, die geben die Daten wieder an andere Partner weiter und danach wissen nicht einmal mehr wir, wo die Daten sonst noch landen, weil die wiederum Subfirmen und Subfirmen haben. Das Problem ist, dass das am Ende kein Nutzer verstehen kann“, so Max Schrems.

Spätestens seit Cambdridge Analytica und Co. wissen wir, wie man Menschen anhand von personenbezogenen Daten bei politischen Entscheidungen oder Kaufentscheidungen beeinflussen kann. Das kann fatale Folgen haben:

„Der Umfang der Verfolgung von User*innen macht es uns unmöglich, ernsthafte Entscheidungen darüber zu treffen, wie unsere persönlichen Daten gesammelt, weitergegeben und genutzt werden. Folglich steht diese massive kommerzielle Überwachung systematisch im Widerspruch zu unseren Grundrechten“, findet Finn Myrstad vom norwegischen Verbraucherschutzverband.

Wie kann man sich davor schützen?

Menschen, die Dating-Apps verwenden oder ihren Menstruationszyklus via App tracken, haben derzeit kaum eine Chance, der Datensammelwut der Adtech-Firmen zu entgehen. Teilweise gibt es für die Apps keinen guten Ersatz. Ganze Geschäftsmodelle basieren auf Data Tracking. OkCupid leitet höchstsensible Daten wie sexuelle Vorlieben, Drogenmissbrauch oder politische Ansichten weiter. Die Make-Up-App Perfect365 gibt Daten ihrer User*innen an mehr als 70 Dritt-Firmen weiter.

Wenn möglich sollte man keine werbefinanzierten Apps verwenden oder das Nutzen von Geodaten untersagen. Aber:

„Bei vielen Apps geht es ohne GPS-Location nicht mehr. Bei Grindr funktioniert die App nicht ohne GPS-Daten. Wir wollen rechtlich an die Sache rangehen: Ja, Grindr darf die GPS-Daten schon haben, aber halt, um den Dienst zur Verfügung zu stellen, und nicht auch noch allen Werbenetzwerken. Derzeit ist es bei Grindr in der Privacy Policy so: Wenn ihr einen Widerspruch einlegen wollt, was man nach der DSGVO jederzeit machen kann, dann müsst ihr die App löschen. Das heißt sie sagen in Wirklichkeit: entweder zustimmen oder gehen. Und das ist nach der Datenschutz-Grundverordnung nicht erlaubt“, so Max Schrems.

Grindr ist bereits 2018 in Kritik geraten, die Dating-App für Homosexuelle hat den HIV-Status von User*innen an externe Firmen weitergegeben. Das schließt das Unternehmen mittlerweile immerhin aus.

Wenn man gegen die DSGVO verstößt, muss man mit empfindlichen Strafen rechnen, die bis zu vier Prozent des weltweiten Umsatzes betragen können. 21 Verbraucherschutzorganisationen, darunter auch der Verein für Konsumenteninformation (VKI) in Österreich, fordern jetzt weltweit ein Ende der fragwürdigen und illegalen Praktiken der Online-Werbebranche und haben auch in mehreren Staaten Beschwerden im Namen einzelner User*innen eingebracht.