Was sind die Rechtsgrundlagen der DSGVO?
Februar 2026
Bevor Sie personenbezogene Daten verarbeiten, müssen Sie sich eine entscheidende Frage stellen: Darf ich das überhaupt? Die DSGVO folgt einem klaren Grundprinzip. Die Verarbeitung personenbezogener Daten ist grundsätzlich nur dann gestattet, wenn die Voraussetzungen einer der Erlaubnisnormen der DSGVO greifen. Anders ausgedrückt: Sie brauchen eine rechtliche Erlaubnis, bevor Sie Daten verarbeiten.
Art. 6 Abs. 1 DSGVO listet sechs Rechtsgrundlagen auf, auf die eine Verarbeitung personenbezogener Daten gestützt werden kann. Diese sechs Rechtsgrundlagen sind gleichrangig. Welche Rechtsgrundlage für Sie passt, hängt von Ihrer konkreten Situation ab.
Die sechs Rechtsgrundlagen im Überblick
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Im geschäftlichen Alltag spielen insbesondere die ersten drei Rechtsgrundlagen eine zentrale Rolle: Einwilligung, Vertrag und rechtliche Verpflichtung. Das berechtigte Interesse ist die flexibelste, aber auch anspruchsvollste Rechtsgrundlage.
Wichtig: Einschränkungen bei der Wahl der Rechtsgrundlagen
Bevor wir die einzelnen Rechtsgrundlagen erklären, müssen Sie Folgendes wissen: Die freie Wahl der Rechtsgrundlagen kann durch andere Gesetze eingeschränkt werden.
Bei besonderen Kategorien personenbezogener Daten greift Art. 9 DSGVO. Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
Für die Verarbeitung besonderer Kategorien personenbezogener Daten muss nicht nur ein Rechtfertigungsgrund aus Art. 6 Abs. 1 DSGVO vorliegen, sondern zusätzlich auch einer der Ausnahmetatbestände gemäß Art. 9 Abs. 2 DSGVO erfüllt sein. Das bedeutet: Wenn Sie Gesundheitsdaten oder politische Meinungen verarbeiten, reicht eine normale Rechtsgrundlage nicht aus. Sie brauchen eine zusätzliche Erlaubnis nach Art. 9 DSGVO.
Ein zweites wichtiges Beispiel: Bei Direktwerbung per E-Mail schränkt das UWG (Gesetz gegen den unlauteren Wettbewerb) Ihre Wahlmöglichkeiten ein. Werbung per elektronischer Post (z.B. E-Mail-Werbung) ohne vorherige ausdrückliche Einwilligung wird nach § 7 UWG als belästigende Werbung angesehen und ist grundsätzlich unzulässig. Es gibt eine enge Ausnahme bei einer bestehenden Kundenbeziehung, unter der auch das berechtigte Interesse.
Aber auch in anderen (Spezial)Gesetzen kann es klare Sonderregelungen geben.
Rechtsgrundlage 1: Einwilligung der betroffenen Person
Die Einwilligung ist die bekannteste Rechtsgrundlage, wird aber oft unnötig eingesetzt. Eine wirksame Einwilligung muss freiwillig erteilt sein, insbesondere darf sie nicht an einen Vertrag gekoppelt sein, eindeutig sein, also das Einverständnis muss deutlich werden.
Die Einwilligung muss in informierter Weise erfolgen. Die Einwilligungserklärung selbst muss klar und verständlich sein. Zudem muss die betroffene Person darüber informiert werden, wer der Verantwortliche ist und zu welchen Zwecken die personenbezogenen Daten verarbeitet werden sollen. Weiter muss die betroffene Person nach Auffassung des Europäischen Datenschutzausschusses über die Art der verarbeiteten Daten, über ihr Recht, die Einwilligung jederzeit zu widerrufen, ggf. über eine automatisierte Entscheidungsfindung und über mögliche Risiken von internationalen Datentransfers informiert werden.
Praktische Beispiele: Newsletter-Anmeldung auf Ihrer Website, Nutzung von Mitarbeiterfotos für die Unternehmenswebsite oder die Teilnahme an einer freiwilligen Kundenbefragung.
Wichtiger Hinweis: Viele Unternehmen holen unnötig Einwilligungen ein, obwohl eine andere Rechtsgrundlage greift. Das Problem: Widerruft die Person ihre Einwilligung, dürfen Sie die Daten nicht mehr verarbeiten. Prüfen Sie daher immer zuerst, ob nicht eine stabilere Rechtsgrundlage wie ein Vertrag oder eine rechtliche Verpflichtung vorliegt.
Rechtsgrundlage 2: Vertragserfüllung und vorvertragliche Maßnahmen
Diese Rechtsgrundlage ist im geschäftlichen Alltag besonders wichtig. Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
Um eine Vertragsbeziehung anzubahnen oder durchzuführen, kann eine Verarbeitungstätigkeit erforderlich und damit zulässig sein. Der Begriff "Vertrag" ist dabei weit zu verstehen und umfasst auch mündliche Vereinbarungen.
Praktische Beispiele: Kundendaten zur Rechnungsstellung und Lieferung, Bewerbungsunterlagen zur Durchführung des Auswahlprozesses, Mitarbeiterdaten für die Lohnabrechnung oder Bankverbindungen zur Bezahlung.
Wichtige Einschränkung: Sie dürfen nur die Daten verarbeiten, die für die Vertragserfüllung wirklich erforderlich sind. Sollen die so erhobenen Daten für andere Zwecke als die Vertragsabwicklung verarbeitet werden, beispielsweise Verwertung der Daten für eine Studie oder Weitergabe der Daten an Dritte, bedarf es einer Einwilligung für den neuen Zweck.
Rechtsgrundlage 3: Rechtliche Verpflichtung
Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt. 13 Diese Rechtsgrundlage greift, wenn ein Gesetz Sie zur Datenverarbeitung verpflichtet.
Art. 6 Abs. 1 lit. c) DSGVO muss zusammen mit Art. 6 Abs. 3 DSGVO gelesen werden. Demnach muss sich die rechtliche Verpflichtung aus dem Unionsrecht oder aus dem Recht eines Mitgliedstaats ergeben, dem der Verantwortliche unterliegt.
Praktische Beispiele: Unternehmen müssen Meldepflichten zur Sozialversicherung befolgen. Es bestehen Aufbewahrungspflichten für Buchführungsunterlagen, welche beispielsweise im HGB oder in der Abgabenordnung zu finden sind.
Rechtsgrundlage 4: Schutz lebenswichtiger Interessen
Diese Rechtsgrundlage kommt im normalen Geschäftsalltag kaum vor. Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Sie greift nur in echten Notfallsituationen, etwa wenn Sie die Informationen eines bewusstlosen Unfallopfers an ein Krankenhaus weitergeben müssen.
Rechtsgrundlage 5: Wahrnehmung einer Aufgabe im öffentlichen Interesse
Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage ist primär für Behörden relevant. Privatrechtliche Unternehmen können sich nur dann darauf stützen, wenn ihnen eine hoheitliche Aufgabe übertragen wurde, etwa bei Autowerkstätten, die Abgasuntersuchungen durchführen.
Rechtsgrundlage 6: Berechtigtes Interesse des Verantwortlichen oder eines Dritten
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Diese Rechtsgrundlage ist die flexibelste, aber auch die komplexeste. Sie erfordert eine dreistufige Prüfung: Liegt ein berechtigtes Interesse vor? Ist die Verarbeitung dafür erforderlich? Überwiegen die Interessen der betroffenen Person nicht?
Die DSGVO und die Aufsichtsbehörden erkennen eine Vielzahl von Interessen als potenziell berechtigt an. Dazu gehören unter anderem: Betrugsprävention, Gewährleistung der Netz- und Informationssicherheit, zum Beispiel zum Schutz vor Cyberangriffen, Interne Verwaltungszwecke innerhalb einer Unternehmensgruppe, Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, Schutz von Eigentum, beispielsweise durch Videoüberwachung an einem konkret gefährdeten Ort.
Wichtig: Die gesamte Prüfung, einschließlich der Argumentation und des Ergebnisses der Interessenabwägung, muss vom Verantwortlichen schriftlich dokumentiert werden. Dies ist Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
Welche Rechtsgrundlage ist die richtige für Sie?
Die Wahl der richtigen Rechtsgrundlage entscheidet über die Rechtmäßigkeit Ihrer gesamten Datenverarbeitung. Viele Unternehmen setzen auf die Einwilligung, statt nach einer anderen, passenderen Rechtsgrundlage wie einer bestehenden Vertragsbeziehung mit der betroffenen Person Ausschau zu halten.
Prüfen Sie systematisch: Gibt es eine gesetzliche Verpflichtung zur Datenverarbeitung? Falls ja, ist das Ihre Rechtsgrundlage. Besteht ein Vertragsverhältnis mit der betroffenen Person? Dann kann die Vertragserfüllung die stabilere Wahl sein. Erst wenn keine dieser Rechtsgrundlagen greift, sollten Sie über das berechtigte Interesse oder die Einwilligung nachdenken.
Warum die richtige Rechtsgrundlage für Ihr Unternehmen entscheidend ist
Die Wahl der falschen Rechtsgrundlage kann teure Folgen haben. Wenn Sie eine Einwilligung einholen, obwohl Sie sich auf einen Vertrag stützen könnten, geben Sie der betroffenen Person die Möglichkeit, die Datenverarbeitung durch Widerruf zu beenden. Das kann Ihre Geschäftsprozesse erheblich stören.
Wenn Sie sich auf ein berechtigtes Interesse stützen, ohne eine ordnungsgemäße Interessenabwägung durchzuführen und zu dokumentieren, fehlt Ihnen die Rechtsgrundlage komplett. Das kann bei einer Prüfung durch die Aufsichtsbehörde zu empfindlichen Bußgeldern führen.
Unternehmen, die ihre Rechtsgrundlagen sorgfältig prüfen und dokumentieren, schaffen nicht nur Rechtssicherheit. Sie positionieren sich auch als verlässliche Partner, die verantwortungsvoll mit den Daten ihrer Kunden, Mitarbeiter und Geschäftspartner umgehen.
Sie möchten Ihre Datenverarbeitungen auf solide rechtliche Grundlagen stellen? MAINLY unterstützt Unternehmen mit pragmatischen Lösungen im Datenschutzrecht: von der Analyse Ihrer Verarbeitungsprozesse über die Auswahl der richtigen Rechtsgrundlagen bis zur vollständigen rechtssicheren Dokumentation.
