DSGVO-Strafe für Spotify: 5 Millionen Euro wegen unvollständiger Datenauskunft
Bereits im Januar 2019 hatte noyb („none of your business“) Beschwerde gegen den Musik-Streamingdienst eingereicht, damals noch in Österreich. Da Spotify seinen Hauptsitz in Schweden hat, wurde die Beschwerde an die dortige Datenschutzbehörde (IMY) weitergeleitet.
Dass es mit einer Entscheidung vier Jahre lang gedauert hat, lag auch daran, dass sich die IMY lange Zeit weigerte, wegen Beschwerden Entscheidungen zu treffen. Die Datenschutzorganisation noyb musste erst vor die schwedischen Gerichte ziehen und die IMY wegen Untätigkeit verklagen, damit diese tätig wurde. Hier zeigt sich, dass es besonders Privatpersonen auch weiterhin schwer haben, auch bei klaren Datenschutzverstößen ihr Recht durchzusetzen, wenn selbst eine Datenschutzbehörde erst auf Klage hin tätig wird.
Schließlich erhielt noyb vor Gericht Recht und die IMY hat nun eine Entscheidung in dem Fall getroffen, auch weil es parallel eine weitere Beschwerde aus den Niederlanden gab. Die Datenschutzbehörde verhängte gegen Spotify eine Geldstrafe von fast 5 Millionen Euro, weil der Dienst auf Anfragen nicht den gesamten bei ihnen gespeicherten Datensatz von Nutzern und dessen aufgeschlüsselte Herkunft zur Verfügung gestellt hat. Zusätzlich ordnet die IMY an, dass Spotify von jetzt an jeweils den vollständigen Datensatz zur Verfügung stellt.
Die DSGVO garantiert Kunden ein recht auf Auskunft. Auf ein Auskunftsersuchen hin muss ein Konzern alle über den anfragenden Nutzer gespeicherte Daten offenlegen und auch darlegen, wie diese Daten akquiriert wurden. Die anfragende Person sollte auf Nachfrage hin eine vollständige Kopie aller vorhandenen Daten über sie oder ihn erhalten können. Neben Art und Herkunft der Daten hat die Person außerdem ein Recht darauf zu erfahren, wer noch Zugriff auf diese Daten hat, also an welche potentiellen Drittempfänger diese eventuell weitergeleitet wurden.