Gratis
20. März 2020 - Was Privatpersonen beachten müssen

Das Haushaltsprivileg der DSGVO

Drucken

Es gibt unzählige private Datenverarbeitungen wie Fotos, Geburtstagslisten und Einladungen. Wann greift eigentlich die DSGVO für Privatpersonen, besonders im Zeitalter sozialer Netzwerke & Co.?

Wer z.B. bei Facebook private Fotos von Personen so postet, dass ausnahmslos alle Nutzer Zugriff haben, verlässt den persönlichen bzw. familiären Bereich Wer z.B. bei Facebook private Fotos von Personen so postet, dass ausnahmslos alle Nutzer Zugriff haben, verlässt den persönlichen bzw. familiären Bereich (Bild: iStock.com / Martin Dimitrov)

Ob Verantwortliche die Datenschutz-Grundverordnung (DSGVO) beachten müssen, hängt davon ab, ob der Anwendungsbereich eröffnet ist. Neben dem räumlichen Anwendungsbereich interessiert hier v.a. der sachliche mit der darin enthaltenen Ausnahme, dem sogenannten Haushaltsprivileg (Art. 2 Abs. 2 Buchst. c DSGVO).

Danach ist die Verordnung nicht anwendbar, wenn natürliche Personen personenbezogene Daten für ausschließlich persönliche oder familiäre Tätigkeiten verarbeiten.

Hintergrund der Ausnahme

Mit der Ausnahme wollte der Gesetzgeber einen (risikobasierten) Ausgleich zwischen den Grundrechten der „privaten“ Datenverarbeiter und den betroffenen Personen schaffen. Denn aus einer privaten Datenverarbeitung resultieren in der Regel sehr geringe Risiken für die Rechte und Freiheiten der Betroffenen.

Um die Grundrechte zu schützen, ist die Ausnahme aber eng und streng auszulegen. Gehen Sie also im Zweifelsfall eher davon aus, dass die DSGVO anzuwenden ist.

Wann greift das Haushaltsprivileg?

  1. Nur für natürliche Personen

Die Ausnahme gilt nur für natürliche Personen, also für rechtsfähige Menschen. Juristische Personen (GmbH, AG, Vereine etc.) handeln nie privat oder familiär und fallen nicht unter die Ausnahme.

  1. Nur für persönliche oder familiäre Tätigkeiten

Was sind rein persönliche, was rein familiäre Tätigkeiten? Bei der „persönlichen“ Tätigkeit stehen die Selbstentfaltung und die Freiheitsausübung in der Freizeit sowie im privaten Raum im Vordergrund, etwa wenn es darum geht, Familienfeiern zu organisieren, Fotos zu sammeln oder den eigenen Termin- und Adresskalender zu verwalten.

Eine persönliche Beziehung zu den betroffenen Personen, deren Daten jemand verarbeitet, ist bei der Frage nach einer „persönlichen“ Tätigkeit – im Gegensatz zur „familiären“ Tätigkeit – nicht nötig. Sonst wäre z.B. auch das Sammeln von Prominenten-Bildern nicht von der Haushaltsausnahme erfasst.

Bei der „familiären“ Tätigkeit stehen hingegen Tätigkeiten im Vordergrund, die dazu dienen, die Familie zusammenzuhalten und engere Beziehungen zu pflegen.

Hierunter fällt auch Verwandtschaft jedweder Art, wobei keine Verwandtschaft im (familien-)rechtlichen Sinne erforderlich ist.

Der Begriff ist weit auszulegen, sodass auch Datenverarbeitungen rund um Partnerschaften oder Wohngemeinschaften das Haushaltsprivileg genießen.

Die Abgrenzung zwischen diesen beiden Tätigkeiten ist in der Praxis jedoch nicht wirklich relevant, solange sich die fragliche Tätigkeit sicher dem einen oder anderen Bereich zuordnen lässt.

Die DSGVO fordert nicht, dass die Daten auch persönlich oder familiär verarbeitet werden, also etwa mit eigenen Endgeräten oder Materialien. Insofern kommen hierfür auch z.B. Cloud-Dienste infrage.

  1. Ausschließlichkeit beachten!

Von besonderer Bedeutung ist, ob die Tätigkeit ausschließlich, also zu hundert Prozent privater bzw. familiärer Natur ist.

Hierfür ein typisches Beispiel: Jemand engagiert sich neben seiner beruflichen Tätigkeit in einem Sportverein und nutzt sein Smartphone, inklusive der Telefonliste, eigentlich nur für private Zwecke. Nun befinden sich aber auch die Telefonnummern einiger Arbeitskollegen auf dem Smartphone.

Diese Nummern nutzt der Smartphone-Besitzer sowohl privat, z.B. für Verabredungen, als auch zu Vereinszwecken, z.B. um zu Veranstaltungen des Vereins einzuladen.

In diesem Fall erfolgt die Verarbeitung der Kontaktdaten der Kollegen nicht mehr vollständig im privaten Rahmen, und die DSGVO findet Anwendung auf diese Verarbeitung.

Aber keine Angst: Nur die Daten, die man auch für beide Zwecke nutzt, fallen nicht mehr unter die Ausnahme. Die Telefonnummer der Großmutter bleibt vom Anwendungsbereich verschont.

Was folgt aus der Anwendbarkeit der DSGVO?

Fällt eine Privatperson in bestimmten Fällen nicht unter die Ausnahme, ist das erst einmal nicht weiter schlimm. Die meisten Pflichten der DSGVO dürften auf den Einzelnen in nur sehr begrenztem Maße Anwendung finden.

Das gilt z.B. für Privacy by Design, die Datenschutz-Folgenabschätzung etc.

Um „kleine“ Pflichten wie etwa die Informationspflicht nach Art. 13 Abs. 1 DSGVO dürfte man aber nicht herumkommen. Die größte Hürde dürfte sein, eine valide Rechtsgrundlage für die konkrete Datenverarbeitung zu finden.

Im genannten Beispiel wäre – sofern die Arbeitskollegen gemäß Art. 7 Abs. 1 DS-GVO nicht in die Datenverarbeitung (hier: Vereinswerbung) eingewilligt haben – die einzig denkbare Rechtsgrundlage Art. 6 Abs. 1 Buchst. f DSGVO (berechtigte Interessen).

Ob die Interessenabwägung allerdings zugunsten des Vereinsaktivisten ausgeht, ist mehr als fraglich. Im eigentlich „privaten“ Bereich wird Art. 6 Abs. 1 Buchst. f DSGVO regelmäßig die häufigste Rechtsgrundlage – neben einer Einwilligungen der Betroffenen – sein, man denke etwa an die Aufnahme von Urlaubsfotos als Hobbyfotograf und ihre Veröffentlichung in sozialen Netzwerken.

Es kommt nicht auf die Datenarten an – aber auf den Umfang

Ob im Rahmen der privaten Tätigkeiten besondere Kategorien von personenbezogenen Daten (Art. 9 DSGVO) verarbeitet werden, ist irrelevant, solange die übrigen Voraussetzungen vorliegen.

Insofern darf jemand einen Stammbaum mit familiären (Erb-)Krankheiten anfertigen oder die Partei- oder Gewerkschaftszugehörigkeiten innerhalb der Familie erfassen, ohne die DSGVO beachten zu müssen.

Aber: Der Datenumfang kann – je nach Sachverhalt – ein Kriterium sein, um zu bestimmen, ob sich eine Verarbeitung noch als privat bzw. familiär einstufen lässt. Denn je mehr Daten von womöglich (auch) unterschiedlichen Personen gesammelt werden, desto kritischer ist zu hinterfragen, ob das noch als private/familiäre Tätigkeit einzuordnen ist.

Auch weil mit dem Datenumfang häufig die Zwecke und die Nutzung der Daten breiter angelegt sind.

Welche Tätigkeiten sind typischerweise privat/familiär?

Erwägungsgrund 18 der DSGVO liefert erste Hinweise, was der Gesetzgeber alles unter die Haushaltsausnahme subsumiert wissen will. Hierunter fallen etwa:

  • privater Schriftverkehr
  • Anschriften-/Telefonverzeichnisse
  • Nutzen sozialer Netzwerke
  • Online-Tätigkeiten
  • Führen eines Tagebuchs
  • Aufnahme von Urlaubsbildern

Sonderfall: soziale Netzwerke und Online-Tätigkeiten

Der EU-Gesetzgeber nennt soziale Netzwerke und Online-Tätigkeiten zwar ausdrücklich bei der Haushaltsausnahme. Doch ganz so eindeutig ist die Rechtslage nicht. Es kommt nämlich auf den Einzelfall an.

Man denke an Blogbetreiber und Influencer, die ihren Lebensunterhalt damit verdienen, oder an Nutzer beruflicher Netzwerke. Nur dann, wenn ausschließlich der Nutzer Zugriff auf personenbezogene Daten hat, z.B. auf private Mails oder Chats, greift die Ausnahme.

Berufliche Netzwerke dürften nicht mehr unter die Haushaltsausnahme fallen, da Nutzer sie in der Regel eben hauptsächlich für berufliche Zwecke einsetzen.

Bei eigentlich privaten Handlungen im Internet kommt es auf die öffentliche Zugänglichkeit an. Wer ein Bild z.B. innerhalb einer geschlossenen WhatsApp-Gruppe mit Freunden veröffentlicht, genießt die Haushaltsausnahme.

Ist die Gruppe offen und unbeschränkt oder enthält sie einen sehr großen, quasi unbeschränkten Teilnehmerkreis, greift die Ausnahme in der Regel nicht (siehe hierzu auch das Urteil des EuGH vom 14.02.2019, Az. C-345/17).

Für die öffentliche Zugänglichkeit ist entscheidend, ob Dritte auf die Daten zugreifen können. Ob diese auch tatsächlich die Daten zur Kenntnis genommen haben, ist irrelevant.

Folglich fällt schon ein offener Facebook-Post mit Bildern von Personen, den alle Facebook-Nutzer auf der Welt sehen können, streng genommen nicht mehr unter die Haushaltsausnahme. Die Kolleginnen und Kollegen sollten sich also mit allzu großzügigen Postings im Internet zurückhalten.

ACHTUNG: Auch wenn private Tätigkeiten in der Regel nicht in den Anwendungsbereich der DSGVO fallen, heißt das nicht, dass sich die Personen in einem rechtsfreien Raum bewegen. Hier greifen zivilrechtliche Schutzmaßnahmen, um die Persönlichkeitsrechte der betroffenen Personen zu wahren.

Die „privaten Datenverarbeiter“ können gemäß § 1004 Bürgerliches Gesetzbuch (BGB) auf Unterlassung in Anspruch genommen werden, wenn sie Persönlichkeitsrechte verletzen, und – je nach Sachverhalt – auch immateriellen Schadenersatzansprüchen ausgesetzt sein.

Geldbußen gegen Privatpersonen

Zumindest in extremeren Fällen gab es auch schon Geldbußen gegen Privatpersonen, wenn sie ihren persönlichen bzw. familiären Bereich eindeutig verlassen.

So verhängte z.B. der Landesbeauftragte für den Datenschutz Sachsen-Anhalt gleich mehrere Geldbußen gegen eine Privatperson. Sie hatte in zahlreichen E-Mails personenbezogene Empfänger-Adressen nicht in Bcc eingegeben, sondern die Nachrichten in einem offenen Verteiler an ihm nicht bekannte Personen (Vertreter aus Wirtschaft, Presse und Politik) verschickt.

Problematisch war nicht der Inhalt der E-Mails – Verunglimpfungen, Strafanzeigen, Beschwerden etc. –, sondern die Wahl des Empfängerkreises, der über den privaten Bereich hinausging.

Der Landesbeauftragte für den Datenschutz Baden-Württemberg verhängte eine Geldbuße von 1.400 € gegen einen Polizeibeamten wegen rechtswidriger Verarbeitung dienstlich erlangter personenbezogener Daten zu privaten Zwecken.

Der Beamte fragte ohne dienstlichen Bezug zentrale Informationssysteme der Behörden nach Daten einer Zufallsbekanntschaft ab. So gelangte er an Festnetz- und Mobilrufnummern, die er zur privaten (romantischen) Kontaktaufnahme nutzte.

In Nordrhein-Westfalen ergingen zahlreiche Bußgelder gegen Privatpersonen aufgrund unzulässiger Datenerhebung mittels Dashcam im öffentlichen (Verkehrs-)Raum.

Risiko: Vermischung der Tätigkeiten

Erwägungsgrund 18 der DSGVO stellt ausdrücklich klar, dass die familiäre oder persönliche Tätigkeit keinen Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit haben darf.

Dabei kommt es nicht darauf an, ob diese nur nebenbei, selbstständig oder zusammen mit anderen ausgeübt werden. Das bedeutet etwa, dass ein freiberuflicher Autor, der für Zeitschriften oder Zeitungen schreibt, oder ein Blogbetreiber, der etwa mit geringen Werbeeinnahmen Geld verdient, grundsätzlich in den sachlichen Anwendungsbereich der DSGVO fällt.

Eigene Bewerbungen, inklusive Referenzschreiben von Dritten, fallen jedoch unter die private Tätigkeit und somit unter die Haushaltsausnahme, auch wenn die Bewerbung letztlich auf eine berufliche bzw. wirtschaftliche Tätigkeit abzielt.

Was ist mit Plattformbetreibern?

Für Verantwortliche oder Auftragsverarbeiter, die die Instrumente (z.B. die Plattform) für die Verarbeitung personenbezogener Daten für persönliche oder familiäre Tätigkeiten bereitstellen, findet die DSGVO uneingeschränkt Anwendung, wie Erwägungsgrund 18 – wenig verwunderlich – klarstellt.

Was ist aber, wenn ich nur den Absatz anderer und nicht meinen eigenen fördere, z.B. indem ich ein soziales Netzwerk nutze und dabei Werbebanner anschaue, meine und die Daten anderer Personen von Analysetools erfasst werden und ich Inhalte liefere?

Ob schon die bloß mittelbare Förderung wirtschaftlicher Zwecke Dritter ausreicht, um nicht mehr in den Genuss des Haushaltsprivilegs zu kommen, ist aktuell umstritten. Es sprechen aber gute Gründe dafür, dass die bloße Förderung fremden Absatzes noch von der Ausnahme gedeckt ist.

Denn das Datenschutzrecht findet auf die Plattformbetreiber ohnehin unbeschränkt Anwendung, sodass eine etwaige Schutzlücke nicht vorhanden ist bzw. gering ausfallen dürfte.

Fazit: Weniger Haushaltsprivileg als gedacht

Die DSGVO ist – häufiger als ursprünglich gedacht – auch im „privaten“ Bereich anwendbar. Es gibt sowohl im analogen wie im digitalen Bereich zahlreiche Möglichkeiten, die private bzw. familiäre Sphäre zu verlassen.

Dass die Anwendung der DSGVO in diesem Bereich schon einige Geldbußen der Aufsichtsbehörden hervorgebracht hat, sollten die Kolleginnen und Kollegen zum Anlass nehmen, den eigenen „privaten“ Umgang mit Daten anderer zu hinterfragen.

Privat und öffentlich genau abzugrenzen, ist sehr schwierig, sodass erst weitere Urteile und die Entwicklung zusätzlicher Abgrenzungskriterien mehr Klarheit bei der rechtlichen Beurteilung bieten dürften.

Die technische Entwicklung, z.B. im Rahmen des Internet of Things oder bei Wearables, dürfte die Grenzen andererseits immer mehr verschwimmen lassen.

Dr. Kevin Marschall
Dr. Kevin Marschall ist Geschäftsführer der GDPC GbR, einer auf Datenschutz spezialisierten Unternehmensberatung mit Sitz in Kassel.