Die norwegische Datenschutzbehörde hat gegen die populäre Dating-App Grindr ein Bußgeld in Höhe von 65.000.000 Kronen – ca. 6,5 Millionen Euro – aufgrund der unzulässigen Weitergabe von personenbezogenen Nutzerdaten an eine Reihe von Werbepartner verhängt. Schon im Januar 2021 hatte die zuständige Aufsichtsbehörde „Datatilsynet“ im Rahmen einer Pressemitteilung die Einleitung eines Bußgeldverfahrens angekündigt und bereits ein Bußgeld in Höhe von 100 Millionen Kronen (umgerechnet ca. 9,6 Millionen Euro) in Aussicht gestellt.

Beschwerden lösten Ermittlung aus

Dem Behördeneinschreiten gingen einschlägige Beschwerden sowohl des norwegischen Verbraucherrats „Forbrukerrådet“ als auch des europäischen Datenschutzvereins „none of your business“ (noyb) voraus. So wurde den Betreibern der Dating-App vorgeworfen, die Nutzerdaten zu Marketingzwecken an Werbepartner weitergegeben zu haben, ohne dass es hierzu eine rechtliche Legitimationsgrundlage gegeben habe. Unter den geteilten Daten waren GPS-Standort, IP-Adresse, Werbe-ID, Alter, Geschlecht und die Tatsache, dass der betroffene Nutzer auf Grindr war. Aufgrund der Tatsache, dass die App sich ausdrücklich an die LGBTQ-Community richtet und bei eben dieser eine hohe Beliebtheit genießt, kann hier davon ausgegangen werden, dass auch besonders schützenswerte Daten, wie eben die sexuelle Orientierung des Nutzenden ohne rechtliche Grundlage weitergereicht wurden. Dieser Umstand spiegelt sich entsprechend auch in der Höhe des verhängten Bußgeldes wider.

Unzulässige Vermarktung von Nutzerdaten

Vorliegend mussten die Betroffenen bei der erstmaligen Anmeldung in der Dating-App der hinterlegten Datenschutzerklärung vollumfänglich aktiv zustimmen und hatten nicht die Möglichkeit sich der unzulässigen Datenweitergabe, die ein Teil der zustimmungsbedürftigen Datenbestimmungen war, zu widersetzen. So erlaubte die App lediglich die volle Zustimmung in die Datenschutzbestimmungen und die damit verbundene Weitergabe der Daten an Dritte. Damit war die Nutzung der App und die damit verbundene Partnersuche an die unzulässige Weitergabe gekoppelt. Ob das Akzeptieren der Datenschutz-Hinweise seitens der Nutzenden überhaupt erforderlich und damit rechtmäßig ist, kann an dieser Stelle durchaus hinterfragt werden. Datenschutz-Hinweise im Sinne der Art. 13, 14 DSGVO sollen die von der Datenverarbeitung betroffenen Personen transparent informieren und stellen keinesfalls zustimmungsbedürftige und damit rechtsbindende AGB dar. Irrtümlicherweise begegnet einem dieser Umstand immer mal wieder auf diversen Websites. Demnach sind die App-Verantwortlichen dazu angehalten, die Betroffenen über die Datenverarbeitung innerhalb der Datenschutz-Hinweise ausführlich und transparent zu informieren. Gleichzeitig bedeutet dies, dass es keiner ausdrücklichen Einwilligung seitens des Nutzenden bedarf. Eine einfache Kenntnisnahme der bereitgestellten Datenschutz-Hinweise genügt, um die auferlegten Informationspflichten zu erfüllen.

Genau diesen Umstand rügt die norwegische Aufsichtsbehörde vorliegend und stellte im Rahmen des Bußgeldverfahrens fest, dass Grindr personenbezogene Daten der Nutzenden ohne Legitimationsgrundlage weitergeben hat. Die Aufsichtsbehörde stellte fest, dass für die Nutzenden keine Möglichkeit bestand sich der Weitergabe ihrer teils sensiblen Daten zu widersetzen, ohne dabei auf die Nutzung der App zu verzichten. Auch die Tatsache, dass Grindr die Nutzenden nicht ausreichend und spezifisch über die Datenweitergabe und dessen Nutznießer informierte, begründete schließlich das festgesetzte Bußgeld.

DSGVO entfaltet Wirksamkeit über die Grenzen der EU hinaus

So mancher mag sich an dieser Stelle vielleicht die Frage stellen, warum die norwegische Aufsichtsbehörde überhaupt unmittelbar die Vorschriften der DSGVO anwenden und dort ansässige Unternehmen mit Bußgeldern sanktionieren darf, obwohl Norwegen eben kein Mitgliedstaat der Europäischen Union ist. Dies hat den einfachen Hintergrund, dass Norwegen als Mitgliedstaat des Europäischen Wirtschaftsraums (EWR) unmittelbar den Vorschriften der DSGVO unterliegt und diese auch im norwegischen Recht entsprechend Anwendung finden.

Einordnung & Ausblick

Das verhängte Bußgeld gegen die Dating-App Grindr kann durchaus – aus vielerlei Hinsicht – als bemerkenswert bezeichnet werden. Nicht nur die Tatsache, dass das dotierte Zwangsgeld in Höhe von 6,5 Millionen Euro das bis dato höchste der norwegischen Aufsichtsbehörde ist. Sondern auch die Sanktionierung des vorliegenden Verstoßes seitens Grindr selbst. Denn die Praxis – die Betreiber ähnlicher Plattformen – baut noch immer auf das durchaus lukrative Geschäftsmodell, das auf verhaltensbedingtem Marketing beruht. Allein dieses Exemple zeigt deutlich auf, wie wertvoll eigentlich personenbezogene Daten sind. Getreu dem Motto, je tiefgründiger und intimer die Informationen sind, desto wertvoller lassen sich die Informationen vermarkten.

Erst kürzlich berichteten wir in diesem Zusammenhang über den Streamingdienst „spotify“, der mit dem Ausspielen punktgenauer Werbung einen nicht unerheblichen Teil seines Umsatzes generiert. Aber auch andere Internetkonzerne nutzen die Gunst der Stunde und ziehen aus gewonnen Datensätzen enorme Profite.

Alleine vor diesem Hintergrund sind Zwangsgelder dieser Größenordnung begrüßenswert und zur Abschreckung auch erforderlich. Vor allem dann, wenn die betroffenen Personen einer derartigen Weiterverarbeitung ausdrücklich nicht zugestimmt haben, geschweige denn transparent in Kenntnis gesetzt wurden oder es bei der Weitergabe um hochsensible Daten, wie in diesem Fall die sexuelle Orientierung, geht. Im letztgenannten Fall hat die Datenweitergabe noch einen besonders faden Beigeschmack: Nämlich die Weitergabe von hochsensiblen Informationen, wie eben über die sexuelle Orientierung, an autoritäre Staaten bzw. Staaten, die eine freie Entfaltung und die damit verbundene Auslebung nicht dulden, unter Strafe stellen oder die Betroffenen systematisch verfolgen.

Fraglich ist, inwieweit sich das gegen Grindr verhängte Bußgeld auf die Praxis auswirken wird. Bleibt zu hoffen, dass die erwartete abschreckende Wirkung tatsächlich eintritt und bei den globalen Akteuren, die sich gerade diesen Geschäftsmodellen bedienen, ein Umdenken stattfinden wird. Was zum aktuellen Zeitpunkt durchaus angezweifelt werden kann, da die meisten Anbieter gerade damit ihre Gewinne sprießen lassen.

Abschließend ist zu wünschen, dass die zuständigen Aufsichtsbehörden – im Interesse der betroffenen Bürgerinnen und Bürger – die Unternehmen weiter „zu ihrem Glück zwingen“ werden und von ihrem Recht und den zur Verfügung stehenden Abhilfemaßnahmen nach Art. 58 DSGVO aktiv Gebrauch machen. Nur so lassen sich etwaige Datenschutzverstöße eindämmen und das Recht auf informationelle Selbstbestimmung wahren. Die Bürgerinnen und Bürger werden es ihnen danken!