Die Schwedische Datenschutzbehörde (IMY) hat geprüft, wie Spotify mit dem Recht seiner Kunden auf Auskunft über personengezogenen Daten umgeht. Die festgestellten Mängel veranlassten IMY, ein Bußgeld von ca. 5 Millionen Euro (58 Millionen SEK) gegen das Unternehmen zu verhängen.
Die DSGVO ist seit 2018 in Kraft und bewirkte unter anderem, dass die Rechte der betroffenen Personen gestärkt werden. Eines dieser Rechte ist das Auskunftsrecht, d. h. das Recht des Einzelnen, herauszufinden, welche seiner personenbezogenen Daten ein Unternehmen verarbeitet, und Informationen darüber zu erhalten, wie diese Daten verwendet werden.
Die Einhaltung des Auskunftsrechts bei Spotify
IMY hat geprüft, wie Spotify mit dem Recht auf Auskunft umgeht und kam zu dem Schluss, dass der Musik-Streaming-Dienst die verarbeiteten personenbezogenen Daten auf Anfrage herausgibt, aber nicht klar genug darüber informiert, wie diese Daten vom Unternehmen verwendet werden.
Die von Spotify bereitgestellten Informationen dazu, wie und zu welchen Zwecken die personenbezogenen Daten verarbeitet werden, sollten laut IMY spezifischer sein. Es muss für den Betroffenen einfach zu verstehen sein, wie das Unternehmen seine Daten verwendet. Darüber hinaus müssen schwer verständliche personenbezogene Daten (z. B. technischer Art) möglicherweise nicht nur auf Englisch, sondern auch in der Muttersprache des Betroffenen erläutert werden. In diesen Bereichen stellte IMY Unzulänglichkeiten fest.
Aufteilung der personenbezogenen Daten in verschiedene Kategorien
Nicht kritikfähig nach der Aufsicht der IMY war hingegen, dass Nutzer, die sich mit ihrem Auskunftsersuchen an Spotify gewandt haben, wählen konnten, über welche Datenkategorie sie Auskunft haben wollten. Hintergrund ist, dass Spotify die personenbezogenen Daten ihrer Kunden in verschiedene Ebenen unterteilt. Eine Ebene enthält z.B. die Informationen, die Spotify als für den Kunden am interessantesten erachtet, z. B. die eigenen Kontakt- und Zahlungsdaten, die Künstler, denen der Kunde folgt, und den Hörverlauf für einen bestimmten Zeitraum. Wenn der Kunde detailliertere Informationen wünscht, z. B. über technische Logdateien, war es ihm ebenfalls möglich, diese über eine andere Ebene anzufordern.
Die Aufteilung der personenbezogenen Daten in verschiedene Kategorien kann laut IMY in manchen Situationen für Betroffene sogar einfacher sein, besonders wenn es sich um umfangreiche Mengen an Informationen handelt. Entscheidend sei, dass Nutzer verstehen, welche Informationen sich in den verschiedenen Ebenen befinden und wie sie angefordert werden können. Dies habe Spotify hinreichend sichergestellt.
Die Entscheidung der IMY
Der Zweck des Auskunftsrechts besteht darin, dem Einzelnen die Möglichkeit zu geben, die Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten zu überprüfen. Dass Betroffene ausreichende Informationen erhalten, ist oft eine Voraussetzung für die Ausübung anderer Rechte, zum Beispiel des Rechts auf Berichtigung. Da die von Spotify bereitgestellten Informationen unklar waren, sei es für Betroffene schwierig zu verstehen, wie ihre personenbezogenen Daten verarbeitet werden, und zu überprüfen, ob der Umgang mit ihren personenbezogenen Daten rechtmäßig ist.
Da Spotify einerseits mehrere Maßnahmen ergreift, um die Ausübung des Auskunftsrechts zu gewährleisten, und IMY die festgestellten Unzulänglichkeiten insgesamt als von geringer Schwere einschätzt, Spotify auf der anderen Seite aber auch eine hohe Anzahl von registrierten Nutzern und einen hohen Umsatz verzeichnen kann, hielt IMY in Zusammenarbeit mit anderen Datenschutzbehörden in der EU ein Bußgeld von ca. 5 Millionen Euro für angemessen.