Der Datenschutz betrifft nicht nur Unternehmen oder Behörden! Ein aktueller Fall aus dem Tätigkeitsbericht 2025 des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) zeigt deutlich: Auch Privatpersonen können schnell in die Rolle eines datenschutzrechtlich Verantwortlichen rutschen – mit allen daraus folgenden Pflichten.
Der Fall
In einer Wohnungseigentümergemeinschaft (WEG) wurden über 300 Bewohner per E-Mail dazu aufgefordert, Verstöße gegen die Hausordnung einer konkreten, namentlich (mit Anschrift und Wohnung) genannten Familie an eine eigens dafür eingerichtete E-Mail-Adresse zu melden. Die Aufforderung wurde von einer der Hausverwaltung zugehörigen E-Mail-Adresse, jedoch im Namen einer Privatperson, verschickt. Diese Privatperson hatte das Postfach – nach eigener Aussage auf Anregung der Hausverwaltung – eingerichtet, um Meldungen zu sammeln und gebündelt weiterzugeben (vgl. Tätigkeitsbericht 2025 des BayLDA, S. 36 f.).
Warum hier die DSGVO gilt
Ein häufiger Irrtum: Die Datenschutz-Grundverordnung (DSGVO) gilt nur für Unternehmen. Das stimmt so nicht. Entscheidend ist nicht, ob eine Tätigkeit kommerziell ist, sondern ob personenbezogene Daten verarbeitet werden. Ausgenommen sind mit der sog. „Haushaltsausnahme“ lediglich Verarbeitungen durch natürliche Personen, die zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erfolgen (Art. 2 Abs. 2 lit. c DSGVO). Genau das war hier jedoch nicht mehr der Fall. Denn durch das Mailing an über 300 Personen zum gezielten Sammeln von Informationen über Dritte, um diese strukturiert weiterzugeben, war die private Sphäre klar überschritten.
Privatperson als Verantwortlicher
Die Aufsichtsbehörde kam zu einem klaren Ergebnis: Die Privatperson (und nicht die Hausverwaltung) war als der datenschutzrechtlich Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO einzuordnen. Denn die Privatperson entschied mit der Aufforderung, Verstöße gegen die Hausordnung zu melden, um diese gesichtet und gebündelt der Hausverwaltung vorzulegen, über die Zwecke und mit der Einrichtung der entsprechenden E-Mail-Adresse auch über die Mittel der Datenverarbeitung.
Welche Pflichten daraus entstehen
Wer als Verantwortlicher gilt, muss eine Reihe von Anforderungen erfüllen, u. a. muss eine Rechtsgrundlage für die Datenverarbeitung vorliegen, die betroffenen Personen müssen transparent informiert werden und es müssen geeignete technische und organisatorische Maßnahmen ergriffen werden.
Fazit: Vorsicht bei „organisierten Nachbarschaftsaktionen“
Der Fall zeigt deutlich: Sobald Privatpersonen beginnen, systematisch Daten über andere zu sammeln oder zu verbreiten, kann die DSGVO greifen. Wer Daten sammelt, bewertet oder weitergibt, übernimmt datenschutzrechtliche Verantwortung – auch als Privatperson.
Mehr zum Thema Privatpersonen als Verantwortliche lesen Sie auch in diesen Beiträgen:
10. April 2026 @ 12:12
Danke für den gelungenen Artikel. Ein weiteres Beispiel, wo Privatpersonen zu Verantwortlichen im Sinne der DSGVO werden, ist, wenn sie ihr Grundstück, zu dem Dritte Zugang haben (Briefträger, Paketdienst, Besucher etc.) mit einer Videokamera überwachen. Die damit erforderliche Datenschutzinformation für Betroffene wird nur in wenigen Fällen geliefert und häufig nicht rechtskonform.