Schwedische Datenschutzbehörde (IMY) verhängt Bußgeld gegen Spotify wegen Verstoßes gegen Datenschutz-Grundverordnung (Art. 15 DSGVO)

Wir sagen unseren Mandanten oft, dass die korrekte Bearbeitung von Auskunftsersuchen der betroffenen Person (Art. 15 DSGVO) - neben Löschungsersuchen der betroffenen Person (Art. 17 DSGVO) - zu den häufigsten Anfragen im Zusammenhang mit der Datenschutz-Grundverordnung gehört. Die Art und Weise, wie ein Unternehmen mit solchen Auskunftsersuchen umgeht, sagt viel über sein DSGVO-Compliance-Management-System aus und kann das Bußgeldrisiko erheblich reduzieren.

Im Fall des schwedischen Anbieters von digitalen Audio-Streamingdiensten Spotify war dies jedoch nicht der Fall. Nach einer Anfang 2019 eingereichten Beschwerde wurde Spotify von der schwedischen Datenschutzbehörde (IMY) zu einer Geldbuße in Höhe von rund 5 Millionen Euro verurteilt, weil es seinen Nutzern nicht ermöglicht hatte, ihr Auskunftsrecht auf einfache und wirksame Weise auszuüben. Konkret entschied das IMY, dass eine korrekte Antwort auf ein Auskunftsersuchen nicht darin besteht, der betroffenen Person lediglich eine Kopie der verarbeiteten Daten zu übermitteln. Es müssen auch Informationen über die Herkunft der Daten, die Empfänger der Daten und die Möglichkeit eines internationalen Transfers gegeben werden.

Ausschlaggebend für die Höhe des Bußgeldes war auch der Zeitraum (4 Jahre), in dem die Beschwerde nicht bearbeitet wurde – dies entspricht natürlich nicht der üblichen Monatsfrist nach Art. 12 Abs. 3 DSGVO. Innerhalb dieser Frist muss der Verantwortliche auf die Anfrage einer betroffenen Person antworten. Als DP-Dock sind wir bereit, unsere Kunden in allen Aspekten der Bearbeitung des gesamten Spektrums von GDPR-Anfragen zu unterstützen.

Die Entscheidung wurde vom EDPB am 12. Juni 2023 veröffentlicht und kann hier eingesehen werden.