DSGVO-Verstoß: Norwegische Datenschützer verhängen Millionenstrafe gegen Grindr

Die norwegische Datenschutzbehörde Norwegian Data Protection Authority (NO DPA) hat gegen die Betreiber der Mobile-Dating-App für Homosexuelle, Bi-, Trans- und Queer-Menschen Grindr ein Bußgeld in Höhe von 65 Millionen Norwegische Kronen (etwa 6,5 Millionen Euro) verhängt. Das teilte nationale Datenschutzbehörde Norwegens Datatilsynet am Mittwoch mit. Demnach habe Grindr gegen die Datenschutz-Grundverordnung (DSGVO) zur Einwilligung der Datennutzung der Anwender verstoßen.

Die NO DPA ist überzeugt, dass Grindr ohne das Einverständnis der App-Nutzer personenbezogene Daten für verhaltensbezogene Werbung an Dritte weitergegeben hat, heißt es in der Mitteilung von Datatilsynet. Die Betreiber der Grindr-App haben es demnach versäumt, von den Anwendern ausdrücklich die Genehmigung zur Weitergabe ihrer Daten an Dritte für verhaltensbezogene Werbung einzuholen. Das Akzeptieren der allgemeinen Datenschutzbestimmungen in ihrer Gesamtheit durch den Anwender, um die App nutzen zu können, reiche dafür nicht aus, weil dies einem Zwang einer Einwilligung zur Datenweitergabe gleichkomme. Die Weitergabe personenbezogener Daten seien dem Nutzer deshalb "nicht ordnungsgemäß" mitgeteilt worden. Damit hätte Grindr im Zeitraum von Juli 2018 bis April 2020 keine gültige Einwilligung nach Maßgabe der DSGVO eingeholt. Der aktuelle Zustimmungsmechanismus sei nicht Gegenstand der Untersuchung gewesen.

Weitergabe personenbezogener Daten

2020 hatte die Norwegische Verbraucherschutzbehörde eine Beschwerde gegen Grindr eingelegt, nach der Grindr personenbezogene Daten zu Marketingzwecken unrechtmäßig an Dritte weitergegeben hat. Darunter haben sich GPS-Ortsdaten des Nutzers, die IP-Adresse, Werbe-ID, das Alter und Geschlecht sowie Informationen, die den Anwender als Grindr-Nutzer ausweisen, befunden. Nach Ansicht der NO DPA könnten Nutzer anhand dieser Daten identifiziert werden und die Daten konnten weitergeben werden.

Die NO DPA betont, dass diese Daten einen Grindr-Nutzer als Angehörigen einer sexuellen Minderheit ausweisen können. Grindr-Nutzer würden die App mitunter anonym nutzen wollen, ohne etwa den eigenen Namen vollständig anzugeben oder ein Foto von sich hochzuladen. Informationen, die die sexuelle Ausrichtung eines Menschen betreffen, unterliege aber einem besonderen Schutz. Trotzdem, so Tobias Judin, Leiter der NO DPA, wurden diese und weitere persönliche Daten an Dritte zu Marketingzwecken weitergegeben.

Die NO DPA sieht deshalb in dem Verstoß einen besonders schwerwiegenden Fall, der ein abschreckendes hohes Bußgeld rechtfertigt. Grindr habe die Daten von Tausenden norwegischen Nutzern aus kommerziellem Interesse weitergegeben.

Ursprünglich sollte die Strafe 100 Millionen Norwegische Kronen betragen. Bei der Verhängung des Bußgeldes wurden jedoch die finanzielle Lage des Unternehmens und der Umstand berücksichtigt, dass die beanstandeten Mängel zur Einwilligung schnell behoben wurden. Grindr hat nun die Möglichkeit, der Entscheidung innerhalb von drei Wochen nach Erhalt zu widersprechen. Diese Frist könne auch verlängert werden, schreibt Datatilsynet.

(olb)