€10 Mio. Strafe für "Grindr" nach DSGVO-Beschwerde

26 Jan 2021

Gay-Dating-App "Grindr" muss rund €10 Mio. wegen DSGVO-Verstoßes zahlen. Grindr hat zuvor sensible Daten von Millionen von Nutzern illegal weitergegeben.

Im Januar 2020 reichten der norwegische Verbraucherrat und der europäische Datenschutz-Verein noyb.eu drei strategische Beschwerden gegen Grindr und mehrere Adtech-Unternehmen wegen illegaler Weitergabe von Nutzerdaten ein. Die Dating-App für Homosexuelle "Grindr" teilte persönliche Daten (z.B. Standortdaten oder die Tatsache, dass jemand Grindr nutzt) mit potenziell Hunderten Drittanbietern für Werbung.

Heute hat die norwegische Datenschutzbehörde den Beschwerden stattgegeben und bestätigt, dass Grindr keine gültige Einwilligung für die Datenweitergabe hatte. Die Behörde verhängt eine Geldstrafe von 100 Mio Norwegischen Kronen (€ 9,63 Mio oder $ 11.69 Mio) gegen Grindr. Bei einem Gewinn von $ 31 Mio. im Jahr 2019 ist das eine saftige Strafe für das Unternehmen. Ein Drittel des Jahresgewinns ist damit weg.

Hintergrund. Am 14. Januar 2020 hat der norwegische Verbraucherrat (Forbrukerrådet; NCC) in Zusammenarbeit mit noyb drei strategische Beschwerden bei der norwegischen Datenschutzbehörde gegen die Dating-App Grindr und fünf Adtech-Unternehmen eingereicht. Die fünf Adtech Unternehmen MoPub von Twitter, AppNexus von AT&T (jetzt Xandr), OpenX, AdColony und Smaato haben über die App personenbezogene Daten erhalten.

Grindr sendete sehr intime Daten an potenziell Hunderte Werbepartner. Der Bericht 'Out of Control' des NCC beschrieb detailliert, wie eine große Anzahl von Dritte laufend persönliche Daten über Benutzer der Dating App erhalten. Jedes Mal wenn ein Nutzer Grindr öffnet, werden Informationen wie der aktuelle Standort oder dass diese Person Grindr nutzt, an Werbetreibende übermittelt. Diese Informationen werden auch verwendet, um umfassende Nutzerprofile für gezielte Werbung zu erstellen.

Keine eindeutige, informierte, spezifische und freie Einwilligung. Laut der norwegischen Datenschutzbehörde ist die angebliche "Einwilligung", auf die sich Grindr beruft, ungültig. Die Nutzer wurden weder richtig informiert, noch war die Einwilligung spezifisch genug, da der gesamten Datenschutzerklärung zugestimmt werden musste. Einzelne Verarbeiungsarten wie Werbung konnten nicht spezifische aktiviert oder deaktivert werden.

Die Behörde betonte, dass die Nutzer eine echte Wahl haben muss, nicht einzuwilligen und zwar ohne negative Konsequenzen. Grindr machte hingegen die Nutzung der App von der Zustimmung zur Datenweitergabe oder aber die Zahlung einer Abo-Gebühr abhängig.

"Die Botschaft ist einfach: 'Friss oder stirb' ist keine gültige Einwilligung. Wer sich auf eine unrechtmäßige 'Einwilligung' verlässt, muss mit einer saftigen Geldstrafe rechnen. Das betrifft nicht nur Grindr, sondern viele Webseiten und Apps." - Ala Krinickytė, Datenschutzjuristin bei noyb

"Diese Entscheidung setzt nicht nur Grindr Grenzen, sondern betrifft eine ganze Branche. Viele Unternehmen machen ihren Profit damit, Informationen über unsere Vorlieben und Einkäufe, unseren Standort, unsere körperliche und geistige Gesundheit, unsere sexuelle Orientierung und politischen Ansichten zu sammeln und weiterzugeben" - Finn Myrstad, Direktor für digitale Politik im norwegischen Verbraucherrat.

Grindr muss externe "Partner" überwachen. Darüber hinaus kam die norwegische Datenschutzbehörde zu dem Schluss, dass "Grindr es versäumt hat, die Datenweitergabe an Dritte zu kontrollieren und die Verantwortung dafür zu übernehmen". Grindr teilte Daten mit potenziell Hunderten Drittanbietern, indem es Tracking-Codes in die App einbaute. Anschließend vertraute Grindr blind darauf, dass diese Werbeunternehmen ein Opt-Out-Signal befolgen würden. Die DPA stellte fest, dass die Unternehmen das Opt-Out Signal leicht ignorieren konnten und weiterhin personenbezogene Daten der Nutzer verarbeiten. Das Fehlen jeglicher faktischer Kontrolle und Verantwortung über die Weitergabe von Nutzerdaten durch Grindr steht nicht im Einklang mit dem Grundsatz der Rechenschaftspflicht gemäß Artikel 5 Absatz 2 DSGVO. Das ist insofern interessant, als viele Webseiten ein solches Signal nutzen (meist das IAB TCF Signal) um vermeintlich die DSGVO einzuhalten.

"Unternehmen können nicht einfach externe Software in ihre Produkte einbinden und dann hoffen, dass  sich alle an das Gesetz halten. Grindr hat Tracking-Codes von externen Partnern eingebunden und damit Nutzerdaten an potenziell Hunderte von Dritten weitergeleitet - jetzt muss Grindr sicherstellen, dass sich diese 'Partner' auch an das Gesetz halten." - Ala Krinickytė, Datenschutzjuristin bei noyb

Grindr: Nutzer vielleicht nur "bi-neugierig"? Die DSGVO definiert Daten zur sexuellen Orientierung als besonders schützenswerte Kategorie. Grindr übermittelte jedoch den Werbepartnern die Information, dass ein Nutzer soeben die App nutzt. Grindr vertrat hierbei die Ansicht, dass die Nutzung ihres Dienstes nicht auf die sexuelle Orientierung der Kunden schließen lässt. Das Unternehmen argumentierte, dass die Nutzer heterosexuell oder auch "bi-neugierig" ("bi-curious") sein könnten. Die norwegische Datenschutzbehörde sah das anders, da sich Grindr selbst als App "ausschließlich für die schwule/bi Community" bezeichnet. Das fragwürdige Argument, dass die Nutzer ihre sexuelle Orientierung selbst "offenkundig öffentlich" machten und diese Daten daher nicht geschützt werden müssen, wurde von der DPA ebenfalls zurückgewiesen.

"Wenn eine App für die schwule Community argumentiert, dass die besonderen Schutzbestimmungen für die Community eigentlich nicht gelten, ist das doch erstaunlich. Ich bin mir nicht sicher, ob die Anwälte von Grindr das wirklich zu Ende gedacht haben." - Max Schrems, Vorsitzender bei noyb

Erfolgreicher Einspruch unwahrscheinlich. Die norwegische Datenschutzbehörde hat nach der Anhörung von Grindr in einem Verfahren eine "erweiterte Mitteilung" erlassen. Grindr kann innerhalb von 21 Tagen Einspruch gegen den Bescheid einlegen. Es ist jedoch unwahrscheinlich, dass das Ergebnis geändert wird. Allerdings könnten weitere Geldstrafen drohen, da sich Grindr nun auf ein angebliches "berechtigtes Interesse" beruft, um Daten ohne Einwilligung der Nutzer weiterzugeben. Die norwegische Datenschutzbehörde hielt jedoch fest, dass "jede umfassende Weitergabe [...] zu Marketingzwecken auf der Zustimmung der betroffenen Person beruhen soll".

"Der Fall ist von faktischen und rechtlicher Seite klar. Wir rechnen nicht mit einem erfolgreichen Einspruch von Grindr. Allerdings könnten weitere Bußgelder auf Grindr zukommen, da das Unternehmen neuerdings ein unrechtmäßiges "berechtigtes Interesse" geltend macht, um Nutzerdaten auch ohne Einwilligung an unzählige Dritte weiterzugeben. Der Fall könnte in eine zweite Runde gehen und zu weiteren Strafen führen." Ala Krinickytė, Datenschutzjuristin bei noyb

Danksagung

  • Das Projekt wurde vom Norwegischen Verbraucherrat geleitet
  • Die technischen Untersuchungen wurden von der Sicherheitsfirma mnemonic durchgeführt.
  • Die Recherchen über die Adtech-Industrie und bestimmte Datenbroker wurden mit Unterstützung von Wolfie Christl von Cracked Labs durchgeführt
  • Die zusätzliche Prüfung der Grindr-App wurde von dem Forscher Zach Edwards von MetaX durchgeführt.
  • Die rechtliche Analyse und die formellen Beschwerden wurden mit Unterstützung von noyb verfasst