Du willst deine Grindr-Daten? Mach ein Selfie mit deinem Ausweis!
Heute hat noyb eine DSGVO-Beschwerde gegen Grindr eingereicht - eine Dating-App für die LGBTQ Community, bei der viele Nutzer:innen sehr persönliche und sogar explizite sexuelle Details preisgeben. Obwohl Grindr bereits vorhandene Daten wie E-Mail Adresse und Passwort zur Authentifizierung von Nutzer:innen verwenden könnte, wird die vielleicht absurdeste Art der „Identifikation“ verlangt: Nutzer:innen müssen ihren Reisepass sowie einen Zettel mit ihrer E-Mail Adresse hochhalten und damit ein Selfie machen. Das ist nicht nur grotesk, sondern auch ein Verstoß gegen die DSGVO.
Unternehmen müssen Ausübung der Grundrechte ermöglichen. Der von noyb vertretene Betroffene wollte erfahren, wie Grindr seine Daten verwendet. Grindr verweigerte jedoch überraschenderweise den Zugang zu seinen persönlichen Daten, weil er kein Selfie mit seinem Reisepass und einem Stück Papier mit seiner E-Mail-Adresse darauf geschickt hatte.
Wenn "Hunk_69" sich als Martin Huber outen muss, um seine Rechte einzufordern: Unternehmen wie Grindr machen den Registrierungsprozess einfach und schnell - nicht nur zur Datenminimierung, sondern auch da Grindr eine vermeintlich anonyme Nutzung verspricht. Die Plattform wird häufig mit anonymisierten Bildern und unter falschen Namen genutzt und für die Erstellung des Kontos muss man sich nicht ausweisen - selbst das Logo von Grindr ist eine Maske.
Wenn Nutzer:innen jedoch von ihrem Auskunftsrecht Gebrauch machen wollen, verlangt Grindr plötzlich, dass sie die Maske abnehmen und sogar einen staatlich ausgestellten Ausweis vorzeigen. Dies widerspricht nicht nur dem Grundsatz der Datenminimierung, sondern ist mit dem gesamten Produkt unvereinbar.
"Auf Grindr kann man nach Angabe einer E-Mail-Adresse und eines Passworts die intimsten Bilder sehen und versenden - wenn man jedoch seine eigenen Grundrechte ausüben möchte, muss man sich entblößen und sogar einen Ausweis herzeigen.“ – Max Schrems, Vorsitzender von noyb
Unternehmen argumentieren meist mit "Sicherheitsgründen". Laut Gesetz müssen Unternehmen im Einzelfall überprüfen, ob begründete Zweifel an der Identität eine:r Nutzer:in bestehen. Generell nach zusätzlichen Informationen zu fragen, verstößt gegen die DSGVO, vor allem wenn das Unternehmen den verlangten Ausweis nicht abgleichen kann, da es den echten Namen der Person gar nicht weiß.
"Es ist lächerlich, 'Hunk 69' mit einem Lichtbildausweis zu authentifizieren, wenn Grindr seinen echten Namen gar nicht kennt. Damit verlangen sie ein 'Coming-out' ihrer Nutzer:innen, wenn diese ihre Rechte ausüben möchten." – Max Schrems, Vorsitzender von noyb
Kein Einzelfall. Grindr ist bei weitem nicht das einzige Unternehmen, das komplizierte oder sogar unzulässige Identifizierungsschritte verlangt, wenn Nutzer:innen ihre DSGVO-Rechte wahrnehmen wollen. Diese unnötigen "routinemäßigen Identitätsprüfungen" von Unternehmen sollten gestoppt werden und wenn möglich auf weniger einschneidende Maßnahmen wie das Versenden einer Verifizierungs-E-Mail oder eines Codes innerhalb der App zurückgreifen.
Willst du deine Rechte wahrnehmen? Lösche das Konto! Als Alternative schlug Grindr dem Betroffenen vor, seinen Account zu löschen, wenn er "keine Daten mit Grindr teilen möchte". Er entschied sich für eine dritte Option - er reichte eine DSGVO-Beschwerde bei der österreichischen Datenschutzbehörde DSB ein, die nun über den Fall zu entscheiden hat.