Die Privatperson als Verantwortlicher
PSP Case Study zur DSGVO: Praxisfall 18

DSGVO: Praktischer Fall

Herr Müller ist Initiator einer Whatsapp-Gruppe mit ca. 15 Personen. Es handelt sich um den „virtuellen Stammtisch“ von einigen Mitgliedern des örtlichen Kegelvereins. Die Mitglieder der Gruppe tauschen sich gegenseitig über ihre Aktivitäten und die Aktivitäten ihrer Familien, über Dritte, über Geburtstage, Krankheiten und sonstige Umstände aus. Die Huber AG, ein Hersteller von Kegelsport-Ausrüstungen, erfährt von der Existenz der Whatsapp-Gruppe und fragt bei Herrn Müller an, ob sie ihre Produkte gegenüber den Mitgliedern der Whatsapp-Gruppe bewerben könne. Herr Müller erhält von der Huber AG eine „exquisite Kegelausrüstung“ und gibt die ihm bekannten Kontaktdaten der Gruppenmitglieder an die Huber AG weiter mit der Auflage, dass die Herkunft der Daten nicht offengelegt werden darf.

Es wurde bereits darauf hingewiesen, dass eine Privatperson und ein Unternehmen „gemeinsam Verantwortliche“ sein können, sodass zwischen ihnen eine Innenvereinbarung nach Art. 26 DSGVO abgeschlossen werden muss (s. Fall 16). Das setzt natürlich voraus, dass die Privatperson überhaupt „Verantwortlicher“ sein kann. Die DSGVO findet nämlich insgesamt keine Anwendung auf eine Verarbeitung personenbezogener Daten „zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ (Art. 2 Abs. 2 lit. c) DSGVO). Man bezeichnet diese Regelung auch als „Haushaltsausnahme“ (s. Fall 1). Zum typisch persönlichen bzw. familiären Bereich gehören Freizeit, Urlaub, privater Konsum oder Sport, also alles, was keinen Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit aufweist. Persönlicher oder familiärer Schriftverkehr sowie Anschriftenverzeichnisse sollen – so Erwägungsgrund 18 – selbst dann hierunter fallen, wenn dafür soziale Netze genutzt werden oder diese Tätigkeiten online verrichtet werden. Es scheint also datenschutzrechtlich – was natürlich schon als „zu weit“ kritisiert wurde – eine Art „öffentliche Privatsphäre“ zu geben, innerhalb derer die Zurschaustellung personenbezogener Daten nicht der DSGVO unterfällt, solange sie ausschließlich privaten Zwecken dient. Bei einer „Mischnutzung“ von personenbezogenen Daten auch für berufliche Zwecke führt das Wort „ausschließlich“ hingegen zur Anwendbarkeit der DSGVO und damit zur Verantwortlicheneigenschaft der Privatperson. Liest man einen Zeitungs- oder Fachartikel nun beruflich oder „ausschließlich“ privat (s. Fall 1)?

Die Frage, wo dieses Haushalts-„Privileg“ genau endet, ist damit von großer Relevanz. Immerhin geht es um ein großes „Pflichtenpaket“ für den Verantwortlichen, wenn die DSGVO erst einmal „zuschlägt“. Früher wurde vertreten, dass, sobald der „öffentliche Raum“ betreten wird, keine private bzw. familiäre Tätigkeit mehr gegeben sein kann. Familienbilder auf Facebook, die von jedermann angesehen werden können, ein privater Blogeintrag auf einer Website, eine Drohne, die auch öffentlichen Straßenraum filmt: In solchen Fällen sollte kein ausreichendes Maß an „Privatheit“ mehr vorliegen. Wenn nun „privater Schriftverkehr“ in sozialen Netzen öffentlich sichtbar ist oder „Anschriftenverzeichnisse“ öffentlich einsehbar „online gestellt“ werden, liegt nach herkömmlichem Begriffsverständnis „eigentlich“ keine persönliche bzw. familiäre Tätigkeit mehr vor, auch wenn der „gesetzesgleiche“ Erwägungsgrund 18 dieses herkömmliche Begriffsverständnis nicht teilt. Was ist nun mit den ganzen Live-Video-übertragenden Computerspielern, den Facebook-Junkies, Twitter-Königen, Instagram-Jüngern und „Youtubern“, die ihre Privatsphäre öffentlich zur Schau stellen und damit Aufmerksamkeit, „Klicks“ und irgendwann Einkommen generieren? Darf man als Hobby-Fotograf in europäischen Städten Fotos machen, auf denen Einwohner abgebildet sind?

Ein wesentlicher Punkt in diesem Zusammenhang ist das „Aufschwingen“ zum Verantwortlichen, wenn die Grenzen des Persönlichen bzw. Familiären gesprengt werden, so wie auch ein Auftragsverarbeiter, wenn er sich zum Verantwortlichen „aufschwingt“, zum Verantwortlichen wird (Art. 28 Abs. 10 DSGVO). Selbst wenn Erwägungsgrund 18 extra festhält, dass die DSGVO natürlich für diejenigen Verantwortlichen gilt, „die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen“ – hier also Whatsapp –, dient doch Herr Müller zunächst als „Lockvogel“, um Whatsapp analysefähige personenbezogene Daten der anderen Teilnehmer (inklusive deren Adressbuchinhalten) zuzuführen. Das würde, wenn man die Facebook-Entscheidung des EuGH daneben legt (s. Fall 16), gegen das Vorliegen der „Haushaltsausnahme“ und für eine Stellung als gemeinsam Verantwortliche zwischen Whatsapp und Herrn Müller sprechen. Allerdings erhält Herr Müller nichts für dieses „Zuführen“ zu wirtschaftlichen Zwecken von Whatsapp; aus seiner Perspektive steht der persönliche Austausch mit Bekannten im Vordergrund. Oder „erhält“ Herr Müller eine Messaging-Plattform von Rang „unentgeltlich“ als Gegenleistung zur Verfügung gestellt, so wie der Fanpage-Betreiber von Facebook eine Social-Network-Plattform (mit ihren Gestaltungsmöglichkeiten und der Sogwirkung ihrer Marke) von Rang „unentgeltlich“ zur Verfügung gestellt bekommt? Bei einem anderen Messaging-Plattform-Betreiber müssten vielleicht sämtliche Teilnehmer erst eine App kostenpflichtig erwerben, was der eine oder andere vielleicht nicht wollen würde, weshalb ja das Modell „Daten gegen Geld“ so attraktiv geworden ist.

Spätestens aber beim „Deal“ mit der Huber AG werden die persönlichen Kontaktdaten endgültig „kommerzialisiert“. Sie stellen eine Gegenleistung von Herrn Müller für den Erhalt seiner geldwerten Ausrüstung dar. Hier ist es deutlicher, dass sich Herr Müller zum Verantwortlichen, der Daten wohl datenschutzwidrig „übermittelt“, aufschwingt. Herr Müller hätte also den anderen Teilnehmern zumindest Zweckänderungs-Pflichthinweise (Art. 13 Abs. 3 DSGVO) zukommen lassen müssen. Und er müsste natürlich auch ein Verarbeitungsverzeichnis anfertigen müssen, sofern er „nicht nur gelegentlich“ personenbezogene Daten verarbeitet. Vielleicht sollte er auch über technisch-organisatorische Maßnahmen nachdenken.

Gegen Privatpersonen, die Verantwortliche im Sinne der DSGVO sind, richten sich übrigens sämtliche Sanktionen bei Datenschutzverstößen, die sich auch gegen Unternehmen richten könnten. Doch halt: Im Unterschied zu Unternehmen darf hier von einer Geldbuße abgesehen werden. Der „gesetzesgleiche“ Erwägungsgrund 148 erklärt dazu ausdrücklich, dass, „falls eine voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde“, anstelle einer Geldbuße auch eine Verwarnung erteilt werden kann. Immerhin.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden