Verstoß gegen die DSGVO: Urteil gegen Grindr

veröffentlicht am 15.02.2021

Die Dating-App Grindr wurde wegen eines Verstoßes gegen die europäische Datenschutzgrundverordnung (DSVGO) zu einer Strafzahlung von umgerechnet rund zehn Millionen Euro verurteilt. Der Vorwurf: Grindr hat intime Daten an zahlreiche Werbepartner ohne zulässige Einwilligung weitergeleitet. Die Entscheidung ist noch nicht rechtskräftig.

Im Jänner 2020 veröffentlichte der norwegische Verbraucherrat einen Bericht, der die Ergebnisse einer Prüfung von 10 Apps auf Einhaltung der datenschutzrechtlichen Vorgaben darlegte. In der Folge hat die norwegische Verbraucherorganisation gemeinsam mit der Datenschutzorganisation noyb Beschwerden bei der norwegischen Datenschutzbehörde gegen Grindr und fünf Adtech-Unternehmen eingebracht. Adtech ist ein Sammelbegriff für Direktmarketingfirmen, die im Hintergrund einer App die persönlichen Daten zu Profilen verarbeiten, um digitales Marketing und Werbung zielgerichtet einsetzen zu können.

Wie die Dating-App Grindr mit den Daten ihrer User/innen umgeht:

Grindr ist eine Dating-App für Singles auf Suche nach gleichgeschlechtlichen Partnern. Bereits mit dem Öffnen der App wurden persönliche, teilweise auch intime - sogenannte „sensible“ - Daten der Nutzer/innen ohne wirksame Einwilligung an Dritte weitergegeben.

Einwilligung in die Datenverarbeitung

Eine datenschutzrechtliche Einwilligung, die App-Betreiber für die Weitergabe persönlicher Daten an Dritte zu Werbe- und Analysezwecke von den Nutzer/innen einholen müssen, hat folgende Voraussetzungen zu erfüllen:

  • Die betroffene Person muss freiwillig, d.h. ohne Zwang und aufgrund freier Entscheidung in die Verarbeitung ihrer Daten einwilligen. Ein Verstoß gegen das Prinzip der Freiwilligkeit liegt z.B. dann vor, wenn ein Vertragsabschluss von der Einwilligung zur Zusendung von Werbung abhängig gemacht wird.
  • Die Einwilligung selbst ist an keine bestimmte Form gebunden, aber sie muss so gestaltet sein, dass Nutzer/innen die Möglichkeit haben, der Verarbeitung ihrer Daten ausdrücklich und aktiv zuzustimmen. Erlaubt wäre z.B. die Einwilligung durch Anklicken eines Kästchens zu einer vorformulierten Einwilligungserklärung auf einer Website. Unzulässig wäre es aber, wenn das Kästchen bereits vorangeklickt wäre.
  • Die betroffene Person muss alle Informationen erhalten, um eine informierte Entscheidung zu treffen. Betroffene müssen wissen, welche Daten und zu welchem Zweck Daten verarbeitet und unter Umständen an Dritte weitergegeben werden.
  • Eine vorformulierte Einwilligungserklärung muss in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden.
  • Bei sensiblen Daten muss die Einwilligung überdies ausdrücklich erfolgen.

Keine eindeutige, informierte, spezifische und freie Einwilligung

Laut der norwegischen Datenschutzbehörde ist die Einwilligung, auf die sich Grindr beruft, ungültig. Weder wurden die Nutzer/innen richtig informiert, noch war die Einwilligung spezifisch genug. Nutzer/innen konnten nur der gesamten Datenschutzerklärung zustimmen, einzelne Verarbeitungsarten wie Werbung konnten nicht spezifisch aktiviert oder deaktiviert werden. Zusätzlich machte Grindr die Nutzung der App von der Zustimmung zur Datenweitergabe abhängig.

Aus Sicht der Behörde hatten Nutzer/innen keine echte Wahl gehabt, ihre Einwilligung ohne negative Konsequenzen in einzelne Verarbeitungsvorgänge abzulehnen bzw. nicht zu erteilen.

Grindr kann bis 15.2.2021 Einspruch gegen den Bescheid einlegen.

Höhere Strafen durch die DSGVO

Seit Mai 2018 gilt die DSGVO, die Datenschutzbehörden in Europa bei Datenschutz-Verstößen deutlich strengere Sanktionen ermöglicht. Mittlerweile wird von den Sanktionsmöglichkeiten der DSGVO verstärkt Gebrauch gemacht. Die Datenschutzbehörden verhängen deutlich höhere Bußgelder. Das zeigt ein im Jänner veröffentlichter Report der Wirtschaftskanzlei DLA Piper

Demnach verhängten die Behörden in den 27 EU-Mitgliedstaaten sowie Großbritannien, Norwegen, Island und Liechtenstein im Laufe des Jahres 2020 Bußgelder von rund 160 Millionen Euro.

Die Datenschutzbehörden in Italien und Deutschland waren hier besonders aktiv. Mit jeweils über 69 Millionen Euro liegen die beiden Länder mit einigem Abstand vor Frankreich, das mit rund 54 Millionen den dritten Rang belegt, gefolgt von Großbritannien mit etwa 44 Millionen. Die französische Datenschutzbehörde  hat bereits 2019 gegen Google eine Geldbuße in Höhe von 50 Millionen Euro wegen verschiedener datenschutzrechtlicher Verstöße verhängt.  Im Dezember 2020 folgte – ebenfalls gegen Google - eine (noch nicht rechtskräftige) Geldbuße von 100 Millionen Euro wegen unzulässigen Cookies zu Werbezwecken.

Auch wenn, dem Report zufolge, die Bußgelder in den einzelnen Fällen noch deutlich höher hätten liegen können (einige Unternehmen konnten durch Einsprüche oder bzw. Klagen teilweise eine Reduktion der Geldbußen erreichen), leisten solche Entscheidungen einen wichtigen Beitrag dazu, sichtbar zu machen, dass Datenschutz einen entscheidenden Stellenwert hat und Verstöße gegen datenschutzrechtliche Bestimmungen für Unternehmen spürbare Konsequenzen nach sich ziehen. Bis mit den Daten von uns allen korrekt umgegangen wird, sodass wir – zumindest weitgehend - darüber bestimmen können, wie unsere Daten verarbeitet werden, bleibt noch viel zu tun. Dazu gehört auch unsere Wachsamkeit, zum Beispiel Cookie-Banner nicht schnellstmöglich wegzuklicken (und damit in der Regel alles akzeptieren), sondern in den Einstellungen die Zustimmung bewusst und differenziert oder auch gar nicht zu setzen.

 

Konsumentenfragen Newsletter

Aktuelle Neuigkeiten aus allen Bereichen der Konsumentenfragen