Wegen eines Verstoßes gegen die europäische Datenschutz-Grundverordnung (DSGVO) hat die norwegische Datenschutzbehörde heute eine Geldstrafe von umgerechnet 6,34 Millionen Euro gegen die Dating-App Grindr verhängt. Die Entscheidung ist nicht rechtskräftig.
Sensible Daten an potenzielle Werbepartner weitergegeben
Grindr habe sensible persönliche Daten an Hunderte potenzielle Werbepartner gesendet, ohne dafür eine gültige Zustimmung der Nutzer erhalten zu haben, so die Datenschutzorganisation NOYB in einer Aussendung. Zu diesen Daten gehören unter anderem die Standortdaten und die Information, dass sie Grindr, eine Dating-App für schwule und bisexuelle Männer, benutzen. Das widerspricht unter anderem den Grundrechten auf Privatsphäre und Nichtdiskriminierung.
NOYB hatte deshalb im November 2020 gemeinsam mit dem norwegischen Verbraucherrat (NCC) im Jänner 2020 drei DSGVO-Beschwerden gegen Grindr und die Adtech-Unternehmen MoPub von Twitter, AppNexus von AT&T (jetzt Xandr), OpenX, AdColony und Smaato verfasst. Die norwegische Datenschutzbehörde stellte daraufhin fest, dass Nutzer bei Grindr keine eindeutige, informierte, konkrete und freiwillige Einwilligung geben konnten. Die Nutzer würden weder richtig informiert, noch sei die Einwilligung konkret genug ausgeführt gewesen, so die Behörde weiter.
Gratis-User hatten keine Wahl, ob ihre Daten weitergegeben werden
So hätten die User der Gratis-Version nicht die Wahl gehabt, ob sie der gesamten Datenschutzerklärung oder nur Teilen zustimmen wollten. Wer keine Freigabe seiner Daten wollte, musste sein Profil kostenpflichtig upgraden. Außerdem habe es Grindr verabsäumt, “die eigene Datenfreigabe zu kontrollieren und die Verantwortung dafür zu übernehmen. Der ‚Opt-out‘-Mechanismus war in keinem Fall gegeben”, so die Behörde weiter.
“Das Urteil soll ein starkes Signal an alle Unternehmen schicken. Die Weitergabe personenbezogener Daten ohne Rechtsgrundlage hat schwerwiegende Folgen”, so NCC-Direktor Finn Myrstad. Seine Organisation fordere die digitale Werbebranche auf, grundlegende Änderungen vorzunehmen, um die Rechte der Verbraucher mehr zu respektieren und Fälle wie jenen von Grindr künftig zu verhindern.
Strafe wurde um ein Drittel reduziert
Noch im Jänner hatte die norwegische Datenschutzbehörde in einem “Entscheidungsentwurf” eine Strafe in der Höhe von 100 Millionen Kronen, umgerechnet 9,6 Millionen Euro, angekündigt. Diese wurde nun im endgültigen Urteil auf 6,34 Millionen Euro reduziert, da Grindr einen geringeren Umsatz angab und seine Plattform zur Einwilligung der Nutzer angepasst hatte, so NOYB.
Grindr kann gegen den Beschluss nun innerhalb von drei Wochen berufen. Die DSGVO gilt im gesamten Europäischen Wirtschaftsraum (EWR), also in allen 27 EU-Staaten, in Liechtenstein, Island und Norwegen.