Geschrieben am 27.07.2023 von:
Die DS-GVO bürdet dem sogenannten Verantwortlichen einige Verpflichtungen auf. Setzt dieser die Verpflichtungen nicht um so riskiert er bestimmten Strafen, zum Beispiel dem Verbot der Verarbeitung oder einem Bußgeld, ausgesetzt zu sein. Spotify hat kürzlich mit Nachdruck lernen müssen, dass vor allem letztere Strafe einen auch treffen kann, wenn man all diese „Initialpflichten“ erfüllt hat. Doch was ist passiert?
Spotify ist ein Audio-Streaming-Dienst mit Sitz in Stockholm. Die schwedische Datenschutzbehörde („IMY“) hat das Verfahren zur Beauskunftung von Spotify geprüft und dabei Mängel entdeckt. Grundsätzlich steht der betroffenen Person nach Art. 15 DS-GVO ein Auskunftsrecht zu. Informiert werden muss unter anderem über die verarbeiteten personenbezogenen Daten, die Verarbeitungszwecke, die Empfänger und weitere Parameter.
Die schwedische Datenschutzbehörde konnte bei der Prüfung feststellen, dass Spotify zwar die Auskunft auf Verlangen erteilt, aber nicht klar genug darüber informiert, wie die Daten in dem Unternehmen genutzt werden. Auf Ihrer Webseite schreibt IMY wörtlich:
“IMY assesses that Spotify releases the personal data the company processes when individuals request it, but that the company does not inform clearly enough about how this data is used by the company.”
Ferner soll Spotify in Zukunft aufgrund der Komplexität technischer personenbezogener Daten diese und den Umgang damit nicht nur auf Englisch, sondern auch in der Sprache der betroffenen Person, erklären und beauskunften.
Aber nicht alles an dem Auskunftsverfahren von Spotify ist aus Sicht von IMY schlecht. Spotify nutzt verschiede Auswahl- und Einstellungsmöglichkeiten, die die betroffene Person treffen kann, um den Detailgrad und die Tiefe der Auskunft festlegen zu können. Die stufenweise und differenzierte Auskunft könne es der betroffenen Person leichter machen, die Informationen zu verstehen. Dies vor allem vor dem Hintergrund der Fülle der gesammelten Informationen.
Dieser Umstand wurde bei der Berechnung der Höhe des Bußgeldes mildernd berücksichtigt. Am Ende „kassierte“ Spotify dennoch ein Bußgeld in Höhe von 58 Millionen Kronen, umgerechnet ca. 5 Millionen Euro. Die Entscheidung erging im Einklang mit anderen Datenschutzbehörden innerhalb der EU.
Damit ist für Unternehmen und Unternehmer*innen klar, dass Datenschutz nicht nach der Erstellung einer Datenschutzerklärung aufhört, sondern dort erst beginnt. Unternehmer*innen sollten dieses Verfahren als Anlass nehmen, ihre eigenen Prozesse zur Umsetzung der Betroffenenrechte zu hinterfragen und zu optimieren.
Gerne unterstützen wir dich dabei! Komm einfach auf uns zu.
…und so ganz nebenbei: Die Datenschutzbehörden sind auch nicht perfekt. Die österreichische Datenschutzorganisation NYOB („none of your business“) rund um Max Schrems hatte diese Mängel bereits 2019 der schwedischen Datenschutzbehörde vorgetragen. Diese weigerte sich zunächst dem nachzugehen und musste erst gerichtlich zur Bearbeitung