Gemeinsam mit dem norwegischen Verbraucherrat hat noyb drei strategische DSGVO-Beschwerden verfasst. So ging bei der norwegischen Datenschutzbehörde Beschwerden gegen die Queer-Dating-App Grindr ein. Auch fünf Adtech-Unternehmen sind betroffen. Grund für die Anzeige ist die Weitergabe von sensiblen persönlichen Daten an Hunderte von potenziellen Werbepartnern. So beschrieb der Bericht ‚Out of Control‘ des NCC detailliert, wie eine große Anzahl von Drittparteien ständig persönliche Daten der Nutzer von Grindr bekamen. Darunter auch Standortdaten oder die Tatsache, dass sie Grindr benutzen.
Bereits am 26.Jänner kündigte die norwegische Behörde in einem „Entscheidungsentwurf“ eine Geldstrafe von zirka zehn Millionen Euro an, wegen des Verstoßes gegen Artikel 4 (11), Artikel 6, Artikel 7 und Artikel 9 (2)(a) DSGVO an. Die endgültige Geldbuße wurde allerdings auf 6,34 Millionen Euro reduziert, da die Queer-Dating-App einen geringen Umsatz auswies und das Unternehmen seine früher verwendete Consent Management Plattform anpasste.
“Dies ist ein starkes Signal an alle Unternehmen, die an der kommerziellen Überwachung beteiligt sind. Die Weitergabe personenbezogener Daten ohne Rechtsgrundlage hat ernste Folgen. Wir fordern die digitale Werbeindustrie auf, grundlegende Änderungen vorzunehmen, um die Rechte der Verbraucher zu respektieren.” – Finn Myrstad, Direktor für Digitalpolitik im Norwegischen Verbraucherrat (NCC).
Laut der norwegischen Datenschutzbehörde ist die angebliche „Zustimmung“ zur Datenweitergabe, auf die sich Grindr berufen wollte, ungültig. So wurden weder die Nutzer ordnungsgemäß informiert, noch war die Einwilligung spezifisch genug: Denn sie mussten der gesamten Datenschutzerklärung zustimmen und nicht nur einer bestimmten Verarbeitung – wie etwa der Weitergabe von Daten an andere Unternehmen. Zudem betont die Datenschutzbehörde, dass User die Möglichkeit haben müssen, nicht zuzustimmen, ohne das dies negative Folgen hat. Die Dating-App machte allerdings die Nutzung von der Zustimmung abhängig: entweder der Datenweitergabe zustimmen oder eine Abonnementgebühr zahlen. Abschließend stellte die Behörde fest: “Grindr hat es versäumt, die eigene Datenweitergabe zu kontrollieren und die Verantwortung dafür zu übernehmen, und der “Opt-Out”-Mechanismus war nicht unbedingt wirksam”. ” – und das ist der springende Punkt, zusätzlich zur fehlenden Zustimmung. Man kann personenbezogene Daten nicht mit einer potenziell unbegrenzten Zahl von Partnern teilen und keinerlei Kontrolle haben, was mit diesen Daten geschieht.” – Ala Krinickytė, Anwältin für Datenschutz bei noyb.
Personenbezogene Daten sind keine Währung. Die norwegische Datenschutzbehörde hat eine klare Haltung eingenommen und erklärt, dass personenbezogene Daten nicht zur Bezahlung digitaler Dienste verwendet werden dürfen, auch wenn Grindr sich auf “verhaltensbezogene Werbung” als “Kernaktivität” zur Finanzierung des Unternehmens stützt. Diese Entscheidung spielt eine wichtige Rolle für den europäischen Markt, da viele Online-Dienste Gewinne erzielen, indem sie Nutzerdaten als Zahlungsmittel anbieten. “Es ist erstaunlich, dass die Datenschutzbehörde Grindr davon überzeugen muss, dass seine Nutzer LGBT+ sind und dass diese Tatsache keine Ware ist, die man eintauschen kann.” – Ala Krinickytė, Datenschutzjuristin bei noyb.
Grindr hat die Möglichkeit innerhalb der nächsten drei Wochen vor dem norwegischen Beschwerdeausschuss für den Datenschutz Berufung einzulegen. Auch sind die weiteren Beschwerden gegen die Adtech-Unternehmen, die Daten von Grindr erhalten haben, noch offen.
PA/ Red.
