Dating-App unter Verdacht: Standortdaten sollen trotz fehlender Einwilligung an Werbepartner geflossen sein

von

Wenn eine Dating-App den Standort ihrer Nutzerinnen und Nutzer verwendet, ist das zunächst nicht überraschend. Schließlich lebt das Geschäftsmodell vieler solcher Apps davon, Menschen in der Nähe sichtbar zu machen. Genau deshalb ist der aktuelle Fall aus Hamburg so brisant: Nach Recherchen von netzpolitik.org und laut dem Tätigkeitsbericht der Hamburger Datenschutzbehörde sollen bei einer bekannten Dating-App präzise Standortdaten an Werbepartner geflossen sein, obwohl eine wirksame Einwilligung dafür gerade nicht vorlag. Die Behörde nennt den Namen der App aus verfahrensrechtlichen Gründen nicht. Die veröffentlichten Indizien deuten nach Darstellung von netzpolitik.org jedoch deutlich auf Lovoo hin.

Der Fall ist mehr als nur eine weitere Datenschutzmeldung. Er zeigt sehr plastisch, warum Standortdaten zu den sensibelsten Daten überhaupt gehören. Wer sie kontrolliert, weiß nicht nur, wo sich Menschen gerade aufhalten. Aus metergenauen Bewegungsprofilen lässt sich oft ableiten, wo jemand wohnt, arbeitet, wen die Person regelmäßig trifft, welche Kliniken, Ämter oder privaten Orte sie besucht und wann sich Routinen verändern. Wenn solche Daten im Umfeld von Werbenetzwerken und Datenhändlern landen, geht es deshalb nicht bloß um lästige Personalisierung. Es geht um Kontrollverlust in einem Bereich, der tief in das Privatleben eingreift.

Was der Hamburger Fall so heikel macht

Besonders problematisch ist nicht allein die mögliche Weitergabe der Daten, sondern die Kombination mehrerer Vorwürfe. Laut dem Bericht der Hamburger Datenschutzbehörde sollen die Informationen für Nutzerinnen und Nutzer nicht mit den tatsächlichen Datenflüssen übereingestimmt haben. Außerdem sei die Weitergabe präziser Standortdaten an Werbedienste standardmäßig aktiviert gewesen, obwohl datenschutzfreundliche Voreinstellungen eigentlich das Gegenteil verlangen. Noch schwerer wiegt der Punkt, dass die App nach Darstellung der Behörde genaue Standortdaten selbst dann weiter übermittelt haben soll, wenn das Akzeptieren im Einwilligungsdialog wieder entfernt wurde. Falls sich dieser Befund im laufenden Verfahren bestätigt, wäre das kein Randfehler, sondern ein erheblicher Vertrauensbruch.

Für Unternehmen ist daran vor allem eines lehrreich: Viele Datenschutzverstöße entstehen heute nicht mehr durch offen sichtbare Formulare oder unvollständige Rechtstexte, sondern in eingebundenen SDKs, Adtech-Bausteinen und komplexen Drittpartnerketten. Genau dort verlieren Verantwortliche oft den Überblick. In Apps und Websites wird dann formal eine Zustimmung abgefragt, während technische Prozesse im Hintergrund bereits Datenströme erzeugen, die weder vollständig dokumentiert noch sauber kontrolliert sind. Das Problem verschärft sich, sobald externe Werbepartner, Analyseanbieter oder Vermittler beteiligt sind. Je länger die Kette, desto schwieriger wird die tatsächliche Kontrolle.

Der Hamburger Fall passt deshalb sehr gut zu einer Entwicklung, die wir seit längerem beobachten: Datenschutz ist immer häufiger kein reines Text- oder Banner-Thema mehr, sondern ein technisches Kontrollthema. Wer nur auf Datenschutzerklärung und Consent-Design schaut, sieht oft nicht, was im Produkt tatsächlich passiert. Genau hier unterscheiden sich saubere Datenschutzprozesse von bloßer Oberfläche. Entscheidend ist nicht, ob ein Dialog angezeigt wird, sondern ob die technische Realität konsequent zu Einwilligung, Voreinstellungen und dokumentierten Datenflüssen passt.

Warum Standortdaten in falschen Händen so gefährlich sind

Der Bericht ist auch deshalb relevant, weil er an ein größeres europäisches und internationales Problem anschließt: den Handel mit Standortdaten aus dem Werbe-Ökosystem. netzpolitik.org hatte gemeinsam mit Partnern bereits in den sogenannten Databroker-Files gezeigt, wie Standortdaten aus Apps über Werbepartner und Zwischenhändler bis zu Datenbrokern gelangen können. Damit entsteht ein Markt, in dem hochsensible Bewegungsdaten wie normale Handelsware behandelt werden. Für Betroffene ist das besonders heikel, weil sie die Zahl der beteiligten Akteure kaum überblicken können. Selbst wenn ein Unternehmen einen Datenfluss später stoppt, bleibt die Frage, wohin die Daten vorher bereits gelangt sind.

Die praktische Tragweite wird oft unterschätzt. Standortdaten verraten nicht nur Freizeitverhalten, sondern auch politische, religiöse, gesundheitliche und intime Lebensbereiche. Wer regelmäßig an einer bestimmten Adresse übernachtet, wer eine Suchtberatungsstelle besucht, wer in einer sensiblen Einrichtung arbeitet oder sich an einem bestimmten Ort mit anderen Personen trifft, hinterlässt ein Muster. Werden solche Informationen dauerhaft aggregiert, entsteht eine Form von Transparenz über das Privatleben, die weit über klassische Tracking-Diskussionen hinausgeht. Darum sind Datenschutzfälle rund um Standortdaten fast immer schwerwiegender als sie in einer knappen Meldung zunächst wirken.

Für Anbieter digitaler Produkte ist das ein Warnsignal. Wer mit Standortdaten arbeitet, darf sich nicht darauf verlassen, dass ein einmal eingebautes Consent-Tool oder ein SDK-Setup schon irgendwie passt. Nötig sind laufende Kontrollen, saubere Voreinstellungen, technische Prüfungen echter Datenflüsse und ein Prozess, mit dem Änderungen an App oder Website sofort neu bewertet werden. Gerade wenn Werbe- oder Analysepartner beteiligt sind, reicht es nicht, auf Herstellerdokumentation oder Standardversprechen zu vertrauen. Datenschutzfreundliche Defaults, belastbare Kontrolle und nachprüfbare Protokolle sind hier keine Kür, sondern Pflicht.

Was Unternehmen jetzt aus dem Fall mitnehmen sollten

Für Verantwortliche in Deutschland ist der Hamburger Vorgang vor allem deshalb wichtig, weil er zwei Illusionen gleichzeitig zerstört. Erstens: Ein Einwilligungsdialog schützt nicht automatisch vor einem Datenschutzproblem. Zweitens: Ein eingebundener Drittanbieter bleibt auch dann das eigene Risiko, wenn der Fehler technisch irgendwo im Partnernetzwerk entsteht. Wer fremde SDKs, Werbetools oder Tracking-Komponenten integriert, bleibt verantwortlich dafür, dass die tatsächlichen Datenflüsse zur eigenen Datenschutzaussage und zur Rechtsgrundlage passen.

Genau deshalb lohnt sich der Blick auf den Fall auch für Unternehmen, die keine App betreiben. Das Muster ist übertragbar auf Websites, Portale, Kundenbereiche und digitale Plattformen jeder Art. Sobald präzise Standortdaten, Gerätekennungen oder andere besonders aussagekräftige Signale an Drittpartner fließen, muss die technische Kontrolle lückenlos sein. Die wichtigste operative Konsequenz lautet deshalb: Nicht nur Banner und Texte prüfen, sondern reale Datenflüsse. Wer wissen will, ob Consent, Tool-Setup und Drittpartnerkette wirklich sauber zusammenspielen, braucht technische Prüfungen und regelmäßige Audits statt bloßer Annahmen.

Für heute bleibt festzuhalten: Der Hamburger Fall ist keine skurrile Randnotiz, sondern ein ernstes Beispiel dafür, wie schnell aus einem vermeintlich alltäglichen App-Feature ein massiver Datenschutzkonflikt werden kann. Wenn sich bestätigt, dass genaue Standortdaten trotz fehlender wirksamer Zustimmung an Werbepartner abgeflossen sind, dann ist das nicht einfach nur peinlich. Es ist ein Lehrstück über Einwilligung, Produktverantwortung und die reale Gefahr des Datenhandels.

Quellen: netzpolitik.org, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit

Bildquelle: Pexels

Eintrag teilen
E-Mail Xing LinkedIn

Abmahnschutz automatisiert

Ist Ihre Website
DSGVO-sicher?

Jetzt registrieren

Weitere News rund um DSGVO und Datenschutz

Alle Blog-Einträge ansehen