Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage. Ohne eine solche ist die Verarbeitung rechtswidrig. Art. 6 Abs. 1 DSGVO enthält einen abschließenden Katalog von sechs Rechtsgrundlagen.
Die sechs Rechtsgrundlagen im Überblick
a) Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) Die betroffene Person hat freiwillig, informiert und unmissverständlich zugestimmt. Beispiel: Newsletter-Anmeldung per Double-Opt-in. Die Einwilligung muss jederzeit widerrufbar sein, und der Widerruf muss so einfach wie die Erteilung sein (Art. 7 Abs. 3 DSGVO).
b) Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) Die Verarbeitung ist für die Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen erforderlich. Beispiel: Speicherung der Lieferadresse bei einer Online-Bestellung.
c) Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) Der Verantwortliche ist gesetzlich zur Verarbeitung verpflichtet. Beispiel: Aufbewahrung von Rechnungen nach Steuerrecht (6-10 Jahre), Meldepflichten an Sozialversicherungsträger.
d) Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d DSGVO) Schutz lebenswichtiger Interessen der betroffenen oder einer anderen Person. Beispiel: Notfallmedizinische Versorgung bei Bewusstlosigkeit. Diese Grundlage ist nur subsidiaer anwendbar.
e) Öffentliches Interesse (Art. 6 Abs. 1 lit. e DSGVO) Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt. Beispiel: Datenverarbeitung durch Finanzämter oder Polizei. Für öffentliche Stellen in Deutschland konkretisiert durch Paragraph 3 BDSG.
f) Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich, sofern die Interessen der betroffenen Person nicht überwiegen. Beispiel: Direktwerbung an Bestandskunden (EG 47 DSGVO), IT-Sicherheitsmassnahmen, Betrugsverhinderung. Behörden dürfen sich nicht auf diese Grundlage berufen.
Wichtige Praxisregel
Die Rechtsgrundlage muss VOR Beginn der Verarbeitung festgelegt und dokumentiert werden. Ein nachträglicher Wechsel der Rechtsgrundlage ist grundsätzlich unzuläßig. Bei sensiblen Daten (Art. 9 DSGVO) gelten zusätzliche, strengere Anforderungen.