€6,3 Mio. Strafe für Grindr wegen illegaler Datenweitergabe

15 Dez 2021

NCC & noyb DSGVO-Beschwerde: Grindr muss € 6,3 Mio. Strafe wegen illegaler Datenweitergabe zahlen

Die norwegische Datenschutzbehörde hat heute eine Geldstrafe von 65 Mio. NOK (6,34 Mio. € oder 7,17 Mio. $) gegen Grindr verhängt. Die LGBTQI-Dating-App hatte keine gültige Zustimmung der Nutzer:innen erhalten, aber dennoch sensible persönliche Daten weitergegeben.

Hintergrund des Falles. Am 14. Januar 2020 hat der norwegische Verbraucherrat (Forbrukerrådet ; NCC) in Zusammenarbeit mit noyb drei strategische DSGVO-Beschwerden verfasst. Die Beschwerden wurden bei der norwegischen Datenschutzbehörde gegen die Queer-Dating-App Grindr und fünf Adtech-Unternehmen eingereicht, die personenbezogene Daten über die App erhalten haben: MoPub von Twitter, AppNexus von AT&T (jetzt Xandr), OpenX, AdColony und Smaato

Grindr hatte sensible persönliche Daten an Hunderte von potenziellen Werbepartnern gesendet. Der Bericht 'Out of Control' des NCC beschreibt detailliert, wie eine große Anzahl von Drittparteien ständig persönliche Daten der Nutzer:innen von Grindr bekamen, wie z.B. Standortdaten oder die Tatsache, dass sie Grindr benutzen.

Am 26. Januar 2021 kündigte die norwegische Behörde in einem "Entscheidungsentwurf" eine Geldstrafe von 100 Mio. NOK (etwa 10 Mio. EUR) wegen Verstoßes gegen Artikel 4 (11), Artikel 6, Artikel 7 und Artikel 9 (2)(a) DSGVO an. Die ursprüngliche Geldbuße wurde in der heutigen, endgültigen Entscheidung auf 65 Mio. NOK reduziert, da Grindr einen geringen Umsatz auswies und das Unternehmen seine früher verwendete Consent Management Platform anpasste.

"Dies ist ein starkes Signal an alle Unternehmen, die an der kommerziellen Überwachung beteiligt sind. Die Weitergabe personenbezogener Daten ohne Rechtsgrundlage hat ernste Folgen. Wir fordern die digitale Werbeindustrie auf, grundlegende Änderungen vorzunehmen, um die Rechte der Verbraucher zu respektieren." - Finn Myrstad, Direktor für Digitalpolitik im Norwegischen Verbraucherrat (NCC).

Einwilligung muss eindeutig, informiert, spezifisch und frei gegeben werden. Laut der norwegischen Datenschutzbehörde ist die angebliche "Zustimmung" zur Datenweitergabe, auf die sich Grindr berufen wollte, ungültig. Die Nutzer:innen wurden weder ordnungsgemäß informiert, noch war die Einwilligung spezifisch genug: sie mussten der gesamten Datenschutzerklärung zustimmen und nicht einer bestimmten Verarbeitung, wie etwa der Weitergabe von Daten an andere Unternehmen. Außerdem betonte die Datenschutzbehörde, dass die Nutzer:innen auch die Option haben müssen, nicht zuzustimmen, ohne dass dies negative Folgen hat. Grindr machte jedoch die Nutzung der App von der Zustimmung abhängig: entweder der Datenweitergabe zustimmen oder eine Abonnementgebühr zahlen.

Abschließend stellte die Behörde fest: "Grindr hat es versäumt, die eigene Datenweitergabe zu kontrollieren und die Verantwortung dafür zu übernehmen, und der "Opt-Out"-Mechanismus war nicht unbedingt wirksam".

" - und das ist der springende Punkt, zusätzlich zur fehlenden Zustimmung. Man kann personenbezogene Daten nicht mit einer potenziell unbegrenzten Zahl von Partnern teilen und keinerlei Kontrolle haben, was mit diesen Daten geschieht." - Ala Krinickytė, Datenschutzjuristin bei noyb

Personenbezogene Daten sind keine Währung. Die norwegische Datenschutzbehörde hat eine klare Haltung eingenommen und erklärt, dass personenbezogene Daten nicht zur Bezahlung digitaler Dienste verwendet werden dürfen, auch wenn Grindr sich auf "verhaltensbezogene Werbung" als "Kernaktivität" zur Finanzierung des Unternehmens stützt. Diese Entscheidung spielt eine wichtige Rolle für den europäischen Markt, da viele Online-Dienste Gewinne erzielen, indem sie Nutzerdaten als Zahlungsmittel anbieten.

Die norwegische Datenschutzbehörde betrachtete die finanziellen Vorteile, die Grindr durch die illegale Weitergabe von Daten erzielte und die Weitergabe von personenbezogener Daten besonderer Kategorien (z.B. sexuelle Orientierung) die nach Artikel 9 der DSGVO geschützt sind als erschwerende Faktoren für die Bemessung der Geldbuße. Die Datenschutzbehörde sieht durch die Weitergabe der fraglichen Daten die Grundrechte und -freiheiten der betroffenen Person, wie das Recht auf Privatsphäre und Nichtdiskriminierung, gefährdet.

"Es ist erstaunlich, dass die Datenschutzbehörde Grindr davon überzeugen muss, dass seine Nutzer LGBT+ sind und dass diese Tatsache keine Ware ist, die man eintauschen kann." - Ala Krinickytė, Datenschutzjuristin bei noyb

Berufung beim Datenschutzausschuss. Grindr kann innerhalb der nächsten drei Wochen vor dem norwegischen Beschwerdeausschuss für den Datenschutz (Personvernnemda) Berufung einlegen. Die weiteren Beschwerden gegen die Adtech-Unternehmen, die Daten von Grindr erhalten haben, sind noch offen.

Danksagung

  • Das Projekt wurde geleitet von dem Norwegischen Verbraucherrat.

  • Die technischen Tests wurden von der Sicherheitsfirma mnemonic durchgeführt.

  • Die Recherchen über die Adtech-Industrie und bestimmte Datenbroker wurden mit Unterstützung des Forschers Wolfie Christl von Cracked Labs durchgeführt

  • Die zusätzliche Prüfung der Grindr-App wurde von dem Forscher Zach Edwards von MetaX durchgeführt.

  • Die rechtliche Analyse und die formellen Beschwerden wurden mit Unterstützung von noyb verfasst