Unterliegen Privatpersonen der Meldepflicht nach Art. 33 DSGVO, wenn sie von der Verletzung des Schutzes personenbezogener Daten Kenntnis erlangen, etwa bei Verlust ihres privaten – unverschlüsselten – Handys oder Laptops?

Erwägungsgrund 18 führt hierzu aus, dass die DSGVO nicht für die Verarbeitung personenbezogener Daten gilt, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs, etwa per E-Mail oder Chat, oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten.

Die DSGVO gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.

Der sachliche Anwendungsbereich der DSGVO erstreckt sich gemäß Art. 2 Abs. 2 lit. c DSGVO unter anderem nicht auf die Verarbeitung personenbezogener Daten durch natürliche Personen ausschließlich persönlicher oder familiärer Tätigkeiten.

Doch was heißt das in der Praxis?

Eine konkrete Definition der Begriffe „persönlich“ oder „familiär“ enthält die DSGVO nicht. Überwiegend wird daher die Meinung vertreten, dass es auf den Kontext[1] der Verarbeitung ankommt. Dies gilt selbst hinsichtlich der Verarbeitung besonderer Kategorien von Daten nach Art. 9 DSGVO[2], aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen oder die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Bei auch nur untergeordnetem Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit gilt das Haushaltsprivileg nicht[3]. Dagegen wird der Betrieb einer Überwachungskamera an einem Privatgrundstück vom Haushaltsprivileg erfasst, wenn kein öffentlicher Raum mit überwacht wird[4] (als Anhaltspunkt kann die sogenannte 1m-Regelung herangezogen werden. Wenn ein Streifen von maximal 1m Breite vom Privatgrundstück entfernt mit überwacht wird, kann das Haushaltsprivileg gelten.).

Fazit

Wird der Verlust des privaten Mobiltelefons oder Laptops bemerkt, ist zu prüfen, ob dieses ausschließlich privat genutzt wird. Liegt – wenn auch in geringem Umfang – eine weitergehende Nutzung vor, unterliegt auch die Privatperson der DSGVO, insbesondere der Meldepflicht nach Art. 33 DSGVO.

Dies dürfte immer dann der Fall sein, wenn auch geschäftliche Daten gespeichert sind, etwa bei der Verwendung im Rahmen von „Bring Your Own Device“ (BYOD), im Einzelfall aber auch schon, wenn sensible Daten anderer Personen gespeichert werden, etwa Zugangsdaten oder Passwörter. Eine solche Verarbeitung „infiziert“[5] die Daten insgesamt, so dass eine Meldepflicht besteht.

 

[1] Ennöckel in Sydow, Europäische Datenschutzgrundverordnung, 2. Auflage Baden-Baden 2018, Art. 2 Rn. 11; Schmidt in Taeger/Gabel DSGVO/BDSG, 3. Auflage Frankfurt am Main 2019, Art. 2 Rn. 18.

[2] Ennöckel in Sydow, Europäische Datenschutzgrundverordnung, 2. Auflage Baden-Baden 2018, Art. 2 Rn. 11; Roßnagel in Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Auflage Baden-Baden 2019, Art. 2 Rn. 23.

[3] Roßnagel in Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Auflage Baden-Baden 2019, Art. 2 Rn. 26.

[4] Plath in Path, DSGVO/BDSG, 3. Auflage Köln 2018, Art. 2 Rz. 24; Roßnagel in Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Auflage Baden-Baden 2019, Art. 2 Rn. 31; Schmidt in Taeger/Gabel, DSGVO/BDSG, 3. Auflage Frankfurt am Main 2019 Art. 2 Rn. 20.

[5] Helfrich in Forgó/Helfrich/Schneider Betr. Datenschutz | Teil V. Kapitel 2. Bring Your Own Device und Datenschutz Rn. 1-73 | 3. Auflage 2019

| | | , , ,