Die Dating-App Grindr, die sich nach eigenen Angaben vor allem an Nutzer aus der LGBTQ+-Community richtet, muss wegen Datenschutzverstößen eine Strafe von 100 Millionen norwegischen Kronen (rund 9,6 Millionen Euro) zahlen. Das Unternehmen habe unerlaubt Nutzerdaten an Werbetreibende weitergegeben und damit gegen die Datenschutzgrundverordnung (DSGVO) der EU verstoßen, befindet die norwegische Datenschutzbehörde.

Der norwegische Verbraucherrat sieht einen großen Erfolg – denn die Entscheidung setze nicht nur Grindr Grenzen, sondern auch anderen Unternehmen, die Gewinne anhand von Informationen über den Standort, die Gesundheit, der politischen Ansicht oder der sexuellen Orientierung generieren. Sie folgt auf eine Beschwerde des norwegischen Verbraucherschutzverbands NCC gemeinsam mit der österreichischen Datenschutz-NGO Noyb.

Daten zur sexuellen Orientierung

Die NCC hatte in ihrem ausführlichen Bericht mit dem Namen "Out of Control" im vergangenen Jahr kritisiert, dass das Unternehmen sensible Informationen, darunter etwa den GPS-Standort oder dass jemand Grindr überhaupt nutzt, an potenziell hunderte Werbepartner weitergibt. Letzteres wurde von der norwegischen Datenschutzbehörde als speziell problematisch empfunden, da die DSGVO Informationen zur sexuellen Orientierung als besonders schützenswert definiert.

Die Argumentation des Unternehmens, dass die App ja auch von Heterosexuellen oder Personen, die sich ihrer Sexualität nicht bewusst sind und ein gleichgeschlechtliches Verhältnis zunächst ausprobieren wollen, genutzt werde, hat die Behörde abgelehnt. Grindr würde sich demnach selbst als App "ausschließlich für die schwule/bisexuelle Community" bezeichnen.

Zudem hatte Grindr zuvor behauptet, Nutzer würden ja selbst ihre sexuelle Orientierung öffentlich machen, weswegen der Schutz nicht notwendig sei. Das wurde ebenso abgelehnt. "Wenn eine App für die schwule Community argumentiert, dass die besonderen Schutzbestimmungen für die Community eigentlich nicht gelten, ist das doch erstaunlich", sagt Noyb-Vorsitzender Max Schrems. "Ich bin mir nicht sicher, ob die Anwälte von Grindr das wirklich zu Ende gedacht haben."

"Friss oder stirb"

Nutzer hätten laut der norwegischen Datenschutzbehörde keine spezifische Einwilligung für die Datenweitergabe gegeben. Stattdessen hätten sie der gesamten Datenschutzerklärung zustimmen müssen und konnten bestimmte Verarbeitungen – wie eben jene zu Werbezwecken – nicht deaktivieren. Das sei unzulässig. "Die Botschaft ist einfach: 'Friss oder stirb' ist keine gültige Einwilligung", sagt die Juristin Ala Krinickytė von Noyb. User müssten immer eine Wahl haben.

Zudem habe Grindr gar nicht kontrolliert, was die Unternehmen mit den Daten machen. Demnach könnten Unternehmen, die Zugriff darauf erhalten haben, ein nachträgliches Opt-out einfach ignorieren. Dabei müsste sich der Dating-App-Anbieter für die Weitergabe verantworten und sie prüfen.

Ein erfolgreicher Einspruch ist nach Einschätzung von Noyb unwahrscheinlich – eher könne es sogar zu noch mehr Bußgeldern kommen. Grindr beziehe sich nämlich mittlerweile auf ein "berechtigtes Interesse", um Daten weiterzugeben – jedoch habe die norwegische Datenschutzbehörde bereits kundgegeben, dass jede Weitergabe zu Marketingzwecken zunächst eine Zustimmung vorsehe. (muz, 26.1.2021)