Ist die Millionenstrafe für Dating-App Grindr gerechtfertigt?

Seit einigen Tagen ist offiziell, dass die Betreiberfirma von Grindr, einer Dating-App für Schwule, Bisexuelle und Transgenderpersonen, eine Millionenstrafe wegen Datenschutzverletzungen zahlen muss. Hintergrund ist eine Beschwerde der Datenschutz-NGO noyb.eu von Max Schrems, die gemeinsam mit dem norwegischen Verbraucherrat Anfang 2020 eingereicht wurde.

Von Christoph Weiss

Grindr gab Daten der User*innen an Drittanbieter weiter - darunter fünf große Adtech-Unternehmen. Die Zustimmungserklärung, die von den Nutzer*innen für diese Datenweitergabe eingeholt wurde, war jedoch mangelhaft oder gar nicht vorhanden. Die von der norwegischen Datenschutzbehörde verhängte Strafe beträgt 65 Millionen norwegische Kronen, das sind umgerechnet rund 6,34 Millionen Euro.

Details über die Sammlung und Weitergabe persönlicher Daten von Grindr-User*innen an Dritte gibt es im Bericht Out of Control des norwegischen Verbraucherrats. Die fünf Adtech-Unternehmen MoPub von Twitter, AppNexus von AT&T (jetzt Xandr), OpenX, AdColony und Smaato erhalten über die App personenbezogene Daten. Über sie sendete Grindr sehr intime Daten an potenziell hunderte Werbepartner. Jedes Mal wenn ein Nutzer Grindr öffnet, werden Informationen - wie z.B. der aktuelle Standort und dass diese Person Grindr gerade nutzt - an Werbetreibende übermittelt. Diese Informationen werden verwendet, um umfassende Nutzerprofile für gezielte Werbung zu erstellen.

Die norwegische Datenschutzbehörde kam außerdem zu dem Schluss, dass „Grindr es versäumt hat, die Datenweitergabe an Dritte zu kontrollieren und die Verantwortung dafür zu übernehmen“. Grindr teilt Daten mit Drittanbietern nämlich mit Hilfe von Tracking-Codes in der App. Anschließend vertraut die Firma blind darauf, dass diese Werbeunternehmen ein Opt-Out-Signal befolgen würden. Die DPA stellte fest, dass die Unternehmen das Opt-Out-Signal leicht ignorieren können und weiterhin personenbezogene Daten der Nutzer verarbeiten. Das Fehlen jeglicher faktischer Kontrolle, so die Behörde, stehe nicht im Einklang mit dem Grundsatz der Rechenschaftspflicht gemäß DSGVO. Das ist insofern interessant, als viele Webseiten ein solches Signal nutzen (meist das IAB TCF Signal) um vermeintlich die DSGVO einzuhalten.

Bi-curious?

Daten zur sexuellen Orientierung müssen laut Datenschutzgrundverordnung (DSGVO) besonders geschützt werden. Grindr übermittelte jedoch den Werbepartnern die Information, dass ein Nutzer soeben die App nutzt. Grindr verteidigte sich damit, dass die Nutzung ihres Dienstes nicht auf die sexuelle Orientierung der Kunden schließen ließe. Die Nutzer könnten ja auch heterosexuell oder „bi-curious“ (“bi-neugierig”) sein. Die norwegische Datenschutzbehörde sah das anders, da sich Grindr selbst als App „ausschließlich für die schwule/bi Community“ bezeichnet. Auch ein weiteres fragwürdiges Argument, nämlich dass die Nutzer ihre sexuelle Orientierung selbst „offenkundig öffentlich“ machen und diese Daten daher nicht geschützt werden müssen, wurde von der Behörde zurückgewiesen.

“Grindr ist keine Community-Plattform”, sagt Max Schrems von noyb. “Sie wurde inzwischen an einen Investor verkauft. Und sie ist von der Art her so gemacht, dass man möglichst viel Geld bezahlen muss, ähnlich wie bei Tinder oder Parship. Dementsprechend ist das eher eine kommerzielle Firma als eine Community-Plattform. Deshalb ist die hohe Strafe angemessen.”

Berechtigtes Interesse zur Datenweitergabe?

Grindr kann noch Einspruch gegen den Bescheid einlegen. Grindr beruft sich in aktuellen Stellungnahmen auf ein angebliches „berechtigtes Interesse“, um Daten ohne Einwilligung der Nutzer weiterzugeben. Die norwegische Datenschutzbehörde hält jedoch fest, dass „jede umfassende Weitergabe [...] zu Marketingzwecken auf der Zustimmung der betroffenen Person beruhen soll“.

Für Max Schrems ist es unwahrscheinlich, dass das Ergebnis geändert wird. Wenn der Fall in eine zweite Runde geht, könnte er sogar zu weiteren Strafen führen.