Wegen Weitergabe sensibler Nutzerdaten: Millionenbußgeld gegen Dating-App

privacy policy 3415419 6401Immer mehr nationale, als auch internationale Behörden sanktionieren konsequent Datenrechtsverstöße. Auch die Dating-App „Grindr“ traf es nun. Die norwegische Datenschutzbehörde „Datatilsynet“ verhängte gegen das Unternehmen ein Bußgeld in Höhe von knapp 10 Millionen Euro. Grund war die rechtswidrige Weitergabe sensibler Nutzerdaten.

Hintergrund

Grindr ist eine Datingplattform für homo-, bi- und transsexuelle Menschen. Die App richtet sich somit an die LGBTQ+-Community und lässt meistens allein durch ihre Nutzung auf die sexuelle Orientierung schließen. Allerdings handelt es sich insbesondere bei Informationen zum Sexualleben oder der sexuellen Orientierung um höchst sensible Daten, deren Verarbeitung nach der DSGVO noch strengeren Anforderungen unterliegt als anderen personenbezogenen Daten.
Zuvor hatte der norwegische Verbraucherrat „Forbrukerrådet“ die Weitergabe sensibler Nutzerdaten durch Grindr an seine Werbepartner festgestellt und analysiert. Grindr habe die persönlichen Daten der Nutzer an dutzende Drittanbieter weitergegeben. Hierbei handelte es sich vor allem um GPS-Ortsdaten, Nutzerprofile und die Information an sich, dass der Nutzer auf der Plattform angemeldet war. Zusammen mit dem Datenschutz-Verein noyb.eu, reichte der Verbraucherrat Beschwerde gegen Grindr ein. Die Norwegische Datenschutzbehörde verhängte daraufhin ein Bußgeld in Höhe von 100 Millionen norwegischen Kronen (etwa 9,6 Millionen Euro) gegen Grindr.

Die juristische Grundlage der Entscheidung

Die Höhe des Bußgelds basiere auf der Intensität des Datenschutzverstoßes, so die norwegische Aufsichtsbehörde. Bei den durch Grindr weitergegebenen Daten handele es sich um hochsensible Daten, die von Art. 9 Abs. 1 DGVO erfasst seien.
Art. 9 Abs. 1 DSGVO untersagt „die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.“
Im vorliegenden Fall sei insbesondere der Punkt der sexuellen Orientierung verletzt.
Obwohl Norwegen kein Mitglied der Europäischen Union ist, ist die DSGVO auch für Norwegen anwendbar. Seit Sommer 2018 gilt die DSGVO nämlich auch für die Staaten des Europäischen Wirtschaftsraums, denen auch Norwegen angehört.
Die norwegische Datenschutzaufsicht rügt, Grindr hätte sich zur Verarbeitung dieser hochsensiblen Daten vorher eine Einwilligung der Nutzer einholen müssen. In diesem Fall wäre die Verarbeitung der Daten gemäß Art. 9 Abs. 2 lit. a DSGVO rechtmäßig gewesen. Dieser Pflicht sei die Dating-App allerdings nicht nachgekommen. Die norwegische Behörde rügt das Unternehmen aus mehreren Gründen. Zum einen gäbe es keine Möglichkeit, den Nutzungsbedingungen in Teilen zuzustimmen. Es bestünde lediglich die Möglichkeit, ganz oder gar nicht zuzustimmen. Weiter seien die Nutzer nicht ordnungsgemäß über die Weitergabe der Daten informiert worden. Man habe den Nutzer im Dunkeln gelassen, wer die Daten überhaupt erhält. Zuletzt habe Grindr die Datenweitergabe nicht mehr kontrollieren können, da durch die einmalige Weitergabe der Daten diese wiederum nochmals weitergegeben wurden. Es habe seitens Grindr an einer faktischen Kontrolle gefehlt.

Fazit

Das Bußgeld gegen Grindr zeigt erneut, dass die Folgen von Datenschutzrechtsverstößen sehr ernst sein können. Nachdem bereits in der Vergangenheit Großunternehmen wie H&M und Google Millionenstrafen zahlen mussten, reiht sich nun auch Grindr mit ein. Doch die Bußgelder können nicht nur gegen Wirtschaftsriesen, sondern auch gegen kleine und mittelständische Unternehmen verhängt werden. Die Intensität des Bußgeldes richtet sich hierbei stets nach Art. 83 DSGVO. Es kommt beispielsweise bei dem Verstoß darauf an, ob dieser fahrlässig oder vorsätzlich herbeigeführt wurde, ob dieser schwerwiegend oder leicht ist oder ob der betroffene Verantwortliche bereits in der Vergangenheit gegen das Datenschutzrecht verstoßen hat. Diesbezüglich wird ausdrücklich die Lektüre des Art. 83 DSGVO empfohlen.

Die Anzahl der Bußgelder nimmt zu und dieser Trend wird aufgrund der sensiblen Thematik des Datenschutzrechts und dessen Fortentwicklung auch in Zukunft anhalten. Der Fall der norwegischen Aufsichtsbehörde zeigt zudem auch eine Einschätzung, die den Verantwortlichen in vielen Fällen gar nicht bewusst sein dürfte: allein die Nutzung einer bestimmten App oder eines bestimmten Services kann ausreichen, um nicht nur eine Verarbeitung personenbezogener Daten anzunehmen, sondern ggf. sogar eine Verarbeitung besonders sensibler personenbezogener Daten. Das kann immer dann der Fall sein, wenn sich der genutzt Dienst z.B. wie hier an eine ganz bestimmte Zielgruppe mit einer bestimmten sexuellen Identität richtet. Auch beispielsweise die Tatsache, dass eine Person eine bestimmte medizinische Dienstleistung in Anspruch genommen hat, kann bereits für die Anwendbarkeit der besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO sein. Verantwortliche müssen sich daher in solchen Fällen nicht nur fragen, ob sie personenbezogene Daten verarbeiten, sondern auch, ob sie besonders sensible Daten verarbeiten, für die ggf. zusätzliche Anforderungen gelten.

 

Co-Autor: Wissenschaftlicher Mitarbeiter -  Ref. jur. Philipp Schmelz

Bildquelle:Bild von Gerd Altmann auf Pixabay

Autor
Rechtsanwalt Michael Pfeiffer
Rechtsanwalt Michael Pfeiffer
Counsel - Fachanwalt IT-Recht
Rechtsanwalt Michael Pfeiffer ist seit dem Jahr 2016 als angestellter Rechtsanwalt bei DURY LEGAL Rechtsanwälte tätig. Er betreut ein eigenes Dezernat im Bereich der individuellen anwaltlichen Firmenberatung (IT-Recht, Urheberrecht, Markenrecht und Wettbewerbsrecht). Nachdem RA Pfeiffer erfolgreich den Fachanwaltskurs für IT-Recht der Deutschen Anwaltsakademie absolvierte, erhielt er 2020 den Titel zum Fachanwalt im IT-Recht.