Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© Bernard Hermant, Unsplash
Datenschutz im Alltag: Wann gilt die DSGVO für Privatpersonen?
Die DSGVO gilt doch nur für Unternehmen. …oder? Das glauben zwar viele, stimmt so aber nicht ganz. Prinzipiell gilt die DSGVO erst einmal für alle – egal, ob Unternehmen oder nicht. Erst im zweiten Schritt sind in der DSGVO einige Ausnahmen (Art. 2 Abs.2) geregelt, wann das Datenschutzgesetz nicht gilt.
So zum Beispiel für natürliche Personen, wenn sie Daten im Rahmen persönlicher oder familiärer Tätigkeiten verarbeiten. Geht die Datenverarbeitung allerdings über diese Bereiche hinaus, sind Privatpersonen genauso an die DSGVO gebunden und können entsprechend haftbar gemacht werden.
Doch wann genau fallen Verarbeitungen in den persönlich-familiären Bereich? Wann gilt die DSGVO für Privatpersonen und wann nicht?
Ausnahme für Privatpersonen
Ziel der DSGVO ist vor allem, bei Organisationen, wie Unternehmen und Institutionen bis hin zu Vereinen, die Rechtmäßigkeit der Datenverarbeitung sicherzustellen. Das Privatleben und der Alltag von Personen soll nicht durch die gleichen Vorgaben geregelt werden. Nicht zuletzt, weil dies kaum umsetzbar wäre und die Risiken für die Grundrechte und Freiheiten betroffener Personen in der Regel gering sind.
Daher gilt für Privatpersonen laut Art. 2 Abs. 2 lit c. DSGVO eine Ausnahme von der DSGVO, auch Haushaltsausnahme genannt. Voraussetzung: Natürliche Personen verarbeiten personenbezogene Daten ausschließlich im Rahmen persönlicher oder familiärer Tätigkeiten. Dazu gehört etwa die eigene Selbstentfaltung, die Freiheitsausübung in der Freizeit oder die Pflege familiärer Beziehungen. Diese Ausnahme betrifft die DSGVO generell und ist unabhängig von den Kategorien personenbezogener Daten.
Allerdings ist die Ausnahme streng auszulegen, da bei Anwendung der Ausnahme keine weitere Risikoabwägung stattfindet. Geht die Verarbeitung über persönliche oder familiäre Tätigkeiten hinaus, greift diese Ausnahme nicht mehr. Außerdem liegt dieser Abwägung eine Annahme zugrunde, welche Risiken von einer Datenverarbeitung für persönliche oder familiäre Zwecke üblicherweise ausgehen. Sind die tatsächlichen Risiken höher als diese Annahme, muss eine Abwägung im Einzelfall erfolgen.
Wann diese Ausnahme nicht greift
Die Haushaltsausnahme greift also nicht pauschal für Privatpersonen, sondern nur bei Verarbeitungen im persönlich-familiären Bereich. Verarbeitungen, die darüber hinausgehen, fallen in den Anwendungsbereich der DSGVO. Die folgenden fünf Beispiele geben ein Gefühl dafür, wann auch Privatpersonen sich an die DSGVO halten müssen.
1. Social Media
Tätigkeiten, die nach außen gerichtet sind und über den persönlichen oder familiären Kreis hinaustreten, fallen nicht unter die Ausnahmereglung für Privatpersonen. Dazu gehört in einigen Fällen auch die Nutzung von Social-Media-Plattformen. Wenn Sie dort Inhalte verbreiten, können Sie den Kreis der Empfänger:innen nicht immer eingrenzen. In solchen Fällen unterliegen Sie den Vorgaben aus der DSGVO. Auch „Freundeslisten“ auf den Plattformen fallen nicht in den persönlich-familiären Bereich. In zugangsbeschränkten, kleinen Gruppen oder Chats sieht das allerdings anders aus, wenn diese sich auf den persönlichen oder familiären Kreis beziehen. Entscheidend sind hier die Zugriffsmöglichkeiten.
Privatpersonen unterliegen in derartigen Fällen nicht nur der DSGVO, sie können natürlich auch rechtlich belangt werden. Das zeigt ein Bußgeld aus Spanien (PS/00327/2021). Dort hat eine Frau erniedrigende und diskriminierende Videoaufnahmen von Kindern gemacht und auf Instagram und WhatsApp verbreitet. In Folge musste sie ein Bußgeld in Höhe von 10.000 € zahlen.
2. Ehrenamt und Vereine
An sich gilt die Ausnahmeregelung für Privatpersonen auch für die Freiheitsausübung in der Freizeit und somit Hobbys. Dies gilt allerdings nicht für Organisationen wie Kirchengemeinden, Vereine oder Selbsthilfegruppen und Ähnliches. Hier wird der persönlich-familiäre Bereich überschritten und auch Privatpersonen müssen sich in diesen Kontexten an die DSGVO halten.
3. Videoaufnahmen
Überwachungskameras zum Schutz des Hauses, Drohnenaufnahmen im Urlaub oder Dashcams zur Aufzeichnung von Unfällen – Videoaufnahmen finden sich immer mehr in unserem Alltag. Solange diese sich auf uns und unsere Familie und Freund:innen beschränken, ist das aus Datenschutz-Sicht nicht bedenklich.
Werden aber beispielsweise andere Grundstücke, die Straße oder öffentliche Räume aufgenommen, fallen Videoaufnahmen in den Geltungsbereich der DSGVO. Das gilt auch für private Überwachungskameras, wenn nicht nur das eigene Grundstück zu sehen ist. Auch Drohnenaufnahmen, die weitere Grundstücke oder Personen außerhalb des persönlich-familiären Bereichs zeigen, fallen nicht in die Ausnahmeregelung.
Das zeigen auch einige Bußgelder, die gegenüber Privatpersonen verhängt wurden. In Griechenland (Entscheidung 30/2020) musste beispielsweise eine Person 8.000 € zahlen, weil sie ein Nachbargrundstück und die öffentliche Straße videoüberwacht hat. Eine andere Person in Deutschland musste 1.000 € Bußgeld für die unrechtmäßige Verwendung einer Dashcam zahlen. Tatsächlich beziehen sich die meisten Bußgelder, die gegen Privatpersonen verhängt wurden, auf unrechtmäßige Aufnahmen per Videoüberwachung oder Dashcam.
4. Smarte Geräte
Smarte Geräte verarbeiten eine Vielzahl an Daten. Diese Datensammlung bezieht sich allerdings nicht immer nur auf die eigene Person. Vernetzte Autos könnten beispielsweise auch Daten über Mitfahrende erheben. Oder sprachgesteuerte Assistenzsysteme schnappen Daten der Nachbar:innen auf.
Wenn Sie sicherstellen können, dass lediglich Ihre Daten und die Ihrer Familie oder engen Freund:innen durch smarte Geräte verarbeitet werden, fällt die Nutzung in den persönlich-familiären Bereich. Können Sie dies nicht sicherstellen, ist im Zweifel von einer Anwendung der DSGVO auszugehen.
5. Mietverhältnisse
Die Ausnahme von der DSGVO für Privatpersonen ist ausgeschlossen, wenn es einen Bezug zu beruflichen oder wirtschaftlichen Tätigkeiten gibt. Dieser wirtschaftliche Bezug liegt bei Mietverhältnissen allerdings vor, selbst wenn die vermietende Partei eine Privatperson ist. In diesem Fall gelten somit auch für Privatpersonen alle Vorschriften aus der DSGVO. Dazu gehört auch die Beantwortung von Betroffenenanfragen.
Das hat auch das Amtsgericht Wiesbaden bestätigt. Hier hat ein Mieter seine Vermieterin verklagt, weil sie sein Auskunftsersuchen nicht vollständig beantwortet hat. Gemäß DSGVO hat er aber ein Recht zu wissen, welche ihn betreffenden personenbezogenen Daten wie verarbeitet werden. Die Vermieterin ist daher verpflichtet, das Auskunftsersuchen ihres Mieters vollständig zu beantworten. Außerdem musste sie die Kosten für das Berufungsverfahren tragen.
Fazit
Die Haushaltsausnahme von der DSGVO soll einen Ausgleich zwischen den Grundrechten der verarbeitenden und der betroffenen Personen schaffen. Dafür werden persönliche und familiäre Tätigkeiten vollständig aus dem Anwendungsbereich der DSGVO genommen. Die Ausnahme ist allerdings streng auszulegen.
Bevor Sie Aufnahmen auf Instagram posten, eine E-Mail an den gesamten Verein verschicken oder Ihre Drohne fliegen lassen, sollten Sie also genau prüfen, ob sich diese Tätigkeiten über Ihren persönlichen und familiären Bereich hinaus erstrecken. Gibt es weitere Betroffene, muss Ihre Datenverarbeitung DSGVO-konform erfolgen. Sonst können Sie auch als Privatpersonen belangt werden – ggf. mit strafrechtlichen Konsequenzen, Schadensersatzforderungen und/oder Bußgeldern.
Quellen
Bürgerservice Hessenrecht (2021): „Datenauskunft gegen Vermieter, Aktenzeichen 93 C 2338/20“, Amtsgericht Wiesbaden, Entscheidungsdatum 26. April 2021, https://www.rv.hessenrecht.hessen.de/bshe/document/LARE210000903.
DSGVO-Portal (o. J.): "Geldbußen für DSGVO-Verstöße und für Verletzungen anderer Datenschutzgesetze", https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank/, letzter Zugriff am 06. Juli 2022.
Kühling, Jürgen und Johannes Raab (2020): „DSGVO Art. 2 Sachlicher Anwendungsbereich“. In: Jürgen Kühling, Benedikt Buchner und Matthias Bäcker (Eds.), Datenschutz-Grundverordnung, BDSG. Kommentar, C. H. Beck.
Roßnagel, Alexander (2019): „DSGVO Art. 2 Sachlicher Anwendungsbereich“. In: Simitis Spiros, Gerrit Hornung, Indra Spiecker Döhrmann und Jan Philipp Albrecht (Eds.), Datenschutzrecht. DSGVO mit BDSG, Nomos.