Mangelhafte Auskunft: Spotify muss Millionen-DSGVO-Strafe zahlen
Der Streaming-Dienst hat Nutzer nicht klar genug darüber informiert, wie er ihre Daten verwendet. Über vier Jahre nach einer Beschwerde folgt nun eine Geldbuße.
(Bild: Shutterstock)
Die schwedische Datenschutzbehörde hat über vier Jahre nach einer Beschwerde entschieden, dass Spotify dem in der Datenschutz-Grundverordnung (DSGVO) verbrieften Auskunftsrecht nicht hinreichend nachgekommen ist. Der Streaming-Dienst mit Sitz in Schweden habe zwar die von ihm verarbeiteten personenbezogenen Daten auf Anfrage prinzipiell herausgegeben, erklärt die Integritetsskyddsmyndigheten (IMY) in dem am Dienstag veröffentlichten Beschluss. Das Unternehmen habe Antragsteller aber nicht klar genug darüber informiert, wie diese Informationen intern verwendet werden. Die IMY verhängte daher eine Geldstrafe in Höhe von 58 Millionen Schwedischen Kronen, was rund 5 Millionen Euro entspricht.
Den Stein ins Rollen gebracht hatte der österreichische Datenschutzverein Noyb des Juristen Max Schrems. Die Organisation reichte am 18. Januar 2019 eine Reihe von Beschwerden auf Basis der DSGVO gegen verschiedene Betreiber von Streaming-Diensten ein. Eine davon betraf Spotify. Lange tat sich in dem Fall im Anschluss nichts. Noyb reichte daher im Juni 2022 vor den schwedischen Gerichten eine Klage gegen die IMY wegen Untätigkeit ein. In mehreren Instanzen erhielten die Datenschutzaktivisten Recht, die Sache ist aber noch vor dem Obersten Verwaltungsgericht Schwedens anhängig. Trotzdem hat die IMY jetzt ihre Entscheidung zur Auskunftspraxis von Spotify gefällt.
Keine Auskunft über alle Daten
Noyb warf dem Musikdienst vor, Informationen über die Herkunft sowie die Empfänger personenbezogenen Daten oder Einzelheiten über internationale Transfers nicht vollständig bereitgestellt zu haben. Zudem habe Spotify nur Auskunft über eine Auswahl von Daten erteilt, ohne Betroffene aufzuklären, wie sie ein Gesamtpaket abrufen könnten. Die IMY betont nun, dass die beauskunfteten Informationen "konkreter" sein sollten. Für die Person, die Zugriff auf ihre Daten beantragt, müsse es leicht nachvollziehbar sein, wie das Unternehmen diese Informationen verwendet. Ferner sollten personenbezogene Daten, die etwa aufgrund ihrer technischen Natur schwer verständlich sind, gegebenenfalls nicht nur auf Englisch, sondern auch in der Muttersprache eines Antragstellers erläutert werden.
Kunden, die ihr Auskunftsrecht bei Spotify geltend machen, können verschiedene Ebenen auswählen, auf denen sie Zugriff auf ihre persönlichen Daten erhalten wollen. Eine Stufe enthält die Informationen, die der Betreiber für am interessantesten erachtet. Dazu gehören die Kontakt- und Zahlungsdaten des Kunden, Vorlieben für gewisse Künstler und die Playlist für einen bestimmten Zeitraum. Wünscht der Nutzer detailliertere Informationen wie Logdateien, muss er auf einen anderen Abfragelevel wechseln. Dieser Aufteilung steht laut der Datenschutzaufsicht nichts im Wege. Es könne sogar hilfreich sein, wenn ein interessierter Kunde nicht gleich mit Details überfordert werde. Prinzipiell müsse aber der gesamte Datensatz abrufbar sein.
Spotify hat laut der IMY inzwischen mehrere Maßnahmen ergriffen, um die Voraussetzungen für das Zugangsrecht des Einzelnen vollständig zu erfüllen. Die festgestellten Mängel seien zudem nicht schwer gewesen. Dies habe man beim Festlegen der Sanktion berücksichtigt. Die Entscheidung sei in Zusammenarbeit mit anderen Datenschutzbehörden in der EU getroffen worden, da Spotify Nutzer in vielen Ländern habe. Noyb will zunächst im Detail prüfen, ob die Betroffenenrechte mit dem Beschluss voll durchgesetzt werden können. Schon jetzt steht für die Aktivisten fest: "Die schwedische Behörde muss ihre Verfahren definitiv beschleunigen."
(axk)
