Gilt die DSGVO für mein privates Adressbuch?

In aller Regel nein. Art. 2 Abs. 2 lit. c nimmt die Verarbeitung durch natürliche Personen zu ausschließlich persönlichen oder familiären Zwecken aus, und Erwägungsgrund 18 nennt das Führen von Anschriftenverzeichnissen ausdrücklich. Nummern von Freunden, Familiengeburtstage und private Notizen liegen außerhalb des Anwendungsbereichs. Die Ausnahme entfällt, sobald ein beruflicher oder wirtschaftlicher Zweck hinzukommt – etwa dieselbe Liste für Kundenarbeit – oder du die Daten veröffentlichst. Das ist eine allgemeine Einordnung, keine Rechtsberatung.

Darf ich Geschäftskontakte ohne Einwilligung speichern?

Meistens ja – die Einwilligung ist nur eine von sechs Rechtsgrundlagen, und bei gewöhnlichen Geschäftskontakten ist die typische Grundlage das berechtigte Interesse nach Art. 6 Abs. 1 lit. f: Wer dir eine Karte reicht oder beruflich schreibt, rechnet vernünftigerweise damit, gespeichert und kontaktiert zu werden. Transparenz schuldest du trotzdem, bei Widerspruch ist Schluss, und auf berechtigte Anfrage wird gelöscht. Was das berechtigte Interesse nicht trägt: massenhaftes Einsammeln Fremder. Keine Rechtsberatung – Details hängen am Kontext.

Ist es wichtig, wo meine Kontakte-App ihre Daten speichert?

Ja, in doppelter Hinsicht. Rechtlich: Ein Anbieter, der Kontakte von EU-Nutzern verarbeitet, ist an die DSGVO gebunden, und Speicherung außerhalb der EU aktiviert die Transferregeln (Kapitel V) – EU-Hosting oder Speicherung auf dem Gerät hält das einfach. Praktisch: Klartext auf dem Server bedeutet, dass ein Datenleck, eine Übernahme oder eine Policy-Änderung alle Menschen in deinem Adressbuch exponiert – die diese App nie gewählt haben. Local-First-Speicherung und Ende-zu-Ende-Verschlüsselung verkleinern die rechtliche Angriffsfläche und den Explosionsradius zugleich.

Praxis

DSGVO & Kontaktdaten

Die DSGVO regelt die Verarbeitung personenbezogener Daten in der EU. Rein private Adressbücher fallen unter ihre Haushaltsausnahme – berufliche Nutzung nicht.

Teil des Endearist-Beziehungsglossars →

Namen, Telefonnummern, E-Mail-Adressen, Geburtstage und Notizen über Menschen sind allesamt personenbezogene Daten im Sinne der Verordnung (EU) 2016/679 – der DSGVO. Eine Kontaktdatenbank ist also dem Anschein nach genau das, was die Verordnung regelt. Ob die Regeln für deine gelten, hängt an einer Vorschrift: Art. 2 Abs. 2 lit. c nimmt die Verarbeitung "durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten" aus. Dein privates Adressbuch, die Geburtstagsliste der Familie, Notizen über Freunde – aus dieser Sphäre hält sich die Verordnung bewusst heraus; Erwägungsgrund 18 nennt sogar Schriftverkehr, Anschriftenverzeichnisse und private soziale Netzwerke als Beispiele.

Die Haushaltsausnahme endet, wo der berufliche oder wirtschaftliche Zweck beginnt – und Gerichte legen sie eng aus. Schon in Lindqvist (2003, noch zur Vorgängerrichtlinie) entschied der EuGH, dass die Veröffentlichung personenbezogener Daten im offenen Web die persönliche Sphäre verlässt. Die Kontaktliste einer Freelancerin für die Kundenakquise, die Networking-Datenbank eines Gründers, Messe-Leads in einer Tabelle – all das ist gewöhnliche Verarbeitung und braucht eine Rechtsgrundlage (häufig das berechtigte Interesse nach Art. 6 Abs. 1 lit. f), Transparenz gegenüber den Betroffenen und die Achtung ihrer Auskunfts- und Löschrechte.

Die meisten echten Adressbücher liegen ehrlicherweise dazwischen – Zahnärztin, Investor und Schwester in einer Liste. Dieser Artikel ist eine allgemeine Einordnung der Systematik, keine Rechtsberatung; bei einer echten Compliance-Frage hilft eine Datenschutz-Fachperson.

Die Haushaltsausnahme – und ihre Ränder

Art. 2 Abs. 2 lit. c ist im Kern großzügig und an den Rändern scharf. Klar drinnen: Kontakte für Freundschaft, Familie und Privatleben – egal wie detailliert deine Notizen sind. Klar draußen: alles, was einem Geschäft dient, auch dem nebenberuflichen. Die Ränder, an denen man hängen bleibt: Kontaktdaten öffentlich zu machen (eine Website, ein offenes Social-Profil) kippt die Ausnahme nach der Lindqvist-Rechtsprechung; eine Kamera, die die öffentliche Straße mitfilmt, fiel in Ryneš (2014) heraus – so wörtlich wird "ausschließlich" gelesen; und eine Datenbank für beide Sphären kann die Ausnahme für ihre geschäftliche Hälfte nicht beanspruchen. Wichtige Asymmetrie: Die Ausnahme befreit dich als Privatperson – aber das Unternehmen, dessen App dein Adressbuch verarbeitet, bleibt für seinen Umgang mit diesen Daten voll an die DSGVO gebunden.

Wann dich deine Kontaktliste zum Verantwortlichen macht

Mit dem Schritt ins Berufliche wirst du "Verantwortlicher" mit konkreten Pflichten. Du brauchst eine Rechtsgrundlage – bei gewöhnlichen Geschäftskontakten typischerweise eine dokumentierte Interessenabwägung, denn Einwilligung ist für eine Kontaktliste selten praktikabel. Du schuldest Transparenz: Wer dir seine Daten selbst gegeben hat, wird nach Art. 13 informiert; anderweitig beschaffte Daten lösen Art. 14 binnen eines Monats aus – die Pflicht, deren Ignorieren der Bisnode-Fall teuer gemacht hat. Du musst Rechte umsetzen: Auskunft (was hast du über mich?), Berichtigung, Löschung, Widerspruch. Und du verantwortest deine Auftragsverarbeiter – CRM-Anbieter, Cloud und Mail-Tool brauchen Verträge nach Art. 28. Für Solo-Selbstständige ist nichts davon exotisch; es heißt vor allem: Kontakte zu vertretbaren Zwecken in vertrauenswürdigen Tools halten – und löschen, wenn jemand darum bittet.

Datenschutz durch Architektur statt durch Papierkram

Art. 25 – "Datenschutz durch Technikgestaltung und Voreinstellungen" – liest sich in den meisten Produkten als Absichtserklärung und in wenigen als Architektur. Ein Local-First-Personal-CRM ist die Architektur-Variante: Endearist hält deine Kontaktdaten standardmäßig auf deinem Gerät, betreibt weder Anreicherung noch Scraping (in deine Datensätze gelangen nie Dossiers Dritter) und bietet Sync ausschließlich Ende-zu-Ende-verschlüsselt an, mit EU-gehosteter Cloud-Option. Die Menschen in deinem Adressbuch sind so nie einem Server ausgesetzt, der über sie mitlesen kann, und Fragen wie Drittlandtransfers schrumpfen drastisch. Für rein private Nutzung unter der Haushaltsausnahme ist das rechtlich nicht gefordert; es ist schlicht das Verhalten eines Tools, das die Daten deiner Freunde als zu minimierendes Risiko behandelt statt als auszubeutenden Rohstoff. Auch dieser Absatz ist keine Rechtsberatung, sondern akkurat beschriebene Produktarchitektur.

Häufige Fragen

Gilt die DSGVO für mein privates Adressbuch?: In aller Regel nein. Art. 2 Abs. 2 lit. c nimmt die Verarbeitung durch natürliche Personen zu ausschließlich persönlichen oder familiären Zwecken aus, und Erwägungsgrund 18 nennt das Führen von Anschriftenverzeichnissen ausdrücklich. Nummern von Freunden, Familiengeburtstage und private Notizen liegen außerhalb des Anwendungsbereichs. Die Ausnahme entfällt, sobald ein beruflicher oder wirtschaftlicher Zweck hinzukommt – etwa dieselbe Liste für Kundenarbeit – oder du die Daten veröffentlichst. Das ist eine allgemeine Einordnung, keine Rechtsberatung.
Darf ich Geschäftskontakte ohne Einwilligung speichern?: Meistens ja – die Einwilligung ist nur eine von sechs Rechtsgrundlagen, und bei gewöhnlichen Geschäftskontakten ist die typische Grundlage das berechtigte Interesse nach Art. 6 Abs. 1 lit. f: Wer dir eine Karte reicht oder beruflich schreibt, rechnet vernünftigerweise damit, gespeichert und kontaktiert zu werden. Transparenz schuldest du trotzdem, bei Widerspruch ist Schluss, und auf berechtigte Anfrage wird gelöscht. Was das berechtigte Interesse nicht trägt: massenhaftes Einsammeln Fremder. Keine Rechtsberatung – Details hängen am Kontext.
Ist es wichtig, wo meine Kontakte-App ihre Daten speichert?: Ja, in doppelter Hinsicht. Rechtlich: Ein Anbieter, der Kontakte von EU-Nutzern verarbeitet, ist an die DSGVO gebunden, und Speicherung außerhalb der EU aktiviert die Transferregeln (Kapitel V) – EU-Hosting oder Speicherung auf dem Gerät hält das einfach. Praktisch: Klartext auf dem Server bedeutet, dass ein Datenleck, eine Übernahme oder eine Policy-Änderung alle Menschen in deinem Adressbuch exponiert – die diese App nie gewählt haben. Local-First-Speicherung und Ende-zu-Ende-Verschlüsselung verkleinern die rechtliche Angriffsfläche und den Explosionsradius zugleich.

Quellen

Zuletzt aktualisiert: 2026-06-10

Beziehungen pflegen, nicht verwalten.

Endearist ist ein local-first Personal CRM. Kostenlos bis 25 Kontakte.

Kostenlos starten