DSGVO, DSGVO und nochmals DSGVO – alle Welt spricht von der europäischen Datenschutz-Grundverordnung! Ob bei der Bestellung im Online-Shop, dem Besuch beim Hausarzt oder dem Anruf bei der Bank. Die Datenschutzhinweise brennen sich in unseren Kopf.
Dabei führt nicht gleich jedes Handeln automatisch zur Anwendung der DSGVO. Wie in Art. 2 DSGVO geregelt, gilt die Verordnung „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“ Doch es bleibt nicht bei diesem recht weiten Verständnis der Rechtsordnung.
So schließen sich im zweiten Absatz dieser Vorschrift noch vier Ausnahmen an, in deren Situationen die DSGVO keine Anwendung finden soll. Die meistdiskutierte Regelung ist Art. 2 Abs. 2 lit. c DSGVO, wonach die DSGVO nicht bei der Verarbeitung personenbezogener Daten „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ greifen soll.
Das Haushaltsprivileg
Dieses sog. Haushaltsprivileg soll nach einhelliger Ansicht der Literatur einen Ausgleich zwischen den Grundrechten des Datenverarbeiters und der betroffenen Person bezwecken. Wenn also die Datenverarbeitung so geringe Risiken für die Rechte und Freiheiten der hiervon betroffenen Personen mit sich bringt, könnte von den Anforderungen aus der DSGVO abgesehen werden. Mit anderen Worten: Die Verordnung kommt dann gar nicht zur Anwendung.
Dabei soll diese Ausnahme entweder für persönliche oder aber familiäre Tätigkeiten gelten. Wann diese vorliegen, oder genauer gesagt: wann diese nicht mehr vorliegen, lässt sich nicht exakt bestimmen und hängt von den konkreten Umständen des Einzelfalls ab.
Eine Hilfe bietet der Erwägungsgrund 18 der DSGVO. Im dessen zweiten Satz heißt es „Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten.“ Diese Begriffe können zwar einen gewissen Anhaltspunkt liefern, sind jedoch im Ergebnis kaum hilfreich, wie sich später noch herausstellen wird.
Zunächst soll dieses Haushaltsprivileg nach Ansicht einiger Datenschützern „eng und streng“ ausgelegt werden (Vgl. Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Auflage 2019, Art. 2 Rn. 23). Andernfalls drohe ein unkalkulierbares Risiko. Und auch der Schutz des Datenschutzrechts könne ansonsten unterlaufen werden. Und wegen des Ausnahmecharakters müsse diese Privilegierung ohnehin eingegrenzt werden. Dieses macht auch Sinn, ansonsten würde das Datenschutzrecht in seiner Effizienz und Wirkung erheblich eingeschränkt werden.
Ferner legt der Wortlaut der Verordnung in Art. 2 Abs. 2 lit. c) DSGVO bereits mit der Formulierung „ausschließlich“ eine weitere Marschroute fest: Wenn die Vorgänge teils privat und teils geschäftlich sind, also auch über den privaten „Gebrauch“ hinausgehende weitere Zwecke verfolgen, so beispielsweise bei einem Adressbuch mit geschäftlichen wie auch privaten Kontaktdaten anzunehmen ist, fällt diese Verarbeitung aus diesem Haushaltsprivileg hinaus. Insbesondere Selbstständige oder Freelancer sollten sich hiervon angesprochen fühlen, aber auch all jene, die mit Ihrem Hobby ein (zusätzliches) Einkommen erzielen oder Gewinnabsichten haben (Briefmarken-Sammler).
Deshalb soll der Zweck der Datenverarbeitung berücksichtigt werden. Bei dieser Überlegung zeigt sich ein weiteres Problem: Wenn beispielsweise ein System oder eine Datenverarbeitung mittelbar auch andere Zwecke bei einem Dritten (oder dem Betreiber/Dienstleister) berühren, müsste demnach unter Annahme dieser Logik ebenfalls davon ausgegangen werden, dass diese Haushalsausnahme nicht mehr greift. Wenn also ein privater Account von einer natürlichen Person auf einem sozialen Netzwerk oder ein privates Fotoalbum auf einer entsprechenden Online-Plattform eigentlich nur privat genutzt wird, jedoch Werbebanner oder Analysetools im Hintergrund dieser Webseite laufen, womit der Betreiber Umsatz geniert oder letztlich Geld verdient, würde der Privatnutzer wohl in der Regel und wissentlich mittelbar auch kommerzielle Zwecke des Anbieters fördern (und verfolgen). Gleiches gilt bei solchen Webseiten, die nur gegen Bezahlung (uneingeschränkt) genutzt werden können. Es wäre jedenfalls anzudenken, ob hiermit nicht auch kommerzielle Zwecke des Anbieters anzuerkennen sind, immerhin verdient dieser ja dann mit.
Ein Blick in Erwägungsgrund 18, Satz 3 bietet womöglich diesbezüglich Aufklärung:
„Diese Verordnung gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.“
Damit soll der Betrieb solcher Dienstleistungen und Abwendungen von der „persönlichen“ Handlung der Privatperson isoliert betrachtet werden. Für den Auftragsverarbeiter oder Dienstleister bzw. Betreiber der technischen Infrastruktur gilt die DSGVO – auch wenn das bei der Privatperson in solchen Situationen anders sein mag. Das Haushaltsprivileg bleibt weiterhin denkbar.
Veröffentlichung im Internet
Des Weiteren wird im Kontext der Kommunikation und Präsenz im Internet von den Datenschützern und Richtern vorgetragen, dass ein Handeln in sozialen Netzwerken oder im Web, das sich an eine unbestimmte größere Zielgruppe (bzw. solchen Teilnehmerkreis) richtet, auch aus dem Schutzbereich des Haushaltsprivilegs fällt (Vgl. EuGH, 14. 2. 2019, Az.: C-345/17; EuGH, 10. 7. 2018, Az.: C-25/17). Wenn eine unbestimmte Zahl von (fremden) Personen Kenntnis von diesen Informationen erhalten können, beispielsweise die Kontaktdaten, Fotos oder sonstige personenbezogene Daten wahrnehmen, bewegt man sich wiederum im Rahmen der DSGVO und hat somit die datenschutzrechtlichen Anforderungen zu beachten und zu wahren.
Angesichts der genannten Abgrenzungsschwierigkeiten bleiben jedoch Zweifel.
Überwachung
Das Filmen in den eigenen vier Wänden fällt regelmäßig in diese Haushaltsausnahme; ähnlich wird es grundsätzlich auch bei Gebäudekameras auf dem privaten Gelände beurteilt.
Ältere Gerichtsurteile zeigen hingegen auf, dass dieser persönliche Lebensbereich verlassen wird, wenn beispielsweise auch der öffentliche Straßenverkehr/Raum betroffen ist (EuGH, 11.12.2014, Az.: C-212/13). Solche Überlegungen könnten auch hier in der Einstufung jeglicher Datenverarbeitung nach der DSGVO Einzug finden.
Auf der Ebene der Bewertung des Risikos für die Rechte und Freiheiten des Einzelnen existiert eine weitere Stellschraube. Wenn eine systematische Überwachung droht oder die Datenverarbeitung weit in die Grundrechte (anderer) eingreift, dürfte bereits aus der Natur der Sache eine Privilegierung der Datenverarbeitung und folglich das außer Acht lassen der rechtlichen Bewertung unschwer möglich sein. Aber auch der Umfang der Datenverarbeitung spielt eine Rolle bei der Bewertung des Haushaltsprivilegs.
Daher wäre wohl die Datenverarbeitung mit Hilfe einer Dashcam im öffentlichen Straßenverkehr nicht mehr privilegiert und müsste nach den datenschutzrechtlichen Voraussetzungen geprüft und bewertet werden.
Die moderne Welt: Hersteller, Betreiber und Nutzer werden verknüpft
Doch damit nicht genug: Die technische Entwicklung hin zu vernetzten Geräten, GPS-Trackern und Cloud-Lösungen wirft neue Fragen auf. Häufig kommen hier neue und verknüpfte Systeme und eine IT-Infrastruktur zum Einsatz, die eine umfassende, kaum überschaubare Datenverarbeitung vornehmen und daher ebenfalls für die Anwendung der DSGVO sprechen. Zwar nutzt die Privatperson das Smartphone, die Drohne oder den intelligenten und mit dem Internet verbundenen Kühlschrank für seine persönliche oder familiäre Tätigkeit mit „privaten“ Zwecke – doch erscheint es nicht abwegig, dass diese personenbezogenen Daten auch von Dienstleistern oder Anbietern für kommerzielle (eigene) Zwecke genutzt werden. Zu denken wäre an die Auswertung und Nutzeranalyse zum Marketing, dem Austausch mit Hersteller (z.B. für Testzwecke, Kundenanalyse oder zur Steuerung anderer Geräte) oder der Darstellung im Netz. Häufig wird dem Nutzer dabei angeboten, diese Daten einzusehen oder mit anderen zu teilen bzw. Schnittstellen zu anderen Systemen zu nutzen. Wer seinen Fitnesstracker mit einschlägigen Communitys verbindet, damit die Nutzer auf einer Webseite „live“ den Lauf um den See verfolgen und „anfeuern“ können, durchbricht die Mauer der Haushaltsausnahme.
Zu überlegen wäre, dass diese Datenverarbeitungsvorgänge und etwaige Meta-Daten im Hintergrund auch dann nicht mehr der Haushaltsausnahme unterfallen, weil große IT-Unternehmen diese Daten offensichtlich für eigene Zwecke nutzen oder sich das (uneingeschränkte) Nutzungsrecht über die AGB an den Inhalten einräumen lassen, wie es bei prominenten Social Media Apps der Fall ist (z.B. TikTok), womit der Nutzer eigenständig mittelbar kommerzielle Zwecke des Anbieters fördert. Mithin dürfte die Privilegierung nicht mehr gelten, wenn diese Daten vom Nutzer ohnehin an andere Firmen, beispielsweise der eigenen Versicherung oder Krankenkasse weitergegeben werden (Telematik-Tarife).
Und wenn mittels vernetzter Endgeräte im IoT die Daten durch verschiedene Dienste und Plattformbetreiber ausgetauscht, mit Schnittstellen zu Alexa und Co. verbunden, durch Cloud-Lösungen bei großen Serveranbietern in den USA als Backup verarbeitet und über das Internet vom Nutzer jederzeit und überall abgerufen werden können, dürfte das Haushaltsprivileg angesichts dieser kaum kontrollierbaren Datenverarbeitung in weite Ferne rücken.
Fazit
Es sollte deutlich geworden sein, dass mit zunehmend technischer Entwicklung und Digitalisierung das Haushaltsprivileg immer weniger Raum bekommt mit der Konsequenz, dass womöglich in naher Zukunft alle Handlungen abseits von „Stift und Zettel“ zur Anwendung der DSGVO führen. Einige Datenschützer werden diese Situation begrüßen und den Schutzumfang der DSGVO hervorheben, viele Praktiker und Privatpersonen werden diese Rechtslage sicherlich kritisch sehen. Möglicherweise bedarf es ferner einer Erweiterung oder Anpassung der Vorschrift zur Haushaltsausnahme, um mit der Privilegierung des Privatgebrauchs auch der Veränderung der Technik gerecht zu werden. Im Rahmen der Evaluierung der DSGVO (Vgl. Art. 97 Abs. 5 DSGVO; Golland, in: Taeger/Gabel, DSGVO, 3. Auflage 2019, Art. 97 DSGVO Rn. 21) könnte und sollte dieses Thema angegangen werden. In wenigen Wochen steht diese Aufgabe erstmals an.
27. Januar 2020 @ 9:41
Können Sie mal skizzieren, wie dann ein korrekte Behandlung z.B. des folgenden Szenarios aus DSGVOS-Sicht aussehen würde.
4-köpfige Familie möchte Fotos machen zu Weihnachten. Die zwei Kinder sind bereits volljährig. Die Bilder werden mit dem Handy gemacht und per Cloud-Anbieter ins Internet gestellt, damit Oma, Opa und Freunde die Fotos sehen können. Parallel dazu landen einige Fotos auf Facebook für die große weite Welt.
Was muss nun im Vorfeld getan werden, um diesen Vorgang DSGVO-konform abzubilden.
Danke.
27. Januar 2020 @ 15:42
Hallo,
das ist natürlich eine sehr berechtigte Frage als dem Alltag.
Meine Gegenfrage würde lauten: Warum diese Fotos nicht per Mail verschicken? Wenn die Fotos auf Facebook oder einem vergleichbaren Portal hochgeladen werden, besteht jederzeit das Risiko, dass durch unzureichende „Privatsphäreeinstellung“ die Fotos einer unbestimmten, fremden Personenanzahl zugänglich werden. Und dann verlassen wir die Haushaltsausnahme. Wenn durch sehr strenge technische Einstellungen sichergestellt wird, dass die Inhalte nur einer bestimmten, kleineren Personengruppe zugänglich sind (wie in einer geschlossenen Personengruppe, ein Forum mit individuellen LogIn Daten) könnte darüber nachgedacht werden, hier noch eine Haushaltsausnahme anzuerkennen. Aber das müssten dann schon im weitesten Sinne „Familienangehörige“ sein. Hier sind die Grenzen nicht ganz genau zu ziehen. Letztlich ist dies alles ein eher juristischer Streit.
20. Januar 2020 @ 22:53
Was ist mit WhatsApp? Jeder Anwalt sagt, dass das private Nutzen des Nachrichtendienstleisters ebenfalls nicht in den Anwendungsbereich der DSGVO hineinfällt. Aber wenn z. B. alle Telefonnummern des Adressbuches durch WhatsApp eingesehen und abgelichen werden (auch von Nicht-WhatsApp-Anwendern), ist dies doch auch eine Verarbeitung von pers. Daten – die der private Nutzer zulässt. Oder bin ich hier da auf dem Holzweg …?
21. Januar 2020 @ 8:31
Hallo,
vielen Dank für die interessante Nachfrage.
Es ist in der Tat schwierig, ein klare Abgrenzung zu ziehen. Meiner (wohl strengen) Ansicht nach verlässt die Datenverarbeitung den „privaten“, „familiären“ Bereich, wenn sie von externen, untereinander verknüpften Dienstleistern auch für eigene Zwecke genutzt wird, einer unbestimmten Anzahl an anderen Personen zugänglich ist oder umfassende Analysen vorgenommen werden. Bei einer direkten und geschützten Kommunikation zwischen zwei Personen dürfte dies nicht der Fall sein. WhatsApp verschlüsselt die Inhalte und dürfte diese eigentlich nicht einsehen.
Und inwiefern WhatsApp die Telefonnummern der Personen aus dem Adressbuch analysiert, für eigene Zwecke verarbeitet oder generell die Inhalte der Kommunikation nutzt, ist nicht bekannt. Es ist jedoch davon auszugehen, dass WhatsApp diese Daten nicht ohne Weiteres für eigene, weitere Zwecke nutzt oder daraus neue Erkenntnisse gewinnt. Insofern dürfte die Nutzung von WhatsApp im persönlichen Kontext auch nicht allein der Technik wegen das Haushaltsprivileg verlassen.
Wenn natürlich ein Unternehmer im B2C oder B2B Kontext den Dienst zum Support oder zur Kontaktaufnahme einsetzt, findet diese Verarbeitung selbstverständlich im Anwendungsbereich der DSGVO statt.
Mit besten Grüßen.