Die franz\u00f6sische Datenschutzaufsichtsbeh\u00f6rde CNIL hat im Dezember 2025 gegen Mobius Solutions, einen IT-Dienstleister der Musik-Streaming-Plattform Deezer, eine Geldbu\u00dfe in H\u00f6he von 1 Million Euro verh\u00e4ngt. Anlass war unter anderem die zweckwidrige Verwendung personenbezogener Nutzerdaten, auf die Deezer die zust\u00e4ndige Aufsichtsbeh\u00f6rde als Verantwortlicher selbst aufmerksam gemacht hatte.
\u00a0
Die Entscheidung st\u00fctzt sich auf die allgemeinen gesetzlichen Regelungen zur Auftragsverarbeitung. Danach muss jede Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter auf einer klaren vertraglichen Grundlage zwischen Verantwortlichem und Dienstleister beruhen. Die Nutzung der Daten ist dabei strikt auf die vorher festgelegten, eindeutigen und rechtm\u00e4\u00dfigen Zwecke beschr\u00e4nkt. Zudem sind Auftragsverarbeiter verpflichtet, ihre Verarbeitungst\u00e4tigkeiten ordnungsgem\u00e4\u00df zu dokumentieren.
\u00a0
Im Fall von Mobius wurden diese Anforderungen gleich in mehrfacher Hinsicht verletzt: So wurden nicht nur die Daten von \u00fcber 46 Millionen Deezer-Nutzern entgegen der vertraglich mit Deezer vereinbarten Zweckbindung zur Weiterentwicklung des eigenen Angebots verwendet, auch die nach Beendigung der Zusammenarbeit vertraglich vorgesehene L\u00f6schung der Daten unterblieb. Dar\u00fcber hinaus kam Mobius nach Auffassung der CNIL seinen Dokumentationspflichten nicht ordnungsgem\u00e4\u00df nach.
\u00a0
Die Entscheidung verdeutlicht einmal mehr, wie wichtig es ist, dass Auftragsverarbeiter sich bei der Datenverarbeitung strikt an die vertraglich vereinbarte Zweckbindung halten. Auch f\u00fcr die Auftraggeber als Verantwortliche ist dies von gro\u00dfer Bedeutung, da sie gesetzlich verpflichtet sind, die Datenverarbeitung durch den Auftragsverarbeiter zu \u00fcberwachen.
\u00a0
Nach deutschem Datenschutzrecht kann es als Verantwortlicher in diesem Zusammenhang daher sinnvoll sein, Datenschutzverst\u00f6\u00dfe aktiv zu melden, da die Meldung in einem Bu\u00dfgeldverfahren nicht als Beweismittel gegen den Meldepflichtigen verwendet werden darf. Ein Bu\u00dfgeldverfahren wegen des gemeldeten Versto\u00dfes kann dann nur noch auf Grundlage anderer, unabh\u00e4ngiger Erkenntnisse gef\u00fchrt werden.
\u00a0
(Dr. Lukas Mezger, UNVERZAGT Rechtsanw\u00e4lte)<\/p>\n","protected":false},"excerpt":{"rendered":"
Die franz\u00f6sische Datenschutzaufsichtsbeh\u00f6rde CNIL hat im Dezember 2025 gegen Mobius Solutions, einen IT-Dienstleister der Musik-Streaming-Plattform Deezer, eine Geldbu\u00dfe in H\u00f6he von 1<\/p>\n