Bußgeld gegen Grindr
Geschrieben von Luise Riemer, veröffentlicht am 10.02.2022Im Dezember 2021 verhängte die norwegische Datenschutzbehörde (Datatilsynet) einen Bußgeldbescheid in Höhe von 65.000.000 NOK (ca. 6,5 Millionen Euro) gegen die Betreiber der beliebten Dating-App “Grindr”, aufgrund schwerwiegender Verstöße gegen die Datenschutz-Grundverordnung (DSGVO).
Was war passiert?
Bereits im Januar 2020 reichte die norwegische Verbraucherzentrale (Forbrukerrådet) zusammen mit dem europäischen Datenschutzverein “none of your business” (noyb) eine Beschwerde gegen den App-Betreiber der Dating-Plattform “Grindr”, die sich hauptsächlich an die LGBTQ-Community richtet und weltweit mehr als 13,7 Millionen aktive Nutzer verzeichnet, bei der norwegischen Datenschutzbehörde ein.
Grund für die Beschwerde war die Annahme, Grindr reiche personenbezogene Nutzerdaten wie GPS-Standorte, Alter, Geschlecht und IP-Adresse an Dritte zu Marketingzwecken ohne wirksame Rechtsgrundlage weiter. Dritte meint dabei gem. Art. 4 Nr. 10 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle. Ausgenommen sind dabei die betroffene Person selbst sowie der Verantwortliche (Grindr) und seine Auftragsverarbeiter bzw. dessen unter unmittelbarer Verantwortung stehenden Personen. Zu den Dritten gehören hier somit beispielsweise Werbepartner von Grindr.
Aufgrund der weitergegebenen personenbezogenen Daten sei es den Empfängern möglich, die Nutzer der App zu identifizieren. Ebenso ließe sich allein aus der Tatsache der App-Verwendung die Zugehörigkeit zur LGBTQ-Community und somit die sexuelle Orientierung der App-Nutzer ableiten. Informationen über die sexuelle Orientierung stellen gem. Art. 9 Abs. 1 DSGVO besondere Kategorien personenbezogener Daten dar, die als besonders schutzwürdig eingestuft werden.
Die App-Nutzer sind stark an dem diskreten Umgang ihrer sensiblen Daten interessiert. Denn im schlimmsten Fall können Staaten, in denen Homosexualität illegal und somit strafbar ist, diese Informationen im Zusammenhang mit den geteilten Standortdaten für die Verfolgung dieser Nutzer missbrauchen. Zu solchen Staaten gehören zum Beispiel Ägypten, Saudi-Arabien und Marokko. So wurde Grindr beispielsweise durch die ägyptische Polizei bereits dazu missbraucht, homosexuelle Personen zu identifizieren, um diese dann aufgrund der dortigen Strafbarkeit von Homosexualität zu verhaften.
Einwilligung als mögliche Legitimationsgrundlage?
Die Verarbeitung personenbezogener Daten ist nur dann zulässig, wenn eine entsprechende Legitimationsgrundlage vorliegt, wie zum Beispiel eine wirksame Einwilligung. Nach Ansicht der norwegischen Datenschutzbehörde hätte Grindr für die Weitergabe der sensiblen Nutzerdaten eine gültige Zustimmung der App-Nutzer einholen müssen. Denn die Verarbeitung besonderen Kategorien personenbezogener Daten (wie etwa Informationen zur sexuellen Orientierung) ist gem. Art. 9 Abs. 2 lit. a DSGVO nur beim Vorliegen einer ausdrücklichen Einwilligung für festgelegte Zwecke zulässig. Laut der norwegischen Datenschutzbehörde seien die Einwilligungen in die Datenverarbeitung aber nicht wirksam erfolgt.
Wirksamkeit der Einwilligung
Gem. Art. 4 Nr. 11 DSGVO hat eine Einwilligung in die Datenverarbeitung freiwillig und in informierter Weise zu erfolgen. Die betroffene Person muss über eine Wahlfreiheit hinsichtlich der verschiedenen Verarbeitungsvorgänge verfügen. Von einer Freiwilligkeit ist aber gem. Art. 7 Abs. 4 DSGVO i.V.m. Errwägungsgrund 43 nicht auszugehen, wenn etwa die Erbringung einer Dienstleistung von einer Einwilligung in eine Verarbeitung personenbezogener Daten abhängig gemacht wird, die für die eigentliche Dienstleistungserbringung überhaupt nicht erforderlich ist.
So stellte die norwegische Datenschutzbehörde bei ihren Ermittlungen fest, dass die Nutzer bei der Anmeldung zur kostenlosen Grindr-Version die vollständigen Datenschutzbestimmungen und somit auch uneingeschränkt alle Formen der Datenverarbeitungen der App ohne jegliche Wahlfreiheiten akzeptieren mussten. Es bestand zumindest in der kostenfreien Variante auch nicht die Möglichkeit, einzelne Bestimmungen wie die Datenübermittlung an Dritte, abzulehnen. Die Nutzer hatten somit nur wenig bis keinerlei Kontrolle über die Offenlegung ihrer sensiblen persönlichen Daten.
Nach Ansicht der norwegischen Datenschutzbehörde erfülle dieses Vorgehen nicht die hohen Einwilligungsanforderungen der DSGVO, sodass eine gültige aktive und freiwillige Einwilligung in angemessener informierter Art und Weise durch die Nutzer nicht stattgefunden habe. Auch ist die Datenweitergabe an Dritte, für die Erbringung der Dienstleistung (matching von Personen der LGBTQ-Community), nicht erforderlich.
Ausblick
Bei dem verhängten Bußgeldbescheid gegen Grindr handelt es sich um die höchste Geldstrafe, die die norwegische Aufsichtsbehörde bisher je verhängt hat. Die App-Betreiber haben jedoch noch bis zum 14. Februar 2022 Zeit, eine Berufung gegen diesen einzureichen. Laut der norwegischen Verbraucherzentrale lässt diese Entscheidung hoffen, dass dies Ausgangspunkt für weitere Entscheidungen gegen andere Unternehmen mit ähnlichen Vorgehensweisen sein wird. Denn Grindr ist nicht die einzige digitale Plattform, die sensible persönliche Daten ihrer Nutzer ohne eine wirksame Einwilligung an Dritte weitergibt.