Die schwedische Datenschutzbehörde IMY hat Spotify zu einer Strafzahlung von 58 Millionen schwedischen Kronen verurteilt, knapp 5 Millionen EUR. Spotify hat gegen Artikel 15 der Datenschutz-Grundverordnung (DSGVO) verstoßen.
Die Datenschutzbehörde hatte untersucht, wie Spotify mit dem Recht auf Datenauskunft umging und wie der Zugriff der Kunden auf deren Daten geregelt wurde. Das IMY wurde aufgrund einer Beschwerde des österreichischen Datenschutzvereins Noyb des Juristen Max Schrems tätig, die bereits 2019 eingereicht wurde.
Schwedische Datenschutzbehörde setzt Strafzahlung von 5 Millionen EUR fest
Nach einer Beschwerde und einer anschließenden Klage wegen Untätigkeit hat die schwedische Datenschutzbehörde Integritetsskyddsmyndigheten (IMY) nun eine Geldstrafe in Höhe von 58 Mio. Schwedischen Kronen (etwa 5 Mio. EUR) gegen Spotify verhängt. Der Musikstreaminganbieter Spotify AB ist hat Niederlassungen und Nutzer in mehreren EU-Mitgliedstaaten. Der Hauptsitz von Spotify ist in Schweden. Wegen des grenzüberschreitenden Charakters des Falles hat das IMY die in Kap. VII DSGVO festgelegten Verfahren für Zusammenarbeit und Kohärenz angewandt. Alle Datenschutzbehörden in der EU wurden als Aufsichtsbehörden in diesen Fall einbezogen, das Verfahren selbst wurde aber durch die schwedische Datenschutzbehörde durchgeführt.
Datenauskunft und Verständlichkeit mangelhaft
Die schwedische Datenschutzbehörde stellte mehrere Probleme mit der Bearbeitung von Auskunftsansprüchen fest. So enthielten die Auskünfte regelmäßig nicht die Zwecke der Verarbeitung. Auch fehlten regelmäßig die Kategorien von personenbezogenen Daten, auf die sich die Verarbeitung bezieht, sowie die Kategorien von Empfängern der personenbezogenen Daten.
Auch der Zeitraum, in dem die personenbezogenen Daten erfasst wurden, war ungenau, und Informationen zu angemessenen Sicherheitsvorkehrungen bei der Übermittlung personenbezogener Daten an Drittländer waren nicht vorhanden. Darüber hinaus stellte die Datenschutzbehörde fest, dass Spotify während des Zeitraums vom 11. Juni 2019 bis zum 16. Mai 2022 durch die standardmäßige Bereitstellung der Beschreibung der Daten in den technischen Logdateien in englischer Sprache nicht die Anforderung erfüllte, wonach jede Mitteilung an die betroffene Person gemäß Art. 15 DSGVO klar und verständlich sein muss.
Beschwerde lag dem IMY schon seit 2019 vor
Ähnlich wie die irische Datenschutzbehörde DPC im Fall des Rekordbußgelds in Höhe von 1,2 Milliarden EUR gegen den Facebook-Konzern Meta, musste auch hier die schwedische Datenschutzbehörde gezwungen werden, das Ermittlungsverfahren aufzunehmen. Der österreichische Datenschutzverein Noyb (None of Your Business) des Juristen Max Schrems hatte bereits am 18. Januar 2019 eine Beschwerde gegen Spotify eingereicht, der an das IMY weitergeleitet, dort aber zunächst nicht bearbeitet wurde. Im Juni 2022 hat Noyb daher vor schwedischen Gerichten eine Klage gegen das IMY wegen Untätigkeit eingereicht. Erst nachdem dieser Klage stattgegeben wurde, ist das IMY tatsächlich tätig geworden.
Die DSGVO-Verstöße, die das IMY bei seiner Untersuchung festgestellt hat, werden von diesem als „wenig schwerwiegend“ („low level of seriousness“) angesehen. Dies erklärt auch die relativ moderate Bußgeldforderung in Höhe von knapp 5 Millionen EUR. Angesichts des Jahresumsatzes von Spotify hätte die Maximalforderung im Bereich von 200 Millionen EUR liegen können.