Die DSGVO gilt nicht nur für Unternehmen und Behörden. Wer als Privatperson systematisch personenbezogene Daten über Dritte sammelt und weitergibt, wird zum datenschutzrechtlich Verantwortlichen – mit allen daraus folgenden Pflichten und Haftungsrisiken.
Es ist ein Irrtum, der in der Praxis immer wieder zu Problemen führt: Die Datenschutz-Grundverordnung betreffe nur Unternehmen und Behörden, nicht aber den privaten Bereich. Tatsächlich reicht der sachliche Anwendungsbereich der DSGVO erheblich weiter: Auch Privatpersonen können zu datenschutzrechtlich Verantwortlichen werden, spätestens sobald sie beginnen, in systematischer Weise personenbezogene Daten anderer zu verarbeiten.
Einen anschaulichen Beleg dafür liefert ein im Tätigkeitsbericht 2025 des Bayerischen Landesamts für Datenschutzaufsicht dokumentierter Fall (BayLDA, Tätigkeitsbericht 2025, S. 36 f., abrufbar unter https://www.lda.bayern.de/media/baylda_report_15.pdf):
In einer Wohnungseigentümergemeinschaft (WEG) forderte eine Privatperson – offenbar auf Anregung der Hausverwaltung – über 300 Mitbewohner per E-Mail dazu auf, Verstöße gegen die Hausordnung einer namentlich, mit Wohnung und Anschrift genannten Familie an eine eigens eingerichtete E-Mail-Adresse zu melden, um diese Meldungen gebündelt an die Hausverwaltung weitergeben zu können. Das BayLDA stellte dazu klar: Die Privatperson handelte nicht als Privatperson im datenschutzrechtlichen Sinne – sie hatte die Rolle einer datenschutzrechtlich Verantwortlichen übernommen.
Der Fall ist nicht nur kurios. Er ist lehrreich – für Privatpersonen, aber auch für Unternehmen.
Wer ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO?
Verantwortlicher im Sinne der DSGVO ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DSGVO). Maßgeblich ist also nicht die formale Rolle einer Person – ob Unternehmer, Arbeitgeber, Behörde oder Privatperson –, sondern die tatsächliche Entscheidungsgewalt. Wer bestimmt, zu welchem Zweck und auf welchem Weg personenbezogene Daten verarbeitet werden, ist datenschutzrechtlich Verantwortlicher, unabhängig davon, ob er sich dieser Rolle bewusst ist.
Im BayLDA-Fall war das eindeutig: Die Privatperson hatte die E-Mail-Adresse eingerichtet (Mittel), die Aufforderung an über 300 Personen veranlasst (Initiative), die betroffene Familie namentlich benannt (Gegenstand) und das Ziel der gebündelten Weitergabe an die Hausverwaltung definiert (Zweck). Damit lagen alle Tatbestandsmerkmale des Art. 4 Nr. 7 DSGVO in ihrer Person vor.
Die Haushaltsausnahme und ihre Grenzen
Die DSGVO gilt grundsätzlich nicht für die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (Art. 2 Abs. 2 lit. c DSGVO). Diese sogenannte Haushaltsausnahme soll etwa die Verwaltung eigener Kontaktdaten oder die private Kommunikation aus dem DSGVO-Anwendungsbereich herausnehmen.
Die Grenze dieser Ausnahme ist jedoch scharf gezogen. Der Europäische Gerichtshof hat bereits im Urteil Ryneš klargestellt, dass Datenverarbeitungen, die über den privaten Bereich hinausgreifen und Dritte betreffen, nicht unter diese Ausnahme fallen (EuGH, Urteil v. 11.12.2014 – C-212/13). Wer personenbezogene Daten systematisch über Dritte erhebt, strukturiert und weitergibt, verlässt den geschützten privaten Raum – unabhängig davon, dass er keine unternehmerischen Ziele verfolgt.
Im vorliegenden Fall war diese Grenze offenkundig überschritten: Ein E-Mail-Mailing an über 300 Personen, verbunden mit der strukturierten Sammlung und Weitergabe von Daten über eine konkret identifizierte Familie, ist weder eine persönliche noch eine familiäre Tätigkeit. Es ist eine organisierte Verarbeitungstätigkeit im datenschutzrechtlichen Sinne.
Der gedankliche Fehler: Wer auf Bitte der Hausverwaltung eine E-Mail-Adresse einrichtet und Meldungen sammelt, ist kein reines Werkzeug ohne eigene rechtliche Verantwortung. Das ist datenschutzrechtlich falsch. Wer Zweck und Mittel der Verarbeitung – wenn auch nur faktisch – bestimmt, ist Verantwortlicher. Unwissenheit schützt hier ebenso wenig wie die Berufung auf eine Initiative Dritter.
Das BayLDA hat im beschriebenen Fall die Privatperson als alleinige Verantwortliche eingestuft. Das schließt jedoch eine eigene datenschutzrechtliche Verantwortung der Hausverwaltung nicht per se aus.
Wer eine solche Datenerhebungsaktion initiiert, konzeptionell mitgestaltet oder in Auftrag gibt, kann als gemeinsam Verantwortlicher im Sinne des Art. 26 DSGVO anzusehen sein – mit allen daraus folgenden Pflichten, insbesondere der Verpflichtung zum Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit. Fehlt es daran, ist die Verarbeitung schlicht rechtswidrig. Hausverwaltungen sind gut beraten, das nicht auf die leichte Schulter zu nehmen. Als Unternehmen verarbeiten sie ohnehin personenbezogene Daten von Eigentümern und Mietern in eigener datenschutzrechtlicher Verantwortung. Eine Auslagerung dieser Verantwortung auf eine Privatperson durch bloße Bitte oder Anregung ist kein rechtssicherer Weg.
Vergleichbare Situationen in Unternehmen
Der Fall hat eine praktische Bedeutung, die über das WEG-Recht weit hinausgeht. Ähnliche Strukturen finden sich in Unternehmen und Organisationen regelmäßig, wenn Beschwerdemanagement oder interne Meldeprozesse informell organisiert werden.
Eine typische Konstellation: Ein Teamleiter richtet auf eigene Initiative eine Sammel-E-Mail-Adresse ein, an die Kollegen Verstöße eines bestimmten Mitarbeiters melden sollen, und gibt diese Meldungen gesammelt an die Personalabteilung weiter. Wer ist hier Verantwortlicher?
Im Arbeitsverhältnis ist grundsätzlich der Arbeitgeber Verantwortlicher für die im Beschäftigungskontext stattfindenden Datenverarbeitungen (§ 26 BDSG i.V.m. Art. 88 DSGVO). Wenn ein Beschäftigter eigenmächtig eine solche Struktur aufbaut, handelt er im Außenverhältnis im Rahmen seiner betrieblichen Tätigkeit – mit der Folge, dass das Unternehmen haften kann, ohne die Verarbeitung selbst initiiert zu haben. Das begründet erhebliche Compliance-Risiken, die durch klare interne Richtlinien und strukturierte Meldewege entschärft werden müssen.
Haftungs- und Sanktionsrisiken
Wer als Verantwortlicher im Sinne der DSGVO handelt, muss eine Rechtsgrundlage für die Verarbeitung vorweisen können (Art. 6 DSGVO), die betroffenen Personen transparent informieren (Art. 13, 14 DSGVO) und geeignete technische sowie organisatorische Maßnahmen zur Datensicherheit treffen (Art. 32 DSGVO). Fehlt es daran, drohen aufsichtsbehördliche Maßnahmen (Art. 58 DSGVO), Bußgelder (Art. 83 DSGVO) und Schadensersatzansprüche der betroffenen Personen (Art. 82 DSGVO) – auch für immaterielle Schäden, deren Geltendmachung das Bundesarbeitsgericht zuletzt dogmatisch weiter präzisiert hat (BAG, Urteil v. 20.02.2025 – 8 AZR 61/24).
Für private Verantwortliche ist das Bußgeldrisiko zwar faktisch überschaubar, da Art. 83 DSGVO an Umsätze anknüpft, die bei Privatpersonen typischerweise fehlen. Schadensersatzansprüche der betroffenen Personen können jedoch spürbar werden, insbesondere wenn – wie im BayLDA-Fall – Daten über identifizierte Personen an eine Vielzahl von Empfängern weitergegeben werden. Die namentliche Nennung der betroffenen Familie gegenüber über 300 Empfängern ist ein erheblicher Eingriff in das Recht auf informationelle Selbstbestimmung, der Ansprüche nach Art. 82 DSGVO durchaus begründen kann.
Handlungsempfehlungen
Für Unternehmen und Arbeitgeber ist die Konsequenz aus dem Vorgang: Interne Meldeprozesse und Beschwerdemanagementsysteme müssen strukturiert, dokumentiert und datenschutzrechtlich abgesichert sein. Wer auf informelle Kanäle setzt – sei es eine ad-hoc-Sammel-E-Mail-Adresse, eine inoffizielle Messenger-Gruppe oder die private Initiative eines Vorgesetzten –, schafft Haftungsrisiken, die das Unternehmen treffen, ohne dass die Unternehmensleitung daran aktiv beteiligt war.
Unternehmen, die dem Hinweisgeberschutzgesetz unterliegen, haben zudem die gesetzliche Pflicht, strukturierte interne Meldestellen einzurichten (§ 12 HinSchG) – was diese Fragen unmittelbar in den Bereich zwingender Compliance-Pflichten rückt.
Privatpersonen schließlich sollten sich bewusst sein, dass die Einrichtung selbst einfacher Strukturen zur systematischen Sammlung und Weitergabe von Daten über Dritte sie in die Rolle eines datenschutzrechtlich Verantwortlichen bringen kann. Wer auf Bitte anderer eine E-Mail-Adresse einrichtet, Meldungen sammelt und weitergibt, handelt nicht als reines Werkzeug, sondern als Verantwortlicher im Sinne der DSGVO. Die Bitte oder Anregung eines Dritten ändert daran nichts. Wer das nicht möchte, sollte eine solche Aufgabe ablehnen und darauf dringen, dass die initiierenden Stellen die Datenverarbeitung in eigener datenschutzrechtlicher Verantwortung betreiben.