Weitergabe mit Folgen Norwegen verdonnert Grindr wegen DSGVO-Verstoß zu fast 6 Millionen Euro Strafe
Die norwegische Datenschutzbehörde Datatilsynet fand heraus, dass Grindr unrechtmäßig personenbezogene Daten an Werbepartner weitergegeben hatte, die zur Identifizierung seiner Nutzenden führen können. Bereits 2021 wurde für das Vergehen eine Datenschutzstrafe festgelegt. Jetzt bestätigte ein Berufungsgremium den Betrag.
Um diese Daten ging es
Laut der Untersuchung von Datatilsynet hatte Grindr Alter, Geschlecht, GPS-Standort, IP-Adresse und Werbe-ID der Betroffenen weitergegeben. Mit diesen Informationen sei es laut der Behörde möglich gewesen, die Nutzenden zu identifizieren. Der sorglose Umgang der Dating-Plattform mit personenbezogenen Daten wurde schon häufig kritisiert (SCHWULISSIMO berichtete). Die norwegische Untersuchung bezog sich auf Daten aus dem Zeitraum zwischen Juli 2018 und April 2020. Danach hatte Grindr seinen Zustimmungsmechanismus angepasst.
Die Untersuchung ging auf eine Beschwerde des norwegischen Verbraucherrats aus dem Jahr 2020 zurück. Der Rat befürchtete, dass die unrechtmäßig weitergegebenen Daten dazu genutzt werden könnten, um LGBTI* in Ländern zu verfolgen, in denen Homosexualität illegal ist. Besonders gravierend ist dabei, dass die App auch Daten weitergab, die Personen als Grindr-Nutzende identifizierte – und da sich die App vorwiegend an schwule und bisexuelle Männer richtet, deute allein das schon eine nicht-heterosexuelle Identität an. Daher habe Grindr auch noch eine von der europäischen Datenschutzgrundverordnung (DSGVO) besonders geschützte Information offengelegt.
Die Strafe
Grindr muss nun ein Bußgeld in Höhe von 65 Millionen Norwegischen Kronen (etwa 5,8 Millionen Euro) zahlen. Es ist die höchste Datenschutzstrafe, die Datatilsynet bisher verhängte. Zuerst hatte die Behörde sogar eine noch höhere Strafe angedroht. Doch die angedrohten 100 Millionen Norwegischen Kronen wurden verringert, weil die App ihren Einwilligungsmechanismus anpasste.
Nachdem die Betreiber der App Berufung einlegten, ging die Angelegenheit an den Beschwerdeausschuss für den Schutz der Privatsphäre (Personvernnemnda). Dieser bestätigte nun die Bußgeldforderung. Jetzt bleibt Grindr nur noch der Weg vor Gericht, um der Strafe zu entgehen.
Datenschutzbehörde und Verbraucherschutz zufrieden
„Wir sind sehr erfreut, dass der Beschwerdeausschuss unseren Untersuchungsergebnissen zugestimmt und unsere Entscheidung bestätigt hat“, so Datatilsynet-Direktorin Line Coll. Um die betreffenden Daten weitergeben zu können, sei eine freiwillige Einwilligung erforderlich gewesen. Die App habe allerdings keine eingeholt. Stattdessenden hatten Interessierte nur die Wahl, alle Bedingungen zu akzeptieren oder die App schlicht nicht nutzen zu können.
Es habe laut der Behörde außerdem keine explizite Frage nach der Erlaubnis gegeben, die Daten zu Werbezwecken an Dritte weiterzuleiten. Informationen zur Weiterleitung von Daten befanden sich lediglich in der Datenschutzerklärung, und das sei nicht ausreichend: „Der Einwilligungsmechanismus gibt Nutzenden Kontrolle über ihre persönlichen Daten. Wenn sie nicht in der Lage sind, die von ihnen zu treffenden Entscheidungen zu verstehen, oder ihnen keine richtige Wahlfreiheit gegeben wird, ist die Einwilligung illusorisch.“
Auch Finn Myrstad, der beim norwegischen Verbraucherrat für Digitalpolitik zuständig ist, ist zufrieden mit dem Urteil: „Überwachungsbasierte Werbung, bei der Unternehmen personenbezogene Daten zu kommerziellen Zwecken sammeln und weitergeben, ist völlig außer Kontrolle geraten“, findet er. Dass die Datenschutzstrafe nun bestätigt wurde, zeige nun klar und deutlich: „Die Weitergabe personenbezogener Daten ohne Rechtsgrundlage hat ernste Folgen.“