Die französische Datenschutzaufsichtsbehörde CNIL hat im Dezember 2025 gegen Mobius Solutions, einen IT-Dienstleister der Musik-Streaming-Plattform Deezer, eine Geldbuße in Höhe von 1 Million Euro verhängt. Anlass war unter anderem die zweckwidrige Verwendung personenbezogener Nutzerdaten, auf die Deezer die zuständige Aufsichtsbehörde als Verantwortlicher selbst aufmerksam gemacht hatte.
Die Entscheidung stützt sich auf die allgemeinen gesetzlichen Regelungen zur Auftragsverarbeitung. Danach muss jede Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter auf einer klaren vertraglichen Grundlage zwischen Verantwortlichem und Dienstleister beruhen. Die Nutzung der Daten ist dabei strikt auf die vorher festgelegten, eindeutigen und rechtmäßigen Zwecke beschränkt. Zudem sind Auftragsverarbeiter verpflichtet, ihre Verarbeitungstätigkeiten ordnungsgemäß zu dokumentieren.
Im Fall von Mobius wurden diese Anforderungen gleich in mehrfacher Hinsicht verletzt: So wurden nicht nur die Daten von über 46 Millionen Deezer-Nutzern entgegen der vertraglich mit Deezer vereinbarten Zweckbindung zur Weiterentwicklung des eigenen Angebots verwendet, auch die nach Beendigung der Zusammenarbeit vertraglich vorgesehene Löschung der Daten unterblieb. Darüber hinaus kam Mobius nach Auffassung der CNIL seinen Dokumentationspflichten nicht ordnungsgemäß nach.
Die Entscheidung verdeutlicht einmal mehr, wie wichtig es ist, dass Auftragsverarbeiter sich bei der Datenverarbeitung strikt an die vertraglich vereinbarte Zweckbindung halten. Auch für die Auftraggeber als Verantwortliche ist dies von großer Bedeutung, da sie gesetzlich verpflichtet sind, die Datenverarbeitung durch den Auftragsverarbeiter zu überwachen.
Nach deutschem Datenschutzrecht kann es als Verantwortlicher in diesem Zusammenhang daher sinnvoll sein, Datenschutzverstöße aktiv zu melden, da die Meldung in einem Bußgeldverfahren nicht als Beweismittel gegen den Meldepflichtigen verwendet werden darf. Ein Bußgeldverfahren wegen des gemeldeten Verstoßes kann dann nur noch auf Grundlage anderer, unabhängiger Erkenntnisse geführt werden.
(Dr. Lukas Mezger, UNVERZAGT Rechtsanwälte)