Aufsatz : „Haushaltsausnahme“ auch für juristische Personen und Personengesellschaften? : aus der RDV 3/2020, Seite 128 bis 133
Anwendbarkeit der DS-GVO auf die Datenverarbeitung im persönlichen und familiären Bereich durch Vereine und Gesellschaften bürgerlichen Rechts
Die sog. „Haushaltsausnahme“ nach Art. 2 Abs. 2 lit. c DSGVO (und § 1 Abs. 1 S. 2 a.E. BDSG) nimmt die Datenverarbeitung im persönlichen und familiären Bereich durch natürliche Personen von der Anwendung des Datenschutzrechts aus. Die Beschränkung der Ausnahme auf natürliche Personen als Verarbeitende schließt juristische Personen und Personengesellschaften von der Möglichkeit der Ausnahme aus. Aber auch juristische Personen und Personengesellschaften können in Einzelfällen Daten im persönlichen und familiären Bereich verarbeiten. Fraglich ist also, ob in einem solchen Fall der Art. 2 Abs. 2 lit. c DS-GVO auch auf juristische Personen anwendbar sein müsste.
I. Anwendbarkeit des europäischen Datenschutzrechtes
1. Sachliche und räumliche Bestimmungen
Die Anwendbarkeit der DS-GVO ergibt sich zum einen aus einem sachlichen (Art. 2 DS-GVO) und zum anderen aus einem räumlichen Bezugspunkt (Art. 3 DS-GVO).
Nach Art. 2 DS-GVO muss eine Verarbeitung personenbezogener Daten vorliegen. Diese Verarbeitung kann ganz oder teilweise automatisiert sein; die Daten können zudem rein manuell verarbeitet werden, dann aber in einem Dateisystem, also einer strukturierten Sammlung. Der sachliche Anwendungsbereich ist also weit, erfasst ist die Verarbeitung in fast jeder Verarbeitungssituation, unabhängig davon, welche Person die Daten verarbeitet.[1] Die Prozesse, die unter den Verarbeitungsbegriff fallen, sind ähnlich allumfassend, denn es sind alle Tätigkeiten von der Datenerhebung bis zur Löschung oder Vernichtung erfasst, vgl. Art. 4 Nr. 2 DS-GVO. Die Daten müssen bekanntermaßen personenbezogen sein, aber auch dies ist ein weitreichendes Kriterium, denn es reichen Informationen aus, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, Art. 4 Nr. 1 DS-GVO.
Die DS-GVO ist räumlich überall dort anwendbar, wo der Datenverarbeitende (Verantwortlicher oder Auftragsverarbeiter) eine Niederlassung in der EU hat, unabhängig davon, ob die Datenverarbeitung innerhalb des Unionsgebiets stattfindet oder nicht, Art. 3 Abs. 1 DS-GVO. Nach dem Marktortprinzip ist die DS-GVO ferner anwendbar, wenn die Daten einer Person in der EU verarbeitet werden, soweit diese Verarbeitung mit dem Anbieten von Waren oder Dienstleistungen in der EU zu tun hat, Art. 3 Abs. 2 lit. a DS-GVO, oder wenn das Verhalten von Personen innerhalb des Unionsgebiets beobachtet wird, Art. 3 Abs. 2 lit. b DS-GVO.
Die Anwendung der DS-GVO bestimmt sich also grundsätzlich nach formalen Kriterien, welche dazu führen, dass sich der Anwendungsbereich und somit der Schutzschirm der DSGVO möglichst weit sowohl über das Unionsgebiet als auch über alle sich in der Union befindlichen natürlichen Personen erstreckt. Die DS-GVO macht grundsätzlich keinen Unterschied zwischen der Person des Verarbeitenden, sondern knüpft an die Verarbeitung an sich an. So ist die Verarbeitung von Daten durch eine natürliche Person genauso erfasst wie die durch eine juristische Person oder Personengesellschaft.
2. Die Ausnahme des Art. 2 Abs. 2 lit. c DS-GVO
Auch wenn die digitale Datenverarbeitung durch Smartphones, Messenger-Apps und unter den heutigen Umständen mehr und mehr auch durch Video-Konferenzen und Anrufen flächendeckend Einzug gehalten hat, so kennt die DS-GVO trotzdem – oder gerade deswegen – eine Ausnahme für die Datenverarbeitung im privaten und familiären Bereich, Art. 2 Abs. 2 lit. c DS-GVO. Denn die Datenverarbeitung durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten fällt nicht in den Anwendungsbereich der DS-GVO, Art. 2 Abs. 2 lit. c DS-GVO. Diese Ausnahme ist Ausdruck der grundrechtlich geschützten Privatsphäre und des Familienlebens (vgl. Art. 7 GRCh, Art. 8 EMRK), welche im Vergleich zur beruflichen und geschäftlichen Sphäre schützenswerter ist.[2] In Erwägungsgrund 18 DS-GVO sind Beispiele von normalerweise persönlichen oder familiären Tätigkeiten aufgelistet: der private Schriftverkehr, Bildaufnahmen oder auch die Nutzung sozialer Netzwerke. Die DS-GVO versteht dem Wortlaut nach unter der Datenverarbeitung im familiären und persönlichen Kontext allein die Verarbeitung von Daten natürlicher Personen durch natürliche Personen (Individuum-Individuum).[3]
Es ist nicht endgültig festgelegt, wie die Begriffe „persönlich“ und „familiär“ definiert werden, denn die DS-GVO orientiert sich weder am Familienrecht noch definiert sie den Begriff eigenständig.[4] Allerdings gibt Erwägungsgrund 18 DS-GVO einen Hinweis in Form einer negativen Abgrenzung: Familiär und persönlich ist demnach alles, was keinen Bezug zur beruflichen oder wirtschaftlichen Tätigkeit der natürlichen Personen hat. Weiterhin bezieht sich der Begriff „familiär“ nicht nur auf die „traditionelle Familie“, sondern bezeichnet die gesamte Privat- oder Familiensphäre, welche auch im Rahmen von Art. 7 GRCh erfasst ist. Ausschlaggebend ist also der besonders geschützte persönliche Kontext der Informationen, welcher zwar durch persönliche Beziehungen der natürlichen Personen untereinander indiziert werden kann, allerdings ist auch die persönliche Beziehung nicht allein geeignet, den persönlichen und familiären Kontext der Datenverarbeitung zu begründen.[5]
So nimmt Art. 2 Abs. 2 lit. c DS-GVO jedenfalls und zunächst nur die Datenverarbeitung im persönlichen und familiären Kontext durch natürliche Personen vom Anwendungsbereich der DS-GVO aus. Dies gilt freilich nur so weit, wie die Datenverarbeitung durch natürliche Personen geschieht; sobald juristische Personen oder Personengesellschaften die Daten verarbeiten, scheidet die „Haushaltsausnahme“ ausweislich des klaren Wortlauts aus – selbst wenn die Datenverarbeitung im familiären und persönlichen Bereich geschieht.
Die oben erwähnte natürliche Person, die Daten im persönlichen und familiären Bereich verarbeitet, fällt also gerade nicht unter den Anwendungsbereich der DS-GVO, während beispielsweise eine GmbH, welche Daten im großem oder kleinen Maß verarbeitet, darunterfällt. Aber genauso fallen auch Vereine und Gesellschaften bürgerlichen Rechts in den Anwendungsbereich der DS-GVO – selbst wenn sie Daten für den familiären und persönlichen Bereich verarbeiten. Dies liegt einzig darin begründet, dass es sich bei Vereinen und GbR auch um juristische Personen bzw. Personengesellschaften handelt, und Art. 2 Abs. 2 lit. c DS-GVO ausdrücklich nur natürliche Personen privilegiert.
II. Datenverarbeitung im persönlichen, familiären Bereich durch Vereine[6] und Gesellschaften bürgerlichen Rechts (GbR)
Es könnte jedoch sein, dass sich die unterschiedliche Behandlung von juristischen und natürlichen Personen durch Art. 2 Abs. 2 lit. c DS-GVO daraus ergibt, dass juristische Personen ihrem Charakter nach schon keine Daten im familiären und persönlichen Bereich verarbeiten können.[7] Dass eine Verarbeitung im familiären und persönlichen Bereich bei den meisten datenverarbeitenden juristischen Personen, welche beim Thema Datenschutz in den Sinn kommen, außer Frage steht, liegt auf der Hand: Weder Facebook noch Google verarbeiten Daten im familiären und persönlichen Bereich. Allerdings gibt es auch noch viele andere Konstellationen an juristischen Personen, deren Zweck ein anderer ist, sodass das generelle Verneinen der Möglichkeit der Datenverarbeitung im familiären und persönlichen Bereich für juristische Personen (und Personengesellschaften) vorschnell erscheint. Als Beispiel wird hier einerseits der nicht-wirtschaftliche Verein verwendet, dessen Zweck es ist, den Zusammenschluss eines Familienverbandes zu fördern[8] (III.1.a), und andererseits eine konkludent gegründete Gesellschaft bürgerlichen Rechts, welche die Förderung einer Wohngemeinschaft zum Zweck hat (III.1.b).[9]
1. Existenz einer Datenverarbeitung im persönlichen und familiären Bereich durch juristische Personen
a) Der eingetragene Familienverbandverein, § 21 BGB
Es gibt keine gesetzliche Definition des Vereins, jedoch wird sich generell an der Definition des Reichsgerichts für Zivilsachen orientiert: Ein Verein ist „eine auf Dauer berechnete Verbindung einer größeren Anzahl von Personen zur Erreichung eines gemeinsamen Zweckes, die nach ihrer Satzung körperschaftlich organisiert ist, einen Gesamtnamen führt und auf einen wechselnden Mitgliederbestand angelegt ist“.[10]
Der gemeinsame Zweck ist das konstituierende Merkmal jeder Personenvereinigung. Der Verein ist dazu verpflichtet, diesen Zweck zu fördern, denn der Verein existiert alleinig, um den gemeinsamen Zweck durch die körperschaftliche Organisation zu erreichen.[11] Der Vereinszweck kann frei bestimmt werden, dies ergibt sich aus der Vereinigungsfreiheit, Art. 9 Abs. 1 GG, er darf nur nicht wirtschaftlich sein (arg. e. cont. § 22 BGB), vor allem kommt aber gerade auch ein familiärer oder persönlichen Zweck in Frage. Ein Verein kann, wie im vorliegenden Beispiel, eben gerade gegründet werden, um einen großen, verästelten Familienverband zu organisieren und verbinden. Dabei kommt es nicht unbedingt auf die Familienbeziehung (im Sinne des BGB) zwischen den einzelnen Mitgliedern an, diese kann allerdings ein Indiz für den familiären und persönlichen Zweck sein. Aber auch außerhalb von Verwandtschaftsverhältnissen sind mindestens persönliche Vereinszwecke denkbar, wie zum Beispiel die Gründung eines Vereins zur Organisation von Nachbarschaftsfeiern oder der Instandhaltung von Wohneigentum.
Die Einigung zwischen den Gründern auf den Vereinszweck ist der eigentliche Gründungsakt des Vereins,[12] durch die Eintragung in das Vereinsregister erreicht der Verein den Status einer juristischen Person.[13] Die Eintragung hat also nur konstitutive Wirkung für das Entstehen der juristischen Person.[14]
Soweit der Vereinszweck ein familiärer oder persönlicher Zweck ist, wie zum Beispiel die Pflege der Zusammengehörigkeit eines Familienverbandes, kann die Datenverarbeitung um dieses Zweckes willen dann folglich auch im familiären oder persönlichen Bereich stattfinden. Legt der Vorsitzende des beispielhaft gewählten Vereins zur Förderung des Familienzusammenschlusses die Korrespondenz zwischen den Mitgliedern und die Mitgliedsregister mit den persönlichen Daten aller Mitglieder strukturiert ab, so ist die DS-GVO grundsätzlich anwendbar, denn die Datenverarbeitung wurde von einer juristischen Person, dem Verein, vorgenommen. Hätte dieser Familienverband allerdings keinen Verein gegründet – und diesen vor allem nicht eingetragen, sondern nur eine Person als zuständig bestimmt, so würde die Ablage der Korrespondenz und Führung des Registers mit persönlichen Daten der Familienmitglieder nicht in den Anwendungsbereich der DS-GVO fallen, da die Datenverarbeitung durch eine natürliche Person im familiären Bereich stattfände. Die „Haushaltsausnahme“ aus Art. 2 Abs. 2 lit. c DS-GVO ist also nur deswegen nicht anwendbar, weil ein Zusammenschlusses der Personengruppe in einem eingetragenen Verein existiert, durch welchen dieser den Status einer juristischen Person erlangt hat.
b) Die Wohngemeinschaft, § 705 BGB
Im zweiten Beispiel hat eine Wohngemeinschaft konkludent durch ihr Zusammenleben eine Gesellschaft bürgerlichen Rechts nach § 705 BGB gegründet.
Eine Gesellschaft bürgerlichen Rechts setzt voraus, dass die Gesellschafter vertraglich miteinander verbunden, gesamthänderisch an der Gesellschaft beteiligt und außerdem nicht beliebig auswechselbar sind. Ähnlich wie beim Verein setzt auch die GbR einen gemeinsamen Zweck und darauf gerichtete Förderpflichten voraus. Der gemeinsame Zweck ist nach § 705 BGB konstitutives Merkmal. Es muss also (möglicherweise konkludent[15]) ein Gesellschaftsvertrag abgeschlossen werden, welcher den gemeinsamen Zweck und die Förderungspflicht festhält.[16] Grundsätzlich ist auch bei der GbR jeder Zweck möglich, allerdings sind gesetzes- oder sittenwidrige Zwecke sowie das Führen eines Handelsgewerbes ausgenommen.[17] Nur die sog. Außen-GbR ist (teil-)rechtsfähig, sodass eine weitere Voraussetzung für die hier gewählte Wohngemeinschaft ist, dass diese durch ihre Vertreter – als Gesellschaft – am Rechtsverkehr teilnimmt.[18]
Die Voraussetzungen zur Gründung einer GbR sind, ähnlich wie beim Verein, niedrigschwellig, im Mittelpunkt steht die Förderung eines gemeinsamen Zwecks durch mehr als eine Person. So werden Gesellschaften bürgerlichen Rechts nicht nur für Wohngemeinschaften, sondern auch aus steuerlichen oder haftungsrechtlichen Gründen zwischen sich nahestehenden Personen gegründet, wie zum Beispiel die Familien-/ Ehepartner-GbR oder Fahrgemeinschafts-GbR, aber auch in Nachbarschaften sind Gesellschaften bürgerlichen Rechts denkbar, zum Beispiel zur Organisation von Festen oder Flohmärkten. Vorliegend besteht der Zweck der GbR darin, die Wohngemeinschaft zu fördern und das Zusammenleben in einer Wohngemeinschaft zu organisieren. Werden im Rahmen dieses Zwecks Daten verarbeitet, so geschieht die Verarbeitung im privaten Bereich, würde diese von einer natürlichen Person vorgenommen werden, und nicht von der GbR, so würde Art. 2 Abs. 2 lit. c DS-GVO greifen. Auch hier lässt sich die Frage stellen, warum die Datenverarbeitung im familiären und persönlichen Bereich nur aufgrund des Zusammenschlusses in einer Personengesellschaft unter die Anwendung der DS-GVO fallen sollte, wenn dieselbe Datenverarbeitung durch eine natürliche Person vorgenommen unter die Ausnahme des Art. 2 Abs. 2 lit. c DS-GVO fallen würde.
c) Ergebnis
Betrachtet man hier also den Verein als juristische Person und die GbR als Personengesellschaft, so kann festgestellt werden, dass es für beide Konstellationen die Möglichkeit gibt, Daten in einem persönlichen und familiären Bereich zu verarbeiten. Auch wenn dies sicherlich in der geringeren Anzahl der Fälle vorkommen wird, so kann nicht grundsätzlich in Abrede gestellt werden, dass juristische Personen oder Personengesellschaften Daten im familiären und persönlichen Bereich verarbeiten können. Solange dies aber nicht grundsätzlich abgelehnt werden kann, sollte hinterfragt werden, warum juristische Personen und Personengesellschaften grundsätzlich von der „Haushaltsausnahme“ ausgeschlossen werden.
2. Begründung der Restriktion des Art. 2 Abs. 2 lit. c DS-GVO auf natürliche Personen
Im familiären und persönlichen Datenverarbeitungskontext werden schon dann erhöhte Anforderungen an den Datenschutz (nämlich die Befolgung der Regelungen der DS-GVO (siehe IV.)) gestellt, wenn ein Verein oder eine GbR besteht. Würde dieselbe Datenverarbeitung durch eine natürliche Person geschehen, wäre diese Datenverarbeitung durch Art. 2 Abs. 2 lit. c. DS-GVO privilegiert. Und dies, obwohl es keinen Unterschied machen kann, ob eine eng oder lose verbundene und möglicherweise (bluts-)verwandte Gruppe von Personen (Familie nach Art. 7 GRCh) Daten im persönlichen und familiären Bereich verarbeitet, oder ob sich diese Gruppe von Personen zu einer juristischen Person oder Personengesellschaft zusammenschließt und dieselben Daten verarbeitet. Eine Ausdehnung des Art. 2 Abs. 2 lit. c DS-GVO auf juristische Personen wäre somit angebracht. Es könnte jedoch sein, dass dem Schutzziele, höherrangiges Recht oder die Systematik der DS-GVO entgegenstehen.
a) Schutzziel der DS-GVO
Die Schutzziele der DS-GVO sind in Art. 1 DS-GVO festgehalten, dort wird zum einen der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen genannt, Art. 1 Abs. 2 DS-GVO, und zum anderen der Schutz des freien Datenverkehrs im Binnenmarkt, Art. 1 Abs. 3 DS-GVO. Die Vorschrift des Art. 1 DS-GVO wird vor allem dann als Anleitung für den normativen Umgang herangezogen, wenn es Unsicherheiten bei der Auslegung gibt.[19] Die richtungsweisenden Hinweise des Art. 1 DS-GVO sind also auch hier zu beachten, wenn es um die Auslegung der „Haushaltsausnahme“ geht. Im Rahmen der familiären und persönlichen Tätigkeit steht der Schutz des Binnenmarkts nicht in Frage, es liegt also kein Spannungsverhältnis zwischen den beiden Schutzzielen vor. Vielmehr geht es nur darum, ob durch die Erweiterung von Art. 2 Abs. 2 lit. c DS-GVO die Grundrechte und Grundfreiheiten der natürlichen Personen gefährdet werden.
Art. 2 Abs. 2 lit. c DS-GVO soll gewährleisten, dass die Verarbeitung von Daten im familiären und privatem Bereich keinen unnötigen Aufwand für die Verarbeitenden darstellt.[20] Und dies, obwohl die typische Gefahrensituation einer Persönlichkeitsverletzung, vor welcher die DS-GVO schützen will, gerade auch im familiären und persönlichen Bereich besteht (Geheimnisverrat, Revenge Porn etc.).[21] Diese Gefahr besteht unabhängig davon, ob die Verarbeitung durch natürliche Personen oder juristische Personen oder Personengesellschaften geschieht. Durch die Existenz von Art. 2 Abs. 2 lit. c DS-GVO adressiert die DS-GVO diese Gefährdungslage schon grundsätzlich nicht adäquat. Die Beschränkung von Art. 2 Abs. 2 lit. c DS-GVO auf natürliche Personen trägt jedenfalls nicht zum Schutz der Persönlichkeitssphäre bei. Folglich steht eine Erweiterung des Art. 2 Abs. 2 lit. c DS-GVO auf juristische Personen und Personengesellschaften schon mangels effektivem Rechtsschutz durch die DS-GVO, deren Schutzziel nicht entgegen.
Da die DS-GVO schon gar nicht adäquat vor den Risiken einer Persönlichkeitsverletzung in der Privatsphäre schützt, stellt die Verarbeitung der Daten durch eine juristische Person oder eine Personengesellschaft keinen größeren Eingriff in die Grundrechte dar als die Verarbeitung der Daten durch eine natürliche Person.
b) Europarechtliche Vorgaben
Eine erweiterte Auslegung der DS-GVO, wie sie hier vorgeschlagen wird, muss auch mit dem höherrangigen Recht vereinbar sein, welches im Falle von Unionsrechtsakten eben nicht das Grundgesetz, sondern das europäische Recht ist, namentlich die GRCh (und auch die EMRK).[22]
Die „Haushaltsausnahme“ beruht auf dem Grundrecht der Achtung des Privat- und Familienlebens (Art. 7 GRCh). Demnach hat jede Person das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz. Die „Haushaltsausnahme“ schützt durch die Ausnahme von der DS-GVO das Familien- und Privatleben. Als Grundrecht adressiert Art. 7 GRCh zuvorderst natürliche Personen. So könnte also die grundrechtliche Verankerung des Art. 2 Abs. 2 lit. c DS-GVO einer Erweiterung dieser auf juristische Personen und Personengesellschaften entgegenstehen, denn die GRCh kennt keine dem Art. 19 Abs. 1 GG entsprechende Vorschrift. Allerdings ist anerkannt, dass Art. 7 GRCh in Bezug auf das Privatleben, die Wohnung und die Korrespondenz auch auf juristische Personen und Personengesellschaften anwendbar ist,[23] nicht aber in Bezug auf das Familienleben, da dieses dem Wesen nach nicht auf juristische Personen oder Personengesellschaften übertragbar ist.[24] So steht auch die grundrechtliche Verankerung des Art. 2 Abs. 2 lit. c DS-GVO dessen Erstreckung auf juristische Personen nicht entgegen.
c) Systematische Erwägungen
Weiterhin könnte jedoch die Systematik der DS-GVO einer weitergehenden Auslegung von Art. 2 Abs. 2 lit. c DS-GVO entgegenstehen. Die DS-GVO macht grundsätzlich keinen Unterschied, wer die Daten verarbeitet: Verantwortlicher im Rahmen der DS-GVO ist „jede natürliche oder juristische Person (…)“, Art. 4 Nr. 7 DS-GVO. So nimmt die DS-GVO also nicht grundsätzlich die Verarbeitung durch natürliche Personen von ihrem Anwendungsbereich aus. Art. 2 Abs. 2 lit. c DS-GVO trifft hier also nicht nur eine Ausnahmeregelung zum Anwendungsbereich, sondern bricht auch mit dem System der DS-GVO, keinen Unterschied zwischen der Verarbeitung durch juristische oder natürliche Personen zu machen. Dies könnte nur dann gerechtfertigt sein, wenn es keine Situationen gibt, in denen juristische Personen oder Personengesellschaften Daten im persönlichen oder familiären Bereich verarbeiten.[25] Wie oben dargelegt, gibt es aber Situationen, in denen Vereine oder Gesellschaften bürgerlichen Rechts Daten bei der Ausübung persönlicher oder familiärer Tätigkeiten verarbeiten.
Die DS-GVO unterscheidet zwar grundsätzlich nicht nach dem Risiko oder der Größe der Datenverarbeitung, sondern regelt die Datenverarbeitung umfassend. So kennt die DS-GVO grundsätzlich keine kategorialen „Sektorausnahmen“ für besonders risikoarme Verarbeitungen oder strengere Regelungen für besonders risikoreiche Verarbeitungen.[26] Allerdings stellt die „Haushaltsausnahme“ letztendlich eine der wenigen Ausnahmen solcher Art dar, denn im familiären und persönlichen Verarbeitungsbereich ist das Risiko der Datenverarbeitung spezifisch. Aufgrund des familiären und persönlichen Kontexts kommt es gerade nicht zu der typischen Gefahrenlage, vor welcher die DS-GVO die Betroffenen (zu Recht) schützt. Dies ist unabhängig davon, ob der Verarbeitende natürliche oder juristische Person oder Personengesellschaft ist.
d) Ergebnis
Der Erweiterung von Art. 2 Abs. 2 lit. c DS-GVO auf juristische Personen und Personengesellschaften stehen also weder die Schutzziele oder die Systematik der DS-GVO, noch das höherrangige Recht entgegen.
III. Auswirkungen der Anwendung der DS-GVO auf die Datenverarbeitung von Vereinen und Gesellschaften bürgerlichen Rechts im familiären und persönlichen Bereich
Zuletzt lässt sich noch fragen, welche Auswirkungen die Pflicht zur Anwendung der DS-GVO auf den hier als Beispiel gewählten Familienverein und die Wohngemeinschafts-GbR hat. Werden Fotos aufgenommen und den Vereinsmitgliedern oder Mitgliedern der Wohngemeinschaft zur Verfügung gestellt, so ist unter Umständen sogar die dokumentierte Einwilligung aller auf den Bildern abgebildeten Personen einzuholen, vgl. Art. 6 lit. a, 7 DS-GVO; es ist aber mindestens die Rechtmäßigkeit der Verarbeitung nach Art. 6 lit. a-f DS-GVO nachzuweisen. Wird ein Kontaktverzeichnis mit den Kontakten aller Mitglieder geführt, so ist bei der erstmaligen Erhebung der Daten die Informationspflicht nach Art. 13 DS-GVO einzuhalten. Werden die Treffen des Familienvereins heutzutage online per Video-Konferenz abgehalten oder verwendet die Wohngemeinschaft als GbR eine Messenger-Applikation und einen gemeinsamen Google-Kalender zu Organisation des täglichen Lebens, so ist die Verantwortlichkeit zu klären, und es sind möglicherweise Verträge über die Auftragsverarbeitung mit den jeweiligen Anbietern zu schließen, Art. 24 ff. DS-GVO. Es ist generell zu beachten, dass die Datenverarbeitung nach den Grundsätzen der DS-GVO eingehalten wird, Art. 5 ff. DSGVO, was gerade den Aufwand mit sich bringt, welcher im Rahmen des Familienlebens verhindert werden sollte und weswegen die „Haushaltsausnahme“ eingeführt wurde.
IV. Ergebnis
Eine generelle Unterwerfung der privaten Lebensgestaltung unter das Datenschutzregime scheint angesichts der Berührungspunkte zur Privat- und Intimsphäre wenig sachgerecht,[27] dies gilt auch dann, wenn die Verarbeitung de facto durch eine juristische Person oder Personengesellschaft vorgenommen wird. Im Ergebnis spricht also alles dafür die Art. 2 Abs. 2 lit. c DS-GVO auf juristische Personen und Personengesellschaften zu erweitern, soweit diese die Daten im Rahmen einer persönlichen und familiären Tätigkeit verarbeiten.
Sophie Derfler Die Autorin ist wissenschaftliche Mitarbeiterin und Doktorandin am Lehrstuhl für Öffentliches Recht, Medien- und Informationsrecht an der Universität Passau. In dieser Kapazität forscht und lehrt Frau Derfler im Medien- und Datenschutzrecht.
[1] Kühling/Raab, in: Kühling/Buchner, DS-GVO, 2. Aufl. 2018, Art. 2 Rn. 12.
[2] Gusy/Eichenhofer, in: BeckOK DatenschutzR BDSG, 31. Ed. Stand: 01.11.2019, § 1 BDSG Rn. 75a.
[3] Vgl. von Lewinski, in: Auernhammer DS-GVO/BDSG, 7. Aufl. 2020, § 1 BDSG Rn. 12.
[4] Kühling/Raab, in: Kühling/Buchner, DS-GVO, 2. Aufl. 2018, Art. 2 Rn. 23. Von Lewinski schreibt, dass eine „verobjektivierte subjektive Sichtweise“ gewählt werden muss, um Missbrauch vorzubeugen. Es wird aber nicht klar, was dies genau bedeutet: von Lewinski, in: Auernhammer DS-GVO/BDSG, 7. Aufl. 2020, § 1 BDSG Rn. 13.
[5] Gusy/Eichenhofer, in: BeckOK DatenschutzR BDSG, 31. Ed. Stand: 01.11.2019, § 1 Rn. 75a.
[6] Von Lewinski, in: Auernhammer DS-GVO/BDSG, 7. Aufl. 2020, § 1 BDSG Rn. 18: Von Lewinski thematisiert die Frage, ob persönliche und familiäre Vereine auch unter die „Haushaltsausnahme“ fallen sollten, nur im Rahmen von § 1 BDSG. Dies ist jedoch systematisch verfehlt, denn die Frage, ob die „Haushaltsausnahme“ nur für die Datenverarbeitung persönliche und familiären Zweckes durch natürliche Personen gilt oder ob diese auch auf juristische Personen erweitert werden kann, ist keine Frage des mitgliedstaatlichen Rechts, sondern eine Frage des Anwendungsbereichs der DS-GVO. Systematisch stellt sich diese Frage also schon bei Art. 2 DS-GVO und nicht erst bei § 1 BDSG. Im Ergebnis hat von Lewinski Recht.
[7] So Kühling/Raab, in: Kühling/Buchner, DS-GVO, 2. Aufl. 2018, Art. 2 Rn. 23 m.w.N.
[8] So zum Beispiel die Lutheriden-Vereinigung e.V., dessen Zweck nach § 2 der Satzung unter anderem die Organisation von Familientreffen und die genealogische Nachforschung ist.
[9] Auf die spezifischen Rechtsfragen zur Wohngemeinschaft als GbR und vor allem auf die Abgrenzung zur Mietmehrheit, wird hier nicht weiter eingegangen. Zum Weiterlesen: Bühler, in: NJOZ 2019, 529 ff.
[10] Zitat nach: RGZ 143, 212, 213; so auch bspw. in der Literatur: Hadding, in: Soergel, Band 1, Stand: Frühjahr 2000, Vor § 21 Rn. 44.
[11] Schöpflin, in: BeckOK BGB, 53. Ed. Stand: 01.02.2020, § 21 Rn. 87
[12] Schöpflin, in: BeckOK BGB, 53. Ed. Stand: 01.02.2020, § 21 Rn. 121.
[13] Leuschner, in: MüKo BGB, 7. Aufl. 2017, § 21 § 22 Rn. 83.
[14] Schöpflin, in: BeckOK BGB, 53. Ed. Stand: 01.02.2020, § 21 Rn. 124.
[15] Schäfer, in: MüKo BGB, 7. Aufl. 2017, § 705 Rn. 25-28
[16] Schäfer, in: MüKo BGB, 7. Aufl. 2017, § 705 Rn. 128, 142.
[17] Schäfer, in: MüKo BGB, 7. Aufl. 2017, § 705 Rn. 146.
[18] BGH, Urt. v. 29.01.2001 – II ZR 331/00, NJW 2001, 1056 ff.; ausführlich zur Rechtsentwicklung: Schäfer, in: MüKoBGB, 7. Aufl. 2017, Vorb. vor § 705 Rn. 9-11.
[19] Hornung/Spiecker gen. Döhmann, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 1 Rn. 2, mit Hinweis auf: Spiecker gen. Döhmann, Staatliche Entscheidungen unter Unsicherheiten, i.E. 2019.
[20] Zerdick, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Aufl. 2018, DS-GVO Art. 2 Rn. 10.
[21] Von Lewinski, in: Auernhammer, DS-GVO/BDSG, 7. Aufl. 2020, § 1 BDSG Rn. 10.
[22] Hier wird nur auf die näherliegende GRCh eingegangen. Zum Verhältnis: Gusy/Eichenhofer, in: BeckOK Datenschutzrecht, 31. Ed. Stand: 01.11.2019, BDSG § 1 Rn. 42.
[23] EuGH, Urt. v. 14.02.2008 – C-450/06, NVwZ 2008, 651 ff. – Varec
[24] Jarass, in: Jarass, Charta der Grundrechte der EU, 3. Aufl. 2016, EUGRCh Art. 7 Rn. 21 m.w.N.
[25] Dieser Auffassung folgt: Kühling/Raab, in: Kühling/Buchner, DS-GVO, 2. Aufl. 2018, Art. 2 Rn. 23 m.w.N.
[26] Hornung/Spiecker gen. Döhmann, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 1 Rn. 6.
[27] Kühling/Raab, in: Kühling/Buchner, DS-GVO, 2. Aufl. 2018, Art. 2 Rn. 28, m.w.N.