NorwegenGrindr versucht, Millionenstrafe abzuwehren

Die Verwendung der vorwiegend von homosexuellen Männern genutzten Dating-Plattform „Grindr“ sage nichts über die sexuelle Orientierung der Nutzer:innen aus, behauptet das Unternehmen. Es wurde wegen der Weitergabe sensibler Daten an Drittfirmen zu einem Millionen-Bußgeld verdonnert und äußert sich jetzt in einer Stellungnahme.

Foto aus einer Zeit, in der man sich noch zu Dates in Bars traf. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Toni Mucci

Im Januar kündigte die norwegische Datenschutzaufsicht Datatilsynet an, eine zehn-Millionen-Euro-Strafe gegen Grindr verhängen zu wollen. Die norwegische Verbraucherschutzbehörde hatte 2020 in einer Studie gezeigt, dass die Dating-App und viele weitere Anwendungen im großen Stil Daten mit Drittparteien teilen. Jetzt bezieht Grindr, das sich selbst als „die weltweite größte Social-Networking-App für schwule, bi, trans und queere Menschen“ bezeichnet, erstmals Stellung.

Das Unternehmen positioniert sich in seiner Stellungnahme [PDF] dabei zunächst dezidiert politisch. Es betont seinen Einsatz für die LGBTQI+ Community und sieht sich als Vorreiter in Sachen Datenschutz-Transparenz. Anstelle eines Links, wie beispielsweise die Plattform Tinder es mache, blende das Unternehmen die gesamten Datenschutzrichtlinien in der App ein.

Weitreichende Datenweitergabe

Auch auf den Kernvorwurf, dass Grindr verantwortungslos mit den besonders sensiblen Daten seiner oft immer noch Diskriminierung ausgenetzten Nutzerschaft umgehe, geht das Unternehmen ein. Dabei versucht es sich in Wortklauberei: Daten zur sexuellen Orientierung der Nutzenden wären überhaupt nicht an Dritte weitergegeben worden, lediglich die freiwillig angegeben Daten zum Geschlecht.

Wenn Werbepartner diese Daten dann wiederum in Kategorien der sexuellen Orientierung einordnen würden – dies war Gegenstand des Berichts der Verbraucherschützer:innen und Teil der Entscheidung der Datenschutzaufsicht – hätte das mit Grindr selbst nichts zu tun. Generell würden die Nutzenden jeder Weitergabe privater Daten vorher in den Datenschutzbestimmungen zustimmen.

Deutlich wird in der Stellungnahme, welche Daten in dem besagten Zeitraum mit Werbefirmen geteilt wurden: Die Advertising-ID, die IP-Adresse und weitere gerätespezifische Informationen, freiwillige Angaben zum Alter (in ganzen Jahren), das Geschlecht (nur wenn es der Kategorie ‚weiblich‘ oder ‚männlich‘ zuzuordnen ist) und die Aufenthaltshistorie (bei positiver Tracking-Erlaubnis in den Handy-Einstellungen).

Die Verbraucherschutzorganisation Forbrukerrådet zeigt sich in einer gemeinsamen Reaktion mit der österreichischen Datenschutz-NGO NOYB unzufrieden mit dem Statement von Grindr. Das Unternehmen gehe nicht genug auf die Bedenken der Datenschützer:innen ein. So sei etwa die Aussage, dass andere Unternehmen genau so Daten teilen würden, ein politisches Argument, kein rechtliches.

Wer genau hatte Zugriff auf die Daten?

Wie Finn Myrstad von Forbrukerrådet gegenüber netzpolitik.org erklärt, ist Grindr seinen Verpflichtungen aus der Datenschutzgrundverordnung (DSGVO) nicht ausreichend nachgekommen. Die Einwilligung in die Datensammlung sei nicht gültig, zudem sei intransparent gewesen, mit wem die Daten geteilt würden.

Hier klicken, um den Inhalt von twitter.com anzuzeigen

Myrstad erklärt weiter, dass Grindr keine technischen Maßnahmen implementiert habe, um die Datenweitergabe zu stoppen, sondern sich auf Opt-out-Einstellungen auf Gerätebene verlassen habe. Auf einem Android-Telefon wird damit nicht die gemeinsame Nutzung von Daten gestoppt, sondern lediglich ein Vermerk an Dritte weitergegeben, dass der Nutzende sich gegen die Datenweitergabe ausgesprochen hat. Soweit die Verbraucherschützer:innen das beurteilen können, gäbe es keine Maßnahmen, die sicherstellen, dass die Drittpartei die Markierung beachte.

Die Forbrukerrådet fordert neben dem Bußgeld weitere Maßnahmen. Grindr soll Auskunft darüber geben, welche anderen Unternehmen Zugriff auf personenbezogene Daten hatten. Außerdem sollen alle unrechtmäßig erhobenen personenbezogenen Daten gelöscht und sichergestellt werden, dass andere Unternehmen diese erhaltenen Daten ebenfalls löschen.

0 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.