Grindr, Tinder & Co. sollen Nutzerdaten unzulässig weitergeben

Verbraucherschützer werfen den Betreibern mehrerer beliebter Smartphone-Apps vor, im großen Umfang persönliche Daten ihrer Nutzer an Dritte weiterzugeben und damit gegen die Datenschutz-Grundverordnung der Europäischen Union zu verstoßen. Speziell die bei Schwulen beliebte Dating-App Grindr wird in dem Bericht "Out of control" ("Außer Kontrolle", engl. PDF) des norwegischen Verbraucherrats (Forbrukerrådet) näher untersucht.

Grindr, das schon vor zwei Jahren in Kritik geraten war, weil es damals Angaben zum HIV-Status seiner Nutzer weitergab, teile demnach über eine in der App integrierte automatische Schnittstelle des zu Twitter gehörenden Dienstleisters MoPub und über fünf weitere Schnittstellen umfangreiche Daten mit Werbenetzwerken – darunter eine spezielle App-unabhängige Werbe-ID des Geräts und die per GPS ermittelten Ortsdaten sowie teilweise die IP-Adresse des Nutzers und Profilinformationen wie Alter und Geschlecht. Die Werbenetzwerke hätten wiederum das Recht, die Daten mit ihren Dutzenden bis Hunderten Partnern zu teilen.

Grindr gibt – in einem ersten Schritt – Daten an 18 Partner weiter (Bild: Forbrukerrådet)

Das ermöglicht Werbungsverkauf in Echtzeit, allerdings auch ein umfangreiches Tracking (Nachverfolgen) des Nutzers über Apps und Geräte hinweg, ohne dass dieser eine Kontrolle darüber habe. Durch die Verknüpfung diverser Daten und Besonderheiten von geschlossenen App-Umgebungen gegenüber Browsern ist das Tracking deutlich umfassender und personalisierter als das bei Webseiten.

Opt-out schwierig und selten genutzt

Die Dating-App biete zwar ein Opt-out für seine Nutzer an, also eine Ablehnung der Datenweitergabe und des Trackings – dafür müssten diese aber außerhalb der App systemweite Einstellungen des Betriebssystems iOS oder Android ändern, was Studien zufolge wenige Nutzer machten. Die kaum vorhandene Auswahlmöglichkeit und Aufklärung über Datennutzung verstoße gegen die Datenschutzrichtlinie, so der Verbraucherrat. Auch zeige eine technische Analyse der App, dass Werbepartner auch bei einem Opt-out personalisierende Daten erhalten hätten.

Durch die unkontrollierte Mehrfachweitergabe könnten entsprechende Daten somit auch an "Gauner" oder "repressive Regierungen" geraten, warnen die Datenschützer. Im Fall von Grindr kombiniert mit dem Hinweis auf eine App, deren Nutzung bereits einen zusätzlichen Hinweis auf eine Homo- oder Bisexualität des Nutzers darstellt. Mindestens ein Werbenetzwerk, OpenX, habe die von Grindr gelieferten Daten zudem um Keywords wie "gay" oder "bi" ergänzt. Die Gefahr: In einigen Ländern wie Ägypten hätten Behörden schon Grindr genutzt, um Schwule gezielt ausfindig zu machen (im letzten Jahr hatten Forscher auch erneut gezeigt, dass Nutzer des Dienstes durch offene Schnittstellen und Trilateration aufgespürt werden konnten).

Die Datenweitergabe von Grindr konkret (Bild: Forbrukerrådet)

Von den untersuchten Apps, darunter weitere Dating-Angebote wie Tinder und OKCupid, aber auch eine App für Kinder oder Muslime, sandten mehrere Daten direkt oder indirekt an die gleichen Werbepartner, die die Angaben so kombinieren können. OkCupid steuert etwa höchstpersönliche Daten zu Sexualität, Drogennutzung und politischen Ansichten bei. Während Grindr als einzige der untersuchten Apps auf Google-Dienste verzichtete, setzte es ebenfalls wie fast alle anderen auf eine Facebook-Schnittstelle. Der US-Datenriese erhielt so Informationen zu Nutzern, selbst wenn diese nicht bei ihm angemeldet waren.

Die Analyse der Verbraucherschützer kommt zu dem Schluss, dass "die Werbebranche systematisch gegen das Gesetz verstößt". 20 Monate nach Inkrafttreten der Datenschutz-Grundverordnung würden die Verbraucher immer noch umfassend ausgespäht und hätten "keine Möglichkeit, in Erfahrung zu bringen, welche Unternehmen ihre Daten verarbeiten und wie sie gestoppt werden können", kritisierte Forbrukerrådet.

"Jedes Mal, wenn du eine App wie Grindr öffnest, erhalten Werbenetzwerke deinen GPS-Standort, Gerätekennungen und sogar die Tatsache, dass du eine Dating-App für Homosexuelle benutzt. Dies ist eine eklatante Verletzung der EU-Datenschutzgesetze", sagt Max Schrems, Vorsitzender des europäischen Datenschutzzentrums noyb, das an dem Bericht mitarbeitete, in einer ausführlichen deutschsprachigen Pressemitteilung. Er will bei der österreichischen Datenschutzbehörde Beschwerde einreichen – die Kollegen aus Norwegen haben bereits drei formelle Beschwerden gegen Grindr und weitere gegen von der App genutzte fünf Adtech-Unternehmen eingereicht. (nb)

• grindr
• datenschutz
• europäische union