Herrscht bei Grindr Datensicherheit? Wohl kaum: Die Betreiber sollen Daten zu Werbezwecken verkauft haben. Nutzer*innen und Nutzer würden regelrecht «ausgespäht», so die Kritik vom norwegischen Verbraucherschutz.

Zu diesem Ergebnis kommt die aktuelle Studie «Out of control» (PDF) des norwegischen Verbraucherrates NCC. Demnach geben insgesamt zehn untersuchte Flirt-Apps, darunter Tinder (über 100 Millionen User) und OkCupid (immerhin 10 Millionen), ohne Zustimmung der Nutzer*innen personenbezogene Daten an mindestens 135 externe Werbe- und Profiling-Unternehmen weiter.

Die erfassten Informationen beinhalten Standorte, private Angaben sowie Details zum Online-Nutzungsverhalten und lassen sich über IP-Adressen eindeutig Personen zuordnen. Somit seien Unternehmen in der Lage, exakte Profile der Nutzer*innen zu erstellen. Laut NCC ist die ungenehmigte Weitergabe der Daten ein Gesetzesbruch, darum habe man Beschwerde bei der Datenschutzbehörde eingelegt.

Grindr hat in der Studie ein eigenes Unterkapitel. Es wurde auf mehr als 10 Millionen Smartphones installiert und ist mehrheitlich im Besitz der chinesischen Firma Kunlun, hat aber den Hauptsitz in den USA. Neu sind die Vorwürfe nicht: Schon vor zwei Jahren machte die Meldung Schlagzeilen, dass Grindr Daten an Drittfirmen weitergibt, darunter auch persönliche Angaben wie den eigenen HIV-Status. Damals versicherte Bryce Case, Sicherheitschef von Grindr, die Politik in Sachen Weitergabe besonders sensibler Informationen zu ändern. Das war offenbar ein leeres Versprechen.

Hier zeigt MANNSCHAFT, was die Hersteller von Gay-Apps mit unseren Daten machen. Deren Sicherheit ist immer wieder ein Problem. Im September 2018 startete Scruff ein Update, um sich u. a. gegen Datenleaks absichern (MANNSCHAFT berichtete).

Bevor man beginnt, die Appzu nutzen, müssen Grindr-Kund*innen die Datenschutzbestimmungen und Geschäftsbedingungen in ihrer Gesamtheit akzeptieren. Es gibt aber NCC zufolge keine separaten Informationen in der App darüber, wie personenbezogene Daten verwendet oder weitergegeben werden.

Die Datenschutzrichtlinie von Grindr besagt, dass bestimmte Daten für Werbung freigegeben werden. Dritten sei es demnach untersagt, den HIV-Status und sexuelle Vorlieben nachzuverfolgen. Zwar stellt Grindr Einstellungen bereit, die sich darauf beziehen, welche Informationen andere Benutzer sehen können. Allerdings gebe es keine Möglichkeit, den Datenaustausch mit Dritten oder die Verwendung gezielter Werbung zu steuern.

Gemäss seiner Datenschutzrichtlinie stützt sich Grindr bei der Verarbeitung auf eine Mischung von Rechtsgrundlagen personenbezogene Daten, obwohl nicht klar ist, wann die jeweilige Grundlage gilt. Man teile einige der demografischen Informationen mit den Werbepartner*innen. Doch werde in der Datenschutzerklärung von Grindr nur ein solcher Partner genannt: MoPub. Das Unternehmen wurde vor sieben Jahren von Twitter gekauft und ist eine Handelsplattform für Online-Werbung auf iOS und Android Geräten. Schon damals warnten Datenschützer, durch den Erwerb sei Twitter in der Lage, «personalisierte» Werbung zu verkaufen und dafür entsprechend Geld zu verlangen.

Zwar listet Grindr MoPub als Werbepartner auf und ermutigt die User, dessen Datenschutzrichtlinien zu lesen. Doch MoPub selber listet wiederum über 160 Partner auf. Das mache es für Benutzer*innen unmöglich, eine informierte Zustimmung zu geben, wie jede*r einzelne dieser Partner*innen personenbezogene Daten verwendet.