Rechtsgrundlage

Ausführliche Erklärung

Die Datenschutz-Grundverordnung folgt dem Prinzip "Verbot mit Erlaubnisvorbehalt": Jede Verarbeitung personenbezogener Daten ist grundsätzlich verboten, sofern nicht eine der sechs in Artikel 6 Abs. 1 DSGVO genannten Rechtsgrundlagen vorliegt. Ohne eine solche rechtliche Basis ist die Datenverarbeitung unzulässig und kann mit Bußgeldern geahndet werden.

Für Unternehmen bedeutet dies, dass sie vor jeder Verarbeitung prüfen müssen, auf welche Rechtsgrundlage sie sich stützen. In der Praxis sind drei Rechtsgrundlagen besonders relevant: Die Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a), die Erfüllung eines Vertrags (lit. b) sowie das berechtigte Interesse des Verantwortlichen (lit. f). Daneben existieren die Erfüllung einer rechtlichen Verpflichtung (lit. c), der Schutz lebenswichtiger Interessen (lit. d) und die Wahrnehmung öffentlicher Aufgaben (lit. e).

Die Wahl der Rechtsgrundlage ist für den Verarbeitungszweck entscheidend und muss separat für jeden Verarbeitungsvorgang dokumentiert werden. Eine E-Mail-Adresse kann beispielsweise zur Vertragsabwicklung auf Grundlage von lit. b verarbeitet werden, für den Versand eines Newsletters bedarf es jedoch einer gesonderten Einwilligung nach lit. a. Die gewählte Rechtsgrundlage muss zudem in der Datenschutzerklärung transparent dargelegt werden.

Das berechtigte Interesse ist kein Freibrief: Es setzt eine sorgfältige Interessenabwägung voraus, bei der die Grundrechte der betroffenen Person nicht überwiegen dürfen. Diese Abwägung muss dokumentiert werden. Besonders bei sensiblen Daten gelten verschärfte Anforderungen: Hier greift zusätzlich Artikel 9 DSGVO mit eigenen Erlaubnistatbeständen.