Die schwedische Datenschutzbehörde (Integritetsskyddsmyndigheten, MIY) hat gegen Spotify eine Geldbuße in Höhe von ca. 5 Mio. EUR wegen Verstößen gegen Art. 12 Abs. 1 und Art. 15 Abs. 1 lit. a) – d) und g) und Art. 15 Abs. 2 DSGVO für Versäumnisse bei der Beantwortung von Auskunftsersuchen verhängt (Pressemitteilung und Entscheidung im Volltext).
Da die Entscheidung mit mehreren Aufsichtsbehörden der anderen Mitgliedstaaten abgestimmt wurde, lassen sich hieraus auch Rückschlüsse auf die Rechtsauslegung durch deutsche Behörden ziehen.
Hintergrund des Falls
Hintergrund der Entscheidung waren u.a. zwei Beschwerden über die Art und Weise, wie Spotify Auskunftsersuchen beantwortete. Als Reaktion führte die MIY ein Audit durch und stellte mehrere Verstöße gegen die DSGVO fest.
Festgestellte Verstöße
Die MIY stellte mehrere Verstöße gegen Art. 15 Abs. 1 und 2 DSGVO sowie gegen Art. 12 Abs. 1 DSGVO fest.
Verstoß gegen Art. 12 Abs. 1 DSGVO:
Die MIY stellte fest, dass Spotify nicht alle Informationen in der jeweiligen Landessprache, sondern teils nur auf Englisch zur Verfügung stellte. Dies verstoße gegen den Grundsatz aus Art. 12 Abs. 1 DSGVO die Informationen in transparenter Weise zur Verfügung zu stellen.
Verstoß gegen Art. 15 Abs. 1 und 2 DSGVO:
In Bezug auf Art. 15 Abs. 1 und Abs. 2 DSGVO stellte MIY fest, dass Spotify
- nicht spezifisch genug über die Zwecke, Quellen und Empfänger:innen von personenbezogenen Daten informierte. Spotify strukturierte seine Antworten auf die Auskunftsersuchen und die darin enthaltenen Angaben jeweils nach Datenkategorien (z.B. „Nutzerdaten“, „Nutzungsdaten“, „Planprüfungsdaten“, „Abstimmungsdaten“, „Zahlungs- und Kaufdaten“ und „Wettbewerbs-, Umfrage- und Gewinnspieldaten“). Diese Datenkategorien wurden jedoch nicht weiter definiert, so dass für Nutzer:innen nicht klar war, auf welche Daten sich genau die jeweiligen Angaben bezogen.
- die Speicherfristen nicht hinreichend konkret festlegt. So gab Spotify bspw. lediglich an, dass personenbezogene Daten standardmäßig 90 Tage lang aufbewahrt werden würden, es sei denn, dass aus legitimen geschäftlichen Gründen ein längerer Zeitraum erforderlich wäre. Dabei gab Spotify jedoch nicht an, was diese geschäftlichen Gründe sein könnten und wie lange die Daten dann stattdessen aufbewahrt werden würden. Zudem war es auch nicht möglich, im Einzelnen festzustellen, welche Datenkategorien wie lange aufbewahrt werden.
- in Bezug auf Drittländer keine konkreten Angaben dazu machte, in welche Drittländer Daten übermittelt werden und welche spezifischen Schutzmaßnahmen getroffen wurden.
Weitere Erkenntnisse
Die mit 30 Seiten sehr ausführliche Entscheidung enthielt noch weitere interessante Punkte. So stellte die MIY fest, dass, wenn nicht klar sei, in welchem Umfang eine betroffene Person ein Auskunftsverlangen stellt, im Zweifel eine vollständige Auskunft gegeben werden muss.
Auch stellt die MIY strenge Anforderungen an die Transparenz: Soweit der Inhalt einer Datenkopie nicht ohne Weiteres für die Empfänger:in verständlich ist, muss die verantwortliche Person die Datenkopie erklären und ihre Inhalte erläutern. Schließlich gestand es die MIY den Verantwortlichen zu, dass sie betroffenen Personen Auskünfte gestuft nach Inhalten und Umfang zur Verfügung stellen – solange es den Personen möglich ist, eine vollständige Auskunft zu erhalten.
Abschließende Wertung
Viele der Äußerungen der Behörde sind nicht sehr überraschend, wenn man mit der tendenziell strengen Auslegung der europäischen Behörden zu Art. 15 DSGVO vertraut ist. Interessant ist allerdings die Möglichkeit, nach Inhalt gestufte Auskünfte anzubieten. Weniger erfreulich für Verantwortliche ist es, dass die MIY der Ansicht ist, dass man nicht nur eine Kopie der Daten liefern, sondern diese auch erklären müsse. Gerade bei datengetriebenen Unternehmen dürfte dies z.T. schwerfallen. Zudem enthält Art. 12 Abs. 1 DSGVO zwar die Anforderung, dass Informationen transparent und in leichter Sprache gegeben werden. Ob dies sich aber auch auf die Kopien nach Art. 15 Abs. 3 DSGVO beziehen muss, ist keineswegs zwingend, da Art. 15 Abs. 3 DSGVO ja nur die Herausgabe von Kopien verlangt, nicht aber deren Erläuterung.
Weitere Informationen: https://www.imy.se/nyheter/sanktionsavgift-mot-spotify/
Foto: unsplash.com