Wegen Datenschutzverstößen: Spotify muss Millionenstrafe zahlen

Nach einer noyb-Beschwerde und einem Rechtsstreit wegen Inaktivität hat die schwedische Datenschutzbehörde (IMY) eine Geldstrafe in Höhe von 58 Millionen schwedischen Kronen (circa fünf Millionen Euro) gegen Spotify verhängt. Obwohl Nutzer:innen das Recht haben, Zugriff auf alle ihre Daten und Informationen über die Verwendung ihrer Daten zu erhalten, ist Spotify dieser Verpflichtung nicht vollständig nachgekommen. Das IMY war für den Fall zuständig, da die Spotify-Hauptniederlassung ihren Sitz in Schweden hat.

Vor 4 Jahren eingereicht: Beschwerde gegen Spotify und Co.

Am 18. Januar 2019 hat der österreichische Datenschutzverein noyb eine Reihe von Beschwerden gegen verschiedene Streaming-Dienste eingereicht. Eine dieser Beschwerden wurde in Österreich eingereicht und betraf die Nichtbereitstellung sämtlicher personenbezogener Daten und Informationen über die Datennutzung durch Spotify. Die noyb-Beschwerde wurde mit einer in den Niederlanden von Bits of Freedom eingereichten Beschwerde verbunden.

Rechtsstreit gegen IMY

Über die Beschwerde wurde mehr als vier Jahre lang nicht entschieden. Das IMY erklärte sogar, dass die Beschwerdeführer:innen keine Verfahrensbeteiligten seien. Am 22. Juni 2022 reichte noyb daher vor den schwedischen Gerichten Klage gegen das IMY wegen fehlender Entscheidung ein. Während sich das IMY zunächst gegen die Idee gewehrt hatte, über Beschwerden entscheiden zu müssen, stellten sich die schwedischen Gerichte auf die Seite von noyb. Während der Fall noch beim Obersten Verwaltungsgericht anhängig ist, hat das IMY nun eine Entscheidung zur noyb- Beschwerde sowie zum umfassenderen Ansatz von Spotify bei der Bereitstellung von Informationen für die Nutzer:innen gefällt. Stefano Rossetti, Datenschutzanwalt bei noyb, erklärt:

We are glad to see that the Swedish authority finally took action. It is a basic right of every user to get full information on the data that is processed about them. However, the case took more than 4 years and we had to litigate the IMY to get a decision. The Swedish authority definitely has to speed up its procedures.

noyb wird die Entscheidung nun im Detail prüfen, um zu sehen, ob das IMY die Rechte der Nutzer:innen vollständig durchgesetzt hat.

Recht auf Zugang

Das Auskunftsrecht hilft Nutzer:innen dabei, Informationen über die Verarbeitung der eigenen personenbezogenen Daten zu erhalten. Es handelt sich um eines der grundlegenden Rechte, die in vielen Datenschutzgesetzen weltweit verankert sind, wie zum Beispiel in der Datenschutzgrundverordnung (DSGVO) der Europäischen Union. Es gewährt dem User nicht nur das Recht, eine Kopie seiner eigenen Daten zu erhalten, sondern auch Auskunft über deren Herkunft, Empfänger:innen personenbezogener Daten oder Einzelheiten zu internationalen Datenübermittlungen.

Im Fall von Spotify wurden diese Informationen nicht vollständig bereitgestellt. Darüber hinaus gewährte das Unternehmen nur Zugriff auf „einige“ Daten, ohne die betroffene Person darüber zu informieren, wie das Unternehmen an den Rest gelangen kann.

Die IMY stufte die Probleme jedoch als „wenig schwerwiegend“ ein und erklärte, dass Spotify Schritte unternommen habe, um die Fehler zu beheben. noyb hat angekündigt, die Entscheidung der IMY eingehend zu prüfen. Das Ziel dieser Prüfung ist es, festzustellen, ob die Datenschutzbehörde die Rechte der Nutzer:innen in vollem Umfang durchgesetzt hat.

---

2022 wurden in Deutschland Bußgelder in Höhe von über fünf Millionen Euro wegen der Verstöße gegen die DSGVO verhängt. In anderen Ländern wurden deutlich empfindlichere Strafen gegen Microsoft und Co. festgelegt.

„Menschliches Versagen und Datenverlust“:
Bußgelder für DSGVO-Verstöße erreichen in EU Rekordniveau