Dem Musik-Streaming-Riesen Spotify droht in Schweden eine Geldstrafe von rund 5 Millionen Euro (5,4 Millionen US-Dollar), Jahre nachdem ihm vorgeworfen wurde, die Datenzugriffsrechte von Nutzern in der Europäischen Union verletzt zu haben, indem er nicht vollständige Informationen über personenbezogene Daten bereitgestellt hat, die er als Reaktion auf einzelne Personen verarbeitet Anfragen.
Auch wenn die Höhe der Geldbuße wahrscheinlich nicht für viele Schlagzeilen sorgen wird, ist die Tatsache, dass es endlich passiert ist, bemerkenswert, da ein weiterer Beweis dafür ist, welchen Berg europäische Nutzer erklimmen müssen, um ihre Datenschutzrechte durchzusetzen.
Die Feststellung eines Verstoßes gegen Artikel 15 der Datenschutz-Grundverordnung (DSGVO) erfolgt mehr als vier Jahre, nachdem die gemeinnützige Organisation für Datenschutzrechte, noyb, eine Beschwerde gegen Spotify eingereicht hat. Der BeschwerdeIn der Anfang 2019 eingereichten Klage wurde Spotify vorgeworfen, es versäumt zu haben, auf den Antrag des Beschwerdeführers hinreichend detailliert zu antworten (Subject Access Request, SAR).
In der Beschwerde wurde argumentiert, dass die Musik-Streaming-Plattform nicht alle angeforderten personenbezogenen Daten bereitgestellt habe; keine Angaben zu den Zwecken der Verarbeitung gemacht hat; noch auf Empfänger; und machte unter anderem auch keine Angaben zu internationalen Überweisungen.
Während die Beschwerde ursprünglich in Österreich eingereicht wurde, wurde die Beschwerde aufgrund des One-Stop-Shop-Mechanismus der DSGVO, der die Bearbeitung von Fällen vereinfachen soll, wenn die Datenverarbeitung Landesgrenzen überschreitet, nach Schweden weitergeleitet, wo Spotify seine Hauptniederlassung in der EU hat. (Eine weitere Beschwerde zu demselben Thema, die in den Niederlanden eingereicht wurde, wurde ebenfalls mit dem Fall in Schweden verbunden.)
Die Beschwerde blieb dann mehrere Jahre lang unentschieden, da laut noybführte die schwedische Behörde eine parallele Untersuchung von Amts wegen durch, an der die Beschwerdeführer nicht beteiligt waren – obwohl die DSGVO vorsieht, dass Datenverantwortliche innerhalb eines Monats auf Zugriffsanfragen antworten müssen.
noyb verklagte schließlich die schwedische Datenschutzbehörde (IMY) wegen fehlender Entscheidung. Und letztes Jahr hat es erfolgreich die Position von IMY angefochten, dass der Beschwerdeführer keine Verfahrenspartei sei, indem das Stockholmer Verwaltungsgericht entschieden hat, dass Beschwerdeführer das Recht haben, nach sechs Monaten eine Entscheidung zu beantragen.
Während dieser Rechtsstreit (vor einem höheren Gericht) noch andauert, scheint die Entscheidung des Verwaltungsgerichts vom vergangenen November, mit der IMY angewiesen wurde, die Beschwerde zu bearbeiten und zu untersuchen, die Datenschutzbehörde inzwischen dazu veranlasst zu haben, eine Entscheidung zu erlassen.
noyb sagte heute, dass IMY Spotify angewiesen habe, endlich den vollständigen Datensatz bereitzustellen. Die Entscheidung darüber, ob die Behörde alles getan hat, was sie verlangt hat, behält sie sich jedoch vor, bis sie die Entscheidung überprüfen kann.
In einer Erklärung sagte Stefano Rossetti, Datenschutzanwalt bei noyb, hinzugefügt:
Wir freuen uns, dass die schwedische Behörde endlich Maßnahmen ergriffen hat. Es ist ein Grundrecht jedes Nutzers, vollständige Auskunft über die von ihm verarbeiteten Daten zu erhalten. Der Fall dauerte jedoch mehr als vier Jahre und wir mussten das IMY verklagen, um eine Entscheidung zu erreichen. Die schwedische Behörde muss ihre Verfahren unbedingt beschleunigen.
Wir haben uns mit Fragen an die schwedische Behörde gewandt und diese hat die folgende Erklärung übermittelt, in der sie bestätigt, dass sie eine Reihe von Verstößen seitens Spotify im Zusammenhang mit drei von ihr untersuchten Beschwerden festgestellt hat. Sie beschrieb den Fall außerdem als „komplex und umfassend“ und erklärte, dass sie nicht nur einzelne Fälle der Bearbeitung von Datenzugriffsanfragen betrachte, sondern auch allgemeine Verfahren bewerte.
Hier ist die vollständige Erklärung:
Die schwedische Behörde für Datenschutz (IMY) hat die allgemeinen Verfahren von Spotify zur Bearbeitung von Zugriffsanfragen untersucht und einige Mängel im Zusammenhang mit den Informationen festgestellt, die der Person, die die Anfrage stellt, gemäß Artikel 15.1 ah und 15.2 der DSGVO und in Bezug darauf zur Verfügung gestellt werden sollten zur Beschreibung der Daten in den von Spotify bereitgestellten technischen Logfiles. IMY hat eine Verwaltungsstrafe in Höhe von 58 Mio. SEK gegen Spotify verhängt, weil das Unternehmen Einzelpersonen in dieser Hinsicht nicht ausreichend klare Informationen zur Verfügung gestellt hat. Die Entscheidung umfasst Verstöße gegen Art. 12.1, 15.1 ad, g und 15.2 DSGVO.
Die Untersuchung von IMY umfasste auch eine Untersuchung der Ereignisse in drei verschiedenen Beschwerden. Hier stellte IMY fest, dass Spotify bei der Bearbeitung von Zugriffsanfragen im Zusammenhang mit zwei der untersuchten Beschwerden versagt hatte. Die Entscheidung in diesem Teil beinhaltet einen Verstoß gegen die Artikel 12.1, 12.3, 15.1, 15.3 und 15.1 ah sowie 15.2 der DSGVO. Im Hinblick auf diese Verstöße erteilt IMY eine Rüge.
Der Fall war ein komplexer und umfassender Fall, in dem wir, wie oben erläutert, sowohl die allgemeinen Verfahren von Spotify zur Bearbeitung individueller Zugriffsanfragen beurteilt haben als auch die Art und Weise, wie Spotify in einer Reihe individueller Situationen gehandelt hat, in denen wir Beschwerden bei der Behörde erhalten haben. Da Spotify Niederlassungen und Nutzer in mehreren Ländern hat, umfasste die Arbeit auch die Zusammenarbeit mit anderen Datenschutzbehörden in der EU. Diese Zusammenarbeit und die Anforderungen an eine EU-weit vergleichbare Abwicklung führten auch dazu, dass wir im Laufe der Betreuung den Fokus auf die Betreuung verlagern mussten, was leider zu Verzögerungen bei der Bearbeitung führte. Die EU-Zusammenarbeit, die mit der DSGVO einherging, ist für uns etwas relativ Neues, und innerhalb der EU wird derzeit daran gearbeitet, die Zusammenarbeit zu rationalisieren – etwas, das unserer Meinung nach notwendig ist.
Spotify wurde ebenfalls um einen Kommentar gebeten. Ein Unternehmenssprecher schickte uns diese Erklärung und bestätigte damit, dass das Unternehmen beabsichtigt, Berufung einzulegen:
Spotify bietet allen Nutzern umfassende Informationen über die Verarbeitung personenbezogener Daten an. Bei ihrer Untersuchung stellte die schwedische Datenschutzbehörde fest, dass nur geringfügige Bereiche unseres Prozesses ihrer Meinung nach verbesserungswürdig sind. Wir sind jedoch mit der Entscheidung nicht einverstanden und planen, Berufung einzulegen.
Mehr als fünf Jahre nach Inkrafttreten der DSGVO, also im Mai 2018, ist die Durchsetzung nach wie vor ein Flickenteppich äußerst unterschiedlicher Ergebnisse, da die nationalen Behörden, die mit der Wahrung der Datenschutzrechte der Europäer betraut sind, unterschiedliche Ansätze und Prozesse (und manchmal auch Ressourcen) haben.
Die Klage gegen Spotify gehörte eigentlich zu einer Reihe strategischer Klagen von noyb gegen Musik- und Videoplattformen, die darauf abzielten, die Anwendung des Gesetzes zu prüfen.
noyb argumentierte, strukturelle Verstöße gegen die DSGVO-Datenzugriffsrechte der Nutzer seien die dysfunktionale Norm auf den acht getesteten Plattformen – nämlich Amazon, AppleMusic, DAZN, Flimmit, Netflix, Spotify, SoundCloud und YouTube –, von denen viele seiner Meinung nach automatisierte Systeme eingerichtet hatten um auf SARs von Benutzern zu reagieren, die nicht alle Informationen bereitgestellt haben, auf deren Erhalt die Europäer einen Rechtsanspruch haben.
Mehr als vier Jahre später ist nicht klar, ob sich die frühere Momentaufnahme von noyb über die systematische Missachtung der Datenzugriffsrechte der Benutzer wesentlich geändert hat oder nicht.
Im Fall von Spotify scheint die tatsächliche Durchsetzung – wenn auch schmerzhaft langsam – den Ausschlag gegeben zu haben.
Der Gründer und Vorsitzende von noyb, Max Schrems, bestätigte, dass die IMY-Entscheidung eine Anweisung an Spotify enthält, Zugriffsanfragen nachzukommen. Er schlug auch vor, dass die Plattform ihr System während der Untersuchung verbessert habe. „Wir erwarten jetzt eine vollständige Antwort“, sagte er und fügte hinzu: „Wir müssen also sehen, was sie senden und ob es ausreicht.“
Auf die Frage, ob Spotify angesichts der IMY-Sanktion sein Antwortprotokoll für Benutzerdatenzugriffsanfragen ändert, sagte uns eine Spotify-Sprecherin, das Unternehmen habe „im Moment nichts zu bestätigen“, fügte aber hinzu: „Wir denken ständig darüber nach und nehmen Verbesserungen am Prozess vor.“ um die Transparenz zu verbessern.“
Schrems teilte uns auch mit, dass noyb bei drei der anderen Beschwerden Bewegung gesehen habe; einschließlich eines Verfahrens, das abgeschlossen wurde, nachdem die betreffende Plattform (Flimmit) ihre Prozesse während des Verfahrens korrigiert hatte; ein Entscheidungsentwurf, der von der niederländischen Datenschutzbehörde zu Netflix herausgegeben wird; und DAZN stehen Berichten zufolge kurz vor dem Abschluss in Österreich (vor einem Gericht).
Darüber hinaus wird das Bild dunkel.
Laut Schrems hat die Hälfte der acht Beschwerden, gegen die sich Noyb mit Beschwerden über den Datenzugriff richtete, bislang nur zu Funkstille seitens der zuständigen Datenschutzbehörden geführt. (Die irische Datenschutzbehörde wäre federführend bei Beschwerden über YouTube, das zu Apple und Google gehört; Luxemburg ist führend bei der Aufsicht über Amazon; SoundCloud hat seinen Sitz in Berlin – würde also wahrscheinlich dem Datenschutzbeauftragten der Stadt unterstehen.)
„Der Rest ist immer noch Schweigen – nach 4,5 Jahren“, fügte Schrems hinzu.