Nach der DSGVO darfst du personenbezogene Daten nur verarbeiten, wenn du einen gültigen Grund hast: eine Rechtsgrundlage. Das Gesetz kennt genau sechs. Für jede Verarbeitung musst du vorab wissen, welche gilt. Ohne Rechtsgrundlage ist die Verarbeitung unrechtmäßig, so gut deine Absichten auch sein mögen.
Die sechs Rechtsgrundlagen
Artikel 6 der DSGVO nennt sechs Grundlagen. Eine muss gelten, bevor du beginnst:
- Einwilligung: die Person hat frei und eindeutig zugestimmt und kann das widerrufen.
- Vertrag: die Verarbeitung ist zur Erfüllung eines Vertrags nötig, etwa zur Lieferung einer Bestellung.
- Rechtliche Verpflichtung: ein Gesetz verlangt die Verarbeitung, etwa die Steuerbuchhaltung.
- Lebenswichtige Interessen: es ist nötig, um ein Leben zu schützen, etwa im medizinischen Notfall.
- Öffentliche Aufgabe: eine im öffentlichen Interesse liegende Aufgabe erfordert sie.
- Berechtigtes Interesse: du hast ein überwiegendes Eigeninteresse, nach einer Abwägung mit der Privatsphäre.
Einwilligung ist nicht immer die beste Wahl
Viele meinen, man brauche für alles eine Einwilligung. Das stimmt nicht. Die Einwilligung ist sogar eine schwache Grundlage, weil sie jederzeit widerrufen werden kann, woraufhin du aufhören musst.
Für eine Kundenbestellung ist "Vertrag" sinnvoller, für einen Newsletter oft "berechtigtes Interesse" oder Einwilligung, für die Lohnbuchhaltung "rechtliche Verpflichtung". Wähle die Grundlage, die wirklich passt, nicht automatisch die Einwilligung.
Berechtigtes Interesse: auf die Abwägung achten
Die Grundlage "berechtigtes Interesse" ist flexibel, verlangt aber eine bewusste Abwägung zwischen deinem Interesse und der Privatsphäre der betroffenen Person. Direktwerbung an Bestandskunden kann darunterfallen; das Verfolgen von Menschen ohne ihr Wissen meist nicht.
Halte diese Abwägung fest. Bei einer Prüfung durch die Aufsichtsbehörde musst du zeigen können, warum dein Interesse überwog und welche Maßnahmen du zur Begrenzung der Auswirkung getroffen hast.
So verankerst du das in deinem Awareness-Programm
Rechtsgrundlagen sind für die meisten Mitarbeitenden zu abstrakt; richte deine Awareness auf Erkennung, nicht auf juristische Details.
- Trainiere vor allem den Reflex 'Verarbeitung braucht einen Grund' bei Rollen, die Daten erheben, etwa Marketing, HR und Vertrieb.
- Nutze eine Entscheidungshilfe oder ein Beispiel je Grundlage statt des Gesetzestexts.
- Verknüpfe es mit deiner Richtlinie und dem Verarbeitungsverzeichnis, damit Theorie und Praxis zusammenfallen.
- Biete Vertiefung für Beauftragte und Prozessverantwortliche über unseren Kurskatalog.
Verwandte Artikel
- Was ist die DSGVO? Die Grundlagen in verständlicher Sprache
- Personenbezogene Daten erkennen: was zählt dazu und was nicht?
FAQ
Was ist eine Rechtsgrundlage in der DSGVO?
Ein rechtlich erlaubter Grund, personenbezogene Daten zu verarbeiten. Die DSGVO kennt sechs (Artikel 6). Für jede Verarbeitung muss mindestens eine gelten, sonst ist sie unrechtmäßig.
Brauche ich immer eine Einwilligung?
Nein. Die Einwilligung ist nur eine der sechs Grundlagen und oft nicht die praktischste, weil sie widerrufen werden kann. Für viele Verarbeitungen passen Vertrag, rechtliche Verpflichtung oder berechtigtes Interesse besser.
Was ist ein berechtigtes Interesse?
Eine Grundlage, bei der dein überwiegendes Interesse die Verarbeitung rechtfertigt, sofern es die Privatsphäre überwiegt. Du musst diese Abwägung vornehmen und dokumentieren und die Auswirkung möglichst begrenzen.
Kann ich die Rechtsgrundlage während der Verarbeitung wechseln?
Das ist riskant und meist nicht erlaubt. Du legst die Grundlage vorab fest und bist darüber transparent. Ein nachträglicher Wechsel untergräbt das Vertrauen und kann unrechtmäßig sein.
Wer prüft, ob meine Grundlage stimmt?
In Deutschland die Landesdatenschutzbehörden, in Österreich die Datenschutzbehörde. Sie können deine Begründung verlangen, also halte fest, welche Grundlage du wähltest und warum.