10 Mio. EUR Bußgeld gegen Grindr wegen mangelhafter Einwilligung

Dr. Carlo Piltz

Die norwegische Datenschutz-Aufsichtsbehörde (Datatilsynet) hat gegen den Betreiber der vornehmlich gleichgeschlechtlich orientierten Dating-App "Grindr" ein Bußgeld in Höhe von 10 Mio. EUR angekündigt. Grund für das hohe Bußgeld ist der Vorwurf, dass Grindr sensible Daten seiner Nutzer (hier insbesondere zur sexuellen Orientierung) ohne eine rechtmäßige Einwilligung an Werbepartner weitergegeben haben soll.

Grindr beruft sich für die Zulässigkeit der Datenweitergabe auf eine Einwilligung der Nutzer, die mittels der App im Vorfeld eingeholt wird. Nach Ansicht der norwegischen Aufsichtsbehörde genügte die technische und inhaltliche Umsetzung bei der Einholung der Einwilligung allerdings nicht den gesetzlichen Anforderungen nach Art. 7 DSGVO.

So sei die im Vorfeld notwendige Information der Nutzer nicht ausreichend erfolgt und betroffene Personen verfügten nicht über ausreichend detaillierte Informationen darüber, für welche Zwecke genau Grindr die Daten verarbeitet und an wen genau die Daten weitergegeben werden. Grindr weist auf die Möglichkeit hin, dass Nutzer mittels Geräteeinstellungen eine Opt-out-Möglichkeit für die Datenweitergabe haben. Nach den Ausführungen der Behörde erfüllt ein Opt-out aber nicht die Anforderungen an eine aktive Einwilligung. Zudem könnten Werbepartner die Opt-out-Einstellungen technisch ignorieren, was dazu führe, dass Grindr die Kontrolle über die Daten verliere und keinen wirklichen Einfluss auf die Umsetzung der Einstellungen der betroffenen Person hätte. Infolgedessen habe Grindr es versäumt, die eigene Datenweitergabe zu kontrollieren und die Verantwortung dafür zu übernehmen.

Außerdem mussten Nutzer der App in der kostenfreien Version allen Verarbeitungen zustimmen, um die App nutzen zu können. Eine selektive Trennung von zum Beispiel essenziell notwendigen Verarbeitungen und optionalen Zwecken, wie Werbung, war nicht möglich. Darin sah die Behörde einen erheblichen Mangel hinsichtlich der erforderlichen Granularität und keine wirkliche Freiwilligkeit. In der Bezahlversion der App konnte eine werbliche Nutzung der Daten ausgeschlossen werden. Nach den Ausführungen des Anbieters führte der Widerruf einer Einwilligung zu keinen negativen Auswirkungen für die Nutzer, da diese ja auf die Bezahlversion der App umsteigen könnten. Hierin sah die Behörde ein Hemmnis in der notwendigerweise kostenfreien Ausübung des Widerrufsrechts nach Art. 7 Abs. 3 DSGVO, da der Umstieg auf die werbefreie Bezahlversion mit zusätzlichen Kosten für die betroffenen Personen verbunden sei.

Als problematisch wurde hierbei der Aspekt hervorgehoben, dass auch besonders sensible Kategorien von Daten im Sinne des Art. 9 Abs. 1 DSGVO, wie Informationen über die sexuelle Orientierung, von der Datenweitergabe betroffen waren. Für eine Verarbeitung solcher Daten auf Grundlage einer Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO gelten noch strengere Anforderungen als ohnehin schon für eine Einwilligung in die Verarbeitung von "normalen" personenbezogenen Daten. Demnach muss die Einwilligung hier nicht nur aktiv und informiert erfolgen, sondern auch ausdrücklich. Das für eine Rechtmäßigkeit erforderliche Detailmaß an Vorabinformationen ist hierfür also nochmals höher.

Die Ausnahme des Art. 9 Abs. 2 lit. e DSGVO, wonach besondere Kategorien von personenbezogenen Daten auch dann verarbeitet werden dürfen, wenn die betroffene Person sie offensichtlich öffentlich gemacht hat, sah die Aufsichtsbehörde hier nicht als erfüllt an. Informationen darüber, dass jemand lediglich ein Grindr-Nutzer ist, können demnach bereits eine besondere Kategorie personenbezogener Daten sein. Die bloße Nutzung der App stelle aber keine bestätigende Handlung der betroffenen Person dahingehend dar, dass die Informationen "offensichtlich" öffentlich gemacht wird. Die betroffenen Personen veröffentlichen die Informationen nicht auf einer offenen Plattform, was in die Richtung deutet, dass sie ihre sexuelle Ausrichtung nicht offenkundig öffentlich gemacht haben.

Im Ergebnis wurde die eingeholte Einwilligung der Nutzer als unzureichend und nicht rechtswirksam eingestuft, wodurch Grindr Daten seiner Nutzer ohne eine notwendige Rechtsgrundlage verarbeitet habe.

Das angekündigte Bußgeld zeigt, dass es für das kostenfreie Angebot von Diensten gegen die werbliche Verwendung von Nutzerdaten deutliche Grenzen gibt und insbesondere bei Datenverarbeitungen auf Rechtsgrundlage einer Einwilligung die Kriterien der wirklichen Freiwilligkeit sowie die Möglichkeit des jederzeit grundlos und kostenfrei umsetzbaren  Widerrufsrechts unbedingt zu beachten sind.

[Februar 2021]