0. Dunning-Kruger-Effekt
Es sind oft besonders selbstbewusst auftretende "Wissende", die anderen "Unfug" unterstellen.
Man hat sich oft gefragt, woher dieses scheinbare Selbstbewusstsein kommt. Der Effekt und die Lösung wurde ist bekannt unter
https://de.wikipedia.org/wiki/Dunning-Kruger-Effekt
1. Gelten die Datenschutzgesetze nicht für Privatleute?
Die Datenschutzgesetze, nicht nur die DSGVO, fragen seit Jahrzehnten nicht danach, ob "der Verantwortliche" Unternehmer ist oder Privatmann.
DSGVO 4 Nr. 7:
„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;
https://dsgvo-gesetz.de/art-4-dsgvo/
Wer es anders sieht, mache mal als Privatmann testweise 'ne Internetseite auf, auf welcher er Aussagen über Gesundheit und sexuelle Vorlieben etc. seiner Wohnnachbarn auflistet. Am besten unter namentlicher Nennung.
Es reichte aber auch: Unter Nennung von deren Email-Headerdaten, wie es hier Thema ist, um die zweite Frage gleich mitzubeantworten.
2. Es reicht wenn persönliche Daten personenbezogen werden können
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;"
Oben zitierte Vorschrift, dort Nr. 1.
Deshalb sind beispielsweise Pseudonyme selbstverständlich "personenbezogene Daten", bspw. die IP-Adresse ist ein temporäres Pseudonym. Auch hier die Schutzrichtung des Datenschutzgesetzes beachten: Zwar ist es richtig, dass, solange sich eine IP nicht "bewegt", d.h. keine Surfbewegungen oder Emailversendungen etc. stattfinden, in einem Mehrpersonenanschluss (Familienhauhalt, Unternehmen etc.) kaum direkt einer Person "hinter der IP" zugeordnet werden können. Das ändert sich aber sobald Aktivitäten entfaltet werden, bspw. eine Email an einen GMail-Account verschickt wird oder sich irgendwo eingelogged wird. Außerdem, ganz wichtig, und für viele eine Verständnishürde, KANN es sein, dass hinter einer IP definitiv EIN und DIESELBE konkrete Person steckt, bspw. ein Computer-Nerd, der sich den Luxus einer festen IP leistet. Da dies der Fall sein kann, bewirkt die Schutzrichtung der Datenschutzgesetze, eine IP - zum Schutz auch dieser Personen - ALLE IPs als (potenziell) personenbezogen anzusehen. Warum? Weil es Aufgabe des "Verantwortlichen", d.h. des Datenverarbeiters ist, mit personenbezogenen Daten korrekt umzugehen und er also damit rechnen muss, dass eine IP eine konkrete Person repräsentiert.
Anders herum: Nur dann, wenn er sicherstellen kann, dass die IP, die er typischerweise mindestens in seinen Log-Dateien speichert, KEINE 1:1 IP-Adresse einer konkreten Person ist, bräuchte er die Datenschutzgesetze nicht zu beachten. Das kann er in der Regel nicht.
Corona-Vergleich: Auch diejenigen müssen Masken tragen, die nicht aktuell infiziert sind.
3. Haushaltsausnahme
Was vorgehender Unfug-Verkünder wohl irgendwie in seinem Hirn rumspuken hat, ist wohl die sogenannte "Haushaltsausnahme":
"Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,"
https://dsgvo-gesetz.de/art-2-dsgvo/
Vorsicht: Wo die Haushaltsaufnahme das Datenschutzgesetz unanwendbar macht, greift oft u.a. das Grundrecht auf Informationelle Selbstbestimmung und ggfls. auch das Recht am eigenen Bild, (grund-)schützend noch ein. Auch hier: Selbstverständlich gilt dies auch, wenn die Verletzung durch eine Privatperson stattfindet.