Geschrieben am 29.04.2025 von:
Kevin Kraus
Legal Consultant | Informationssicherheitsbeauftragter (IHK) & Datenschutzauditor (DSA-TÜV)
zum Profil
Kontaktiere mich:
+49 (0) 261 – 9886236 44
E-Mail senden
Im letzten Beitrag haben wir uns die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten angesehen, die bei jeder Verarbeitung zu beachten sind. Ein wichtiger Grundsatz ist der Rechtmäßigkeitsgrundsatz nach Art. 5 Abs. 1 a) DS-GVO. Zur Wiederholung: Dieser Grundsatz besagt, dass personenbezogene Daten auf „rechtmäßige Weise“ verarbeitet werden müssen, es also einer Rechtsgrundlage zur Legitimierung der Verarbeitung bedarf. In diesem Beitrag beleuchten wir die wichtigsten Rechtsgrundlagen der DS-GVO, nämlich Art. 6 DS-GVO und Art. 9 DS-GVO. Natürlich gibt es auch bereichsspezifische Vorschriften in Spezialgesetzen, ebenso auch im BDSG, die wir zunächst aber nicht thematisieren.
Art. 6 DS-GVO ist die richtige Rechtsgrundlage, wenn die Verarbeitung „normaler“ personenbezogener Daten legitimiert werden muss, während bei der Verarbeitung besonderer Kategorien personenbezogener Daten Art. 9 DS-GVO heranzuziehen ist. Wann es sich um „besondere“ Kategorien handelt, kannst du in unserem zweiten Beitrag nachlesen.
In Art. 6 Abs. 1 a) bis f) DS-GVO gibt der Gesetzgeber sechs Rechtsgrundlagen vor, die einen Großteil der relevanten Datenverarbeitungen im betrieblichen Alltag abdecken.
Die wohl bekannteste Rechtsgrundlage, die Einwilligung, findet man in Art. 6 Abs. 1 a) DS-GVO. Aber obwohl sie bereits zu Beginn des Art. 6 DS-GVO zu finden ist, sollte eine Einwilligung nur sehr restriktiv herangezogen werden, nämlich wenn keine andere Rechtsgrundlage in Betracht kommt.
Als nächstes wird in Art. 6 Abs. 1 b) DS-GVO geregelt, dass jede Datenverarbeitung, die für einen Vertrag, dessen Partei die betroffene Person ist, erforderlich ist, zulässig ist. Dies gilt sogar bereits für Datenverarbeitungen im Rahmen von vorvertraglichen Maßnahmen wie Vertragsverhandlungen, wenn diese von der betroffenen Person ausgehen.
Sofern eine Datenverarbeitung im Rahmen der Erfüllung einer gesetzlichen Verpflichtung erforderlich ist, so richtet sich diese Zulässigkeit nach Art. 6 Abs. 1 c) DS-GVO, und zwar immer in Verbindung mit der jeweiligen Norm, aus der die gesetzliche Pflicht resultiert.
Wenn es um eine Datenverarbeitung geht, mit der lebenswichtige Interessen von Personen geschützt werden, kann dies über Art. 6 Abs. 1 d) DS-GVO legitimiert werden.
Die nächste Rechtsgrundlage ist Art. 6 Abs. 1 e) DS-GVO, die immer dann herangezogen werden kann, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt, oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Damit ist diese Rechtsgrundlage besonders relevant für Behörden, öffentliche Stellen oder von diesen Beliehene, häufig in Verbindung mit einer Spezialvorschrift.
Zum Schluss schauen wir uns mit Art. 6 Abs. 1 f) DS-GVO eine besondere Rechtsgrundlage an, die nicht selten als Auffangtatbestand herangezogen wird, wenn nicht zwingend eine Einwilligung erforderlich ist. Nach dieser Vorschrift darf man nämlich personenbezogene Daten verarbeiten, wenn das im berechtigten Interesse des Verantwortlichen ist und die Interessen der Betroffenen nicht überwiegen. Es findet also eine Interessenabwägung statt, bei der der Verantwortliche seine Interessen explizit begründen muss. Das werden wir in unserem späteren Beitrag zu den Betroffenenrechten weiter vertiefen.
Es ist zwingend zu beachten, dass diese Rechtsgrundlagen nicht bei besonderen Kategorien personenbezogener Daten herangezogen werden können, denn dann muss man immer in den Art. 9 Abs. 2 DS-GVO schauen. Wenn du bei der Einordnung Unterstützung benötigst, schreibe einfach eine kurze Nachricht an contact@morgenstern-privacy.com, dann helfen wir dir!