Wegen Verstößen gegen die DSGVO soll die beliebte schwule Dating-App Grindr in Norwegen eine Strafe in der Höhe von 100 Millionen Kronen, umgerechnet 9,6 Millionen Euro, zahlen. Wie Bjørn Erik Thon, Generaldirektor der Aufsichtsbehörde, am Dienstag erklärte, sei die Behörde zum Schluss gekommen, dass Grindr Nutzerdaten ohne rechtliche Grundlage mit „einer Reihe von Drittparteien“ geteilt habe.
Grindr teilt höchstpersönliche Daten mit tausenden Werbepartnern
Untersuchungen der norwegischen Verbraucherschutzbehörde (NCC) und der österreichischen Datenschutzgruppe NOYB des Aktivisten Max Schrems zufolge teilte Grindr zum Zeitpunkt der Erhebung sensible Daten mit mehreren tausend Werbepartnern. Dazu gehörten unter anderem die IP-Adresse und GPS-Standorte, Informationen über die sexuelle Orientierung, politische Einstellung und eingenommene Medikamente – sowie die Tatsache, dass der User überhaupt auf Grindr ist.
Grindr gibt seine Daten unter anderem an Twitters Werbenetzwerk Mopub weiter. Mopub teilt diese Daten mit bis zu 170 Partnern, unter anderem mit dem Werbeserver-Anbieter AppNexus. Und AppNexus hat den Recherchen der Norweger zufolge selbst mehr als 4.200 Partner, denen die Firma die Daten der Grindr-Nutzer weitergibt – und die ihrerseits auch wieder die Daten weitergeben können. Mit den Daten werden umfangreiche Profile über Nutzer erstellt, die für gezielte Werbung und viele andere Zwecke genutzt werden können.
Ein Drittel des Jahresgewinns als Geldstrafe
Damit hat Grindr gegen die europäische Datenschutz-Grundverordnung (DSGVO) verstoßen, so die norwegische Behörde – und die App-Betreiber deshalb spürbar gestraft: Den offiziellen Angaben von Grindr würde die Geldstrafe mehr als ein Drittel des Jahresgewinns ausmachen. Dieser wurde mit umgerechnet 25 Millionen Euro angegeben.
Grindr hat nun bis zum 15. Februar Zeit, auf den Bescheid der Datenschutzaufsicht zu reagieren. Doch auch, wenn Grindr gegen den Bescheid berufen sollte – bei NOYB hält man es für unwahrscheinlich, dass sich an den Einschätzungen der norwegischen Datenschützer noch was ändern könnte.
Grindr: Schutz für die Community gilt nicht für unsere User
Die norwegische Verbraucherschutzbehörde und NOYB hatten letztes Jahr Beschwerde gegen Grindr eingereicht, da sie App persönliche Daten seiner Nutzer gesetzeswidrig zu Marketingzwecken mit Drittparteien teile. Die Datenschützer:innen teilten diese Ansicht – da ein Grindr-Account prinzipiell etwas über die sexuelle Orientierung des Nutzers aussage, verdienten diese Daten besonderen Schutz. Denn die Weitergabe der Daten könne für die Betroffenen sogar lebensgefährlich werden – etwa für User in Ländern, in denen Homosexualität illegal ist.
Grindr hatte hingegen argumentiert, dass User ihre sexuelle Orientierung durch Benutzung der App selbst öffentlich machen würden, weshalb der besondere Schutz der Daten nicht notwendig wäre. „Wenn eine App für die schwule Community argumentiert, dass die besonderen Schutzbestimmungen für die Community eigentlich nicht gelten, ist das doch erstaunlich“, schüttelt NOYB-Vorsitzender Max Schrems über diese Argumentation den Kopf.
Auch Stiftung Warentest warnt vor Dating-Apps
Der norwegischen Datenschutzbehörde zufolge hatten die Nutzer der App keine spezifische Einwilligung für die Datenweitergabe gegeben. Stattdessen hätten sie der gesamten Datenschutzerklärung zustimmen müssen. Das heißt, Grindr-Nutzer selbst könnten nichts tun, um die Weitergabe ihrer Daten zu verhindern – außer, die App zu löschen, hieß es damals: „Die Situation ist völlig außer Kontrolle. Um das signifikante Machtgefälle zwischen Verbrauchern und Drittunternehmen zu verschieben, müssen die derzeitigen Praktiken des umfangreichen Trackings und Profiling beendet werden“, so NCC-Direktor Finn Myrstad bei der Ankündigung der Beschwerde.
Die Datenschützer aus Norwegen und Österreich sind mit ihrer Einschätzung über die Datensicherheit bei Grindr übrigens nicht alleine: Auch die deutsche Stiftung Warentest hatte 2018 wegen erheblicher Schwächen beim Datenschutz vor der Benutzung diverser Dating-Apps, darunter auch Grindr, gewarnt.
Auch Amnesty International hat darauf hingewiesen, dass solche Profile eine ernstzunehmende Gefahr für Menschenrechte sein können. Schließlich hatte Grindr eine Zeit lang sogar Daten über den HIV-Status ihrer User an Dritte weitergegeben – und die öffentliche Kritik daran nicht verstanden.