Spotify mit 5,4 Millionen Dollar wegen Verstoßes gegen die DSGVO-Regeln bestraft

Spotify, die beliebte Musik-Streaming-Plattform, wurde am Dienstag mit einer Verwaltungsstrafe von 58 Millionen SEK (ca. 5,4 Millionen Dollar) in Schweden belegt, weil sie die Datenzugriffsrechte ihrer Nutzer in der Europäischen Union verletzt hat.

Laut der Datenschutz-Grundverordnung (DSGVO), die 2018 in Kraft trat, haben Nutzer das Recht auf Zugang, was bedeutet, dass sie das Recht haben, herauszufinden, welche personenbezogenen Daten ein Unternehmen über die betreffende Person verarbeitet und Informationen darüber zu erhalten, wie diese Daten verwendet werden.

Während ihrer Prüfung stellte die schwedische Datenschutzbehörde (IMY) fest, dass Spotify gegen Artikel 15 der europäischen DSGVO verstoßen hat. Sie entdeckte, dass Spotify die personenbezogenen Daten, die das Unternehmen verarbeitet, auf Anfrage der Betroffenen herausgibt; jedoch bot es keine klaren und umfassenden Informationen darüber, wie die über sie gesammelten Daten vom Unternehmen verwendet wurden.

Die IMY betonte, dass Spotify transparenter sein sollte „darüber, wie und zu welchen Zwecken die personenbezogenen Daten von Einzelpersonen verarbeitet werden.“ Der Mangel an Klarheit erschwerte es den Nutzern, zu verstehen, wie ihre personenbezogenen Daten verarbeitet wurden und zu beurteilen, ob die Verarbeitung ihrer personenbezogenen Daten rechtmäßig war.

„Die schwedische Datenschutzbehörde (IMY) hat die allgemeinen Verfahren von Spotify zur Bearbeitung von Zugriffsanfragen untersucht und einige Mängel in Bezug auf die Informationen festgestellt, die der Person, die die Anfrage gemäß Artikel 15.1 a-h und 15.2 der DSGVO stellt, bereitgestellt werden sollten, sowie in Bezug auf die Beschreibung der Daten in den technischen Protokolldateien, die von Spotify bereitgestellt werden. Die IMY hat eine Verwaltungsstrafe von 58 Millionen SEK gegen Spotify verhängt, weil nicht ausreichend klare Informationen an die Betroffenen bereitgestellt wurden. Die Entscheidung umfasst Verstöße gegen die Artikel 12.1, 15.1 a-d, g und 15.2 der DSGVO,“ sagte die Regulierungsbehörde in einer Erklärung.

„Die Untersuchung der IMY umfasste auch eine Untersuchung dessen, was in drei verschiedenen Beschwerden geschehen ist, und hier stellte die IMY fest, dass Spotify bei der Bearbeitung von Zugriffsanfragen in Bezug auf zwei der untersuchten Beschwerden versagt hat. Die Entscheidung in diesem Teil umfasst Verstöße gegen die Artikel 12.1, 12.3, 15.1, 15.3 und 15.1 a-h sowie 15.2 der DSGVO. In Bezug auf diese Verstöße erteilt die IMY eine Rüge.“

Die Regulierungsbehörde erklärte auch, dass die festgestellten Mängel als „von geringer Schwere“ angesehen wurden, wobei die verhängte Geldstrafe unter Berücksichtigung der Einnahmen und der Anzahl der Nutzer von Spotify festgelegt wurde.

Da Spotify Nutzer in vielen Ländern hat, wurde die oben genannte Entscheidung in Zusammenarbeit mit anderen Datenschutzbehörden in der EU getroffen.

Das Urteil gegen Spotify erfolgt mehr als vier Jahre, nachdem eine Beschwerde gegen die Musik-Streaming-Plattform von der gemeinnützigen Datenschutz- und Digitalrechtsorganisation noyb zu Beginn des Jahres 2019 eingereicht wurde.

In der von noyb eingereichten Beschwerde behauptete die Organisation, dass Spotify es versäumt habe, den Nutzern alle angeforderten personenbezogenen Daten, Informationen über deren Quelle, Empfänger personenbezogener Daten oder Einzelheiten zu internationalen Datenübertragungen gemäß Artikel 15 DSGVO bereitzustellen.

Die ursprüngliche Beschwerde wurde in Österreich eingereicht, aber der Fall wurde an die IMY weitergeleitet, da Spotify in Schweden ansässig ist. Auch eine Beschwerde zu demselben Thema, die in den Niederlanden eingereicht wurde, wurde in den schwedischen Fall integriert. Die Fälle lagen jedoch vier Jahre lang bei der IMY.

Infolgedessen reichte noyb am 22. Juni 2022 Klage gegen die IMY vor den schwedischen Gerichten wegen des Mangels an einer Entscheidung ein. Schließlich, nach mehr als vier Jahren, in denen der Fall ursprünglich eingereicht wurde, ordnete die IMY an, dass Spotify dem Beschwerdeführer den vollständigen Datensatz gemäß Artikel 58(2)(c) DSGVO zur Verfügung stellt.

„Wir freuen uns zu sehen, dass die schwedische Behörde endlich Maßnahmen ergriffen hat. Es ist ein Grundrecht jedes Nutzers, vollständige Informationen über die Daten zu erhalten, die über ihn verarbeitet werden. Der Fall dauerte jedoch mehr als 4 Jahre und wir mussten gegen die IMY klagen, um eine Entscheidung zu erhalten. Die schwedische Behörde muss ihre Verfahren definitiv beschleunigen,“ sagte Stefano Rossetti, ein Datenschutzanwalt bei noyb, in einer Erklärung.

Spotify hat die IMY-Ergebnisse zurückgewiesen und plant, gegen die DSGVO-Strafe der EU Berufung einzulegen.

„Spotify bietet allen Nutzern umfassende Informationen darüber, wie personenbezogene Daten verarbeitet werden. Während ihrer Untersuchung stellte die schwedische DPA nur geringfügige Bereiche unseres Prozesses fest, die ihrer Meinung nach verbessert werden müssen. Wir stimmen jedoch nicht mit der Entscheidung überein und planen, Berufung einzulegen,“ sagte das Unternehmen in einer Erklärung.

Als gefragt wurde, ob Spotify Änderungen an seinem Reaktionsprotokoll auf Anfragen zum Datenzugriff von Nutzern unter Berücksichtigung der IMY-Sanktionen vornimmt, teilte ein Sprecher von Spotify mit, dass das Unternehmen derzeit nichts zu bestätigen habe. Sie erwähnten jedoch, dass das Unternehmen den Prozess kontinuierlich überprüft und verbessert, um die Transparenz zu erhöhen.