Immer wieder hört man, dass die DSGVO nicht gilt, wenn jemand Daten für private Zwecke verarbeitet. Was ist da dran? Und wo verlaufen die Grenzen?
Eine Ausnahme vom Anwendungsbereich der DSGVO
Der Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) geht sehr weit. Aber für die private Verarbeitung von Daten gilt sie tatsächlich nicht. Genauer: Sie gilt nicht für die Verarbeitung personenbezogener Daten „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.“ So beschreibt es an etwas versteckter Stelle Art. 2 Absatz 2 Buchstabe c DSGVO.
Hinter der Regelung steht der Gedanke, dass rein private Aktivitäten die Interessen anderer Personen normalerweise nicht berühren.
Ausnahmen sind eng auszulegen
Die DSGVO lässt hier eine Ausnahme von ihrem Anwendungsbereich zu. Ausnahmen sind generell eng auszulegen. Deshalb empfiehlt es sich, die Regelung sehr genau anzuschauen. Dabei ergeben sich wichtige Aspekte:
Natürliche und juristische Personen
- Die Ausnahme betrifft nur die Verarbeitung von Daten durch „natürliche Personen“. Das sind alle Menschen. Der Gegenbegriff dazu sind „juristische Personen“. Das heißt konkret: Wenn Herr Meier für sich persönlich einen Geburtstagskalender mit seinen Bekannten führt, spielt die DSGVO keine Rolle. Denn dies tut er als natürliche Person. Führt er einen Geburtstagskalender mit demselben Inhalt dagegen als Geschäftsführer für die Meier GmbH, sieht es anders aus. Dann gilt dafür die DSGVO.
Persönliche und geschäftliche Tätigkeiten
- Die Ausnahme erfasst nur „persönliche und familiäre Tätigkeiten“. Das Gegenstück dazu sind vor allem „geschäftliche Tätigkeiten“. Ein elektronisches Telefonbuch mit den Rufnummern von Verwandten und persönlichen Freunden interessiert die DSGVO nicht. Bei einem elektronischen Telefonbuch mit den Rufnummern von Geschäftspartnern sieht das anders aus.
Behandlung von gemischten Fällen
- Dieses Beispiel führt zu „Mischfällen“, die in der Praxis relativ häufig sind. Jemand hat in seinem privaten Handy die Rufnummern von Verwandten und Freunden gespeichert. Außerdem finden sich dort auch die Nummern aller wichtigen Geschäftspartner. Private Verbindungen bestehen zu den Geschäftspartnern nicht. Hier gilt die DSGVO für das gesamte Nummernverzeichnis, also für alle Daten. Denn von der DSGVO ausgenommen sind nur Tätigkeiten, die „ausschließlich“ persönlicher oder familiärer Natur sind. Hier dient das Verzeichnis aber auch geschäftlichen Zwecken.
Im Zweifel: keine Ausnahme möglich!
Unsicherheiten bei der Abgrenzung gehen immer zulasten dessen, der die Daten verarbeitet. Im Zweifel gilt die DSGVO also, und eine Berufung auf die Ausnahme ist nicht möglich. Beispiel: Es bleibt unklar, ob jemand einen Geburtstagskalender als Privatmann oder als Geschäftsführer nutzt. Dann muss er die DSGVO voll beachten. Er kann sich nicht auf die Ausnahme von der DSGVO berufen.
Soziale Netzwerke ohne Zugriffsbeschränkung
Viele wollen ihre Fotos einem weiteren Kreis von Bekannten zugänglich machen und stellen sie beispielsweise bei Facebook ein. Ansehen kann sie jeder, der auf den Account zugreift. Damit befinden sich die Aufnahmen außerhalb des ausschließlich privaten Bereichs. In solchen Fällen gilt die DSGVO in vollem Umfang.
Echt private Gruppen in sozialen Netzwerken
Natürlich sind auch in sozialen Netzwerken rein private Gruppen möglich. Beispiel: Weit voneinander entfernt lebende Mitglieder einer Familie richten eine private Gruppe ein, in der sie private Bilder und private Nachrichten austauschen. Zugriff haben nur die Mitglieder. Dafür gilt die DSGVO nicht. Wichtig ist aber eine persönliche Verbundenheit der Gruppe untereinander.
„Zahlenspiele“ helfen nicht weiter
Keine Rolle spielt dagegen, wie viele Mitglieder zu einer Gruppe gehören. Bloß weil eine Gruppe beispielsweise nur fünf oder zehn Mitglieder hat, ist sie nicht automatisch eine private Gruppe. Umgekehrt können beispielsweise bei einer großen Familie auch 20 oder 30 Personen durchaus noch eine private Gruppe bilden.
Überwachungskamera in der eigenen Wohnung
Manche lassen in ihrer Wohnung eine Kamera laufen, wenn sie außer Haus sind. Das tut etwa ein Katzenfreund, der tagsüber immer wieder einmal aus der Entfernung sehen will, wie es der Kätzin mit den neu geborenen Kätzchen geht. Das ist eindeutig ein Fall rein privater Datenverarbeitung, auch wenn der Zugriff über eine Datenleitung aus der Ferne erfolgt.
Überwachungskamera vor dem eigenen Haus
Anders sieht es bei Kameras in Hauseinfahrten aus. Das akzeptieren die Datenschutzbehörden nicht mehr als private Datenverarbeitung. Der Grund: Eine solche Überwachung dient dazu, Störenfriede im Bild festzuhalten. Das geht dann schon über den internen, rein privaten Bereich hinaus.