Der neue Hamburger Datenschutzbericht liefert einen der klarsten App-Fälle dieses Tages. Die Hamburger Aufsicht beschreibt darin eine Dating-App, die genaue Standortdaten an Werbepartner weitergegeben haben soll, obwohl Nutzerinnen und Nutzer dafür keine wirksame Einwilligung erteilt hatten. Besonders brisant ist nicht nur der Datenabfluss selbst. Laut Tätigkeitsbericht lief die Übermittlung sogar weiter, nachdem ein zuvor gesetztes Akzeptieren-Symbol im eingesetzten Einwilligungsdialog wieder entfernt worden war. Damit wird aus einem scheinbar alltäglichen App-Feature ein lehrbuchreifer DSGVO-Fall zu Consent, Privacy-by-Default und der Kontrolle über eingebaute Werbe-SDKs.
Die Hamburger Bürgerschaft hebt zur Übergabe des Berichts ausdrücklich hervor, dass es darin auch um konkrete Verstöße bei Apps und unzulässiges Tracking geht. Die eigentliche Schärfe steckt dann im Detailkapitel der Datenschutzaufsicht. Dort schildert der HmbBfDI, dass die Prüfer den Datenverkehr der betroffenen App analysiert und mit den Informationen abgeglichen haben, die Menschen bei Installation und Einwilligung zu sehen bekommen. Das Ergebnis fällt deutlich aus: Soweit überhaupt Informationen erteilt wurden, passten sie nach Darstellung der Behörde nicht zu den tatsächlichen Datenflüssen. Gleichzeitig konnte die Aufsicht die Übermittlung genauer Standortdaten an bestimmte Werbepartner eindeutig nachweisen.
Die Behörde nennt den Namen der App nicht. netzpolitik.org berichtet jedoch, die Spur führe nach den Recherchen zu den Databroker Files mit hoher Wahrscheinlichkeit zu Lovoo. Genau an dieser Stelle ist journalistische Trennschärfe wichtig: Der Datenschutzkern des Falls steht schon durch den offiziellen Bericht, die namentliche Zuordnung läuft weiterhin über die zusätzliche Recherche und nicht über eine ausdrückliche Nennung der Behörde. Für die operative Bewertung des Vorgangs ändert das aber wenig. Wenn exakte Standortdaten über eingebundene Werbe-SDKs abfließen, obwohl der Consent fehlt oder wirkungslos ist, liegt der Kernverstoß bereits offen auf dem Tisch.
Warum der Hamburger Fall mehr ist als ein App-Ausreißer
Der Fall ist deshalb so relevant, weil er ein verbreitetes Missverständnis in mobilen Produkten offenlegt. Viele Teams behandeln Standortfreigaben und Werbetracking noch immer als zwei getrennte Ebenen. In der Praxis greifen beide jedoch oft ineinander. Eine Dating-App braucht den Standort, um Menschen im Umkreis anzuzeigen. Wenn dieselbe technische Berechtigung oder derselbe Datenstrom dann von Werbe- und Analysebausteinen mitgenutzt wird, reicht ein hübscher Consent-Dialog nicht mehr aus. Dann muss das Produkt technisch sauber sicherstellen, dass Werbedienste keine präzisen Geodaten erhalten, sobald dafür keine tragfähige Rechtsgrundlage besteht.
Genau an dieser Stelle wird der Hamburger Bericht unangenehm konkret. Laut HmbBfDI war die Erlaubnis zur Weitergabe genauer Standortdaten an Werbedienste standardmäßig aktiviert, also gerade nicht datenschutzfreundlich voreingestellt. Noch schwerer wiegt der Befund, dass die App trotz entferntem Akzeptieren-Symbol weiter exakte Standortdaten an Werbepartner übermittelte. Das ist kein Schönheitsfehler in einem Bannertext, sondern ein Hinweis darauf, dass Benutzeroberfläche, Consent-Status und tatsächliche Datenflüsse auseinanderliefen. Für Nutzer bedeutet das einen realen Kontrollverlust. Für Unternehmen bedeutet es, dass Compliance nicht am Design des Dialogfensters endet, sondern im Netzwerkverkehr beginnt.
Hinzu kommt die Struktur des Werbeökosystems. Der Bericht beschreibt eine komplexe Kette aus App-Anbieterin, Werbepartnern und Netzwerken mit zahlreichen Beteiligten. Genau diese Mehrstufigkeit macht Standortdaten besonders gefährlich. Schon ein einzelner unzulässiger Abfluss kann sich über Drittsysteme vervielfachen, an Datenhändler andocken und später in Kontexten auftauchen, die mit der ursprünglichen Nutzung nichts mehr zu tun haben. Bei präzisen Bewegungsdaten ist das besonders heikel, weil sie sehr schnell Rückschlüsse auf Lebensgewohnheiten, sensible Orte und persönliche Beziehungen zulassen.
Was Unternehmen aus dem Fall jetzt mitnehmen sollten
Die wichtigste Lehre lautet deshalb: Consent darf nicht nur deklariert, sondern muss technisch durchgesetzt werden. Wer mobile Produkte mit SDKs betreibt, sollte nicht nur Datenschutzhinweise und CMP-Einstellungen prüfen, sondern die realen Datenflüsse regelmäßig messen. Welche Partner erhalten Koordinaten, Advertising IDs oder andere Kopplungssignale? Greifen SDKs auf denselben Standortstrom zu wie die Kernfunktion? Was passiert nach einem Opt-out tatsächlich im Traffic? Solche Fragen lassen sich nicht allein in Vertragsanlagen beantworten.
Ebenso wichtig ist Privacy-by-Default auf Produktebene. Wenn ein Dienst Standortdaten für seine Kernfunktion benötigt, heißt das noch lange nicht, dass präzise Geodaten automatisch auch für Werbezwecke genutzt werden dürfen. Unternehmen brauchen hier saubere Trennungen zwischen funktionalem Standortgebrauch, Analyse und Vermarktung. Dazu gehören restriktive Standardwerte, kill switches für Drittanbieter-SDKs, dokumentierte Freigabeprozesse für jede neue Integration und Monitoring, das Anomalien nicht erst nach einer Behördenanfrage sichtbar macht.
Dass die Anbieterin den Datenabfluss nach Konfrontation mit den Prüfergebnissen laut HmbBfDI zügig identifiziert und unterbunden hat, ist immerhin ein positives Signal. Gerade das verschärft aber die operative Botschaft: Wenn sich das Problem nach einer Prüfung technisch abstellen lässt, stellt sich sofort die Frage, warum diese Kontrolle nicht schon vorher Teil des regulären Betriebs war. Für App-Anbieter, Marketing-Teams und Datenschutzverantwortliche ist der Hamburger Fall damit kein Sonderthema aus der Dating-Welt, sondern ein präziser Warnhinweis. Bei Standortdaten reicht es nicht, Einwilligung sichtbar einzusammeln. Sie muss im Code, in SDK-Konfigurationen und in den tatsächlichen Übermittlungen belastbar eingehalten werden.
Bildquelle: Pexels
Quellen: Hamburgische Bürgerschaft, Übergabe des Datenschutzberichts 2025; HmbBfDI, Tätigkeitsbericht Datenschutz 2025, Abschnitt zur unzulässigen Weitergabe von Standortdaten durch Apps; netzpolitik.org, Datenschutzbehörde findet gravierende Verstöße bei bekannter Dating-App.
