Grindr ist das Tinder für Homosexuelle – dass da sensible Daten verarbeitet werden, liegt auf der Hand. Egal, dachte sich der App-Anbieter und verteilte fleißig Nutzerdaten an Werbepartner. Die Norwegische Datenschutzaufsicht stellt nun ein Bußgeld in Höhe von fast 10 Millionen Euro in Aussicht. Könnte dieses Bußgeld alles verändern?
Der Inhalt im Überblick
Augen auf vorm Datenverkauf: 9,6 Mio € Bußgeld drohen
Den richtigen Partner zu finden, ist nicht einfach – weder offline, noch online. Das wissen auch Dating-Apps, die auf den Markt drängen, um einsame Herzen zueinander zu führen. Dabei nutzen sie die Verzweiflung vieler Singles aus, um deren Daten abzugreifen. Neben klassischen Dating-Apps wie Tinder und dem vor kurzem erst gestarteten Facebook Dating gibt es nur wenige Anbieter, die sich direkt an die LGBTQ-Community richten. Grindr vereint 27 Millionen homo-, bi-, transsexuelle sowie queere Menschen weltweit, 13,7 Millionen davon aktiv, 3 Millionen täglich.
Mit Datenschutz nimmt es Grindr jedoch nicht so genau: Um fleißig Geld zu scheffeln, teilte die Dating-App den genauen Standort, das Alter, das Geschlecht und die sexuelle Orientierung seiner Nutzer mit zahlreichen Werbepartnern – ohne Rechtsgrundlage, selbstverständlich. Bereits im Januar 2020 legten der norwegische Verbraucherrat Forbrukerrådet sowie der europäische Datenschutzverein noyb.eu dagegen Beschwerde ein.
Am 26. Januar 2021 gab die norwegische Aufsichtsbehörde Datatilsynet bekannt: Grindr LLC droht ein Bußgeld in Höhe von 100 Millionen Kronen (etwa 9,6 Millionen Euro), das sind immerhin 10 % des weltweiten Jahresumsatzes bzw. ein Drittel des Jahresgewinns 2019! Nun hat Grindr bis zum 15. Februar Zeit, Einspruch zu erheben, erst dann will die Aufsicht eine finale Entscheidung treffen. Ist es Ironie des Schicksals oder Kalkül, dass die Frist kurz nach dem Valentinstag endet?
Dating vs. Datenschutz?
Wer hätte das gedacht: Ausgerechnet die norwegische Aufsicht sorgt für skandinavischen frischen Wind in der Datenschutz- und Dating-Welt. Werfen wir doch einmal einen Blick auf die maßgeblichen datenschutzrechtlichen Erwägungen.
Die DSGVO gilt auch in Norwegen
Die norwegische Aufsichtsbehörde wendet die DSGVO an. Nanu? Norwegen befindet sich doch gar nicht in der EU! Muss es auch nicht: Die DSGVO ist nämlich seit dem 20. Juli 2018 für die EWR-Staaten Liechtenstein, Norwegen und Island unmittelbar anwendbar.
Ganz schön sensibel
Das Bußgeld rechtfertige sich bereits durch die hohe Sensibilität der Daten. Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung folgender personenbezogener Daten grundsätzlich untersagt:
- die rassische und ethnische Herkunft,
- die politische Meinung,
- die religiöse oder weltanschauliche Überzeugung,
- die Gewerkschaftszugehörigkeit,
- die genetischen Daten,
- die biometrischen Daten,
- Gesundheitsdaten,
- Daten zum Sexualleben oder der sexuellen Orientierung.
Aus gutem Grund: Würden diese Daten bekannt, drohen schwere Folgen. Die Daten könnten missbraucht und gegen den Betroffenen verwendet werden. Homo-, bi- und transsexuelle sowie queere Menschen werden auch heute noch in vielen Bereichen angegriffen und benachteiligt. In Ägypten kam es bereits vor, dass Polizei und Geheimdienst Grindr nutzten, um Homosexuelle zu identifizieren und zu verhaften. Auch in Marokko, wo Homosexualität strafbar ist, seien bereits zahlreiche Nutzer von einschlägigen Dating-Apps öffentlich bloßgestellt worden.
Es ist ganz klar ein Unding, Angaben zur Sexualität weiterzuverbreiten. Für Grindr alles halb so wild? Der App-Anbieter argumentierte, die sexuelle Orientierung würde nicht an Werbepartner herausgegeben, weil ein Teil der Nutzer möglicherweise heterosexuell sei. Deswegen könne von der Nutzung der App nicht auf die Sexualität geschlossen werden. Für eine LGBTQ-App eine ganz schön fadenscheinige Aussage.
Max Schrems, der Vorsitzende der Verbraucherschutzorganisation noyb bezieht dazu folgendermaßen Stellung:
„Wenn eine App für die schwule Community argumentiert, dass die besonderen Schutzbestimmungen für die Community eigentlich nicht gelten, ist das doch erstaunlich. Ich bin mir nicht sicher, ob die Anwälte von Grindr das wirklich zu Ende gedacht haben.“.
Damit ist alles gesagt.
Keine wirksame Einwilligung
Da besonders sensible Daten weitergegeben worden seien, hätte eine Einwilligung der Betroffenen für die Datenverarbeitung vorliegen müssen, meint die norwegische Datenschutzaufsicht. Damit dürfte sie recht behalten: Die einzig in Betracht kommende Rechtsgrundlage für die Datenweitergabe ist in diesem Fall Art. 9 Abs. 2 lit. a DSGVO – die Einwilligung!
Diese sei durch Grindr nicht wirksam eingeholt worden. Folgende Mängel hätten vorgelegen:
- Es mangele an der Möglichkeit, wirkliche und effektive Kontrolle über seine Daten auszuüben, da man den Nutzungsbedingungen immer nur komplett zustimmen könne. Ganz oder gar nicht, das ist hier die Frage.
- Zudem seien die Nutzer nicht angemessen über die Datenweitergabe informiert worden.
- So ist sich der Nutzer zu keinem Zeitpunkt darüber im Klaren, wer seine Daten erhält: Grindr teilt die Daten unter anderem mit MoPub, der Twitter-Werbeplattform, die die Daten wiederum mit über hundert weiteren Werbepartnern teilen kann. Transparenz? Fehlanzeige.
- Doch auch Grindr fehlt der Durchblick: Die Aufsichtsbehörde kam zu dem Entschluss, dass Grindr es versäumt habe, die Datenweitergabe an Dritte zu kontrollieren und die Verantwortung dafür zu übernehmen.
Drohen weitere Bußgelder?
Die norwegische Aufsicht bezieht sich bei ihrer Prüfung explizit auf eine alte Version der App von vor April 2020. Das heißt jedoch nicht, dass die App seitdem datenschutzkonform sei. Ganz im Gegenteil: Nach Einspruch durch Grindr gegen den Bescheid könnten noch weitere Bußgelder auf den App-Anbieter zukommen, weil das Unternehmen mittlerweile auf das berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO setzt, um seine Datenweitergabe an Werbenetzwerke zu rechtfertigen. Da ist wohl Hopfen und Malz verloren!
Alle Jahre wieder
…sorgt Grindr für Kopfzerbrechen. Erst letzten Oktober wurde eine schwere Sicherheitslücke bekannt: Über die Funktion zum Zurücksetzen des Passworts war es Angreifern möglich, Nutzerkonten zu übernehmen. Ob dabei Unbefugte Zugriff auf Daten erlangten? Wer weiß. Zumindest chinesische Entwickler hatten monatelang Zugang zu vertraulichen Nutzerdaten – das dürfte sich spätestens dann geändert haben, als sich der chinesische Investor nach Berufung der US-Aufsichtsbehörde im März 2020 zurückzog.
Noch im April 2018 übertrug der App-Anbieter den HIV-Status seiner Nutzer inklusive Standort und E-Mail-Adresse an die Datendienste Apptimize und Localytics, möglicherweise sogar im reinen Textformat und gänzlich unverschlüsselt. Bald darauf das nächste Fettnäpfchen: Um die Black Lives Matter-Bewegung zu unterstützen, ermöglichte das Unternehmen, Menschen mit bestimmten ethnischen Hintergründen aus den Suchergebnissen herauszufiltern. Inwiefern das Rassismus entgegenwirken soll, erschließt sich mir ehrlich gesagt nicht.
Ein Ende in Sicht?
Man mag es ja so gar nicht wirklich glauben, dass all das – Datenweitergabe an Werbeunternehmen ohne ausreichende Rechtsgrundlage – bald ein Ende haben könnte. Finn Myrstad, der Direktor für Digitalpolitik des norwegischen Verbraucherrats ist zuversichtlich:
„Diese Entscheidung setzt nicht nur Grindr Grenzen, sondern betrifft eine ganze Branche. Viele Unternehmen machen ihren Profit damit, Informationen über unsere Vorlieben und Einkäufe, unseren Standort, unsere körperliche und geistige Gesundheit, unsere sexuelle Orientierung und politischen Ansichten zu sammeln und weiterzugeben.“
Ich weiß nicht, wie es Ihnen dabei geht, aber derartiger Optimismus liegt mir definitiv nicht. Bis heute haben Datensammler und Datenschleudern immer wieder neue Wege gefunden, ihren dubiosen Geschäften nachzugehen. Warum sollte das diesmal anders sein?