Dating-App Grindr muss Millionenstrafe wegen Datenweitergabe zahlen
Die norwegische Datenschutzaufsichtsbehörde hat die Dating-App Grindr wegen Verstoßes gegen Datenschutzbestimmungen mit einer Millionenstrafe belegt. Dem Unternehmen wurde vorgeworfen, personenbezogene Nutzerdaten an hunderte Werbepartner weitergegeben zu haben, ohne dafür die Zustimmung der Nutzerinnen und Nutzer im Einklang mit der Datenschutzgrundverordnung (DSGVO) eingeholt zu haben.
Deswegen soll Grindr nun umgerechnet rund 6,4 Millionen Euro (65 Millionen Norwegische Kronen) zahlen, teilte die Behörde Datatilsynet am Mittwoch mit. Der norwegische Verbraucherrat NCC hatte 2020 gemeinsam mit der in Wien ansässigen Datenschutzorganisation Noyb die aktuelle Beschwerde gegen Grindr eingelegt.
“Die personenbezogenen Daten von Tausenden Benutzern in Norwegen wurden unrechtmäßig für die kommerziellen Interessen von Grindr weitergegeben”, erklärte die Datenaufsicht in ihrer Stellungnahme. Die geteilten Daten waren GPS-Standort, IP-Adresse, Werbe-ID, Alter, Geschlecht und die Information, ob Nutzer gerade die App nutzen. Mithilfe dieser Informationen sei es möglich, Nutzer zu identifizieren.
Zu wenig Aufklärung
Grindr ist eine populäre Dating-App unter anderem für homo-, bi- und transsexuelle Menschen. Die Datenschutzaufsicht sieht die Daten der dortigen Nutzer als besonders schützenswert an. Sie schreibt: “Wir sind der Ansicht, dass Daten, die darauf hinweisen, dass jemand Grindr-Nutzer ist, stark darauf hindeuten, dass er einer sexuellen Minderheit angehört. Daten zur sexuellen Orientierung einer Person stellen besondere Kategoriedaten dar.”
Zwar präsentierte die App den Nutzern die Datenschutzerklärung und fragte nach Einwilligung. Doch hatten die Nutzer nur die Wahl, die Bedingungen in vollem Umfang zu akzeptieren oder die Anwendung nicht zu nutzen. Ob sie der Weitergabe der Daten an Dritte zum Zweck personalisierter Werbung explizit zustimmen, wurden die Nutzer nicht separat gefragt. “Darüber hinaus wurden den Nutzern die Informationen über die Weitergabe personenbezogener Daten nicht ordnungsgemäß mitgeteilt”, ergänzt Datatilsynet in ihrer Stellungnahme.
Die Kritik bezieht sich auf den Zeitraum zwischen Juli 2018, als die DSGVO verbindlich in Kraft trat, und April 2020, als Grindr seinen Zustimmungsmechanismus änderte. Datatilsynet weist darauf hin: “Wir haben nicht geprüft, ob der aktuelle Einwilligungsmechanismus von Grindr der DSGVO entspricht.”
Strafe reduziert
Es handelt sich um die höchste Geldstrafe, die von der norwegischen Datenaufsicht bislang verhängt wurde. “Geschäftsmodelle, die auf verhaltensbasierter Werbung basieren, sind in der digitalen Wirtschaft weit verbreitet, und es ist zwingend erforderlich, dass Bußgelder für Verstöße gegen die DSGVO abschreckend sind, um die Einhaltung des Gesetzes zu fördern”, betonte Tobias Judin, Leiter der internationalen Abteilung der Datenschutzaufsicht.
Ursprünglich hatte die Behörde im Januar 2021 mit einer Geldstrafe von rund 9,8 Millionen Euro gedroht. Angesichts von bereitgestellten Informationen zur Größe und finanziellen Lage des Unternehmens sowie Veränderungen sei eine Verringerung der Strafe gerechtfertigt, schrieb Datatilsynet.
In der Vergangenheit war Grindr bereits mehrfach durch Datenschutzprobleme in die Kritik geraten. So musste beispielsweise der Generalsekretär der US-Bischofskonferenz zurücktreten, nachdem Daten aus der App öffentlich wurden. Auch diese Datensätze stammten aus dem bemängelten Zeitraum zwischen 2018 und 2020.
Das Unternehmen kann innerhalb von drei Wochen Berufung gegen den Bescheid einlegen. Die DSGVO ist zwar eine Verordnung der EU, sie gilt aber für den gesamten Europäischen Wirtschaftsraum EWR – und damit auch für das Nicht-EU-Land Norwegen. Der Verbraucherrat hat die norwegische Datenschutzaufsicht gebeten, Grindr anzuweisen, die rechtswidrig verarbeiteten personenbezogenen Daten zu löschen. (dpa / hcz)