Der Norwegischen Datenschutzbehörde “Norwegian Data Protection Authority” (NO DPA) zufolge soll Grindr personenbezogene Daten der Nutzer ohne deren ausdrückliche Einwilligung weitergegeben haben. Es liegt somit ein Verstoß gegen die Datenschutz-Grundverdordnung (DSGVO) vor. Was es damit auf sich hat, erläutern wir in diesem Blogbeitrag.
Grindr ist eine App für Mobile Dating, die es schwulen, bisexuellen und transsexuellen Männern ermöglicht, andere Männer in ihrer näheren Umgebung zu lokalisieren und mit ihnen Kontakt aufzunehmen. Nun hat die norwegische Datenschutzbehörde Norwegian Data Protection Authority (NO DPA) gegen die Betreiber der Mobile-Dating-App Grindr ein Bußgeld in Höhe von 65 Millionen Norwegische Kronen (das sind etwa 6,5 Millionen Euro) verhängt. Grund dafür ist ein Verstoß gegen die DSGVO auf Seiten der Dating- App: Grindr soll ohne die erforderliche Einwilligung der App-Nutzer personenbezogene Daten für verhaltensbezogene Werbung an Dritte weitergegeben haben.
Einwilligung muss eindeutig, informiert, spezifisch und freigegeben werden.
Gem. Art. 6 DSGVO bedarf es der Einwilligung der betroffenen Person zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke. Jedoch haben die Betreiber der Dating-App etwaige EInwilligungserklärungen der Nutzer nicht eingeholt. Eine nachträgliche Zustimmung, sog. Genehmigungen zur Weitergabe ihrer Daten an Dritte für verhaltensbezogene Werbung, ist zudem ebenfalls nicht erfolgt. Auch die Berufung der App-Betreiber, die Nutzer hätten in Folge des Akzeptierens der allgemeinen Datenschutzbestimmungen in die Weitergabe ihrer Daten eingewilligt, ist nicht ausreichend. Gestützt wird sich darauf, dass dies einem Zwang einer Einwilligung bezüglich einer Datenweitergabe gleichkomme. Außerdem betonte die Datenschutzbehörde, dass die Nutzer:innen auch die Option haben müssen, nicht zuzustimmen, ohne dass dies negative Folgen hat. Grindr machte jedoch die Nutzung der App von der Zustimmung abhängig: entweder der Datenweitergabe zustimmen oder eine Abonnementgebühr zahlen.
Die Weitergabe personenbezogener Daten seien dem Nutzer deshalb "nicht ordnungsgemäß" mitgeteilt worden. Damit hätte Grindr im Zeitraum von Juli 2018 bis April 2020 keine gültige Einwilligung nach Maßgabe der DSGVO eingeholt. Der aktuelle Zustimmungsmechanismus sei nicht Gegenstand der Untersuchung gewesen. Es liegt somit ein Verstoß gegen die DSGVO vor, das die norwegische Datenschutzbehörde mit einer Geldstrafe von 65 Mio. NOK bestrafte. Abschließend stellte die Behörde fest: "Grindr hat es versäumt, die eigene Datenweitergabe zu kontrollieren und die Verantwortung dafür zu übernehmen, und der "Opt-Out"-Mechanismus war nicht unbedingt wirksam".
Personenbezogene Daten sind keine Währung.
Der norwegische Datenschutzbehörde zufolge dürfen personenbezogene Daten nicht zur Bezahlung digitaler Dienste verwendet werden, auch wenn Grindr sich auf "verhaltensbezogene Werbung" als "Kernaktivität" zur Finanzierung des Unternehmens stützt. Diese Entscheidung stellt eine wichtige Rolle für den europäischen Markt dar, da viele Online-Dienste Gewinne erzielen, indem sie Nutzerdaten als Zahlungsmittel anbieten. Die finanziellen Vorteile, die Grindr durch die illegale Weitergabe von Daten erzielte und die Weitergabe von personenbezogener Daten besonderer Kategorien (z.B. sexuelle Orientierung), die nach Artikel 9 der DSGVO geschützt sind, stellen erschwerende Faktoren für die Bemessung der Geldbuße dar. Durch die Weitergabe dieser sensiblen Daten sieht die Datenschutzbehörde die Grundrechte und -freiheiten der betroffenen Person, wie das Recht auf Privatsphäre und Nichtdiskriminierung, erheblich gefährdet.
Berufung beim Datenschutzausschuss.
Grindr hat die Möglichkeit, innerhalb der nächsten drei Wochen vor dem norwegischen Beschwerdeausschuss für den Datenschutz (Personvernnemda) Berufung einlegen. Die weiteren Beschwerden gegen die Adtech-Unternehmen, die Daten von Grindr erhalten haben, sind dahingehend noch offen.
