DSGVO Essentials
Kein Spezialgesetz für Datenschutzbeauftragte
Es gibt echte Spezialgesetze, die wirklich nur spezielle Berufsgruppen adressieren. Die DSGVO gehört nicht dazu. Die DSGVO ist ein allgemeines Gesetz, das jedem Bürger spezifische Rechte gewährt und in zentralen Punkten von jedem zu beachten ist, der / die mit personenbezogenen Daten arbeitet.
Bei jedem kaufmännischen Bürojob gehören einige zentrale Punkte aus dem BGB und HBG zur Allgemeinbildung. Das heißt, es wird einfach erwartet, dass man gewisse Regeln kennt und dieses Wissen routiniert anwendet. Bei der DSGVO sollte das eigentlich genau so funktionieren; denn zuständig für die Einhaltung ist ja eben nicht eine zentrale Datenschutzabteilung mit Spezialisten, sondern jede Fachabteilung selbst.
Ein Klassiker sind die sogenannten Rechtsgrundlagen. Warum das so ist, erklären wir in diesem Beitrag.
Rechtsgrundlagen nach Art. 6 (1)
Was steckt hinter diesem sperrigen Begriff?
Alle EU-Bürger haben ein Grundrecht auf den Schutz der sie betreffenden Daten, das folgt aus Art. 8 der Grundrechtecharta, also quasi dem Grundgesetz der EU.
Das heißt, personenbezogene Daten dürfen nicht einfach mal eben so verarbeitet werden! Juristen nennen diesen Grundsatz: Verbot mit Erlaubnisvorbehalt. Um nicht illegal zu werden, braucht es sozusagen immer einen legitimen Grund für eine Verarbeitung bzw. eine konkrete Erlaubnis dafür. Der Gesetzgeber hat hier mithilfe der DSGVO das EU-Grundrecht in die Praxis getragen und dort konkreter erklärt, unter welchen Bedingungen die Verarbeitung zulässig ist (Erlaubnis). Und genau hier haben wir somit eine Stelle im Gesetz, die man einfach drauf haben muss, wenn man einen Bürojob mit Datenverarbeitung ausübt (‘Allgemeinbildung’).
Weil nicht alle Datenverarbeitungen gleich sind, hat der Gesetzgeber direkt verschiedene Szenarien beschrieben, die in Art 6 (1) DSGVO quasi als Katalog aufgeführt sind. Wenn man Daten mit Personenbezug verarbeiten will, muss man diese Verarbeitungstätigkeit einem dieser Szenarien zuordnen. Das ist in den meisten Fällen nicht schwierig. Wurde die passende Position im gesetzlichen Katalog gefunden, hat man für die Verarbeitung eine legale Basis, eine sogenannte ‘Rechtsgrundlage’ identifiziert. Damit ist eine zentrale Bedingung erfüllt, um legal Daten mit Personenbezug zu verarbeiten (erheben, speichern, auswerten, weitergeben etc.).
Die DSGVO sieht insgesamt sechs legitime Gründe / Szenarien vor, auf deren Basis Daten verarbeitet werden dürfen. In der Praxis wird hier oft einfach von ‘Rechtsgrundlagen’ gesprochen. Dieser Begriff klingt unglücklich sperrig und bürokratisch; wir wissen aber nun, was er bedeutet und können teifer einsteigen.
Vereinfachungen
Die erste Vereinfachung: Wer für privatwirtschaftliche Unternehmen tätig ist, muss sich für das Alltagsgeschäft nur mit vier der sechs Rechtsgrundlagen beschäftigen; die zwei ausgelassenen sind vereinfacht gesagt nur für öffentliche Verwaltungen und für Notfallsanitäter relevant.
Die zweite Vereinfachung (ein Tipp): Man kann Verarbeitungstätigkeiten, also das fragliche Doing in der Praxis sehr grob oder auch sehr detailliert für die Zuordnung zu den Rechtsgrundlagen beschreiben. Grobe Beschreibungen haben den Vorteil, recht viel auf einmal zu umfassen. Das sieht nach Arbeitsersparnis aus. Dieser Ansatz führt allerdings oft zu einiger Komplexität, die wir besser vermeiden sollten. Komplexität macht am Ende oft viel mehr Arbeit und ist eine Quelle für Fehler.
Und Fehler sollten wir bei der Zuordnung zu den Rechtsgrundlagen unbedingt vermeiden! Der Grund ist so simpel wie wichtig. Werden hier Fehler gemacht, arbeitet man zumindest in Teilen am Ende ohne gültige Rechtsgrundlage – also illegal. Das führt in der Praxis auch viele Jahre nach Einführung der DSGVO noch immer wieder bei Unternehmen zu hohen Geldbußen.
Am übersichtlichsten ist es, wenn man für die Anwendung der DSGVO Verarbeitungstätigkeiten konzeptionell nach einer einfachen Regel zuschneidet: Themen so modularisieren, dass niemals mehr als eine Rechtsgrundlage aus dem Katalog im Art. 6 (1) DSGVO passt. Begründung: Für die Wahl einer der Rechtsgrundlagen müssen stets definierte Voraussetzungen erfüllt sein; abhängig von der gewählten Rechtsgrundlage gelten zudem spezifische Folgen.
Gelten nun für nur grob beschriebene Verarbeitungstätigkeiten mehr als eine Rechtsgrundlage, dann haben wir es mit verschiedenen Voraussetzungen und verschiedenen (Rechts-) Folgen zu tun. Und genau dies ist die eingangs erwähnte Komplexität. Es ist dann schwierig zu erkennen, für welche Tasks (oder Daten) genau nun welche Bedingungen einzuhalten sind und welche (Rechts-) Folgen sich aus der jeweiligen Verarbeitung für welche Daten ergeben. Fehler sind sodann in der täglichen Praxis sehr wahrscheinlich – und häufig für Betroffene und Aufsichtsbehörden ziemlich einfach zu erkennen (Risiko!).
Die Rechtsgrundlagen im Überblick
Die verschiedenen Rechtsgrundlagen im Art. 6 (1) DSGVO sind mithilfe von Buchstaben als Aufzählungszeichen dargestellt. Viele, die mit dem Thema täglich arbeiten, nennen als Rechtsgrundlage oft nur die jeweiligen Aufzählungszeichen, also die Buchstaben. Wenn man eine Weile damit arbeitet, versteht man so schnell, worüber geredet wird. Es ist aber wahrlich keine Voraussetzung, um die DSGVO richtig anzuwenden.
Wir stellen die Rechtsgrundlagen nicht in alphabetischer Reihenfolge vor, sondern so, wie es uns am anschaulichsten erscheint.
Gesetz [c]:
‘Must Do’, kein ‘Nice to Have’ [mehr]
Wenn ein Gesetz nur dann erfüllt werden, wenn genau diese Daten verarbeitet werden; dann gilt diese Rechtsgrundlage; man kann quasi einfach loslegen; es sind keine weiteren Formalien erforderlich.
Die Betroffenen können dagegen nichts tun, es ist kein Widerruf, kein Widerspruch möglich.
Diese Rechtsgrundlage ist einfach in der Handhabung. Aber Achtung: Sie gilt nur für die Daten, die wirklich erforderlich sind, um ein konkretes Gesetz zu erfüllen. Geht es darum, ein Gesetz möglichst bequem, effizient etc. zu erfüllen, gilt [c] schon nicht mehr – dem Missbrauch wäre sonst Tür und Tor geöffnet. Für Verarbeitungen oberhalb des konkreten gesetzlichen Zwangs bietet sich das berechtigte Interesse an [f].
Vertrag [b]
Notwendiges für den Vertrag [mehr]
Alle Infos, die erforderlich sind (also absolut notwendig), um einen Vertrag anzubahnen bzw. durchzuführen. Bei der Anbahnung ist wichtig, dass die Initiative vom Betroffenen ausgeht, damit irgendwelche Schlauberger nicht lustig alles Mögliche verarbeiten und dann behaupten, das sei für eine zukünftige Akquisition erforderlich.
Wenn man sich konsequent auf die Daten beschränkt, die wirklich zur Anbahnung und oder Durchführung eines konkreten Vertrages notwendig sind, darf man quasi einfach loslegen; es sind keine weiteren Formalien erforderlich.
Die Verarbeitung auf dieser Rechtsgrundlage gibt hohe Rechtssicherheit, weil die Betroffenen kein Recht auf Widerruf oder Widerspruch haben. Alles andere wäre tatsächlich schwierig. Beispiel: Düfte man als Betroffener die Verarbeitung der eigenen Daten widerrufen, dann wäre der ideale Moment nach der Leistungserbringung unmittelbar bevor es an das Bezahlen geht. Fehlt es aufgrund eines Widerrufs am Recht, die Daten zu verarbeiten, kann keine Rechnung mehr erstellt werden. Das wäre Gift für die Wirtschaft – und das soll die DSGVO nicht sein.
Aber Achtung: Diese Rechtsgrundlage ist kein Freibrief für alle möglichen Daten aus dem Umfeld der Vertragsanbahnung oder -erfüllung, sondern nur für die Daten, die genau hierfür wirklich erforderlich sind (must have). Für alles, was ‘nice to have’ ist, um einen Vertrag besser zu erfüllen (effizient, netter, kundenorientierter etc.), bietet sich das berechtigte Interesse an [f].
Berechtigtes Interesse [b]
Der Joker, die Universalrechtsgrundlage [mehr]
Immer dann einen Lösungsversuch wert, wenn es keinen konkreter Zwang (Notwendigkeit) etwa aus einem Vertrag oder einem Gesetz gibt, man die Daten aber trotzdem für die Erfüllung legitimer Zwecke braucht (z.B. die Kundenbetreuung).
Für diese Freiheit hat der Gesetzgeber aber eine Eintrittsbedingung geknüpft: Die Interessenabwägung. Sie muss einmalig pauschal für alle nach diesem Schema zu verarbeitenden Daten erfolgen und dokumentiert werden.
Der Zweck muss legitim sein (vereinfacht gesagt: legal und ethisch akzeptabel).
Die Verarbeitung muss zur Erfüllung dieses Zwecks erforderlich sein (im Sinne von absolut notwendig); die Rechtsgrundlage ist also kein Freibrief für alles Mögliche.
Die Interessen der Betroffenen dürfen die Interessen des Verarbeiters (oder sonst. Nutznießer der Verarbeitung) nicht überwiegen. Das muss in einer dokumentierten Abwägung untersucht werden. Diese Abwägung ist der Check auf den gesunden Menschenverstand. Hierfür müssen beispielsweise solche Fragen geklärt werden: Würden die Betroffenen die Verarbeitung akzeptabel finden, wenn sie den dahinter liegenden Zweck wirklich verstehen? Muss davon ausgegangen werden, dass zumindest ein guter Anteil der Betroffenen es nicht will, ist kein berechtigtes Interesse als Rechtsgrundlage möglich; hier hilft dann nur noch die Einwilligung [a], sofern die Betroffenen sie erteilen.
Kommt es zur Verarbeitung auf dieser Basis, können die Betroffenen jederzeit widersprechen – müssen das aber begründen. Mit den Gründen muss man als Unternehmen dann erneut in eine Abwägung einsteigen. Taugen die Gründe nichts, läuft der Widerspruch ins Leere und man darf weiterverarbeiten; ein hohes Privileg für die Unternehmen. Greift der Widerspruch, muss gestoppt werden. Wird man sich nicht einig, muss geschlichtet werden (im Extremfall vor Gericht).
Widersprüche gegen Direktwerbung müssen übrigens als Ausnahme nicht begründet werden; hier kann es keinen Streit geben, hier ist die Verarbeitung einfach für denjenigen zu stoppen, der widersprochen hat.
Diese Rechtsgrundlage ist einfach zu handhaben! Man muss im Prinzip nur einmal pauschal die Interessenabwägung für alle künftigen Vorgänge derselben Art durchführen. Und man muss den Betroffenen natürlich sagen, dass man ihre Daten auf Basis des berechtigten Interesses verarbeitet – sonst bräuchte es kein Recht auf Widerspruch geben. Wie könnten die Betroffenen ansonsten widersprechen, wenn sie von der Verarbeitung gar nichts wissen. Transparenz ist vor allem bei dieser Rechtsgrundlage besonders wichtig.
Einwilligung [a]
Für alles andere… [mehr]
Diese Rechtsgrundlage sollte nur verwendet werden, wenn eine Datenverarbeitung nicht aufgrund einer gesetzlichen Anforderung [c] oder einer Vertragserfüllung [b] notwendig ist oder nicht mithilfe des berechtigten Interesses [f] durchgeführt werden kann.
Die Einwilligung hat drei große Herausforderungen bzw. Nachteile:
1.] Sie kann von den Betroffenen jederzeit ohne Angabe von Gründen und ohne Einhaltung von Fristen und Formen widerrufen werden. Der Widerruf gilt nur für die Zukunft; relevante Daten sind sodann aber trotzdem sofort zu löschen, weil hier sonst für die Zukunft die Rechtsgrundlage fehlen würde. Dies erfordert gut implementierte Prozesse.
2.] Das Erteilen der Einwilligung muss für jeden (!) Einzelfall auf Anforderung einer Aufsichtsbehörde zumindest während der gesamten Anwendungszeit der Einwilligung nachweisbar sein.
3.] Die Einwilligung muss informiert und freiwillig erfolgen. Das heißt, den Betroffenen müssen ausreichend Informationen bereitgestellt werden, damit sie wirklich verstehen können (wenn sie es denn wollen), was mit ihren Daten passiert. Und das Erteilen der Einwilligung muss freiwillig erfolgen. An die Freiwilligkeit sind hohe Anforderungen zu stellen.
Eine Website muss beispielsweise auch ohne Einwilligung in mehr als nur Grundzügen funktionieren, sonst ist die Einwilligung nicht freiwillig. Eine Einwilligung im Arbeitsleben gegenüber einem Vorgesetzten gilt im Zweifel nicht als freiwillig, weil sie in einem Abhängigkeitsverhältnis erteilt wurde.
Fehlt es an der Informiertheit oder Freiwilligkeit, ist die Einwilligung nicht wirksam; die Verarbeitung erfolgt dann ohne Rechtsgrundlage.
Abschließende Bewertung
Wenn die Verarbeitung nicht zwingend ist (Vertrag, Gesetz), dann kann sie trotzdem zulässig sein, wenn sie fair und gesellschaftlich anerkannt ist (mithilfe des berechtigten Interesses). Alles was darüber hinaus geht, braucht eine Einwilligung.
Wichtig: Wenn es um die ganz sensiblen Daten geht (z.B. Gesundheit, politische Überzeugungen, sexuelle Vorzüge), ist neben den ‘normalen’ Rechtsgrundlagen regelmäßig noch eine zusätzliche spezielle Einwilligung erforderlich.
Noch ein Hinweis
Neben der korrekten Zuordnung einer Rechtsgrundlage und dem Schaffen der jeweils von der DSGVO geforderten Voraussetzungen müssen auch für die aus der Zuordnung sich ergebenden (Rechts-) Folgen organisatorisch einige Maßnahmen ergriffen werden. Widersprüche und Widerrufe müssen für die Betroffenen ohne unnötige Hürden einfach möglich sein und im Unternehmen dort schnell ankommen, wo sie dann auch praktisch umgesetzt werden (Prüfung bzw. Stopp der Verarbeitung).
Heimlichkeiten sind unzulässig: Die Rechte der Betroffenen wären reine Theorie, wenn die Betroffenen gar nicht wüssten, was von ihnen jeweils auf welcher Rechtsgrundlage zu welchem Zweck verarbeitet wird. Den Betroffenen ist deshalb über alle sie betreffenden Verarbeitungen eine gut verständliche Info bereitzustellen (Datenschutzhinweise).
Mehr Motivation für Sorgfalt bei den Rechtsgrundlagen
Noch zwei Gründe, warum es sich lohnt, die Rechtsgrundlagen sauber und trennscharf zuzuordnen: 1.] Das Führen des gesetzlich geforderten Verzeichnisses der Verarbeitungstätigkeiten (VVT) dürfte deutlich einfacher fallen. 2.] Liegen trennscharfe Infos zu den Verarbeitungstätigen vor, dürfte es auch deutlich einfacher sein, anschauliche Datenschutzhinweise zu formulieren (was das Gesetz ausdrücklich fordert).
Beides lohnt sich. Neben der Erfüllung der gesetzlichen Pflicht gelten sowohl das VVT als auch die Datenschutzhinweise als Visitenkarte des Unternehmens. Während das VVT vor allem von den Aufsichtsbehörden gelesen wird, sind die Datenschutzhinweise für alle (potentiell) Betroffenen bereitzustellen. Nach unserer Erfahrung korrelieren eher nebulös über Allgemeinplätze informierende Datenschutzhinweise sehr häufig mit unterdurchschnittlich entwickelten Datenschutzstandards im Unternehmen und können zuverlässig als Warnung verstanden werden.
as of 2025-09-22