Bild: Thorsten Hübner

Grenzbereiche

In welchen Fällen die DSGVO für Privatleute gilt – und in welchen nicht

Das strenge europäische Datenschutzrecht greift im privaten, familiären Umfeld nicht. Allerdings sind die Grenzen schneller erreicht, als viele denken. Wir weisen Wege durch den Regelungsdschungel.

Von Joerg Heidrich

Die europäische Datenschutz-Grundverordung (DSGVO) soll natürliche Personen davor schützen, dass andere ihre Daten widerrechtlich erheben und verarbeiten. Allerdings kennt das Gesetz eine bedeutsame Ausnahme, und zwar falls die Daten von „natürlichen Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ genutzt werden. Die DSGVO bleibt also mitsamt all ihren drakonischen Strafandrohungen außen vor, wenn Datenverarbeitung ohne jeden Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit geschieht.

Mit dieser sogenannten Haushaltsausnahme, die im Art. 2 Abs. 2 DSGVO zu finden ist, wollte der Gesetzgeber einen Ausgleich zwischen den Rechten der von Datenverarbeitung betroffenen Personen auf der einen und einer rein privaten Nutzung auf der anderen Seite schaffen. Dem zugrunde liegt der Gedanke, dass eine Datenverarbeitung, die nur das familiäre und private Umfeld umfasst, im Normalfall ein eher geringes Risiko für die davon Betroffenen mit sich bringt. Demgegenüber würde die Handlungsfreiheit im Privatleben erheblich eingeschränkt, käme auch hier das strenge Datenschutzrecht voll zur Anwendung. Man stelle sich beispielsweise vor: Der Vater muss jedes Familienmitglied vor dem Familienfoto unterm Weihnachtsbaum um eine formale Einwilligung ersuchen, möglichst noch schriftlich.

Wie alle Ausnahmen in der DSGVO muss man allerdings auch diese Sonderregel eng auslegen. Es gilt ein Ausschließlichkeitsprinzip: Nicht der Schwerpunkt einer Handlung entscheidet, vielmehr reicht es bereits aus, wenn auch nur ein kleiner Teil außerhalb der privaten Sphäre geschieht. Erstellt beispielsweise eine Privatperson eine Liste mit Geburtstagen, so kann sie sich nur auf die Haushaltsausnahme berufen, wenn auf dieser Liste wirklich nur Familienmitglieder und enge Freunde stehen. Trägt sie auch Geburtstage von Arbeitskollegen oder Geschäftspartnern ein, denen sie gratulieren möchte, verlässt sie bereits den engen Anwendungsbereich der Ausnahme.

Familiäre Tätigkeiten

Zu den typischen familiären Bereichen gehören Freizeit, Urlaub, Sport, Hobbys und noch einiges mehr. In zum Art. 2 gehörenden Erwägungsgrund 18 der DSGVO nennt der Gesetzgeber explizit auch „Online-Tätigkeiten und die Nutzung sozialer Netzwerke“. Hier geht es etwa um geschlossene Facebook-Gruppen. Die DSGVO umfasst unter der Haushaltsausnahme alles, was der Pflege der familiären Beziehungen zugutekommt, also beispielsweise wenn man Schnappschüsse der letzten Familienfeier im geschlossenen Kreis teilt.

Überdies ist der Begriff „Familie“ nicht streng rechtlich zu verstehen. Vielmehr umfasst er unabhängig von Ehe und Verwandtschaft auch weitere „familiäre Beziehungen“. Die englischsprachige Fassung der DSGVO spricht treffender von „household activity“. Das bedeutet: Ein Verwandtschaftsgrad ist nicht zwingend erforderlich.

Die Haushaltsausnahme umfasst folglich auch Partnerschaften oder gemeinsame Haushalte von Freunden in einer Wohngemeinschaft, außerdem sicherlich etwa private Telefonverzeichnisse, Schriftverkehr in privaten Angelegenheiten, ein persönliches Tagebuch und das Sammeln von Fotos. Der Gesetzgeber verlangt aber nicht, dass zu allen von der privaten Datennutzung Betroffenen eine enge Beziehung besteht. Erlaubt ist es daher beispielsweise auch, dass Fans von ihren Idolen private Sammlungen mit Bildern und Dokumenten anlegen und diese im eigenen Haushalt vorhalten.

Man kann die Grenzen der privaten Nutzung allerdings auch schnell und unmerklich überschreiten, beispielsweise wenn man die personenbezogenen Daten auch für geschäftliche Zwecke nutzt. „Geschäftlich“ ist jede wirtschaftliche Tätigkeit, wobei es keine Rolle spielt, ob tatsächlich Geld fließt. Hierunter fallen daher auch Werbung, der Austausch von Daten gegen Dienstleistung oder Marktforschung und Marketing.

Es reicht schon aus, wenn nur „gemischte Daten“ im Spiel sind, also zum Beispiel die eines Arbeitskollegen, dessen Daten man sowohl privat als auch geschäftlich speichert. Das gilt auch dann, wenn die private Nutzung der Daten überwiegt. Der typische „Dual Use“-Fall, nämlich das Kontaktverzeichnis von Smartphones, ist in diesem Sinn eben dann nicht rein privat, wenn Sie familiäre und dienstliche Telefonnummern darin vermengen (siehe Kasten). Auch nicht unter die Haushaltsausnahme fällt es, wenn Sie etwa Daten nutzen, um Spendengelder für einen guten Zweck zu sammeln oder ein politisches Anliegen damit zu unterstützen. Selbst der Informationsaustausch innerhalb eines Vereins oder einer Kirchengemeinde gilt nicht als rein persönlich.

Hochladen von Kontaktdaten

Umstritten ist bis heute, ob das Hochladen von Kontakt- und Telefondaten zu Plattformen wie WhatsApp oder Clubhouse in den Bereich der DSGVO fällt. Dann wäre in der Regel vorab eine Einwilligung jedes einzelnen Betroffenen aus der Kontaktliste erforderlich. Für den privaten Bereich herrscht die überwiegende Rechtsauffassung, dass dieser Vorgang bei der Weitergabe rein privater Daten aus dem persönlichen und familiären Umfeld unter die Haushaltsausnahme fällt. Eine Grenze ist demnach spätestens erreicht, wenn auch Kontaktdaten aus dem beruflichen Umfeld oder etwa aus dem Sportverein umfasst sind. Das Hochladen dieser Daten ohne eine valide Rechtsgrundlage (wie eine informierte Einwilligung in jedem Einzelfall) stellt dann einen Datenschutzverstoß dar. Daher ist die Trennung von Kontaktinformationen innerhalb des Geräts bei einer (auch) beruflichen Nutzung unumgänglich.

Dass die rein private Nutzung von WhatsApp unter die Haushaltsausnahme fällt, hat Mitte 2021 die österreichische Datenschutzbehörde explizit bestätigt (Az. 2021-0.285.169). In dem zugrundeliegenden Fall hatte eine Privatperson eine Nachricht über den Messenger-Dienst an ihre Schwiegermutter übermittelt, in der es um den Gesundheitszustand eines dritten Familienmitglieds ging. Die ausschließlich private Nutzung von WhatsApp ist, sofern damit keine Veröffentlichung personenbezogener Daten im Internet einhergeht, nach Ansicht der Datenschutzbehörde vom Anwendungsbereich der Haushaltsausnahme erfasst.

Sonderfall Internet

Eine persönliche oder familiäre Tätigkeit ist das, was Juristen als „öffentlichkeitsfeindlich“ bezeichnen. Jegliche öffentlich im Netz zugänglichen Daten unterfallen umgekehrt stets den Regelungen der DSGVO und nicht der Haushaltsausnahme. Dies gilt zumindest dann, wenn die Informationen oder Bilder einer „unüberschaubaren Gruppe von Empfängern“ zur Verfügung gestellt werden, also etwa für öffentlich zugängliche Facebook- oder Instagram-Konten. Dabei spielt es auch keine Rolle, ob die Betroffenen der Darstellung verwandt oder befreundet sind.

Die Abgrenzung hat der Europäische Gerichtshof (EuGH) bereits im Jahr 2003 definiert (Az. C-101/01): „Diese Ausnahme ist somit dahin auszulegen, dass mit ihr nur Tätigkeiten gemeint sind, die zum Privat- oder Familienleben von Einzelpersonen gehören, was offensichtlich nicht der Fall ist bei der Verarbeitung personenbezogener Daten, die in deren Veröffentlichung im Internet besteht, sodass diese Daten einer unbegrenzten Zahl von Personen zugänglich gemacht werden.“ An diesen Grundsätzen hält der EuGH bis heute fest, zum Beispiel in einem Urteil aus dem Jahr 2019, in dem er festgestellt hat, dass die Haushaltsausnahme beim Hochladen eines Videos auf YouTube nicht mehr gilt (Az. C-345/17).

Während bei YouTube die Sache klar scheint, stellt sich die Frage, wie es bei Plattformen aussieht, die Dienste für die Verarbeitung von personenbezogenen Daten auch für rein private und familiäre Tätigkeiten bereitstellen. Hierunter fallen beispielsweise Friendfinder, Kontaktbörsen, Ehemaligen-Seiten von Schulen, Anbieter von Ahnenforschung oder soziale Netzwerke. Die Antwort ist eindeutig: Auch hier kann sich niemand auf die Haushaltsausnahme berufen, um Sanktionen zu entgehen.

Die Abgrenzung verschwimmt lediglich, wenn technisch und organisatorisch sichergestellt ist, dass nur ein eng abgegrenzter Personenkreis aus dem eigenen Umfeld auf online bereitgestellte Informationen zugreifen kann. Hierunter können zum Beispiel Fotos und Videos der Schulaufführung des Enkels oder Familienstammbäume fallen. Diese Inhalte müssen dann aber eng zugangsbeschränkt sein, etwa passwortgeschützt oder durch Ende-zu-Ende-Verschlüsselung.

Problemfall Videoüberwachung

Schließlich wird auch da die Grenze der Haushaltsausnahme überschritten, wo die Erfassung und Verarbeitung von personenbezogenen Daten außerhalb des eigenen Privatbereichs des Datenverarbeiters stattfindet. Hierunter fallen vor allem Videoaufzeichnungen, die zwar aus rein familiären oder privaten Gründen erfolgen, aber auch den öffentlichen Raum betreffen. Für Ärger mit den eigenen Nachbarn, Passanten und auch den Datenschutzbehörden sorgen oft Kameras, die großzügig auch öffentliche Bereiche überwachen. Selbiges gilt auch für Dashcams an Fahrzeugen oder für Drohnenaufnahmen.

In den USA Usus, hierzulande streng verboten: Haustür-Kamerasysteme wie hier die Ring Elite überwachen nicht nur das eigene Grundstück, sondern erfassen mit dem Gehsteig auch öffentliche Bereiche.

Bild: ring.com

Allerdings sind die Grenzen bisweilen fließend. So fällt es beispielsweise in den familiären Bereich, wenn die Eltern ihr Kleinkind in der Wohnung mit einer Webcam überwachen oder im eigenen Garten den Swimmingpool erfassen. Sie sollten aber die Aufzeichnung sofort beenden, wenn Dritte zum Schwimmen vorbeikommen. Alternativ müssen sie diese vorab um Erlaubnis bitten.

Ein steter Anlass für nachbarschaftliche Konflikte sind Kameras, die über das eigene Grundstück hinaus filmen und die Straße oder die Nachbarschaft erfassen. Denn damit verlässt man automatisch auch den Anwendungsbereich der Haushaltsausnahme, sodass die DSGVO Anwendung findet – und damit auch das Risiko des Bußgelds wegen eines Datenschutzverstoßes steigt.

Bußgelder für Privatpersonen

Denn auch gegen Privatpersonen können die Datenschutzbehörden der Bundesländer Bußgelder verhängen. Diese Strafzahlungen befinden sich zwar naturgemäß nicht in den bisweilen schwindelerregenden Höhen von mehreren Millionen Euro, wie man sie bei Unternehmen kennt. Doch auch vierstellige Summen können gewaltige Löcher in Kassen von Privathaushalten reißen.

Behörden haben bereits dutzende Bußgelder von 1000 bis 1500 Euro verhängt, die im Zusammenhang mit unerlaubter Videoüberwachung des öffentlichen Raums stehen. Strafverschärfend wirkte, wenn Überwachungskameras Wohnbereiche von Nachbarn und fremde Häuser erfasst haben. Für solch einen Fall verhängte die griechische Datenschutzbehörde sogar schon einmal ein Bußgeld von 8000 Euro. Und in Spanien musste ein ehemaliger Lebensgefährte nicht weniger als 10.000 Euro dafür bezahlen, dass er seine Exfreundin in der gemeinsam genutzten Wohnung überwacht hatte. Mit Bußgeldern im mittleren dreistelligen Bereich bedachten Behörden bislang den Betrieb von Dashcams, wenn dabei nicht die strengen datenschutzrechtlichen Regelungen berücksichtigt wurden, also etwa, dass Aufnahmen nur anlassbezogen gespeichert werden dürfen.

Beispiele: Bußgelder gegen Privatpersonen
Land	Summe	Vorwurf
Spanien	1500 €	Videoüberwachungskameras erfassen ein Nachbargrundstück.
Österreich	600 €	Im Rahmen eines langjährigen Nachbarschaftsstreits wurden sensible Gesundheitsdaten veröffentlicht.
Spanien	6000 €	Veröffentlichung eines Videos auf Twitter, das unverpixelt familiäre Gewaltszenen zeigt
Deutschland	200 €	Beweismaterial zu Verkehrsverstößen wird in einer unverschlüsselten Mail an die Bußgeldabteilung einer Stadt versandt.
Österreich	600 €	Veröffentlichung von Patientendaten auf einer Facebook-Seite
Griechenland	2000 €	Versand von SMS zur Wahlwerbung ohne Einwilligung der Betroffenen
Spanien	4000 €	Heimliches Fotografieren von weiblichen Badegästen mit dem Smartphone
Deutschland	2.629 €	Versendung von E-Mails mit bis zu 1600 Empfängern, die im CC offen einsehbar waren
Spanien	800 €	Ein Mitarbeiter erstellte ohne Kenntnis und Einwilligung ein Profil einer Kollegin auf einer Erotikseite.

Fazit

Die Haushaltsausnahme ist eine eminent wichtige Sonderregelung in der DSGVO, ohne die eine private und nicht regulierte Nutzung von Daten im familiären Umfeld nicht erlaubt wäre. So ermöglicht die Regelung beispielsweise, Bilder auf Feiern zu machen und direkt, per Messenger oder über strikt geschlossene Online-Gruppen weiterzugeben.

Aber: Sie stellt keinen Freibrief zum allzu unbesorgten Umgang mit fremden Informationen aus. Eine Grenze überschreitet man etwa dann, wenn die Öffentlichkeit auf die Daten zugreifen kann und somit ein „Öffentlichkeitsbezug“ besteht. In diesem Fall greift das Privileg nicht mehr und es drohen Bußgelder – auch gegenüber Privatpersonen. (hob@ct.de)