Bußgeld in Norwegen in Höhe von 6,5 Mio. EUR 

Dating App -
LGBTQ-Dating-App Grindr

Die norwegische Datenschutzaufsicht (Datatilsynet) hat mit Entscheidung v. 13.12.2021 der LGBTQ-Dating-App Grindr ein Bußgeld iHv 65 Mio. NOK (etwa 6,5 Mio. EUR) wegen Verstößen gegen die DS-GVO auferlegt.

Nach den Feststellungen der Behörde gab der Anbieter, ohne die hierfür erforderliche freiwillige und informierte Einwilligung zu haben, Daten von Nutzern zu Werbezwecken an Dritte weiter.

Besondere “Berücksichtigung” fand die Tatsache, dass Informationen über den Status als Nutzende bereits die Verarbeitung besonderer Kategorien personenbezogener Daten beträfen, da diese die Zugehörigkeit zu einer Minderheit offenlegten.

Aus der Entscheidung kann man mehrere Dinge lernen, u.a. wie schnell man in den Bereich der Verarbeitung besonderer Kategorien von (also besonders schützenswerter) Daten geraten und wie dünn das Eis einer Einwilligung sein kann.

Die Grindr LLC ist ein US-amerikanisches Unternehmen, das u. a. die App „Grindr“ anbietet, die sich mit ihren verschiedenen sozialen Netzwerkfunktionen, darunter vor allem Online-Dating, nach eigenen Werbeaussagen vorwiegend an ein „homosexuelles, bisexuelles, transsexuelles und queeres“ Publikum richtet.
Zur Finanzierung der App werden bei Nutzung der kostenlosen Version verschiedene Daten von Grindr an Werbepartner übermittelt.

Im Untersuchungszeitraum stellte sich der Registrierungsprozess bei Grindr wie folgt dar: Nach Download der App wurde den Nutzern die gesamte Datenschutzrichtlinie des Unternehmens angezeigt, in der sie über alle erfolgenden Datenverarbeitungsprozesse informiert und über ihre Rechte aufgeklärt wurden. Hier hatten die Nutzer nur die Option, durch einen Klick auf die Schaltfläche „weiter“ zum nächsten Fenster zu gelangen, innerhalb dessen sie die Möglichkeit hatten, entweder die Datenschutzrichtlinie zu „akzeptieren“ oder den Registrierungsvorgang „abzubrechen“, was die weitere Nutzung der App unmöglich machte. Die Option, Einstellungen vorzunehmen, bestand nicht.
Nach Abschluss der Registrierung und im Verlauf der Nutzung gab Grindr Daten von Nutzern der kostenlosen Version der App an Werbepartner wie das Werbenetzwerk von Twitter (MoPub) weiter, darunter die jeweils zugeordnete Werbe-ID, Standortdaten, IP-Adresse, Geschlecht, Alter und Geräteinformationen. Diese Daten wurden inklusive der Information transferiert, von welcher App (Grindr) sie kommen. In der kostenpflichtigen Version erfolgte eine solche Weitergabe nicht; ein Upgrade war allerdings erst nach Registrierung möglich.

Diese Ausgestaltung verstieß nach Auffassung der Datatilsynet gegen die DS-GVO.
Eine Einwilligung sei vorliegend in Bezug auf die Weitergabe zu Werbezwecken notwendig gewesen, aber nicht ordnungsgemäß eingeholt worden. Es mangele insbesondere an den Erfordernissen der Freiwilligkeit und der Informiertheit. Nach Erwägungsgrund 43 DS-GVO sollten Einwilligungen für verschiedene Zwecke auch separat eingeholt werden, was vorliegend durch die Bündelung im Akzeptieren der Datenschutzrichtlinie nicht berücksichtigt worden sei. Von einer freien Willensentscheidung könne auch dann nicht gesprochen werden, wenn die Zustimmung Bedingung für die Inanspruchnahme des Dienstes sei und keine gleichwertige, weniger datenintensive Alternative angeboten werde.
Zwar sei ein solches Datenfinanzierungsmodell nicht per se von der DS-GVO verboten, allerdings seien die Nutzer vorliegend über ihre Optionen bereits nicht ausreichend informiert worden. Insbesondere die Konfrontation mit einer mehrseitigen Datenschutzrichtlinie ohne Hervorhebung entsprechend wichtiger Schlüsselpassagen und die Möglichkeit eines Opt-out (in der kostenpflichtigen Version) erst nach Registrierung entsprächen nicht den Anforderungen von Art. 7 DS-GVO.

Eine Zudem nahm die Behörde auch eine Verletzung von Art. 9 DS-GVO an, da bereits die Weitergabe der Information, dass bestimmte Personen, die etwa durch IP-Adresse und Standortdaten auch identifizierbar seien, die App Grindr nutzen, eine Verarbeitung von Daten zur sexuellen Orientierung darstelle. Es sei hier nicht erforderlich, dass offengelegt werde, welche sexuelle Orientierung eine bestimmte Person hat. Vielmehr lasse die Nutzung bereits mit einiger Wahrscheinlichkeit darauf schließen, dass die Betroffenen einer Minderheit (der LGBTQ+-Community) angehören. Das müsse vor dem Hintergrund des grundrechtlichen Zwecks der Bestimmung als für eine Verletzungshandlung ausreichend eingestuft werden, da allein die Zugehörigkeit zu dieser Gruppe in vielen Ländern leider immer noch die Gefahr von Diskriminierungen oder gar Repressalien begründe, also schweren Grundrechtsbeeinträchtigungen. Insbesondere könne auch durch die Weiterverarbeitung und Zusammenführung verschiedener Daten – auch durch die Werbepartner – eine weitere Konkretisierung erfolgen. Diese Faktoren, die auch die Schwere des Verstoßes mitbegründen, spielten genau wie die hohe Anzahl von Betroffenen (ein Großteil der norwegischen LGBTQ+-Community nach Schätzung der Behörde) auch bei der Bemessung der Höhe des Bußgelds eine Rolle.

Quelle: Etteldorf, ZD-Aktuell 2022, 01050

Bußgeld in Norwegen in Höhe von 6,5 Mio. EUR 
Archive

Schreiben Sie einen Kommentar