Was macht Spotify?
Spotify ist ein Musikstreaming-Dienst, über den Nutzer Songs hören, Playlisten erstellen und diese mit anderen teilen. Interpreten können über Spotify ihre Titel vertreiben und so Umsätze generieren. Unternehmen können Spotify-Songs und -Playlisten auf ihrer Webseite einbinden. Mit über 400 Millionen Usern ist Spotify derzeit der größte Musik-Streaming-Anbieter der Welt.
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Diese Daten erhebt Spotify
Um Spotify nutzen zu können, müssen sich User bei dem Dienst anmelden. Dazu müssen sie folgende Daten angeben:
- Name
- Benutzername
- Geburtsdatum
- Geschlecht
Darüber hinaus müssen sie ein Passwort generieren. Wollen Nutzer einen werbefreien Account haben, müssen sie weitere Informationen wie
- Adresse
- Land und
- Zahlungsdaten
hinterlegen. Einmal im Netzwerk angemeldet, sammelt Spotify zahlreiche Daten zum Verhalten der User im Netzwerk. Dazu zählen u. a.:
- abgespielte Songs
- angelegte Wiedergabelisten
- Interaktion mit anderen Usern
- genutzte Produkte und Dienstleistungen
- Sprache
- Touch-Screen-Daten
- Daten aus Cookies
- Browsertyp
- Betriebssystem
- IP-Adresse
- genutztes Endgerät
- Daten aus den Bewegungssensoren
Spotify selbst spricht von zwei Kategorien von Daten:
- Die Daten, die User unbedingt angeben müssen, um den Dienst nutzen zu können. Spotify holt sich die Einwilligung zur Speicherung und Verwendung dieser Daten mit seinen Datenschutzbestimmungen, denen Nutzer zustimmen müssen.
- Die Daten, die Spotify darüber hinaus erhebt und verwendet, um verbesserte Erlebnisse und weitere Features anbieten zu können. Um welche Daten es sich dabei genau handelt, ist nicht eindeutig. Denn: Spotify verwendet schwammige Formulierungen „Daten wie…“ oder „Darunter auch…“.
Darum ist Spotify datenschutzrechtlich relevant
Spotify gibt auf verschiedene Art und Weise Daten an Dritte weiter. Dabei räumt sich das Unternehmen das Recht ein, User-Daten an nicht näher benannte Drittfirmen weiterzuleiten. Dabei handelt es sich unter anderem um Werbepartner, Rechteinhaber aus der Musikindustrie und Zahlungsdienstleister. Spotify leitet diese Daten jedoch nur in anonymisierter Form weiter.
Darüber hinaus wertet der Dienst standardmäßig Daten dazu aus, wie User Musik über Spotify hören. Dazu zählen u. a. auch Daten des Beschleunigungssensors. Das heißt: Spotify weiß, ob Nutzer den Dienst beim Liegen auf der Couch oder beim Joggen nutzen. Daneben erhebt Spotify stets Daten zum Standort des Users.
Melden sich Nutzer über Facebook bei Spotify an, erhält der Dienst zudem Daten zum Facebook-Profil und die darin veröffentlichten Daten wie Freundeslisten, Profilbilder und weitere Kontaktinformationen. Gleichzeitig teilt Spotify Facebook einige Daten von Usern mit, die der Dienst selbst erhoben hat.
User, die eine Webseite mit integrierten Spotify-Songs besuchen, geben automatisch Daten wie ihre IP-Adresse an den Musikkonzern weiter. Sind User zudem bei Spotify eingeloggt und klicken sie auf den Play-Button eines auf der Webseite integrierten Songs, verbindet Spotify den Webseitenbesuch mit dem Spotify-Profil. Dafür müssen Unternehmen bestimmte datenschutzrechtliche Pflichten beachten.
Spotify datenschutzkonform verwenden
Unternehmen können Spotify so datenschutzkonform auf ihrer Webseite einbinden:
Einwilligung für Datenerhebung einholen
Wollen Webseitenbetreiber Userdaten an Spotify senden, müssen sie dafür die Einwilligung der Nutzer einholen. Dabei müssen sie darüber aufklären, dass sie Nutzerdaten automatisch an Spotify weiterleiten, sobald sie
- die Webseite besuchen und
- auf den Play-Button eines Songs klicken.
Die ausdrückliche Einwilligung können Unternehmen beispielsweise über einen entsprechenden Hinweis im Cookie-Banner vornehmen. Welche Pflichten sie dabei grundsätzlich erfüllen müssen, haben wir in unserem Guide zur Nutzer-Einwilligung auf Webseiten erklärt.
Datenschutzerklärung aktualisieren
Unternehmen müssen in ihrer Datenschutzerklärung darauf hinweisen, dass sie Spotify auf ihrer Seite nutzen. Dabei müssen sie erklären, welche Daten sie erheben und warum sie diese an Spotify weiterreichen.
Rechtsprechung zu Spotify
Das Landgericht (LG) Düsseldorf entschied am 09.03.2016: Der auf Webseiten implementierte Like-Button von Facebook verstößt gegen den deutschen Datenschutz (Az. 12 O 151/15). Denn: Unternehmen geben so Userdaten an Facebook ohne Einwilligung weiter.
Das Oberlandesgericht (OLG) Düsseldorf hat die Frage nach der Zulässigkeit des Like-Buttons an den Europäischen Gerichtshof (EuGH) weitergegeben (Beschluss vom 19.01.2017, Az. I-20 U 40/16). Der EuGH kam zu dem Ergebnis: Unternehmen benötigen eine ausdrückliche Einwilligung von Usern, um ihre Daten an Facebook zu senden. Sie sind zusammen mit Facebook für die ausgelöste Datenverarbeitung verantwortlich (Urteil vom 29.07.2019, C-40/17).
Diese Entscheidungen sind auch für das Implementieren von Spotify-Songs und -Playlisten auf Webseiten relevant. Denn: Diese geben wie der Facebook Like-Button Userdaten weiter, ohne Nutzer vorher um Erlaubnis zu bitten.