Logo der activeMind AG

Wann gilt die DSGVO auch für Privatpersonen?

Inhalt

Es ist ein häufiges Missverständnis, dass die Datenschutz-Grundverordnung (DSGVO) ausschließlich im unternehmerischen Kontext gilt. Dabei gibt es zahlreiche relevante Fälle von Verarbeitungen personenbezogener Daten im privaten Kontext. Damit hatten sich mittlerweile diverse Gerichte auseinander zu setzen. Wann also gilt die DSGVO auch für Privatpersonen?

Der sachliche Anwendungsbereich der DSGVO

Wie immer hilft auch hier der Blick in die Verordnung selbst. In Art. 2 Abs. 1 DSGVO wird der sachliche Anwendungsbereich der DSGVO geregelt. Dieser ist sowohl für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten als auch für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, eröffnet. Die Art der Verarbeitung, d.h. ob sie automatisiert oder manuell stattfindet, ist grundsätzlich unerheblich.

Die angeführten Begriffe wie „personenbezogene Daten“ (Art. 4 Nr. 1 DSGVO) und „Verarbeitung“ (Art. 4 Nr. 2 DSGVO) sind weit auszuglegen. Personenbezogene Daten sind Daten, über die sich ein konkreter Personenbezug herstellen lässt. Demnach geht es um Daten, die konkreten Personen zuzuordnen sind.

Bei einer ganz oder teilweise automatisierten Verarbeitung von Daten ist es irrelevant, ob die Daten in einem Dateisystem geordnet sind. Als automatisiert gilt eine Datenverarbeitung, wenn die Verarbeitung personenbezogener Daten durch Informationstechnik erfolgt. Eine konkrete Definition bzgl. einer automatisierten Verarbeitung ist der DSGVO nicht zu entnehmen. Die Intention dabei ist, dass die DSGVO auch zukünftige technologische Entwicklungen abdecken soll. Diese Intention des Gesetzgebers spiegelt sich vor allem im Wortlaut des Erwägungsgrund 15 DSGVO wider, in dem ein Schutzsystem eingefordert wird, das „technologieneutral“ ist und nicht von der verwendeten Technik abhängt. Folglich ist der Art. 2 Abs. 1 DSGVO weit auszulegen.

So fasst der EuGH die Videoüberwachung unter den Begriff der automatisierten Verarbeitung, wenn die Information auf einer kontinuierlichen Speichervorrichtung gesichert wird. Hierunter fallen beispielsweise Dashcams, Bodycams, Actionscams, Drohnenaufzeichnungen und Echtzeitüberwachungen.

Bei einer nichtautomatisierten Verarbeitung ist die Anwendbarkeit der DSGVO eröffnet, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Das Dateisystem ist in Art. 4 Nr. 6 DSGVO definiert. Hierunter fällt „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“. Dabei fallen nach Erwägungsgrund 15 DSGVO Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, nicht in den Anwendungsbereich der Verordnung.

Die Schutzwirkung der DSGVO beginnt allerdings nicht mit der Aufnahme der Daten in ein Dateisystem, sondern bereits mit der Erhebung der Daten zur Abspeicherung in einem Dateisystem.

Wann die DSGVO nicht mehr anzuwenden ist

Art. 2 Abs. 2 DSGVO regelt die Ausnahmen, wann die DSGVO keine Anwendbarkeit vorsieht. Besondere Relevanz für Privatpersonen hat Art. 2 Abs. 2 lit. c DSGVO, der auch als sog. „Haushaltsprivileg“ bezeichnet wird. Danach findet die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Da es sich hierbei jedoch um eine Ausnahme von der Regel handelt, ist die Anwendung restriktiv zu handhaben:

  • Unter persönliche Tätigkeiten fallen alle Tätigkeiten, die der eigenen Selbstentfaltung und Freiheitsausübung dienen oder der privaten Sphäre zuzuordnen sind.
  • Rein familiäre Tätigkeiten erfassen die Pflege familiärer Beziehungen und des familiären Zusammenhalts.

Was der Verordnungsgeber hierunter genau fassen will, kann man Erwägungsgrund 18 DSGVO entnehmen. Darin wird aufgezeigt, dass die Anwendung der Ausnahme ausgeschlossen ist, sobald die Datenverarbeitung einen Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit aufweist. Somit fällt jede nach außen gerichtete Tätigkeit, die nicht die Stärkung der familiären Bindungen und die eigene Selbstentfaltung intendiert, in den sachlichen Anwendungsbereich der DSGVO. Wann eine Tätigkeit dem persönlichen oder familiären Tätigkeitsbereich zu zuordnen ist, bestimmt sich nach der Verkehrsanschauung, dem Zweck der Datenverarbeitung als auch den räumlichen und sozialen Aspekten.

Dadurch entstehen für den Einzelnen im privaten Bereich in unterschiedlichsten Situationen Ungewissheiten. Einige der möglichen Situationen erläutern wir weiter unten.

Grenzen des Haushaltsprivilegs

Bei einer Verarbeitung fremder personenbezogener Daten können auch private Nutzer schnell Adressat des Datenschutzrechts werden. Problematisch ist dabei der ungenaue Wortlaut der DSGVO im Hinblick auf die übliche Nutzung von Plattformdiensten durch Privatpersonen. Ein Verarbeiten von personenbezogenen Daten in sozialen Netzwerken oder im Web, das sich an eine unbestimmte größere Zielgruppe richtet, fällt aus dem Schutzbereich des Haushaltsprivilegs heraus.

Der EuGH (Europäischer Gerichtshof) urteilte 2019 in seiner Buivids-Entscheidung, dass von der Haushaltsprivilegierung nur Tätigkeiten erfasst seien, die ausschließlich zum Privat- und Familienleben gehören. Bei einer Veröffentlichung von personenbezogenen Daten im Internet, durch welche die Daten einer unbegrenzten Anzahl an Personen zugänglich gemacht werden, ist dies nicht mehr anzunehmen.

Sobald eine unbestimmte Zahl von Personen Kenntnis von diesen Informationen erhalten können, beispielsweise Kontaktdaten, Fotos oder sonstige personenbezogene Daten, befindet sich der Verantwortliche im sachlichen Anwendungsbereich der DSGVO und hat die datenschutzrechtlichen Anforderungen zu beachten und zu wahren.

Rechtmäßigkeit der Verarbeitung von Daten im privaten Kontext

In der DSGVO gilt nach Art. 5 DSGVO der Grundsatz der Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten. Folglich muss auch eine Privatperson als Verantwortlicher die Rechtmäßigkeit der Verarbeitung gewährleisten, wenn die Verarbeitung unter den Anwendungsbereich der DSGVO fällt. Die folgenden Beispiele illustrieren diese Problematik:

“1. Veröffentlichung von Foto- und Videoaufnahmen”

Wenn Foto- oder Videoaufnahmen von anderen Menschen bspw. auf öffentlichen Plätzen angefertigt und anschließend (zum Beispiel in sozialen Netzwerken) für eine unbestimmte Anzahl von Personen veröffentlicht werden, stellt sich vor allem die Frage nach der Rechtmäßigkeit. Einen klassischen Fall hierzu stellt das Hochladen von Aufnahmen durch Privatpersonen dar. Sobald auf diesen Aufnahmen andere Menschen zu sehen und identifizierbar sind, werden personenbezogene Daten durch einen Verantwortlichen im Sinne der DSGVO verarbeitet. Es findet unstreitig eine ganz oder teilweise automatisierte Verarbeitung der personenbezogenen Daten nach Art. 2 Abs. 1 DSGVO statt.

Das Haushaltsprivileg nach Art. 2 Abs. 2 lit. c DSGVO greift im Fall einer solchen Veröffentlichung nicht. Wenn die Aufnahmen einer unbestimmten Anzahl an Personen zur Verfügung gestellt werden, ist der ausschließlich persönliche oder familiäre Bereich eindeutig verlassen. Auch werden die meisten Verwender von öffentlichen Social-Media-Accounts  sich nicht auf das Medienprivileg nach Art. 85 DSGVO stützen können, solange die beiläufige Aufnahme der Personen auf einem öffentlichen Platz keinen journalistischen Zweck verfolgt.

Daneben sind aber noch weitere Gesetze wie das Kunsturhebergesetzes (KUG) und das Allgemeine Persönlichkeitsrecht (APR) zu beachten. Der BGH (Bundesgerichtshof) hat in einem aktuellen Urteil entschieden, dass die §§ 22, 23 KUG auch nach Inkrafttreten der DSGVO weiterhin gelten. Der § 23 KUG regelt dabei vier Fälle, in denen es keiner Einwilligung der Betroffenen bedarf:

  • Bildnisse aus dem Bereich der Zeitgeschichte,
  • Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeiten erscheinen,
  • Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben und
  • Bildnisse, die nicht auf Bestellung angefertigt wurden, sofern die Verbreitung oder Schaustellung einem höheren Interesse der Kunst dient.

Allerdings greifen diese Ausnahmen dann nicht, wenn ein berechtigtes Interesse des Abgebildeten verletzt wird – folglich muss am Ende eine Interessenabwägung im Einzelfall entscheiden.

Das APR ist betroffen, sobald durch das Abdrehen von Videos oder das Fotografieren Menschen in ihrer Persönlichkeitsentfaltung beeinträchtigt werden. Dies ist vor allem dann der Fall, wenn Menschen an privaten Orten (bspw. im eignen Garten) oder intimen Situationen (bspw. Familienfeier) fotografiert werden. Beim APR geht es vor allem um die Geltendmachung von zivilrechtlichen Unterlassungs- und Schadensersatzansprüchen, die neben der DSGVO anwendbar bleiben.

Somit ist festzuhalten, dass Bildaufnahmen nach Art. 6 Abs. 1 DSGVO grundsätzlich verboten sind, solange sie nicht auf eine Einwilligung oder auf eine andere Rechtsgrundlage gestützt werden können. Es empfiehlt sich also auch für Privatpersonenbezüglich der eigenen Aktivität auf den Social-Media-Kanälen sich zumindest in groben Zügen mit dem Datenschutz zu befassen.

“2. Vermietung von Privat”

Die Grundsätze der DSGVO greifen auch schnell im Rahmen des Mietrechts, wie sich auch jüngst aus einem Urteil des AG Wiesbaden ergibt. Der Anwendungsbereich der DSGVO ist eröffnet, da eine Sammlung mehrerer Mietverträge eines Vermieters ein Dateisystem gem. Art. 2 Abs. 1, Art. 4 Nr. 6 DSGVO darstellt. Der Anwendungsbereich der DSGVO ist auch eröffnet, da die Speicherung von Namen und Telefonnummer eines Mieters im Mobiltelefon des Vermieters eine automatisierte Verarbeitung personenbezogener Daten gemäß Art. 2 Abs.1 DSGVO darstellt.

Das hat natürlich weitere Rechtsfolgen: In einem solchen Fall hat der Mieter zum Beispiel regelmäßig einen Anspruch auf Datenauskunft gegen den Vermieter nach Art. 15 DSGVO. Das Gleiche gilt auch bzgl. der Speicherung der Daten durch ein Serviceunternehmen, das im Rahmen der Betriebskostenabrechnung tätig wird. Das Serviceunternehmen agiert dabei als Auftragsverarbeiter gemäß Art. 28, Art. 4 Nr. 8 DSGVO. Der Auskunftsanspruch richtet sich gegen den Vermieter.

“3. Verwendung von Dashcams”

Vorsicht ist auch bei der Verwendung von Dashcams walten zu lassen. Durch das Filmen des Verkehrs liegt eine automatisierte Verarbeitung personenbezogener Daten und Speicherung in einem Dateisystem vor. Hierbei werden personenbezogene Daten fremder Personen, insbesondere Bilder von Fußgängern, Radfahrern und KFZ-Kennzeichen erfasst. Dadurch ist der Anwendungsbereich der DSGVO nach Art. 2 Abs. 1 DSGVO eröffnet.

Der Einsatz von Dashcams ist an den Voraussetzungen nach Art. 6 Abs.1 S.1 lit. f DSGVO zu messen – andere Rechtsgrundlagen, insbesondere die Einwilligung, scheiden aus offensichtlichen Gründen aus.

Folglich ist die Verarbeitung nur zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Daher sind die Interessen des Dashcam-Verwenders mit den Interessen des hiervon Betroffenen abzuwägen.

Bei einer permanenten anlasslosen Aufzeichnung des Verkehrsgeschehens sind diese Voraussetzungen nicht erfüllt. In solchen Fällen überwiegen die schutzwürdigen Interessen unbeteiligter Verkehrsteilnehmer. Unbeteiligte Verkehrsteilnehmer können sich regelmäßig auf ihr Grundrecht nach Art. 8 der Charta der Grundrechte der Europäischen Union berufen, weil danach jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat. Hierunter wird das Recht des Einzelnen gefasst, sich in der Öffentlichkeit frei zu bewegen, ohne befürchten zu müssen, ungewollt und anlasslos zum Objekt einer Videoüberwachung degradiert zu werden. Dauerhaft aufzeichnende Dashcams verarbeiten permanent und ohne Anlass personenbezogene Daten. Folglich ist eine Vielzahl von Verkehrsteilnehmern von der Verarbeitung ihrer personenbezogenen Daten betroffen, ohne dass sie von der ständigen Überwachung in Kenntnis gesetzt werden und sich dieser entziehen können.

Diesen starken Eingriff in das Recht auf Schutz der personenbezogenen Daten der anderen Verkehrsteilnehmer kann das Interesse des Autofahrers als datenschutzrechtlich Verantwortlicher nicht rechtfertigen. Datenschutzrechtlich ist der Einsatz von Dashcams nur zulässig, wenn die Aufnahmen kurz und anlassbezogen erfolgen. Anlassbezogen meint, dass die Aufnahmen nur dann abgespeichert werden, wenn es zu einem Unfall kommt. Zu beachten ist, dass auch diese anlassbezogenen Aufnahmen zu löschen sind, wenn eine Weiterverwendung nicht erfolgt.

Fazit: Auch im privaten Bereich ist Vorsicht geboten.

Scheinbar private Tätigkeiten unterfallen schnell dem Anwendungsbereich der DSGVO, so dass Verantwortliche bestimmte Pflichten treffen. Ein gewisses Maß an Vorsicht für Privatpersonen ist geboten, sobald personenbezogenen Daten von Fremden verarbeitet werden. Wer auf Nummer sicher gehen will, sollte sich in solchen Momenten auch als Privatperson ggfs. professionellen Rat im Bereich des Datenschutzes einholen oder sich zumindest selbst vor der Verarbeitung von personenbezogenen Daten ausreichend informieren, bevor das Risiko eines Bußgeldes eingegangen wird.

Die Bußgeldpraxis der Aufsichtsbehörden zeigt immer deutlicher, dass vielfach auch Privatpersonen als datenschutzrechtlich Verantwortliche mit einem Bußgeld belangt werden:

  • So verhängte etwa der Landesbeauftragte für den Datenschutz in Sachsen-Anhalt 2019 ein Bußgeld von 2.628,50 Euro gegen einen Beschwerdebrief-Verfasser, weil die personenbezogenen E-Mail-Adressen für jeden der 190 Empfänger offen einsehbar waren.
  • In einem anderen Fall hatte eine Privatperson über einen Social-Media-Account die personenbezogenen Daten eines Dritten veröffentlicht, wofür das unabhängige Datenschutzzentrum Saarland 2019 ein Bußgeld von 118,50 Euro verhängte.
  • Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen verhängte 2020 ein Bußgeld in Höhe von 229 Euro gegen einen LKW-Fahrer, der während seiner Fahrten eine Dashcam betrieb und anschließend die angefertigten Aufnahmen auf seinem Youtube-Kanal veröffentlichte.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.