Dating-App Grindr muss 10 Millionen Datenschutzstrafe zahlen
Grindr ist eine Dating-App für Homosexuelle. Vor knapp einem Jahr haben der norwegische Verbraucherrat und die Datenschutz-NGO noyb.eu von Max Schrems eine Beschwerde gegen die App eingereicht, weil sie an Drittanbieter, darunter sehr viele Adtech-Unternehmen und Werbetreibende, illegal Daten weitergibt (die futurezone hat darüber berichtet). Dabei werden etwa Standortdaten geteilt, aber alleine die Tatsache, dass jemand Grindr nutzt, ist im Fall bereits problematisch, weil es sich bei der sexuellen Orientierung um sensible Daten handelt.
Nun hat die norwegische Datenschutzbehörde eine extrem hohe Geldstrafe gegen Grindr verhängt und zwar 100 Mio. Kronen (das sind knapp 9,63 Millionen Euro). Das Unternehmen erzielte im Jahr 2019 einen Gewinn von 31 Millionen US-Dollar - ergo, umgerechnet umfasst die Strafe knapp ein Drittel des Jahresgewinns des Unternehmens und knapp zehn Prozent des Jahresumsatzes.
Sensible Daten
Daten zur sexuellen Orientierung müssen laut DSGVO besonders geschützt werden. Obwohl es sich bei der Dating-App um eine App für Homosexuelle handelt, vertrat Grindr hierbei die Ansicht, dass die Nutzung ihres Dienstes nicht auf die sexuelle Orientierung der Kunden schließen lässt und es doch einfach nur „neugierige“ Nutzer auch geben kann. Die norwegische Datenschutzbehörde sah das anders, da sich Grindr selbst als App "ausschließlich für die schwule/bi Community" bezeichnet.
"Wenn eine App für die schwule Community argumentiert, dass die besonderen Schutzbestimmungen für die Community eigentlich nicht gelten, ist das doch erstaunlich. Ich bin mir nicht sicher, ob die Anwälte von Grindr das wirklich zu Ende gedacht haben“, sagt Max Schrems, Vorsitzender von noyb.
"Wer sich auf eine unrechtmäßige 'Einwilligung' verlässt, muss mit einer saftigen Geldstrafe rechnen. Das betrifft nicht nur Grindr, sondern viele Webseiten und Apps"
Keine Nutzerzustimmung
Die Datenschutz-Beschwerde ging nicht nur Grindr, sondern auch fünf Adtech-Firmen namens MoPub von Twitter, AppNexus von AT&T, OpenX, AdColony und Smaato, die über Grindr personenbezogene Daten erhalten haben. Jedes Mal, wenn die App geöffnet wurde, wurden Daten an die Firmen übermittelt. Laut der norwegischen Datenschutzbehörde geschah dies ohne eindeutige, informierte, spezifische und freie Einwilligung. Laut der norwegischen Datenschutzbehörde ist die angebliche "Einwilligung", auf die sich Grindr beruft, ungültig.
Die Nutzer wurden weder richtig informiert, noch war die Einwilligung spezifisch genug, da der gesamten Datenschutzerklärung zugestimmt werden musste. Einzelne Verarbeiungsarten wie Werbung konnten nicht spezifische aktiviert oder deaktiviert werden, heißt es seitens noyb.
"Die Botschaft ist einfach: 'Friss oder stirb' ist keine gültige Einwilligung. Wer sich auf eine unrechtmäßige 'Einwilligung' verlässt, muss mit einer saftigen Geldstrafe rechnen. Das betrifft nicht nur Grindr, sondern viele Webseiten und Apps“, sagt Ala Krinickytė, zuständige Datenschutzjuristin bei noyb.
Zwingt Branche zum Umdenken
Diese Entscheidung der norwegischen Verbraucherschützer ist daher ein wichtiger Schritt, um diese gängige Praxis von Apps in Europa langfristig abzudrehen. Das gilt dann etwa auch für Menstruations-Apps, die ebenfalls in der Untersuchung der Verbraucherschützer vor rund einem Jahr drin waren und viele sensiblen Daten sammeln.
Der Direktor für digitale Politik im norwegischen Verbraucherrat, Finn Myrstad, dazu: "Diese Entscheidung setzt nicht nur Grindr Grenzen, sondern betrifft eine ganze Branche. Viele Unternehmen machen ihren Profit damit, Informationen über unsere Vorlieben und Einkäufe, unseren Standort, unsere körperliche und geistige Gesundheit, unsere sexuelle Orientierung und politischen Ansichten zu sammeln und weiterzugeben.“