Gegen den Streamingdienst Spotify sind diverse Klage wegen des Verstoßes gegen die Vorschriften der DSGVO anhängig. Konkret geht es darum, dass Spotify Auskunftsansprüche nach Art. 15 DSGVO nicht ausreichend erfüllt hat. Aufgrund dieser Anzahl der Verstöße sah sich die schwedische Datenschutzbehörde dazu veranlasst, ein Bußgeld nach der DSGVO in Höhe von rund 5 Millionen Euro gegen Spotify zu verhängen.
Mangelnde Erfüllung des Auskunftsanspruchs nach Art. 15 DSGVO führt zu Bußgeld
Die europäische Datenschutzgrundverordnung (DSGVO) ist im Jahr 2018 in Kraft getreten. In Art. 15 ist festgelegt, dass jede Person das Recht auf Auskunft zu den von ihr verarbeiteten Daten hat. Mitzuteilen ist auch, welche Verwendung die Datenerhebung hat und an welche Dritter eine Übertragung erfolgt.
Damit können Betroffene die rechtmäßige Speicherung, Weitergabe und Verwendung ihrer persönlichen Daten überprüfen. Dieses Auskunftsrecht der Betroffenen ist gleichzeitig die Basis dafür, dass Personen weitere Rechte wahrnehmen können, die ihnen die DSGVO einräumt.
Zu nennen wären vor allem die Rechte auf Datenlöschung nach Art. 17 DSGVO, auf Berichtigung der Daten nach Art.16 DSGVO und auf Widerspruch gegen die Datenerhebung, -speicherung und -weitergabe nach Art. 21 DSGVO.
Nachdem über Spotify mehrere Beschwerden von Betroffenen wegen ungenügender Auskunft über die eigenen Daten aufgelaufen waren, hatte die österreichische, mit Datenschutz befasste NGO noyb gegen das Unternehmen 2019 Beschwerde eingereicht. Da Spotify seinen Sitz in Schweden hat, mussten die österreichischen Behörden die Beschwerde an die zuständige schwedische Datenschutzbehörde IMY weiterleiten. Diese reagierte zunächst nicht und verhängte demnach kein Bußgeld. Die NGO noyb als Beschwerdeführerin warf ihr schließlich im Sommer 2022 Untätigkeit vor und klagte letztendlich über mehrere Instanzen, in denen sie Recht erhielt.
Vorwürfe der Datenschützer
Die Datenschutzaktivisten von noyb werfen Spotify Verstöße gegen die Verständlichkeit und Nachvollziehbarkeit der Datenspeicherung sowie allgemeine Intransparenz vor. Die IMY folgte dieser Argumentation und berechnete in einem Beschluss eine Strafzahlung von rund fünf Millionen Euro, die Spotify wahrscheinlich zahlen wird, wenn die schwedischen Richter der IMY-Argumentation folgen.
Die schwedischen Datenschützer merkten in ihrem Beschluss an, dass der Streamingdienst zwar Auskünfte zu erhobenen personenbezogenen Daten liefert. Diese seien allerdings unvollständig und intransparent. So hätten die Nutzer unter anderem nicht erfahren, dass und wie sie ihre Daten berichtigen oder löschen lassen können. Auch sei nicht nachvollziehbar, welche Einschränkung der Datenverarbeitung sie fordern könnten. Der vorgeschriebene Hinweis auf eine Beschwerdemöglichkeit bei einer beliebigen europäischen Datenschutzbehörde fehlt gänzlich, ebenso sei die Verwendung der Daten nicht erkennbar.
Die Höhe einer möglichen Strafe richtet sich nach dem weltweiten Jahresumsatz des Unternehmens, sie kann bis zu vier Prozent dieses Umsatzes erreichen. Damit wären die anvisierten fünf Millionen Euro relativ niedrig angesetzt: Es hätten beim Jahresumsatz von Spotify (7,88 Milliarden Euro) bis 315,2 Millionen Euro werden können. Die IMY begründete die niedrige Höhe mit den weniger schwerwiegenden Verstößen durch Spotify, die auch schon teilweise behoben seien.