Millionen Fotos aus Dating-App weitergegeben: Match Group unter Beobachtung
Sensible Daten von Millionen Nutzern sollen bei einem Biometrie-Startup gelandet sein. Die FTC lässt die Verantwortlichen mit milden Auflagen davonkommen.
(Bild: Fractal Pictures/Shutterstock.com)
Die Match Group soll umfangreiche Nutzerdaten ihrer Dating-App OkCupid, darunter fast drei Millionen Fotos, an das Biometrie-Unternehmen Clarifai weitergegeben haben. Laut der US-Handelsaufsichtsbehörde FTC sollen die Fotos bereits 2014 zusammen mit Standortdaten und weiteren personenbezogenen Angaben an das damals junge Startup gegangen sein. Dort seien sie dazu genutzt worden, Bilderkennungssoftware zu trainieren. Die Betreiber sollen den Datentransfer zudem fast zwölf Jahre lang verschleiert und gegenüber der Öffentlichkeit sowie besorgten Nutzern bewusst geleugnet haben.
Mögliche Konsequenzen für die Betroffenen wären, dass ihre biometrischen Daten dauerhaft in den Gesichtserkennungssystemen verbleiben und sie in anderen Kontexten identifizierbar werden. Zudem wären Rückschlüsse auf weitere intime Details möglich, besonders wenn die Informationen mit weiteren Datenquellen in Verbindung gebracht oder an andere Firmen weiterverkauft werden.
Vergleich ohne Strafe
Die Mehrheit der OkCupid-Nutzer stammt aus den Vereinigten Staaten. Aus welchen weiteren Ländern Nutzer betroffen sein könnten, geht aus den Dokumenten der FTC nicht hervor. Die Match Group, nach eigenen Angaben Weltmarktführer im Online-Dating, ist in Deutschland vor allem mit Apps wie Tinder oder Hinge tätig.
Nach einer Klage der FTC hat sich die Aufsichtsbehörde nun mit den Betreiberunternehmen Match Group und Humor Rainbow auf einen Vergleich geeinigt. Die Vorwürfe der rechtswidrigen Datenweitergabe räumen die Betreiber nicht ein, verpflichten sich aber zu strengeren Datenschutzvorschriften, wofür auf eine Geldstrafe verzichtet werden soll.
Clarifai, an dem die OkCupid-Gründer persönlich als Investoren beteiligt waren, soll um die Daten gebeten und sie ohne Gegenleistung und Einschränkungen zur Nutzung erhalten haben. Die betroffenen Nutzer der Dating-App sollen damals weder von der Match Group informiert worden sein noch die Möglichkeit erhalten haben, der Weitergabe zu widersprechen.
Videos by heise
Keine Experimente mehr?
Die Einigung vom 30. März (Az. 3:26-cv-00996-K, FTC-Fallseite), die noch von einem Richter unterzeichnet werden muss, verzichtet auf finanzielle Strafen oder sonstige schweren Konsequenzen für die Verantwortlichen. Die Match Group wird unter anderem verpflichtet, ihre Führungskräfte zu schulen und regelmäßig über Datenschutzmaßnahmen zu berichten. Die FTC darf zudem die nächsten 20 Jahre Mitarbeiter befragen, Dokumente anfordern und verdeckte Ermittlungen führen.
Die Match Group verzichtet im Gegenzug auf Rechtsmittel und nimmt die Auflagen an, ohne die Vorwürfe formal einzugestehen. Ein OkCupid-Sprecher erklärte lediglich, die von der FTC bemängelten Zustände aus dem Jahr 2014 entsprächen nicht mehr den heutigen Datenschutzstandards des Unternehmens. Damals sprach das Unternehmen noch offen davon, mit Nutzerdaten zu „experimentieren“.
Kein Einzelfall
Es ist nicht das erste Mal, dass die FTC gegen die Match Group tätig wird. Das Unternehmen steht zudem in der Kritik, da es grob fahrlässig mit Nutzern umgegangen sei, bei denen es von gemeldeten Übergriffen gewusst haben soll.
Die Match Group ist aber nicht der einzige Anbieter mit solchen Datenschutzvorfällen. Insbesondere in Bezug auf externe Datenabgriffe sind auch andere Dating-Apps oftmals unzureichend geschützt. So legten etwa Sicherheitsforscher aus Belgien und Dänemark in der Vergangenheit bereits Schwachstellen offen.
Bei anderen Dating-Apps wie Grindr kam es in der Vergangenheit ebenfalls zu Datenabflüssen. Auch europäische Datenschutzbehörden haben dabei schon rechtliche Schritte ergriffen.
(hag)
