Die norwegische Datenschutzbehörde Norwegian Data Protection Authority (NO DPA) verhängte gegen die populäre Dating-App Grindr wegen Nichteinhaltung der DSGVO-Regeln zur Einwilligung der Datennutzung der Anwender ein Bußgeld Millionenhöhe.
Die norwegische Datenschutzbehörde Norwegian Data Protection Authority (NO DPA)1 stellte fest, dass das Unternehmen Grindr personenbezogene Daten der Nutzer*innen ohne deren explizite Einwilligung weitergegeben und damit gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen hat.
Anwender*innen der App Grindr mussten beim ersten Start der App die Datenschutzerklärung in vollem Umfang akzeptieren und wurden nicht explizit gefragt, ob sie der Weitergabe ihrer Daten an Dritte zustimmen. Informationen über die Weitergabe personenbezogener Daten wurden den Nutzer*innen zudem nicht ordnungsgemäß mitgeteilt – nach Ansicht der NO DPA ein Widerspruch zu den DSGVO-Anforderungen für eine gültige Einwilligung. Am 13. Dezember verurteilte die Behörde Grindr zu einem Bußgeld in Höhe von 65 Millionen Norwegische Kronen (etwa 6,5 Millionen Euro).
Der Fall kam ins Rollen, nachdem die norwegische Verbraucherschutzbehörde Forbrukerrådet im Jahr 2020 öffentlich über DSGVO-Verstöße diverser Dating-Apps berichtete und reichte eine allgemeine Datenschutzbeschwerde gegen die Betreiber von Online-Dating-Apps ein (wir berichteten). Im Falle von Grindr habe der Betreiber personenbezogene Daten wie GPS-Standortdaten, IP-Adresse, Werbe-ID, Alter und Geschlecht sowie Informationen, die den User als Grindr-Nutzer*innen ausweisen, zu Marketingzwecken unrechtmäßig an Dritte weitergegeben.
Grindr stand bereits 2018 in der Kritik, als entdeckt wurde, dass die App den HIV-Status seiner Nutzer*innen mit den Drittanbietern Apptimize und Localytics geteilt hatte (mehr über Cybercrime im Gesundheitswesen im männer*-Interview).
Schwerwiegender Fall von Datenschutzverletzung
Die NO DPA kam zu dem Schluss, dass die Praxis von Grindr, sensible personenbezogene Daten an Dritte weiterzugeben, eindeutig rechtswidrig ist. Informationen, die die sexuelle Orientierung oder Geschlechtsidentität eines Menschen betreffen, unterliegen einem besonderen Schutz und sind mit besonderer Vorsicht zu behandeln. Das habe Grindr nicht getan.
Grindr-Nutzer*innen würden die App mitunter anonym nutzen wollen, ohne den eigenen Namen vollständig anzugeben oder ein Foto von sich hochzuladen. Die weitergegebenen Daten könnten die Nutzer*innen der App aber identifizieren und ihn/sie als Angehörige*n der LGBTIQ*-Community ausweisen. Auch könnten die Empfänger der Daten diese möglicherweise weitergeben.
Besonders schwerwiegend stufte die Behörde die Tatsache ein, dass Grindr auch den Standort unrechtmäßig weitergegeben hat. Zwar seien Standortdaten keine besondere Kategorie personenbezogener Daten, jedoch seien sie sensibel und persönlich, hieß es in der Urteilsbegründung. Insgesamt sieht die NO DPA in dem Verstoß einen gravierenden Fall einer DSGVO-Verletzung, die ein abschreckendes hohes Bußgeld rechtfertigt.
„Wir sind der Ansicht, dass Daten, die darauf hinweisen, dass jemand Grindr-Nutzer ist, stark darauf hindeuten, dass er einer sexuellen Minderheit angehört. Daten zur sexuellen Orientierung einer Person stellen besondere Kategorien von Daten dar, die im Sinne der DSGVO besonders schutzwürdig sind.“
Ursprünglich verhängte die NO DPA eine Geldstrafe in Höhe von 100 Millionen NOK (rund 9,8 Millionen Euro), diese wurde später auf 65 Millionen Norwegische Kronen (etwa 6,5 Millionen Euro) reduziert. Als mildernde Faktoren wurden die Größe und finanzielle Situation des Unternehmens sowie dessen Bereitschaft, die Mängel zu beheben, genannt. Grindr kann innerhalb von drei Wochen Widerspruch einlegen.
Foto: Alexander Pohl / NurPhoto / NurPhoto via AFP
Hunderte Millionen Menschen nutzen tagtäglich Dating-Apps.
1 Norwegen ist kein Mitglied der Europäischen Union, unterliegt aber als Mitglied des Europäischen Wirtschaftsraums (EWR) auch der Datenschutz-Grundverordnung der Europäischen Union. 2017 wurde die DSGVO über die Referenzklausel EØS-notat in das norwegische Recht aufgenommen.