Jetzt anfragen
Glossar

Rechtsgrundlage (Art. 6 DSGVO)

Eine Rechtsgrundlage ist der gesetzliche Erlaubnistatbestand, der eine konkrete Datenverarbeitung rechtfertigt. Art. 6 DSGVO listet sechs solcher Grundlagen abschließend auf.

Was ist eine Rechtsgrundlage?

Die DSGVO arbeitet mit einem sogenannten Verbot mit Erlaubnisvorbehalt: Jede Verarbeitung personenbezogener Daten ist grundsätzlich verboten, solange sie nicht durch eine ausdrückliche Erlaubnis gedeckt ist. Diese Erlaubnis nennt man Rechtsgrundlage. Ohne eine passende Rechtsgrundlage ist die Verarbeitung rechtswidrig – unabhängig davon, wie sorgfältig die Daten technisch geschützt werden.

Die zentralen Erlaubnistatbestände stehen in Art. 6 Abs. 1 DSGVO. Sie sind abschließend formuliert: Es gibt genau sechs Grundlagen, und mindestens eine davon muss für jede Verarbeitung greifen. In Ihrem Verarbeitungsverzeichnis sollte deshalb zu jeder Tätigkeit die jeweilige Rechtsgrundlage dokumentiert sein.

Die sechs Erlaubnistatbestände

Art. 6 Abs. 1 DSGVO nennt folgende Grundlagen:

  • Einwilligung (lit. a): Die betroffene Person stimmt der Verarbeitung freiwillig zu. Mehr dazu im Begriff Einwilligung.
  • Vertragserfüllung (lit. b): Die Verarbeitung ist für einen Vertrag mit der betroffenen Person nötig, etwa zur Lieferung einer Bestellung.
  • Rechtliche Verpflichtung (lit. c): Ein Gesetz schreibt die Verarbeitung vor, zum Beispiel die steuerrechtliche Aufbewahrung von Rechnungen.
  • Lebenswichtige Interessen (lit. d): In Notfällen, in denen Leib oder Leben betroffen sind.
  • Öffentliche Aufgabe (lit. e): Vor allem für Behörden relevant.
  • Berechtigtes Interesse (lit. f): Eine Interessenabwägung erlaubt die Verarbeitung. Details unter Berechtigtes Interesse.

Für besondere Kategorien wie Gesundheits- oder Religionsdaten gelten zusätzlich die strengeren Voraussetzungen des Art. 9 DSGVO.

Welche Grundlage gilt wann?

Die richtige Wahl ist keine Geschmacksfrage. Wer eine Verarbeitung auf Vertrag stützen kann, sollte nicht zur Einwilligung greifen, denn eine Einwilligung lässt sich jederzeit widerrufen und ist damit die instabilste Grundlage. Umgekehrt darf man eine Verarbeitung nicht nachträglich auf berechtigtes Interesse umstellen, nur weil eine Einwilligung fehlgeschlagen ist.

Ein häufiger Fehler ist das gleichzeitige Nennen mehrerer Grundlagen „zur Sicherheit". Das schafft Intransparenz gegenüber den Betroffenen. Sauberer ist es, pro Zweck eine klar passende Grundlage festzulegen und diese im Verarbeitungsverzeichnis zu dokumentieren. Die ordnungsgemäße Zuordnung gehört zu den Aufgaben, die ich in der laufenden Betreuung mit meinen Mandanten regelmäßig prüfe.

FAQ

Rechtsgrundlage (Art. 6 DSGVO) – häufige Fragen

Braucht wirklich jede Datenverarbeitung eine Rechtsgrundlage?

Ja. Sobald personenbezogene Daten verarbeitet werden, muss eine der sechs Grundlagen aus Art. 6 DSGVO greifen. Ohne Rechtsgrundlage ist die Verarbeitung rechtswidrig und kann ein Bußgeld nach sich ziehen.

Darf ich mehrere Rechtsgrundlagen gleichzeitig angeben?

Davon rate ich ab. Pro Zweck sollte genau eine passende Grundlage festgelegt werden. Das schafft Transparenz und vermeidet Widersprüche, etwa wenn eine Einwilligung widerrufen wird, aber eine zweite Grundlage genannt war.

Was passiert, wenn eine Einwilligung widerrufen wird?

Wurde die Verarbeitung auf die Einwilligung gestützt, müssen Sie die Daten für den betroffenen Zweck löschen oder sperren. Ein nachträglicher Wechsel auf eine andere Grundlage ist nicht zulässig.

Wo dokumentiere ich die Rechtsgrundlage?

Im Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Dort wird zu jeder Tätigkeit der Zweck und die jeweilige Rechtsgrundlage festgehalten.

Unsicher bei der richtigen Rechtsgrundlage?

In einem kostenlosen Erstgespräch ordne ich Ihre Verarbeitungen den passenden Grundlagen zu. Sprechen Sie mich an.

Kostenloses Erstgespräch
Anrufen E-Mail Anfrage Erstgespräch anfragen