Die schwedische Datenschutzaufsichtsbehörde Integritetsskyddsmyndigheten (IMY) verhängte am 12. Juni 2023 ein Bußgeld in Höhe von 58 Millionen schwedischen Kronen (umgerechnet etwa 5,03 Millionen Euro) gegen den beliebten Musik-Streaming-Dienst Spotify AB. Grund für das Bußgeld war insbesondere ein Verstoß gegen Art. 15 der Datenschutz-Grundverordnung (DSGVO) und gegen das Recht auf vollständige Auskunft der Nutzer.
Hintergrund des DSGVO-Bußgeldes
Ursprünglich hatte der österreichische Datenschutzverein none of your business (noyb) unter der Leitung des Juristen Max Schrems eine Beschwerde gegen Spotify eingereicht. Die Beschwerde beinhaltete unter anderem den Vorwurf, dass Spotify auf Anfragen gem. Art. 15 DSGVO die Nutzer nicht vollständig über die vorgenommenen Datenverarbeitungen informiere. Das Auskunftsrecht gem. Art. 15 DSGVO garantiert den Nutzern nicht nur das Recht auf konkrete Informationen über die Herkunft personenbezogener Daten, deren Empfänger sowie Einzelheiten zu internationalen Datentransfers, sondern auch das Recht auf Erhalt einer Kopie ihrer Daten.
Im Fall von Spotify wurden diese Informationen nicht ausreichend geliefert. Die Informationen wurden lediglich selektiv zur Verfügung gestellt, ohne die betroffenen Personen darüber aufzuklären, wie sie den Zugriff auf den Gesamtdatensatz erhalten können.
Die schwedische Aufsichtsbehörde reagierte zunächst nicht auf die Beschwerde von noyb, was dazu führte, dass noyb Mitte 2022 Klage gegen die Behörde einreichte und diese der Untätigkeit beschuldigte. Im November 2022 entschied das zuständige Gericht, dass die IMY gesetzlich verpflichtet ist, der Beschwerden nachzugehen – was die Rechtsauffassung von noyb bestätigte.
Die IMY bewertete die Verstöße des beliebten Musik-Streaming-Diensts als „wenig schwerwiegend“ und erklärte, dass das Unternehmen bereits Maßnahmen ergriffen habe, um die Probleme zu beheben. Die Höhe der verhängten Geldbuße wurde unter Berücksichtigung dieser Umstände, des Umsatzes von Spotify und der Anzahl der Kunden festgelegt. Es ist wichtig anzumerken, dass die Entscheidung in enger Zusammenarbeit mit anderen Datenschutzbehörden im Europäischen Wirtschaftsraum getroffen wurde, da Spotify Nutzer in vielen EU-Ländern hat.
Zusätzlich zum Bußgeld wurde gefordert, dass Spotify zukünftig transparent darüber informieren müsse, wie die personenbezogenen Daten der Nutzer verarbeitet werden und zu welchen Zwecken.
Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!
Datenschutzrechtliche Einschätzung des Bußgeldes
Das Auskunftsrecht gem. Art. 15 DSGVO gewährt den betroffenen Personen das Recht, Informationen darüber zu erhalten, ob und wie genau ihre personenbezogenen Daten verarbeitet werden. Konkret muss der Verantwortliche die betroffenen Personen klar und verständlich über folgende Aspekte der Verarbeitung informieren:
Verarbeitungszwecke (Art. 15 Abs. 1 lit. a DSGVO)
Zunächst haben Verantwortliche den betroffenen Personen Auskunft über die Verarbeitungszwecke zu erteilen. Diese Auskunft ermöglicht eine Verifizierung des Grundprinzips der Zweckbindung gem. Art. 5 Abs. 1 lit. b DSGVO. Wenn es zu einer Zweckänderung kommt, ist die Rechtsgrundlage zu überprüfen und die sind Betroffenen entsprechend erneut zu informieren. Es ist wichtig, dass die Zwecke klar, spezifisch und rechtlich legitimiert sind.
Kategorien personenbezogener Daten (Art. 15 Abs. 1 lit. b DSGVO)
Der Verantwortliche muss die Kategorien personenbezogener Daten angeben, die von ihm verarbeitet werden. Das umfasst Informationen wie Name, Adresse, E-Mail-Adresse, Zahlungsinformationen usw. Dadurch erhält die betroffene Person eine Vorstellung davon, welche Art von Information über sie gespeichert und verarbeitet werden.
Empfänger oder Kategorien von Empfängern (Art. 15 Abs. 1 lit. c DSGVO)
Der Verantwortliche hat gem. Art. 15 Abs. 1 lit. c DSGVO der betroffenen Person Auskunft zu erteilen über Empfänger oder Kategorien von Empfängern, denen die Daten offengelegt worden sind oder noch offengelegt werden. Empfänger können beispielsweise Dritte wie Dienstleister, Partnerunternehmen oder staatliche Stellen sein. Die Betroffenen sollten genau erfahren, wer Zugriff auf ihre Daten hat.
Wichtig zu beachten ist hier, dass nunmehr kein absolutes Wahlrecht zugunsten des Verantwortlichen zwischen der Nennung von Empfängern und Kategorien von Empfängern besteht. Der Europäische Gerichtshof (EuGH) hat das Auskunftsrecht nach Art. 15 DSGVO weiter geschärft, so dass Verantwortliche grundsätzlich genaue Angaben zu Datenempfängern machen müssen. Der Gerichtshof lies nur wenige Ausnahmen zu, bei denen die bloße Nennung von Kategorien der Empfänger genügt.
Weitere Informationen erhalten Sie in der Urteilsbesprechung zum Recht auf Auskunft.
Speicherdauer (Art. 15 Abs. 1 lit. d DSGVO)
Der Verantwortliche muss angeben, wie lange die personenbezogenen Daten gespeichert werden oder, falls dies zum Zeitpunkt der Datenerhebung nicht möglich ist, die Kriterien, nach denen diese Dauer festgelegt wird. Dies ermöglicht es den Betroffenen, die Zeitspanne zu verstehen, für die ihre Daten aufbewahrt werden, und ob diese ggf. bereits gelöscht werden können.
Dies setzt ein Löschkonzept des Verantwortlichen voraus. Die Information muss zudem vollständig und so präzise sein, dass der Betroffene die Speicherdauer anhand der angegebenen Kriterien wenigstens annäherungsweise selbst bestimmen kann. Hierfür genügt nicht die allgemeine Mitteilung, die Daten würden nur so lange wie notwendig für die berechtigten Zwecke gespeichert werden.
Die Art.-29-Datenschutzgruppe empfiehlt in diesen Fällen verschiedene Speicherfristen – und bei Bedarf auch Archivfristen – für unterschiedliche Kategorien personenbezogener Daten und/oder unterschiedliche Verarbeitungszwecke anzugeben.
Ist die angegebene Speicherdauer abgelaufen, so ist der Verantwortliche grundsätzlich gem. Art. 17 Abs. 1 lit. a DSGVO verpflichtet, die Daten zu löschen, sofern nicht die Voraussetzungen zur Weiterverarbeitung aufgrund eines anderen Zwecks (z.B. gesetzlichen Aufbewahrungspflichten) erfüllt sind.
Betroffenenrechte (Art. 15 Abs. 1 lit. e DSGVO)
Es ist wichtig, dass der Verantwortliche über die Rechte informiert, die Betroffene gemäß Kapitel III der DSGVO haben. Dazu gehört das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Betroffene Personen sollten wissen, wie sie diese Rechte ausüben können und an wen sie sich wenden können.
Tipp: In unserem Special zu Betroffenenrechten finden Sie zahlreiche Ratgeber und Vorlagen, etwa zum Umgang mit Betroffenenanfragen.
Beschwerderechts bei der Aufsichtsbehörde (Art. 15 Abs. 1 lit. f DSGVO)
Der Verantwortliche hat den betroffenen Personen weiterhin Auskunft zu erteilen über ihr Beschwerderecht bei der Aufsichtsbehörde. Dabei sollte der Verantwortliche die Kontaktdaten der zuständigen Behöre angeben oder auf andere geeignete Weise auf die Möglichkeiten und Verfahren zur Einreichung einer Beschwerde hinweisen (z.B. das Kontaktformular verlinken).
Dies ermöglicht den Betroffenen, bei Bedarf die Aufsichtsbehörde einzuschalten und eine unabhängige Überprüfung des Vorfalls oder der Datenverarbeitung zu veranlassen.
Automatisierte Entscheidungsfindung einschließlich Profiling (Art. 15 Abs. 1 lit. e DSGVO)
Sofern im Rahmen der Datenverarbeitung automatisierte Entscheidungsfindung und Profiling zum Einsatz kommen, muss der Verantwortliche dies explizit mitteilen. Der Verantwortliche muss die Informationen in einer verständlichen Form bereitstellen und den Betroffenen ermöglichen, Einblicke in die Logik der automatisierten Entscheidungsfindung bzw. des Profiling zu erhalten.
Darüber hinaus haben Betroffene das Recht, eine Erklärung über die getroffene Entscheidung zu erhalten und ggf. eine menschliche Überprüfung anzufordern, wenn sie mit der automatisierten Entscheidung nicht einverstanden sind.
Fazit
Es ist essenziel, dass der Verantwortliche die obengenannten Informationen leicht zugänglich, klar, präzise und in verständlicher Sprache bereitstellt. Durch die vollständige Offenlegung dieser Informationen wird sichergestellt, dass die Betroffenen ein transparentes Bild davon erhalten, wie ihre personenbezogenen Daten verarbeitet werden, was ihnen ein grundlegendes Verständnis ermöglicht bzgl. der Datenverarbeitung. Wenn Unternehmen und Organisationen die Anforderungen von Art. 15 DSGVO nur oberflächlich erfüllen, indem sie nur minimalen Zugang zu Informationen gewähren oder unvollständige Angaben machen, wird das Recht auf Auskunft untergraben – wie im Fall von Spotify.
Die Entscheidung der schwedischen Aufsichtsbehörde unterstreicht die Bedeutung der ganzheitlichen und lückenlosen Einhaltung der DSGVO-Anforderungen und die Tatsache, dass es nicht ausreichend ist, die datenschutzrechtlichen Anforderungen nur minimal zu erfüllen
Das Bußgeld gegen Spotify dient als Warnung an andere Unternehmen, dass Verstöße gegen die DSGVO immer häufiger aufgedeckt werden und auch ernsthafte Konsequenzen haben können.
Die Non-Profit-Organisation noyb spielt dabei eine zunehmend wichtigere Rolle, die Grundrechte von EU-Bürgern durchzusetzen. Die Organisation hat sich mittlerweile als eine mächtige Stimme im Bereich Datenschutz etabliert hat und zu einer stärkeren Überwachung und Durchsetzung der Datenschutzbestimmungen deutlich beiträgt. Zudem bietet das Verbandsklagerecht Verbraucherschützern eine große Angriffsfläche. Dafür bedarf es laut EuGH nicht einmal einer tatsächlichen Rechtsverletzung.
Eine oberflächliche Herangehensweise bezüglich der Anforderungen der DSGVO ist demnach zu vermeiden.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!