Millionenstrafe für Spotify wegen Verstoß gegen das Auskunftsrecht
Neben Deezer, Facebook und Co. muss nun auch Spotify die DSGVO schmerzhaft kennenlernen. Diesmal geht es nicht um Datenlecks, sondern um eine mangelhafte Umsetzung des Auskunftsrechts. Weil Spotify nur unvollständige Datensätze zur Verfügung stelle, muss das Unternehmen nun eine Geldbuße in Höhe von etwa fünf Millionen Euro zahlen.
Die Datenschutzgrundverordnung (…) ist 2018 in Kraft getreten und stärkt seitdem die Rechte des Einzelnen. Eines davon ist das Auskunftsrecht (…). Dieses erlaubt jeder Person, die von einer Datenverarbeitung betroffen ist, Auskunft über die Verarbeitung und Verwendung von personenbezogenen Daten zu verlangen. Dieses Recht eröffnet für Betroffene also die Möglichkeit zu überprüfen, ob die Verwendung der Daten rechtmäßig ist. Ferner ist die Bereitstellung ausreichender Informationen oftmals die Grundlage für die Wahrnehmung weiterer Rechte aus der DSGVO, wie z.B. der Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO) und dem Widerspruch (Art. 21 DSGVO).
Geklagt hatte die österreichische Datenschutz-NGO noyb des Juristen Max Schrems. Nachdem diese bereits 2019 Beschwerde gegen Spotify einreichte, dauerte es, bis diese von Österreich an die in Schweden zuständige Behörde für Datenschutz (…) weitergeleitet wurde. Die IMY reagierte zunächst nicht, sodass noyb dieser im Sommer 2022 Untätigkeit vorwarf und letztendlich Klage erhob. In mehreren Instanzen erhielten die Datenschutzaktivisten Recht. Allerdings ist die Sache immer noch vor dem Obersten Verwaltungsgericht Schwedens anhängig.
Verstoß gegen Transparenz und Verständlichkeit
Was bereits feststeht: Spotify muss umgerechnet etwa fünf Millionen Euro zahlen. Die IMY stellte in einem Beschluss fest, dass Spotify zwar Auskunft darüber gab, welche personenbezogenen Daten verwendet werden. Allerdings sei dies nicht transparent genug und nicht vollständig geschehen. So unterließ es Spotify unter anderem die Nutzer über ihre Rechte hinsichtlich der Berichtigung oder Löschung ihrer Daten oder der Einschränkung der Verarbeitung aufzuklären. Daneben wurde auch nicht auf die Möglichkeit einer Beschwerde bei der Datenschutzbehörde hingewiesen. Spotify müsse außerdem klar herausstellen, wie diese Daten von dem Unternehmen verwendet werden. Die Höhe der Geldbuße richtete sich nach dem Jahresumsatz des Unternehmens. Deswegen hätte die Behörde auch weit höhere Bußgelder gegen Spotify verhängen können. In diesem Fall seien die festgestellten Mängel jedoch „wenig schwerwiegend“ und die Plattform habe bereits Schritte unternommen, um die Fehler zu beheben.
Viele bekannte Online-Plattformen erfüllen die Datenschutz-Grundverordnung immer noch nur unzureichend und haben sich immer wieder wegen schwerwiegender Datenschutzverstöße zu verantworten. Häufig zieht dies Bußgelder in Millionenhöhe nach sich. Die Folgen für die Betroffenen können dabei gravierend sein. Die Datenschutz-NGO noyb will nun im Detail prüfen, ob die Betroffenenrechte mit dem Beschluss voll durchgesetzt werden können. Dass die schwedische Behörde endlich gehandelt hat, sieht noyb zwar positiv, monierte jedoch, dass das Verfahren insgesamt so lange gedauert hat. (…)
• www.wbs.legal