Not OK, Cupid: Dating-App nutzte Millionen Profilfotos für KI-Training

Wer sich bei einer Dating-App anmeldet, weiß, dass er ein gewisses Risiko eingeht. In einem so überlaufenen Umfeld ist man anfälliger für Scammer oder unangenehme Begegnungen. Zudem bringt die Nutzung solcher Plattformen ganz eigene Gefahren für die Privatsphäre mit sich: Daten könnten gesammelt werden, um Passwörter zu knacken, Accounts zu kapern oder Fotos für Fake-Profile zu stehlen. Das sind Risiken, die man — so unschön sie auch sind — bewusst in Kauf nimmt. Es ist sozusagen Teil der Abmachung.

Was jedoch definitiv nicht zur Abmachung gehört: Dass eine Dating-Plattform sensible Informationen, private Fotos und Standortdaten ohne Zustimmung an irgendein KI-Unternehmen weitergibt, von dem man noch nie gehört hat. Das ist eine klare Grenzüberschreitung und ein massiver Vertrauensbruch. Doch genau das hat OkCupid getan — eine App der Match Group, zu der auch Branchenriesen wie Tinder, Hinge und Plenty of Fish gehören.

Und was das Ganze noch schlimmer macht: Als der Skandal aufflog, fiel die Strafe kaum ins Gewicht — es war nicht mehr als ein Klaps auf die Finger.

Wenn Nutzerdaten zum Firmeneigentum werden

In einem Vergleichsvorschlag, den OkCupid und der Mutterkonzern Match Group im März dieses Jahres mit der US-Handelsaufsicht FTC schlossen, wiegt der Vorwurf schwer: Die App habe ihre Nutzer:innen „getäuscht“, indem sie persönliche Informationen — darunter Fotos und Standortdaten — an einen völlig unbeteiligten Dritten weitergab. Das geschah ohne das Wissen oder die Zustimmung der Betroffenen und verletzte zudem die eigenen Datenschutzversprechen von OkCupid.

Zum Zeitpunkt der Verstöße — bereits im Jahr 2014 — sicherte OkCupid in seinen Richtlinien zu, Daten nur mit Dienstleistern, Geschäftspartnern oder Tochtergesellschaften zu teilen. In jedem anderen Fall sollten die Nutzer:innen explizit informiert werden und die Möglichkeit zum Widerspruch (Opt-out) erhalten. Doch die Realität sah anders aus.

Die FTC stellte fest, dass OkCupid die Daten von Millionen von Menschen, darunter bis zu 3 Millionen Fotos, an das KI-Unternehmen Clarifai übermittelte. Clarifai passte in keine der genannten Kategorien, und OkCupid hielt es weder für nötig, um Erlaubnis zu fragen, noch eine Abmeldeoption anzubieten. Millionen von Menschen ahnten also nicht, dass ihre privaten Inhalte hinter den Kulissen für völlig andere Zwecke zweckentfremdet wurden.

Wie konnte es dazu kommen? Die Erklärung ist ernüchternd simpel: Die Gründer von OkCupid hatten ein direktes finanzielles Interesse an Clarifai. Sie hatten in das Unternehmen investiert und betrachteten OkCupid schlicht als praktische Datenquelle. Wie Ars Technica berichtete, gab der CEO von Clarifai offen zu, dass diese Daten dabei halfen, ein System zur Erkennung von Alter, Geschlecht und Herkunft zu entwickeln. Die Fotos der Nutzer:innen wurden so ungefragt zu Trainingsmaterial für eine Technologie, die sie nie unterstützen wollten. Besonders brisant: Laut FTC versuchte OkCupid jahrelang, jegliche Verbindung zu der KI-Firma zu leugnen.

Auf dem Papier mochten vage formulierte Richtlinien dieses Vorgehen vielleicht rechtfertigen. In der Praxis jedoch behandelte OkCupid die Nutzerdaten so, als wären sie schlichtweg Unternehmenseigentum. Das widerspricht dem Kern jeglicher Datenschutzversprechen. Denn die Richtlinien und das berechtigte Vertrauen der Nutzer:innen basierten darauf, dass Daten nur für die Zwecke verwendet werden, die explizit beschrieben wurden. Das Training von KI-Modellen gehörte definitiv nicht dazu.

Wie problematisch dieses Verhalten ist, verdeutlicht ein einfaches Gedankenspiel: Stellen wir uns vor, die Gründer hätten nicht in ein KI-Unternehmen investiert, sondern in einen Kfz-Versicherungsmakler oder eine Krankenversicherung. Und dann hätten sie diesem völlig branchenfremden Unternehmen einfach Zugriff auf die sensiblen Nutzerdaten von OkCupid gewährt. Diese Daten könnten dann genutzt werden, um Rückschlüsse auf den Lebensstil, die Sexualität oder gesundheitliche Risiken zu ziehen — mit dem Ziel, Versicherungstarife zu beeinflussen oder den Zugang zu Leistungen zu erschweren. Mit anderen Worten: Die Nutzer:innen müssten mit realen negativen Konsequenzen rechnen, basierend auf Daten, die sie niemals wissentlich für diesen Zweck freigegeben haben.

Ein Klaps auf die Finger statt echter Konsequenzen

Man sollte meinen, dass ein so rücksichtsloser Umgang mit Nutzerdaten drastische Strafen nach sich zieht. Doch weit gefehlt. Als Teil des Vergleichs wurde OkCupid im Grunde nur untersagt, seine Datenerfassung und Datenschutzkontrollen künftig falsch darzustellen. Keine saftigen Geldstrafen — genau genommen gar keine Bußgelder — und keine ernsthaften langfristigen Folgen, abgesehen von der Pflicht, sich ab jetzt an die Regeln zu halten. Theoretisch könnten Betroffene noch zivilrechtlich klagen, doch die Erfolgsaussichten sind gering, zumal Match keinerlei Fehlverhalten eingeräumt hat.

Quelle

Es fällt schwer, eine solche Maßnahme ernst zu nehmen. Faktisch ist das keine Strafe, sondern lediglich eine Wiederholung der ohnehin geltenden Regeln. Im Grunde wurde dem Unternehmen nur gesagt, es solle nichts tun, was es von vornherein hätte lassen müssen. Das Ganze wirkt weniger wie eine konsequente Strafverfolgung, sondern eher wie ein bloßes Lippenbekenntnis. Und das ist wenig vertrauenerweckend bei einem Unternehmen, das bereits bewiesen hat, dass es bereit ist, seine eigenen Versprechen zu dehnen oder schlicht zu ignorieren, wenn es dem Profit dient.

Datenweitergabe ohne Zustimmung: Die Regel, nicht die Ausnahme

Der Fall OkCupid ist nur das jüngste Beispiel für eine besitzergreifende Haltung gegenüber Nutzerdaten. Auch wenn Unternehmen wie die Match Group behaupten, diese Zeiten lägen längst hinter uns und die Standards hätten sich verbessert: Die Realität sieht anders aus. In den letzten Jahren häufen sich die Fälle, in denen Unternehmen Nutzerdaten heimlich weitergeben oder ohne klare Zustimmung verkaufen.

Ein prominentes Beispiel ist Grindr. Die App musste in Europa bereits empfindliche Strafen hinnehmen, nachdem bekannt wurde, dass hochsensible Daten — darunter die Sexualität, präzise Standorte und Werbe-IDs — ohne gültige Einwilligung an Hunderte von Werbepartnern übermittelt wurden. Dies führte zu einem Bußgeld von 6,1 Millionen Dollar in Norwegen und massiven laufenden Klagen in Großbritannien, wo dem Unternehmen vorgeworfen wird, HIV-Daten mit Werbefirmen geteilt zu haben.

Ein weiterer Fall betrifft die Dating-App Raw. Im Jahr 2025 wurden durch eine Sicherheitslücke die exakten Standorte der Nutzer:innen sowie persönliche Details wie sexuelle Vorlieben und Geburtsdaten offengelegt. Solche Datenlecks sind nicht nur ein digitales Risiko, sondern können im echten Leben zu einer realen Gefahr werden. Besonders dystopisch: Zum Zeitpunkt des Vorfalls arbeitete das Unternehmen an einem Wearable, das physiologische Signale von Partnern überwachen sollte. Das weckt berechtigte Sorgen über totale Überwachung auf Basis einer ohnehin schon lückenhaften Datenschutzpraxis.

Und es betrifft längst nicht mehr nur Dating-Apps. In den Jahren 2024–2025 kam ans Licht, dass General Motors und dessen OnStar-Sparte heimlich detaillierte Fahrdaten gesammelt hatten. Informationen über Bremsverhalten, Geschwindigkeit und Standort wurden an Datenhändler verkauft und landeten schließlich bei Versicherungen, die daraufhin die Prämien erhöhten — teils drastisch. Auch hier hatten die Nutzer:innen mit handfesten finanziellen Folgen zu kämpfen. Die FTC untersagte diese Praxis schließlich für fünf Jahre.

Ähnliche Muster zeigen sich überall: von Business-Plattformen wie LinkedIn über Datenhändler bis hin zu Sicherheitssoftware. In all diesen Fällen — und die Dunkelziffer dürfte hoch sein — wurden Nutzerdaten heimlich zweckentfremdet, geteilt oder verkauft, ohne dass die Betroffenen davon erfuhren. Das zeigt einmal mehr: Datenschutzversprechen sind oft kaum mehr als heiße Luft.

Was das konkret für Sie bedeutet

Man neigt dazu, solche Vorfälle als abstrakte Verstöße gegen Vorschriften abzutun. Doch die Folgen sind alles andere als abstrakt. Wenn Daten geteilt, geleakt oder zweckentfremdet werden, offenbart das oft private Details: von der Sexualität und dem Gesundheitszustand bis hin zum lückenlosen Standortverlauf. Meist landen diese Informationen bei Firmen, von deren Existenz Sie noch nie gehört haben.

Die Konsequenzen reichen von gezielter Manipulation durch Profiling bis hin zu handfesten Risiken wie Belästigung, Diskriminierung oder finanziellen Einbußen — wie das Beispiel der Versicherungsdaten drastisch zeigt. Ist ein Datensatz erst einmal im Umlauf, gibt es keinen „Zurück“-Button. Sie verlieren jegliche Kontrolle darüber, wer ihn als Nächstes nutzt. Und da immer mehr Systeme auf der Erfassung solcher Daten basieren, steht für den Einzelnen immer mehr auf dem Spiel.

Besonders kritisch wird das bei neuen Trends wie der verpflichtenden Altersverifizierung. Diese setzt sich weltweit immer mehr durch und verlangt von den Nutzer:innen oft extrem sensible Informationen: Gesichtsscans oder Kopien von Ausweisdokumenten.

Je höher der Einsatz, desto größer das Problem

Die Risiken und Bedenken sind zwar nicht neu, doch die Situation wird zusehends brenzliger. Ein Beispiel ist der britische Marktführer für Altersverifizierung, Yoti, dem kürzlich vorgeworfen wurde, biometrische Daten ohne gültige Zustimmung gesammelt und gespeichert zu haben. Oder Discord: Die Plattform führte eine Ausweis-basierte Altersprüfung ein und geriet massiv unter Druck, nachdem genau diese Daten bei einem Sicherheitsleck offengelegt wurden. In beiden Fällen gaben die Nutzer:innen extrem sensible Informationen preis — nur damit diese später missbraucht oder ungeschützt im Netz landeten.

Die Welt bewegt sich immer weiter in Richtung einer totalen Datenerfassung im Namen der Bequemlichkeit. Wir sind zunehmend von Technologien umgeben, die auf demselben Prinzip basieren: von Heimüberwachungssystemen wie Ring bis hin zu städtischen Überwachungsnetzwerken wie Flock, die KI-gestützte Kameras nutzen, um Nummernschilder und Fahrzeugdetails in durchsuchbaren Datenbanken zu erfassen.

Obwohl diese Innovationen oft als Gewinn für die Sicherheit angepriesen werden, sind sie alle Teil desselben Kernproblems. Von uns wird erwartet, darauf zu vertrauen, dass diese Systeme nicht gehackt werden — und gleichzeitig darauf, dass Unternehmen unsere Daten nicht missbrauchen. Doch wir haben bereits erlebt, dass beides passiert, oft ohne dass die Betroffenen es überhaupt merken. Selbst wenn Richtlinien beruhigend klingen: In jeder Organisation gibt es Menschen mit Zugriff, und es braucht nur eine Fehlentscheidung oder ein „schwarzes Schaf“, um alles ins Wanken zu bringen.

Genau deshalb wirken Massendatenerfassung, Verhaltens-Tracking oder Rund-um-die-Uhr-Überwachung immer weniger wie nützliche Funktionen, sondern eher wie eine Belastung — egal, ob sie als Sicherheit, Personalisierung oder Innovation getarnt werden. Denn wenn etwas schiefgeht, baden die Nutzer:innen die Folgen aus, nicht die datensammelnden Unternehmen. Wir sollen darauf vertrauen, dass Firmen das Richtige tun, und darauf hoffen, dass sie im Ernstfall jemand stoppt. Vielleicht war das schon immer so. Aber solange es keine spürbaren Konsequenzen gibt — wie der Fall OkCupid eindrucksvoll zeigt —, haben Unternehmen kaum einen Anreiz, es beim nächsten Mal anders zu machen.