Unterliegen Privatpersonen der Meldepflicht nach Art. 33 DSGVO, wenn sie von der Verletzung des Schutzes personenbezogener Daten Kenntnis erlangen, etwa bei Verlust ihres privaten – unverschlüsselten – Handys oder Laptops?
Erwägungsgrund 18 führt hierzu aus, dass die DSGVO nicht für die Verarbeitung personenbezogener Daten gilt, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs, etwa per E-Mail oder Chat, oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten.
Die DSGVO gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.
Der sachliche Anwendungsbereich der DSGVO erstreckt sich gemäß Art. 2 Abs. 2 lit. c DSGVO unter anderem nicht auf die Verarbeitung personenbezogener Daten durch natürliche Personen ausschließlich persönlicher oder familiärer Tätigkeiten.
Doch was heißt das in der Praxis?
Eine konkrete Definition der Begriffe „persönlich“ oder „familiär“ enthält die DSGVO nicht. Überwiegend wird daher die Meinung vertreten, dass es auf den Kontext[1] der Verarbeitung ankommt. Dies gilt selbst hinsichtlich der Verarbeitung besonderer Kategorien von Daten nach Art. 9 DSGVO[2], aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen oder die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.
Bei auch nur untergeordnetem Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit gilt das Haushaltsprivileg nicht[3]. Dagegen wird der Betrieb einer Überwachungskamera an einem Privatgrundstück vom Haushaltsprivileg erfasst, wenn kein öffentlicher Raum mit überwacht wird[4] (als Anhaltspunkt kann die sogenannte 1m-Regelung herangezogen werden. Wenn ein Streifen von maximal 1m Breite vom Privatgrundstück entfernt mit überwacht wird, kann das Haushaltsprivileg gelten.).
Fazit
Wird der Verlust des privaten Mobiltelefons oder Laptops bemerkt, ist zu prüfen, ob dieses ausschließlich privat genutzt wird. Liegt – wenn auch in geringem Umfang – eine weitergehende Nutzung vor, unterliegt auch die Privatperson der DSGVO, insbesondere der Meldepflicht nach Art. 33 DSGVO.
Dies dürfte immer dann der Fall sein, wenn auch geschäftliche Daten gespeichert sind, etwa bei der Verwendung im Rahmen von „Bring Your Own Device“ (BYOD), im Einzelfall aber auch schon, wenn sensible Daten anderer Personen gespeichert werden, etwa Zugangsdaten oder Passwörter. Eine solche Verarbeitung „infiziert“[5] die Daten insgesamt, so dass eine Meldepflicht besteht.
[1] Ennöckel in Sydow, Europäische Datenschutzgrundverordnung, 2. Auflage Baden-Baden 2018, Art. 2 Rn. 11; Schmidt in Taeger/Gabel DSGVO/BDSG, 3. Auflage Frankfurt am Main 2019, Art. 2 Rn. 18.
[2] Ennöckel in Sydow, Europäische Datenschutzgrundverordnung, 2. Auflage Baden-Baden 2018, Art. 2 Rn. 11; Roßnagel in Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Auflage Baden-Baden 2019, Art. 2 Rn. 23.
[3] Roßnagel in Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Auflage Baden-Baden 2019, Art. 2 Rn. 26.
[4] Plath in Path, DSGVO/BDSG, 3. Auflage Köln 2018, Art. 2 Rz. 24; Roßnagel in Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Auflage Baden-Baden 2019, Art. 2 Rn. 31; Schmidt in Taeger/Gabel, DSGVO/BDSG, 3. Auflage Frankfurt am Main 2019 Art. 2 Rn. 20.
[5] Helfrich in Forgó/Helfrich/Schneider Betr. Datenschutz | Teil V. Kapitel 2. Bring Your Own Device und Datenschutz Rn. 1-73 | 3. Auflage 2019
German: Ist der Verlust eines privaten Handys oder Laptops meldepflichtig oder greift das Haushaltsprivileg nach Art. 2 Abs. 2 lit. c DSGVO? – Privacy Design
10. Juni 2019 @ 11:07
[…] Can the loss of a private mobile or laptop require a data breach notification, or does the household exemption prevail? – No household exemption, if any processing for non-household use. (No surprise really.)Blog article https://www.datenschutz-notizen.de/ist-der-verlust-eines-privaten-handys-oder-laptops-meldepflichtig… […]
Anonymous
7. Juni 2019 @ 11:14
Das müsste also bedeuten, dass jeder Smartphonenutzer, der auf Krankheitsdaten (Neusprech Gesundheitsdaten) mittels APP auf Gesundheitsakten (Vivy, Vitadock, TK-Safe, CGM LIFE usw.) oder z.B. AU-Schein oder später Patientenakten usw. Zugriff hat, den Verlust des Smartphones melden müsste, oder?
Stefan Schimkat
7. Juni 2019 @ 14:49
Eine Meldepflicht besteht bei Zugriff auf fremde Gesundheitsdaten, sofern diese nicht verschlüsselt sind.