NCC und »noyb«, DSGVO-Beschwerde: »Grindr« muss 6,3 Millionen Euro Strafe wegen illegaler Datenweitergabe zahlen
Die norwegische Datenschutzbehörde hat heute eine Geldstrafe von 65 Millionen Kronen (6,34 Millionen Euro oder 7,17 Millionen Dollar) gegen »Grindr« verhängt. Die »#LGBTQI«-#Dating-#App hatte keine gültige Zustimmung der Nutzer erhalten, aber dennoch sensible persönliche Daten weitergegeben.
Hintergrund des Falles
Am 14. Januar 2020 hat der norwegische Verbraucherrat (Forbrukerrådet, NCC) in Zusammenarbeit mit »#noyb« drei strategische #DSGVO-Beschwerden verfasst. Die Beschwerden wurden bei der norwegischen Datenschutzbehörde gegen die Queer-Dating-App »#Grindr« und fünf #Adtech-Unternehmen eingereicht, die personenbezogene Daten über die App erhalten haben: »#MoPub« von #Twitter, »AppNexus« von AT & T (jetzt »#Xandr«), »OpenX«, »AdColony« und »Smaato«.
»Grindr« hatte sensible persönliche Daten an Hunderte von potenziellen Werbepartnern gesendet. Der Bericht »Out of Control« des NCC beschreibt detailliert, wie eine große Anzahl von Drittparteien ständig persönliche Daten der Nutzer von »Grindr« bekamen, wie zum Beispiel Standortdaten oder die Tatsache, dass sie »Grindr« benutzen.
Am 26. Januar 2021 kündigte die norwegische Behörde in einem »Entscheidungsentwurf« eine Geldstrafe von 100 Millionen Kronen (etwa zehn Millionen Euro) wegen Verstoßes gegen Artikel Vier (Elf), Artikel Sechs, Artikel Sieben und Artikel Neun (Zwei) (a) #DSGVO an. Die ursprüngliche Geldbuße wurde in der heutigen, endgültigen Entscheidung auf 65 Millionen Kronen reduziert, da »Grindr« einen geringen Umsatz auswies und das Unternehmen seine früher verwendete »Consent Management Platform« anpasste.
»Dies ist ein starkes Signal an alle Unternehmen, die an der kommerziellen Überwachung beteiligt sind. Die Weitergabe personenbezogener Daten ohne Rechtsgrundlage hat ernste Folgen. Wir fordern die digitale Werbeindustrie auf, grundlegende Änderungen vorzunehmen, um die Rechte der Verbraucher zu respektieren«, so Finn Myrstad, Direktor für Digitalpolitik im Norwegischen Verbraucherrat (»NCC«).
Einwilligung muss eindeutig, informiert, spezifisch und frei gegeben werden. Laut der norwegischen Datenschutzbehörde ist die angebliche »Zustimmung« zur Datenweitergabe, auf die sich »Grindr« berufen wollte, ungültig. Die Nutzer wurden weder ordnungsgemäß informiert, noch war die Einwilligung spezifisch genug: Sie mussten der gesamten Datenschutzerklärung zustimmen und nicht einer bestimmten Verarbeitung, wie etwa der Weitergabe von Daten an andere Unternehmen. Außerdem betonte die Datenschutzbehörde, dass die Nutzer:innen auch die Option haben müssen, nicht zuzustimmen, ohne dass dies negative Folgen hat. »Grindr« machte jedoch die Nutzung der App von der Zustimmung abhängig: entweder der Datenweitergabe zustimmen oder eine Abonnementgebühr zahlen.
Abschließend stellte die Behörde fest: »›Grindr‹ hat es versäumt, die eigene Datenweitergabe zu kontrollieren und die Verantwortung dafür zu übernehmen, und der ›Opt-Out‹-Mechanismus war nicht unbedingt wirksam«.
»Und das ist der springende Punkt, zusätzlich zur fehlenden Zustimmung. Man kann personenbezogene Daten nicht mit einer potenziell unbegrenzten Zahl von Partnern teilen und keinerlei Kontrolle haben, was mit diesen Daten geschieht«, so Ala Krinickytė, Anwältin für Datenschutz bei »noyb«.
Personenbezogene Daten sind keine Währung. Die norwegische Datenschutzbehörde hat eine klare Haltung eingenommen und erklärt, dass personenbezogene Daten nicht zur Bezahlung digitaler Dienste verwendet werden dürfen, auch wenn »Grindr« sich auf »verhaltensbezogene Werbung« als »Kernaktivität« zur Finanzierung des Unternehmens stützt. Diese Entscheidung spielt eine wichtige Rolle für den europäischen Markt, da viele Online-Dienste Gewinne erzielen, indem sie Nutzerdaten als Zahlungsmittel anbieten.
Die norwegische Datenschutzbehörde betrachtete die finanziellen Vorteile, die »Grindr« durch die illegale Weitergabe von Daten erzielte und die Weitergabe von personenbezogener Daten besonderer Kategorien (zum Beispiel sexuelle Orientierung) die nach Artikel Neun der DSGVO geschützt sind als erschwerende Faktoren für die Bemessung der Geldbuße. Die Datenschutzbehörde sieht durch die Weitergabe der fraglichen Daten die Grundrechte und -freiheiten der betroffenen Person, wie das Recht auf Privatsphäre und Nichtdiskriminierung, gefährdet.
»Es ist erstaunlich, dass die Datenschutzbehörde ›Grindr‹ davon überzeugen muss, dass seine Nutzer ›LGBT+‹ sind und dass diese Tatsache keine Ware ist, die man eintauschen kann«, so Ala Krinickytė, Datenschutzjuristin bei »noyb«.
Berufung beim Datenschutzausschuss
»Grindr« kann innerhalb der nächsten drei Wochen vor dem norwegischen Beschwerdeausschuss für den Datenschutz (»Personvernnemda«) Berufung einlegen. Die weiteren Beschwerden gegen die Adtech-Unternehmen, die Daten von »Grindr« erhalten haben, sind noch offen.
Danksagung
Das Projekt wurde geleitet von dem Norwegischen Verbraucherrat.
Die technischen Tests wurden von der Sicherheitsfirma mnemonic durchgeführt.
Die Recherchen über die #Adtech-Industrie und bestimmte Datenbroker wurden mit Unterstützung des Forschers Wolfie Christl von »Cracked Labs« durchgeführt
Die zusätzliche Prüfung der »Grindr«-App wurde von dem Forscher Zach Edwards von »MetaX« durchgeführt.
Die rechtliche Analyse und die formellen Beschwerden wurden mit Unterstützung von »noyb« verfasst.
noyb.eu
Europäisches Zentrum für Digitale Rechte. Der Verein »noyb.eu« treibt seit Mai 2018 die Durchsetzung von Europäischen Datenschutzrechten voran und hat bisher mehr als 140 Verfahren gegen zahlreiche vorsätzliche Verstöße eingebracht – unter anderem gegen Unternehmen wie #Google, #Apple, #Facebook und #Amazon. Mehr als 4.300 Fördermitglieder ermöglichen die Arbeit von »noyb.eu«.