Wie die Schwedische Datenschutzbehörde (IMY) auf ihrer Webseite mitteilt, hat sie gegen Spotify ein DSGVO-Bußgeld in Höhe von rund 5 Mio. EUR verhängt.
Stein des Anstoßes war, dass Spotify den Kunden bei Auskunftsanfragen nicht umfassend Zugang zu ihren Daten gewährte:
"IMY hat überprüft, wie Spotify mit dem Recht von Einzelpersonen auf Zugriff auf ihre persönlichen Daten umgeht. IMY geht davon aus, dass Spotify die vom Unternehmen verarbeiteten personenbezogenen Daten auf Anfrage von Einzelpersonen weitergibt, das Unternehmen jedoch nicht klar genug darüber informiert, wie diese Daten vom Unternehmen verwendet werden.
- Die Informationen, die das Unternehmen darüber bereitstellt, wie und zu welchen Zwecken personenbezogene Daten von Einzelpersonen verarbeitet werden, sollten konkreter sein. Für die Person, die Zugriff auf ihre Daten beantragt, muss es leicht nachvollziehbar sein, wie das Unternehmen diese Daten verwendet. Darüber hinaus müssen personenbezogene Daten, die schwer verständlich sind, beispielsweise technischer Natur, möglicherweise nicht nur auf Englisch, sondern auch in der eigenen Sprache der Person erläutert werden. „In diesen Teilen haben wir gewisse Mängel festgestellt“, sagt Karin Ekström, eine der Anwälte, die die Überprüfung geleitet haben.
Kunden, die sich an Spotify gewandt haben, um Zugriff auf ihre persönlichen Daten zu beantragen, konnten wählen, auf welche persönlichen Daten sie Zugriff haben möchten, da Spotify die persönlichen Daten der Kunden in verschiedene Ebenen unterteilt hat. Eine Ebene enthält die Informationen, die Spotify für den Registrierten als am interessantesten erachtet hat, zum Beispiel die Kontakt- und Zahlungsdaten des Kunden, welche Künstler der Kunde verfolgt und die Hörhistorie für einen bestimmten Zeitraum. Wünscht der Kunde detailliertere Informationen, beispielsweise alle technischen Logdateien des Kunden, besteht die Möglichkeit, diese auch in einer anderen Ebene abzufragen."
Und weiter:
"- Der Aufteilung der Kopie der personenbezogenen Daten in verschiedene Schichten steht nichts im Wege, solange das Recht auf Zugriff gewährleistet ist. Im Gegenteil kann es in manchen Situationen die Aufnahme der Informationen für die betroffene Person erleichtern, wenn diese geteilt dargestellt werden, zumindest wenn es sich um umfangreiche Informationen handelt. Es ist wichtig, dass der Einzelne versteht, welche Informationen sich in den verschiedenen Ebenen befinden und wie sie angefordert werden können. Hier glauben wir, dass Spotify genug getan hat, sagt Karin Ekström.
Zweck des Auskunftsrechts ist es, Einzelpersonen die Möglichkeit zu geben, zu überprüfen, ob der Umgang mit ihren personenbezogenen Daten rechtmäßig ist. Dass der Einzelne ausreichende Informationen erhält, ist häufig Voraussetzung für die Ausübung anderer Rechte, beispielsweise des Rechts auf Berichtigung oder Entfernung unrichtiger Informationen. Da die von Spotify bereitgestellten Informationen unklar waren, war es für Einzelpersonen schwierig zu verstehen, wie ihre personenbezogenen Daten verarbeitet werden, und zu überprüfen, ob der Umgang mit ihren personenbezogenen Daten rechtmäßig ist.
Spotify hat mehrere Maßnahmen ergriffen, um die Voraussetzungen für das Zugangsrecht des Einzelnen zu erfüllen, und die festgestellten Mängel werden insgesamt als von geringem Schweregrad eingeschätzt. Vor diesem Hintergrund und unter anderem der Zahl der registrierten Nutzer und des Umsatzes von Spotify verhängt IMY eine Verwaltungssanktion in Höhe von 58 Mio. SEK gegen Spotify, weil die Informationen, die das Unternehmen Einzelpersonen zur Verfügung gestellt hat, nicht ausreichend klar waren.
Da Spotify Nutzer in vielen Ländern hat, wurde diese Entscheidung in Zusammenarbeit mit anderen Datenschutzbehörden in der EU getroffen.
(übersetzt mit Google Translate)"