Grindr teilte HIV-Status seiner Nutzer zu Werbezwecken

Grindr ist eine Anlaufstelle für schwule und bisexuelle Männer. Doch die App hat, wie öffentlich wurde, sensible Daten an Unternehmen weitergegeben. Darunter auch den HIV-Status der Nutzer sowie GPS-Positionen oder sexuelle Vorlieben. Die App selbst übt sich in Schadensbegrenzung.

Grindr und die Weitergabe extrem sensibler Daten

SVT Nyheter in Schweden berichtete schon vor Wochen von der erschreckenden Entdeckung, dass Daten von Grindr-Nutzern zu Werbezwecken mit Unternehmen geteilt wurden. Das norwegische Forschungsinstitut SINTEF hatte mit Reportern von SVTs Plus herausgefunden, dass nicht verschlüsselte Daten der App-Nutzer an außenstehende Unternehmen weitergegeben wurden.

Dabei handelt es sich um Angaben zu präzisen GPS-Positionen, zu schwulen Subkulturen, mit denen Nutzer sich identifizieren oder auch zum Beziehungsstatus. Doch damit nicht genug. Die Ethnie und spezifische Telefonnummern wurden ebenso weitergegeben. Am brisantesten ist allerdings die Weitergabe der HIV-Status der Nutzer. Apptimize und Localytics, Unternehmen, die Apps optimieren, haben laut Buzzfeed diese Daten erhalten.

Zwar betonte Grindr CTO Scott Chen  gegenüber Buzzfeed:

Thousands of companies use these highly-regarded platforms. These are standard practices in the mobile app ecosystem […] No Grindr user information is sold to third parties. We pay these software vendors to utilize their services.

Aber die Weitergabe an sich erhöht bereits die Anfälligkeit der Daten, in böswilliger Absicht ausgenutzt zu werden.

Fingerspitzengefühl gefragt – das Grindr vermissen lässt

Sollten einige der – tatsächlich freiwillig angegebenen – Daten der Nutzer bekannt werden, könnte das für diese mitunter zu Problemen führen. Denn nicht jeder User bei Grindr geht offen mit Bi- oder Homosexualität in seinem Alltag um. Und gerade Informationen hinsichtlich des Gesundheitszustands sind heikle Angaben. Vor allem, wenn es um HIV geht. Hier könnte mehr auf dem Spiel stehen, als nur die Verärgerung der Nutzer. Immerhin könnten Hacker die Daten relativ simpel einsehen.

Daher erwägt etwa der norwegische Verbraucherrat (Forbrukerrådet) Grindr der norwegischen Datenschutzbehörde zu melden, so SVT.

Die Macher der App selbst wandten sich nun diese Woche mit einem Statement an die Öffentlichkeit.  Darin heißt es deutlich:

Grindr has never, nor will we ever sell personally identifiable user information – especially information regarding HIV status or last test date – to third parties or advertisers.

Allerdings wird erläutert:

As an industry standard practice, Grindr does work with highly-regarded vendors to test and optimize how we roll out our platform. These vendors are under strict contractual terms that provide for the highest level of confidentiality, data security, and user privacy.

In der Folge appelliert Scott Chen auch an die Nutzer selbst, dass sie Verantwortung für die von ihnen geteilten Informationen übernehmen müssten. Letztlich werden „industry standard practices “ angeführt, was ein wenig wie eine Legitimation für den angeprangerten Datenaustausch wirkt.

Auch wenn Grindr mit diesem wenig originellen Statement einige Anschuldigungen widerlegt, kann nicht geleugnet werden, was die Recherche in Schweden und Norwegen zutage förderte. Dass sensible Daten der Nutzer, darunter der HIV-Status, nicht genügend geschützt wurden. Die Nutzer der App sollten also künftig sehr gut überlegen, welche Daten sie dort angeben. Ein Rat, der im Übrigen für alle digitalen Dienste gilt. Es gibt eine Reihe von Datenschutzbestimmungen, sowohl von den Unternehmen als auch von der Seite des Gesetzes. Doch dass diese stets eingehalten werden oder zum Schutz dienen können, ist bei der beeindruckenden Menge an Daten, die verschiedenste Dienste generieren, ohnehin schwer zu glauben.