INFORMATIONEN

Nutzung von Informationen in sozialen Netzwerken zu persönlichen Zwecken – ist die DSGVO anwendbar?

Die Allgemeine Datenschutzverordnung (DSGVO) gilt nicht für Personen, die Daten aus sozialen Netzwerken verarbeiten, wenn diese Daten ausschließlich zu persönlichen Zwecken erhoben werden. Personen, die von dieser Ausnahmeregelung profitieren möchten, müssen jedoch beachten, dass für die Umsetzung dieser Ausnahmeregelung einige Anforderungen gelten.

Alle erhobenen personenbezogenen Daten sollten mit der DSGVO konform sein.

Generell muss jede Verarbeitung personenbezogener Daten, d. h. jeder Vorgang, bei dem Informationen über eine Person, die zu ihrer Identifizierung verwendet werden können (Name, Bankdaten usw.), für einen bestimmten Zweck (z. B. auch für die Zusammenstellung und Speicherung) verwendet werden, auf der Grundlage der DSGVO erfolgen (weitere Einzelheiten zu der Bedeutung der Verarbeitung personenbezogener Daten finden Sie in diesem Artikel).

Obligatorische Zustimmung

In der Datenschutz-Grundverordnung ist festgelegt, dass die betroffene Person im Voraus über die Verarbeitung der oben genannten Informationen informiert werden muss und dass eine Rechtfertigung (z. B. die Einwilligung) für die Verarbeitung dieser Informationen erforderlich ist.

Im Gegensatz dazu gilt die Datenschutz-Grundverordnung „nicht für die Verarbeitung personenbezogener Daten (…) durch eine natürliche Person im Rahmen einer ausschließlich persönlichen oder häuslichen Tätigkeit“.

Ein Beispiel für diese Form findet sich in der Präambel der Datenschutz-Grundverordnung (Punkt 18): Aktivitäten in sozialen Netzwerken. Wenn also eine Person beispielsweise ein soziales Netzwerk für Aktivitäten wie das Sammeln von Kontaktinformationen für bestimmte Anwälte nutzt, berücksichtigt sie die Bestimmungen der DSGVO nicht.

Zunächst einmal ist es wichtig, wie viele Personen Zugang zu den Daten haben, mit denen eine Person arbeitet. Konkret weist der Artikel im Blog der Universität Leuven darauf hin, dass die Erhebung der Daten nicht durch die Veröffentlichung der gewonnenen Daten so erfolgen muss, dass die Daten eine unbestimmte Anzahl von Personen treffen können.

Wenn nun eine bestimmte Person über Facebook darum bittet, dass ihr Anwälte für ein persönliches Problem vorgeschlagen werden und dass eine Liste derjenigen erstellt wird, die sie gefunden und in die Nachricht aufgenommen hat, ändert sich die Situation.

In diesem Fall ist die Zahl der Personen, die den Beitrag sehen können, und damit die Liste der personenbezogenen Daten praktisch unbegrenzt. Infolgedessen ist die Ausnahme für rein persönliche Aktivitäten nicht mehr verfügbar, und die Bestimmungen der Datenschutz-Grundverordnung sind wieder wirksam.

Ähnlich verhält es sich, wenn eine Person einige Details über eine andere Person (z. B. das Einchecken in die Wohnung der letzten Person oder Informationen über die Prüfungsnote der vorherigen Person) auf Facebook preisgibt und diese Informationen eine unbestimmte Anzahl von Personen erreichen. In diesem Fall kann zumindest im Prinzip davon ausgegangen werden, dass die DSGVO relevant ist.

Schließlich ist Facebook ein öffentlicher Raum, und die Sicherheit solcher Informationen wäre unzureichend, wenn sich die Datenschutz-Grundverordnung nicht in einigen Fällen auch auf rein persönliche Aktivitäten von Einzelpersonen erstrecken würde.

Aktivitäten in sozialen Medien sind rein persönlich

Auch wenn aus der Präambel der Datenschutz-Grundverordnung hervorgeht, dass Aktivitäten in sozialen Netzwerken Ausdruck rein persönlicher Aktivitäten sein können, muss der Datenverarbeiter auf die Anzahl der möglichen Personen achten, die auf diese Daten zugreifen können.

Außerdem muss es sich um eine rein persönliche Tätigkeit handeln. Folglich trägt eine persönliche Tätigkeit, die in demselben Forum ausgeübt wird, in dem auch eine berufliche Tätigkeit ausgeübt wird, nicht dazu bei, dass die DSGVO nicht anwendbar ist.

Insbesondere für jeden, der ein Konto in einem sozialen Netzwerk hat, das er sowohl aus persönlichen als auch aus beruflichen Gründen nutzt (z. B. jemand hat ein Facebook-Konto, um Kundenadressen zu übernehmen, um Waren zu vertreiben, aber dieses Konto und für private Unterhaltungen), würde die DSGVO gelten.

Es kann auch schwierig sein, die Verarbeitung von personenbezogenen Daten von der technischen Verarbeitung dieser Daten zu unterscheiden.

Zusammenfassung

Daten verarbeitende Unternehmen würden nicht von der Ausnahmeregelung der Nichtanwendung der DSGVO profitieren, selbst wenn die Verarbeitung nicht zu gewerblichen, sondern zu privaten Zwecken erfolgt. Die Erklärung dafür ist, dass die Voraussetzung für die Anwendung der Ausnahmeregelung nicht erfüllt ist: Die Verarbeitung muss durch eine natürliche Person und für persönliche Zwecke erfolgen.

Unterrichtung der betroffenen Person

Auf ihrer Sitzung im November 2017 nahm die Artikel-29-Datenschutzgruppe zwei Leitlinien (zu „Transparenz“ und „Einwilligung“) an, um eine harmonisierte Anwendung der Datenschutz-Grundverordnung ab dem 25.

mehr »