DSGVO, DSGVO und nochmals DSGVO – alle Welt spricht von der europäischen Datenschutz-Grundverordnung! Ob bei der Bestellung im Online-Shop, dem Besuch beim Hausarzt oder dem Anruf bei der Bank. Die Datenschutzhinweise brennen sich in unseren Kopf.

Dabei führt nicht gleich jedes Handeln automatisch zur Anwendung der DSGVO. Wie in Art. 2 DSGVO geregelt, gilt die Verordnung „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“ Doch es bleibt nicht bei diesem recht weiten Verständnis der Rechtsordnung.

So schließen sich im zweiten Absatz dieser Vorschrift noch vier Ausnahmen an, in deren Situationen die DSGVO keine Anwendung finden soll. Die meistdiskutierte Regelung ist Art. 2 Abs. 2 lit. c DSGVO, wonach die DSGVO nicht bei der Verarbeitung personenbezogener Daten „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ greifen soll.

Das Haushaltsprivileg

Dieses sog. Haushaltsprivileg soll nach einhelliger Ansicht der Literatur einen Ausgleich zwischen den Grundrechten des Datenverarbeiters und der betroffenen Person bezwecken. Wenn also die Datenverarbeitung so geringe Risiken für die Rechte und Freiheiten der hiervon betroffenen Personen mit sich bringt, könnte von den Anforderungen aus der DSGVO abgesehen werden. Mit anderen Worten: Die Verordnung kommt dann gar nicht zur Anwendung.

Dabei soll diese Ausnahme entweder für persönliche oder aber familiäre Tätigkeiten gelten. Wann diese vorliegen, oder genauer gesagt: wann diese nicht mehr vorliegen, lässt sich nicht exakt bestimmen und hängt von den konkreten Umständen des Einzelfalls ab.

Eine Hilfe bietet der Erwägungsgrund 18 der DSGVO. Im dessen zweiten Satz heißt es „Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten.“ Diese Begriffe können zwar einen gewissen Anhaltspunkt liefern, sind jedoch im Ergebnis kaum hilfreich, wie sich später noch herausstellen wird.

Zunächst soll dieses Haushaltsprivileg nach Ansicht einiger Datenschützern „eng und streng“ ausgelegt werden (Vgl. Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Auflage 2019, Art. 2 Rn. 23). Andernfalls drohe ein unkalkulierbares Risiko. Und auch der Schutz des Datenschutzrechts könne ansonsten unterlaufen werden. Und wegen des Ausnahmecharakters müsse diese Privilegierung ohnehin eingegrenzt werden. Dieses macht auch Sinn, ansonsten würde das Datenschutzrecht in seiner Effizienz und Wirkung erheblich eingeschränkt werden.

Ferner legt der Wortlaut der Verordnung in Art. 2 Abs. 2 lit. c) DSGVO bereits mit der Formulierung „ausschließlich“ eine weitere Marschroute fest: Wenn die Vorgänge teils privat und teils geschäftlich sind, also auch über den privaten „Gebrauch“ hinausgehende weitere Zwecke verfolgen, so beispielsweise bei einem Adressbuch mit geschäftlichen wie auch privaten Kontaktdaten anzunehmen ist, fällt diese Verarbeitung aus diesem Haushaltsprivileg hinaus. Insbesondere Selbstständige oder Freelancer sollten sich hiervon angesprochen fühlen, aber auch all jene, die mit Ihrem Hobby ein (zusätzliches) Einkommen erzielen oder Gewinnabsichten haben (Briefmarken-Sammler).

Deshalb soll der Zweck der Datenverarbeitung berücksichtigt werden. Bei dieser Überlegung zeigt sich ein weiteres Problem: Wenn beispielsweise ein System oder eine Datenverarbeitung mittelbar auch andere Zwecke bei einem Dritten (oder dem Betreiber/Dienstleister) berühren, müsste demnach unter Annahme dieser Logik ebenfalls davon ausgegangen werden, dass diese Haushalsausnahme nicht mehr greift. Wenn also ein privater Account von einer natürlichen Person auf einem sozialen Netzwerk oder ein privates Fotoalbum auf einer entsprechenden Online-Plattform eigentlich nur privat genutzt wird, jedoch Werbebanner oder Analysetools im Hintergrund dieser Webseite laufen, womit der Betreiber Umsatz geniert oder letztlich Geld verdient, würde der Privatnutzer wohl in der Regel und wissentlich mittelbar auch kommerzielle Zwecke des Anbieters fördern (und verfolgen). Gleiches gilt bei solchen Webseiten, die nur gegen Bezahlung (uneingeschränkt) genutzt werden können. Es wäre jedenfalls anzudenken, ob hiermit nicht auch kommerzielle Zwecke des Anbieters anzuerkennen sind, immerhin verdient dieser ja dann mit.

Ein Blick in Erwägungsgrund 18, Satz 3 bietet womöglich diesbezüglich Aufklärung:

„Diese Verordnung gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.“

Damit soll der Betrieb solcher Dienstleistungen und Abwendungen von der „persönlichen“ Handlung der Privatperson isoliert betrachtet werden. Für den Auftragsverarbeiter oder Dienstleister bzw. Betreiber der technischen Infrastruktur gilt die DSGVO – auch wenn das bei der Privatperson in solchen Situationen anders sein mag. Das Haushaltsprivileg bleibt weiterhin denkbar.

Veröffentlichung im Internet

Des Weiteren wird im Kontext der Kommunikation und Präsenz im Internet von den Datenschützern und Richtern vorgetragen, dass ein Handeln in sozialen Netzwerken oder im Web, das sich an eine unbestimmte größere Zielgruppe (bzw. solchen Teilnehmerkreis) richtet, auch aus dem Schutzbereich des Haushaltsprivilegs fällt (Vgl. EuGH, 14. 2. 2019, Az.: C-345/17; EuGH, 10. 7. 2018, Az.: C-25/17). Wenn eine unbestimmte Zahl von (fremden) Personen Kenntnis von diesen Informationen erhalten können, beispielsweise die Kontaktdaten, Fotos oder sonstige personenbezogene Daten wahrnehmen, bewegt man sich wiederum im Rahmen der DSGVO und hat somit die datenschutzrechtlichen Anforderungen zu beachten und zu wahren.

Angesichts der genannten Abgrenzungsschwierigkeiten bleiben jedoch Zweifel.

Überwachung

Das Filmen in den eigenen vier Wänden fällt regelmäßig in diese Haushaltsausnahme; ähnlich wird es grundsätzlich auch bei Gebäudekameras auf dem privaten Gelände beurteilt.

Ältere Gerichtsurteile zeigen hingegen auf, dass dieser persönliche Lebensbereich verlassen wird, wenn beispielsweise auch der öffentliche Straßenverkehr/Raum betroffen ist (EuGH, 11.12.2014, Az.: C-212/13). Solche Überlegungen könnten auch hier in der Einstufung jeglicher Datenverarbeitung nach der DSGVO Einzug finden.

Auf der Ebene der Bewertung des Risikos für die Rechte und Freiheiten des Einzelnen existiert eine weitere Stellschraube. Wenn eine systematische Überwachung droht oder die Datenverarbeitung weit in die Grundrechte (anderer) eingreift, dürfte bereits aus der Natur der Sache eine Privilegierung der Datenverarbeitung und folglich das außer Acht lassen der rechtlichen Bewertung unschwer möglich sein. Aber auch der Umfang der Datenverarbeitung spielt eine Rolle bei der Bewertung des Haushaltsprivilegs.

Daher wäre wohl die Datenverarbeitung mit Hilfe einer Dashcam im öffentlichen Straßenverkehr nicht mehr privilegiert und müsste nach den datenschutzrechtlichen Voraussetzungen geprüft und bewertet werden.

Die moderne Welt: Hersteller, Betreiber und Nutzer werden verknüpft

Doch damit nicht genug: Die technische Entwicklung hin zu vernetzten Geräten, GPS-Trackern und Cloud-Lösungen wirft neue Fragen auf. Häufig kommen hier neue und verknüpfte Systeme und eine IT-Infrastruktur zum Einsatz, die eine umfassende, kaum überschaubare Datenverarbeitung vornehmen und daher ebenfalls für die Anwendung der DSGVO sprechen. Zwar nutzt die Privatperson das Smartphone, die Drohne oder den intelligenten und mit dem Internet verbundenen Kühlschrank für seine persönliche oder familiäre Tätigkeit mit „privaten“ Zwecke –  doch erscheint es nicht abwegig, dass diese personenbezogenen Daten auch von Dienstleistern oder Anbietern für kommerzielle (eigene) Zwecke genutzt werden. Zu denken wäre an die Auswertung und Nutzeranalyse zum Marketing, dem Austausch mit Hersteller (z.B. für Testzwecke, Kundenanalyse oder zur Steuerung anderer Geräte) oder der Darstellung im Netz. Häufig wird dem Nutzer dabei angeboten, diese Daten einzusehen oder mit anderen zu teilen bzw. Schnittstellen zu anderen Systemen zu nutzen. Wer seinen Fitnesstracker mit einschlägigen Communitys verbindet, damit die Nutzer auf einer Webseite „live“ den Lauf um den See verfolgen und „anfeuern“ können, durchbricht die Mauer der Haushaltsausnahme.

Zu überlegen wäre, dass diese Datenverarbeitungsvorgänge und etwaige Meta-Daten im Hintergrund auch dann nicht mehr der Haushaltsausnahme unterfallen, weil große IT-Unternehmen diese Daten offensichtlich für eigene Zwecke nutzen oder sich das (uneingeschränkte) Nutzungsrecht über die AGB an den Inhalten einräumen lassen, wie es bei prominenten Social Media Apps der Fall ist (z.B. TikTok), womit der Nutzer eigenständig mittelbar kommerzielle Zwecke des Anbieters fördert. Mithin dürfte die Privilegierung nicht mehr gelten, wenn diese Daten vom Nutzer ohnehin an andere Firmen, beispielsweise der eigenen Versicherung oder Krankenkasse weitergegeben werden (Telematik-Tarife).

Und wenn mittels vernetzter Endgeräte im IoT die Daten durch verschiedene Dienste und Plattformbetreiber ausgetauscht, mit Schnittstellen zu Alexa und Co. verbunden, durch Cloud-Lösungen bei großen Serveranbietern in den USA als Backup verarbeitet und über das Internet vom Nutzer jederzeit und überall abgerufen werden können, dürfte das Haushaltsprivileg angesichts dieser kaum kontrollierbaren Datenverarbeitung in weite Ferne rücken.

Fazit

Es sollte deutlich geworden sein, dass mit zunehmend technischer Entwicklung und Digitalisierung das Haushaltsprivileg immer weniger Raum bekommt mit der Konsequenz, dass womöglich in naher Zukunft alle Handlungen abseits von „Stift und Zettel“ zur Anwendung der DSGVO führen. Einige Datenschützer werden diese Situation begrüßen und den Schutzumfang der DSGVO hervorheben, viele Praktiker und Privatpersonen werden diese Rechtslage sicherlich kritisch sehen. Möglicherweise bedarf es ferner einer Erweiterung oder Anpassung der Vorschrift zur Haushaltsausnahme, um mit der Privilegierung des Privatgebrauchs auch der Veränderung der Technik gerecht zu werden. Im Rahmen der Evaluierung der DSGVO (Vgl. Art. 97 Abs. 5 DSGVO; Golland, in: Taeger/Gabel, DSGVO, 3. Auflage 2019, Art. 97 DSGVO Rn. 21) könnte und sollte dieses Thema angegangen werden. In wenigen Wochen steht diese Aufgabe erstmals an.