Der Datenschutzausschuss hat nun eine Entscheidung in der Berufungsangelegenheit von Grindr getroffen und die Entscheidung der Datenschutzbehörde, eine Geldstrafe in Höhe von 65 Mio. NOK zu verhängen, bestätigt; die Geldstrafe bleibt bestehen.
„Wir freuen uns sehr, dass der Datenschutzausschuss mit unseren Schlussfolgerungen übereinstimmt und unsere Entscheidung bestätigt hat. Dies war ein wichtiger und vorrangiger Fall für die Datenschutzbehörde, nicht zuletzt für den Schutz der Verbraucherrechte“, so Line Coll, Direktorin der Datenschutzbehörde.
Hintergrund
Grindr ist eine standortbasierte Dating-App, die sich an schwule und bisexuelle Männer, Transgender und queere Menschen richtet. Im Jahr 2020 beschwerte sich der Verbraucherrat bei der norwegischen Datenschutzbehörde über Grindr. Der Grund war, dass Grindr Informationen über den GPS-Standort, die IP-Adresse, die Werbe-ID des Mobiltelefons, das Alter und das Geschlecht – zusätzlich zu der Tatsache, dass die betreffende Person ein Grindr-Nutzer ist – zu Marketingzwecken an mehrere Dritte weitergegeben hat.
Die norwegische Datenschutzbehörde kam zu dem Schluss, dass Grindr personenbezogene Daten von Nutzern zu verhaltensbezogenen Marketingzwecken ohne Rechtsgrundlage an Dritte weitergegeben hat, und verhängte im Dezember 2021 ein Vertragsverletzungsgeld in Höhe von 65 Millionen NOK.
Grindr legte gegen die Entscheidung Berufung ein, und im Jahr 2022 wurde der Fall zur endgültigen Entscheidung an die norwegische Datenschutzbehörde verwiesen.
Der Fall betrifft die Praktiken von Grindr in der Zeit vom Beginn der Anwendung der DSGVO im Juli 2018 bis April 2020, als Grindr seine Zustimmungslösung änderte. Die Datenschutzbehörde hat die Rechtmäßigkeit der aktuellen Praktiken von Grindr nicht bewertet.
Ungültige Einwilligungen
Die Datenschutzbehörde kam in ihrer Entscheidung zu dem Schluss, dass für die Weitergabe personenbezogener Daten eine Einwilligung erforderlich ist, die von Grindr eingeholten sogenannten Einwilligungen jedoch nicht gültig waren.
Der Datenschutzausschuss stimmt dem zu und stellt fest, dass die Zustimmung weder freiwillig, spezifisch noch in Kenntnis der Sachlage erteilt wurde. Der Ausschuss hebt unter anderem hervor, dass der Nutzer bei der Registrierung für die App nicht die freie Wahl hatte, der Weitergabe personenbezogener Daten zuzustimmen, und dass die Information, dass der Nutzer der Weitergabe personenbezogener Daten an Werbepartner zustimmt, nur in der Datenschutzerklärung enthalten war.
„Die Einwilligung ist ein Instrument, das den Nutzern die Kontrolle über ihre eigenen personenbezogenen Daten gibt. Wenn die Nutzer nicht in die Lage versetzt werden, die Entscheidung, die sie gerade treffen, zu verstehen, oder wenn ihnen keine wirkliche Wahlfreiheit eingeräumt wird, ist die Zustimmung illusorisch“, betont Coll.
Besondere Kategorien von personenbezogenen Daten
Informationen über die sexuelle Ausrichtung sind in der Datenschutz-Grundverordnung besonders geschützt. Die norwegische Datenschutzbehörde hat festgestellt, dass die Information, dass jemand ein Grindr-Nutzer ist, eine solche besondere Kategorie personenbezogener Daten ist, weil sie stark darauf hindeutet, dass er einer der sexuellen Minderheiten angehört, die von der Grindr-App angesprochen werden. Da die von Grindr eingeholten Einwilligungen ungültig waren, war Grindr rechtlich nicht befugt, solche Daten weiterzugeben.
In seiner Entscheidung stellt der Datenschutzausschuss fest, dass, selbst wenn die spezifische sexuelle Ausrichtung der Nutzer nicht offengelegt wurde, die Tatsache, dass jemand ein Nutzer von Grindr ist, darauf hindeutet, dass er sehr wahrscheinlich eine sexuelle Ausrichtung hat, die sich von der Mehrheit unterscheidet. Der Ausschuss ist der Ansicht, dass dies ausreicht, damit Grindr unrechtmäßig besondere Kategorien personenbezogener Daten offengelegt hat, und stimmt mit der norwegischen Datenschutzbehörde darin überein, dass diese Offenlegung unrechtmäßig war.
„Grindr wird genutzt, um mit anderen Mitgliedern der LGBTQ+-Community in Kontakt zu treten, und identifizierbare Informationen über sie und ihre Nutzung von Grindr wurden zu Marketingzwecken an eine unbekannte Zahl von Unternehmen weitergegeben. Der Gerichtshof der Europäischen Union hat kürzlich in mehreren Entscheidungen bestätigt, dass besondere Kategorien personenbezogener Daten weit ausgelegt werden müssen, um ein hohes Maß an Datenschutz zu gewährleisten“, sagte Coll.
Hohe Geldstrafe und wichtiger Fall
Das Bußgeld in Höhe von 65 Millionen NOK ist das höchste, das die norwegische Datenschutzbehörde verhängt hat. Die Begründung war, dass die Verstöße sehr schwerwiegend waren. Die persönlichen Daten von Tausenden von Nutzern in Norwegen wurden illegal an eine unbekannte Anzahl von Unternehmen weitergegeben, um die kommerziellen Interessen von Grindr zu befriedigen, einschließlich Standortdaten und der Tatsache, dass sie Grindr-Nutzer sind. Geschäftsmodelle, die auf verhaltensorientiertem Marketing basieren, sind in der digitalen Wirtschaft weit verbreitet, und es ist wichtig, dass die Strafen für Verstöße abschreckend wirken und zur Einhaltung der Datenschutzvorschriften beitragen.
Der Datenschutzausschuss hat keinen Grund gefunden, die Höhe der Gebühr zu ändern, und betont die Schwere des Verstoßes, die Zahl der betroffenen Personen, die Kategorie der betroffenen Daten und die Tatsache, dass der Verstoß seit fast zwei Jahren andauert. Der Ausschuss weist auch darauf hin, dass es sich um eine vorsätzliche Handlung handelt, bei der bewusst eine technische Lösung gewählt wurde, die es nicht ermöglicht, sich zu registrieren, ohne gleichzeitig die Weitergabe von Daten zur Nutzung im Rahmen des Behavioral Marketing zu „genehmigen“.
„Unsere Verbraucher haben ein Recht auf Datenschutz bei Anwendungen, die von internationalen Organisationen bereitgestellt werden. Die Entscheidung schafft eine Erwartungshaltung und zeigt, dass internationale Akteure auf dem norwegischen Markt Dienste anbieten müssen, die die norwegischen Nutzer und ihre Privatsphäre schützen“, sagte Coll.
Entscheidungen des Datenschutzausschusses können nicht weiter angefochten werden, aber Grindr kann vor Gericht gegen die Entscheidung des Datenschutzausschusses vorgehen.
https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2023/rekordgebyr-til-grindr-blir-staende/