Eine populäre deutsche Dating-App hat genaue Handy-Standortdaten an Werbefirmen geschickt, selbst wenn Nutzer*innen nicht eingewilligt haben. Genau solche Daten fanden netzpolitik.org und BR im Angebot von Databrokern – eine große Gefahr für Nutzer*innen.

Eine bekannte Dating-App aus Hamburg verkuppelt Menschen auf Kontaktsuche mit anderen in ihrem Umkreis. Den Nutzer*innen dürfte klar sein, dass die App hierfür ihre Standortdaten verwendet. Den Zugriff darauf erlauben sie sogar bewusst – in der Hoffnung auf spannende Begegnungen. Was Nutzer*innen jedoch nicht wissen konnten: Ihre genauen Standortdaten flossen über die Dating-App offenbar auch dann an Werbefirmen, wenn sie dafür keine Einwilligung erteilt hatten.

So geht es aus dem Jahresbericht der Hamburger Datenschutzbehörde für 2025 hervor. Bei der Anwendung handelt es sich anscheinend um eine von Deutschlands beliebtesten Dating-Apps: Lovoo.

Die Behörde selbst nennt den Namen der App aus verfahrensrechtlichen Gründen nicht. Die Untersuchungen seien noch nicht abgeschlossen, schreibt sie auf Anfrage. Auch die Betreiber-Firma von Lovoo, der Online-Dating-Riese ParshipMeet, schweigt dazu. Auf mehrere Presseanfragen erhielten wir keine Antwort.

Dennoch erlaubt der Jahresbericht der Behörde einen Rückschluss auf Lovoo. Demnach haben die Datenschützer*innen die Dating-App nach der Veröffentlichung der „Databroker Files“ von netzpolitik.org und Bayerischem Rundfunk geprüft. Das sind die seit Februar 2024 andauernden Recherchen zum weitgehend unkontrollierten Handel mit Standortdaten aus der Werbe-Industrie. „Den journalistischen Recherchen war der Hinweis auf die App eines Anbieters mit Sitz in Hamburg zu entnehmen“, so die Behörde. Der Clou: In diesen Recherchen taucht nur eine Dating-App aus Hamburg auf – und zwar Lovoo.

Sie war eine von rund 40.000 Apps in einem Datensatz mit rund 380 Millionen Standortdaten aus 137 Ländern. Das Recherche-Team hat diese Daten von einem US-amerikanischen Databroker als kostenlose Vorschau für ein Abonnement erhalten. Zur Veröffentlichung unserer Recherche im Januar 2025 ließ uns ein Lovoo-Sprecher wissen, dass man Daten mit Drittparteien für Werbezwecke teile, wenn Nutzer*innen in die Datenschutzerklärung eingewilligt hätten. Lovoo verzeichnet allein im Google Play Store mehr als 50 Millionen Downloads.

Datenschutzbehörde macht „besonders schwerwiegende“ Funde

In ihrem Jahresbericht beschreibt die Datenschutzbehörde, wie Mitarbeiter*innen die – nicht näher benannte – Dating-App durchleuchtet haben. Demnach haben sie den Datenverkehr analysiert und die Erkenntnisse mit den Informationen abgeglichen, die Menschen zu sehen bekommen, wenn sie die App installieren und in die Datennutzung einwilligen.

Das Problem: „Soweit entsprechende Informationen erteilt wurden, stimmten diese nicht mit den tatsächlichen Datenflüssen überein.“ In diesen Datenflüssen konnte die Behörde „die Übermittlung von genauen Standortdaten an bestimmte Werbepartner eindeutig“ nachweisen. Wie uns die Behörde auf Anfrage erklärt, flossen die Standortdaten über eingebundene SDKs an Werbepartner. Das sind Software-Pakete von Dritten, die Entwickler*innen in ihre Apps einbauen.

Statt vorgeschriebener datenschutzfreundlicher Voreinstellungen „war die Erlaubnis zur Weitergabe von genauen Standortdaten an Werbedienste standardmäßig aktiviert“, so der Bericht weiter. Mehr noch: „Besonders schwerwiegend ist, dass die App – auch nach Entfernen des zuvor gesetzten Symbols zum ‚Akzeptieren‘ im eingesetzten Einwilligungsdialog – weiterhin genaue Standortdaten an Werbepartner übermittelte.“ Einfach ausgedrückt: Wer mithilfe der Dating-App andere Nutzer*innen im Umkreis gesucht hat, konnte wohl nicht verhindern, dass dabei die eigenen Standortdaten an Werbefirmen abfließen.

Kontrollverlust beim Online-Dating

Wo genau die Standortdaten der Dating-Interessierten gelandet sein könnten, ist kaum zu überblicken. Die Datenschutzbehörde spricht von einer „Komplexität und Vielzahl an beteiligten Akteuren“. Neben der Betreiberfirma der App gehörten dazu „verschiedene Werbepartner- und Netzwerke mit einer undurchschaubaren Menge von Beteiligten“.

Offenbar sind die Daten jedoch beim US-Datenhändler Datastream Group (heute: Datasys) gelandet. Er hatte sie zusammen mit weiteren Datensätzen als Gratis-Kostprobe dem Rechercheteam geschickt. Kontakt zu dem Datenhändler erhielten wir über den in Berlin ansässigen Datenmarktplatz Datarade.

Die Kontrolle über ihre Daten, so die Behörde, sei Nutzer*innen durch das Dating-Unternehmen „erschwert“ worden. Angesichts der laut Behörde „undurchschaubaren“ Menge von Beteiligten läge es jedoch viel näher zu sagen, dass Nutzer*innen die Kontrolle über ihre Daten und Privatsphäre komplett verloren haben.

Inzwischen soll die Dating-App den Hahn der sprudelnden Daten abgedreht haben. „Mit den Prüfergebnissen konfrontiert, hat die Anbieterin der App die Ursache der Weitergabe genauer Standortdaten an Werbepartner zügig identifiziert und mittlerweile unterbunden“, so der Bericht. „Zudem hat sie proaktiv Maßnahmen implementiert, mit welchen sie künftig Datenflüsse in der App überwachen und so den unzulässigen Abfluss an Werbenetzwerke unterbinden kann.“

Ob Daten etwa durch einen Konfigurationsfehler versehentlich abgeflossen sind oder das Unternehmen sich dessen bewusst war, lässt sich von außen nicht nachvollziehen.

Datenhandel gefährdet alle

Die Databroker Files haben gezeigt, wie gefährlich solche Standortdaten aus der Werbe-Industrie sein können. Auf oftmals verschlungenen Wegen fließen sie über Handy-Apps und deren oftmals Hunderte Werbepartner zu Datenhändlern – und von dort in die Hände aller, die bei ihnen einkaufen. Wertvoll sind solche Daten etwa für Geheimdienste und Sicherheitsbehörden, aber potenziell auch für Kriminelle und Stalker*innen.

Achtung, Datenhandel! Lebensgefahr!

Dem Recherche-Team liegen inzwischen mehr als 13 Milliarden Standortdaten verschiedener Datenhändler vor. Allein die Daten aus Deutschland bedecken nahezu jeden Winkel des Landes. Weil die Daten mit einer einzigartigen Werbekennung versehen sind – eine Art Nummernschild fürs Handy – lassen sich daraus eindeutige Bewegungsprofile ablesen.

Solche Bewegungsprofile machen sichtbar, wo eine Person wohnt und zur Arbeit geht, wo sie spazieren geht, in die Kirche, ins Bordell oder ins Krankenhaus. Betroffen sind Privatpersonen ebenso wie Angestellte von Militär, Geheimdiensten und Regierungsbehörden. Mit ein paar Handgriffen können Interessierte jedoch ihre Standortdaten vor dem Zugriff durch Datenhändler weitgehend schützen.

Hier sind alle Veröffentlichungen von netzpolitik.org zu den Databroker Files und hier die auf Basis der Recherchen entstandene ARD-Doku „Gefährliche Apps – Im Netz der Datenhändler“.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Einer der wichtigsten Standards des Ökosystems für Online-Werbung verstößt in einer Vielzahl von Punkten gegen die Datenschutzgrundverordnung. Zu diesem Schluss kommt die belgische Datenschutzbehörde APD in einer lange erwarteten Entscheidung zum sogenannten Transparency and Consent Framework (TCF). Das System, mit dem Werbetreibende im Internet Einwilligungen für Targeted Advertising einsammeln, entspreche nicht den Grundsätzen von Rechtmäßigkeit und Fairness, teile die Aufsichtsbehörde mit.

Die Entscheidung ist mit den anderen europäischen Datenschutzbehörden abgestimmt und hat Konsequenzen für Cookie-Banner und verhaltensbasierte Online-Werbung in der gesamten EU. Der Werbeverband IAB Europe, der den TCF-Mechanismus entwickelt und betreibt, muss nun die so gesammelten personenbezogenen Daten löschen und eine Strafe von 250.000 Euro zahlen. Weitaus bedeutender sind jedoch die Auflagen, die die APD der Werbebranche macht, damit sie das Transparency and Consent Framework überhaupt weiter nutzen darf.

Tausende Websitebetreiber:innen, fast alle Online-Medien und auch große Werbefirmen wie Google oder Amazon nutzen den Mechanismus, um das vermeintliche Einverständnis von Nutzer:innen in die Verarbeitung ihrer persönlichen Daten zu Werbezwecken weiterzugeben. „Menschen werden eingeladen, ihre Zustimmung zu geben, doch die meisten von ihnen wissen nicht, dass ihre Profile vielfach am Tag verkauft werden, damit sie personalisierter Werbung ausgesetzt werden“, fasst Hielke Hijmans von der APD die Kritik ihrer Behörde zusammen.

Auch wenn die Entscheidung nicht direkt das gesamte Werbesystem im Netz betreffe, werde sie großen Einfluss auf den Schutz der persönlichen Daten von Internetnutzer:innen haben, so Hijmans.

Zentraler Baustein für Targeting und Cookie-Banner illegal

Vereinfach gesagt funktioniert das System von zielgerichteter Werbung im Netz heute so: Jeder Besuch bei einer teilnehmenden Website löst eine Auktion unter den Anbietern von Werbeanzeigen aus. Unter anderem anhand der gewünschten Preise und des Datenprofils der Nutzerin entscheidet sich in Millisekundenschnelle, welche Werbung sie zu sehen bekommt. Damit dieses Real-Time-Bidding (RTB), also das Bieten in Echtzeit, funktioniert, müssen die Werbefirmen wissen, mit wem sie es zu tun haben: Alter, Geschlecht, Interessen, besuchte Websites, Wohnort, Kaufkraft und so weiter sind wichtige Kriterien, nach denen die Zielgruppen für Anzeigen zusammengestellt werden.

Hier kommt das Transparency and Consent Framework von IAB Europe ins Spiel. Wenn Nutzer:innen auf „Cookies akzeptieren“ klicken oder nicht widersprechen, dass die Nutzung ihrer Daten im legitimen Interesse des Anbieters ist, erzeugt das TCF einen sogenannten TC-String. Dieser Identifier bildet die Grundlage für die Erstellung von individuellen Profilen und für die Auktionen, in denen Werbeplätze und mit ihnen die Aufmerksamkeit der gewünschten Zielgruppe versteigert werden, und wird an aberhunderte Partner in dem OpenRTB-System weitergeleitet.

Den belgischen Datenschützer:innen zufolge sind es vor allem zwei Probleme, die das Consent Framework in seiner heutigen Form praktisch unbenutzbar machen. Zum einen hält die Behörde fest, dass bereits die TC-Strings personenbezogene Daten darstellen. Gemeinsam mit der IP-Adresse und den vom TCF gesetzen Cookies ermöglichen sie es nämlich, Nutzer:innen genau zu identifizieren. Zum anderen ist der Werbeverband IAB Europe nach Ansicht der Datenschutzaufsicht für jede Datenverarbeitung über das Framework rechtlich mitverantwortlich.

Bislang hatte der Verband sich als neutraler Anbieter eines technischen Standards inszeniert und eine Rolle als Datenverarbeiter stets von sich gewiesen – und damit auch die Verantwortung dafür, dass die Prozesse auch wirklich DSGVO-konform sind. Dass Werbetreibende sich in ihren Cookie-Bannern auf ein „legitimes Interesse“ an der Datensammlung berufen, statt um Einwilligung zu bitten, müsste das Framework zum Beispiel grundsätzlich untersagen, um rechtskonform zu sein.

Auch darüber hinaus verstoße der TCF-Mechanismus gegen diverse Vorgaben der DSGVO, zum Beispiel gegen die Grundsätze von Privacy by Design und by Default. Die Aufsichtsbehörde gibt IAB Europe zwei Monate Zeit, um einen Aktionsplan vorzulegen, wie es die Mängel beheben will.

IAB Europe prüft rechtliche Schritte

Der Werbeverband widerspricht unterdessen der Darstellung der Datenschutzbehörde in wesentlichen Punkten und kündigt an, die Entscheidung gerichtlich überprüfen lassen zu wollen. Er betont zudem, dass die Behörde das TCF nicht grundsätzlich verboten habe und dass man die Mängel innerhalb von sechs Monaten beheben könne.

Für die Online-Werbeindustrie und auch für viele Medienhäuser ist die Entscheidung ein herber Rückschlag. Das von ihnen genutzte Ökosystem des Targeted Advertising ist an einer entscheidenden Stelle illegal: der Einwilligungen der Nutzer:innen und damit der Rechtmäßigkeit der Datenverarbeitung.

Datenschützer:innen bezweifeln seit langem, dass es überhaupt möglich ist, dass System des Targeted Advertising und des Real-Time-Biddings datenschutzkonform zu betreiben. Die Datenflüsse zwischen den hunderten Playern des Systems sind für Nutzer:innen weder nachvollziehbar, noch können sie sinnvoll intervenieren und Einwilligungen zurückziehen – von den unlauteren Design-Tricks, um sich die Einwilligung zu erschleichen, mal ganz abgesehen.

„Harter Schlag gegen die Datenindustrie“

Entsprechend euphorisch wird die Entscheidung der belgischen Behörde von vielen begrüßt. „Das war ein langer Kampf“, resümiert etwa Johnny Ryan vom Irish Council for Civil Liberties, der das Verfahren zusammen mit anderen NGOs wie der Digitalen Gesellschaft oder Panoptykon aus Polen in Gang gebracht hatte. Die heutige Entscheidung befreit hunderte Millionen Europäer:innen vom Einwilligungs-Spam und der weitreichenden Gefahr, dass Informationen über ihre intimsten Online-Aktivitäten zwischen Tausenden Firmen hin- und hergereicht werden.

Estelle Masse von der Nichtregierungsorganisation Access Now sieht durch die Klarstellung, dass das Framework keine gültige Rechtsgrundlage habe, „seine gesamte Existenz infrage gestellt“. Für Online-Medien, die auf das TCF setzen, hat sie eine dringende Empfehlung: „Verlage sollten so schnell wie möglich damit aufhören, denn sie tragen eine datenschutzrechtliche Mitverantwortung für die Verarbeitung. Dieses Mal trifft die Strafe IAB Europe, doch das dürfte noch nicht das Ende der Geschichte sein.“

„Die Entscheidung der belgischen Datenschutzaufsicht gegen das TCF ist ein harter Schlag gegen die Datenindustrie, die ihrem invasiven digitalen Tracking gerne einen DSGVO-konformen Anstrich verleihen wollten, indem sie uns allen die permanente Auseinandersetzung mit nutzlosen ‚Einwilligungs“-Bannern aufzwingen“, twittert der österreichische Überwachungsforscher Wolfie Christl.

Ebenfalls auf Twitter begrüßte auch der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber die „wichtige Entscheidung zu Einwilligungsbannern durch die belgischen Kollegen und den europäischen Datenschutzausschuss.“

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.