Datenschutz: Sammelklage gegen Grindr in London

Eine Sammelklage gegen Grindr liegt am High Court für England und Wales und London auf. Sie beschuldigt die Dating-App, personenbezogene Daten Tausender britischer Männer missbraucht zu haben. Ohne Zustimmung der Nutzer habe Grindr jahrelange sensible Nutzerdaten zu kommerziellen Zwecken an Dritte weitergereicht, was eine Verletzung britischen Datenschutzrechts sei.

Das teilt die auf Sammelklagen spezialisierte Londoner Anwaltskanzlei Austen Hays mit. Sie hat nach eigenen Angaben bereits mehr als 670 betroffene Männer als Kläger registriert, weitere können sich noch anmelden. Im Falle des Obsiegens könnte jeder tausende Pfund Entschädigung erhalten, glaubt die Kanzlei, zumal eine womöglich unendliche Zahl Dritter von den Daten profitieren könnte. Teilnahmeberechtigt an der Klage sind Nutzer der gebührenfreien Variante der App oder Webseite Grindrs im Zeitraum Dezember 2016 bis April 2020.

Die Kläger verweisen auf eine Rüge der britischen Datenschutzbehörde sowie eine von der norwegischen Datenschutzbehörde verhängte Strafe in Höhe von 6,5 Millionen Euro wegen Verletzung der Datenschutzgrundverordnung (DSGVO). Grindr kündigt an, sich vor Gericht vehement zu verteidigen, und wirft Austen Hays vor, die vor über vier Jahre eingestellten Geschäftspraktiken Grindrs falsch darzustellen.

Grindr: "Daten nie verkauft"

"Grindr hat nie Nutzangaben zu ihrer Gesundheit für 'kommerzielle Zwecke' weitergegeben und hat solche Informationen nie zu Geld gemacht", hat der Betreiber der Dating-App, die täglich von Millionen nicht-heterosexuellen Männern genutzt wird, gegenüber heise online betont. Mit dieser Aussage bezieht sich Grindr allerdings nur auf einen Teil der Klage, wenn auch den brisantesten.

Im April 2018 hat das skandinavische Institut SINTEF aufgedeckt, dass Grindr sensible Daten von Nutzerprofilen an Apptimize und Localytics weitergegeben hat, darunter E-Mail-Adressen, GPS-Koordinaten, HIV-Status und Angaben zum letzten Datum eines HIV-Tests. Apptimize hat sich der weiteren Verfolgung von Nutzern zu Werbezwecken verschrieben, wenn sie von einer App oder Webseite zu anderen Online-Angeboten wechseln. Localytics unterstützt App-Betreiber dabei, neue Nutzer zu gewinnen und bestehende bei der Stange zu halten.

Grindr bestätigte damals die Datenweitergabe, stellte ab den Verkauf der Daten in Abrede. Außerdem versprach das Unternehmen, Apptimize und Localytics fortan nicht mehr über den HIV-Status bestimmter Grindr-User zu informieren. Hinweise auf seither erfolgte Übermittlungen des HIV-Status sind nicht bekannt.

Strafe wegen Weitergabe unter DSGVO

Im Monat darauf trat die Datenschutzgrundverordnung (DSGVO) im Europäischen Wirtschaftsraum (EWR) in Kraft. Dennoch hat Grindr auch danach, bis 2020, Daten weitergegeben, um die Ausspielung verhaltensbezogener Reklame zu ermöglichen. Es handelte sich um GPS-Koordinaten, IP-Adresse, Alter, Geschlecht, Werbe-Kennziffer und die Tatsache, dass es sich um einen Grindr-User handelt, was auf die sexuelle Orientierung schließen lässt. Und solche Informationen werden von der DSGVO besonders streng geschützt.

Die bei den Betroffenen eingeholte Zustimmung war unter der DSGVO ungültig, wie die norwegische Datenschutzbehörde Datatilsynet Ende 2021 festgestellt hat (Az. 20/02136-18). Sie hat dafür eine Strafe von 6,5 Millionen Euro über Grindr verhängt, die nach Berufung der Firma ein norwegisches Gericht auch bestätigt hat. Ob Grindr auch gegen britisches Datenschutzrecht verstoßen hat, soll der nun von Austen Hays angestrengte Schadenersatzprozess zeigen.

Grindr wurde 2009 von Kalifornien aus lanciert. Ab Anfang 2018 gehörte das Angebot einem Unternehmen in der Volksrepublik China. Diese Übernahme hat die US-Behörde CFIUS (Committee on Foreign Investment in the United States) im Jahr darauf rückabwickeln lassen. Grund war der Zugriff chinesischer Entwickler auf die persönlichen Daten der Grindr-User. CFIUS befürchtete offenbar, dass unter den sensiblen Daten (samt HIV-Status) auch Informationen über Angehörige des US-Militärs oder von US-Diensten sind, und diese Daten über den chinesischen Eigentümer in die Hände chinesischer Dienste gelangen würden.

(ds)