- DSGVO Artikel 6 listet sechs rechtmäßige Grundlagen — mindestens eine muss für jede Verarbeitungstätigkeit gelten
- Zustimmung ist nicht immer die sicherste Wahl; für Vertragsleistungen ist die Vertragsleistung deutlicher
- Sie müssen Ihre rechtmäßige Grundlage identifizieren, bevor Sie die Verarbeitung beginnen — Sie können nicht rückwirkend wechseln
- Die gewählte Grundlage betrifft die Anwendung der individuellen Rechte und deren Ausübung
Die Verarbeitung personenbezogener Daten ohne gesetzliche Grundlage gemäß DSGVO ist unrechtmäßig — vollständiger Stopp. Doch viele Organisationen überspringen diesen Schritt entweder ganz, verlassen sich auf die Zustimmung als Einfang oder dokumentieren eine Grundlage, ohne sie wirklich anzuwenden. Die Aufsichtsbehörden behandeln fehlende oder falsche gesetzliche Basisdokumentation als wesentliches Compliance-Versagen.
Die sechs rechtmäßigen Grundlagen sind nicht austauschbar. Jeder trägt verschiedene Verpflichtungen und gewährt den betroffenen Personen unterschiedliche Rechte. Die Wahl der richtigen Grundlage von Anfang an ist Grundlage für Ihr gesamtes DSGVO-Compliance-Programm.
Verwandter HubSecure-Kaufpfad
Compliance-CRM-Leitfaden Compliance-CRM für wachsende Unternehmen CRM-Modul HubSpot-Vergleich Compliance-CRM-Leitfaden Leitfaden-Bibliothek Buchen Sie eine Workflow-Demo
Zugehörige Ressourcen zu Sicherheit, Datenschutz und Governance
Weiter mit HubSecure Sicherheits- und Trustcenter, Datenverarbeitungsvereinbarung, Unterauftragsverarbeiter, Compliance-Workflows, geregelter KI-Betreiber.
Verwandter Anwendungsfall
Dieser Leitfaden gehört zum Cluster Workspace Alternatives and Tool Consolidation Guides. Fahren Sie mit dem Produkt-Hub für Arbeitsplatzalternativen und Werkzeugkonsolidierung fort.
Die sechs rechtmäßigen Grundlagen erklärten
Zustimmung
Die Person hat eine klare, spezifische, informierte und freiwillige Einwilligung gegeben. Die Einwilligung muss ebenso leicht zu widerrufen wie zu erteilen sein. Sie kann nicht mit anderen Vereinbarungen gebündelt, stillschweigend oder vorab angekreuzt werden. Nutzen Sie die Einwilligung für Marketingmitteilungen, optionale Profilfunktionen oder Verarbeitungen, die über das hinausgehen, was die Beziehung unbedingt erfordert.
Vertragserfüllung
Die Verarbeitung ist erforderlich, um einen Vertrag mit der betroffenen Person zu erfüllen oder um auf deren Wunsch hin vor Vertragsabschluss Maßnahmen zu ergreifen. Dies ist die Hauptgrundlage für die Verarbeitung von Kundendaten in professionellen Dienstleistungen – Sie verfügen über die Kontaktdaten, KYC-Informationen und Sachdaten eines Kunden, weil Sie diese für die Erbringung Ihrer Dienstleistungen benötigen. Nutzen Sie die Einwilligung nicht für Daten, die die Vertragserfüllung betreffen.
Gesetzliche Verpflichtung
Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung nach EU-Recht oder Recht der Mitgliedstaaten erforderlich. Hierzu zählen AML/KYC-Screening, verpflichtende Meldepflichten und arbeitsrechtliche Anforderungen. Diese Grundlage erstreckt sich nicht auf vertragliche Verpflichtungen – diese fallen unter Artikel 6 Absatz 1 Buchstabe b.
Lebenswichtige Interessen
Die Verarbeitung ist notwendig, um das Leben einer Person zu schützen. Dabei handelt es sich um eine schmale Grundlage, die vor allem in echten Notsituationen anwendbar ist. Es ist selten die richtige Grundlage für die Verarbeitung geschäftlicher Daten.
Öffentliche Aufgabe
Die Verarbeitung ist für eine Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Dies gilt in erster Linie für Behörden, Regulierungsbehörden und Stellen, die delegierte öffentliche Aufgaben wahrnehmen. Die meisten privat regulierten Unternehmen werden diese Grundlage nicht nutzen.
Berechtigte Interessen
Die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen. Dies erfordert eine dreiteilige Bewertung der berechtigten Interessen (LIA): Ermittlung des berechtigten Interesses; zeigen, dass die Verarbeitung erforderlich ist; gegen die Interessen des Einzelnen abwägen. Gut für Betrugsprävention, Netzwerksicherheit, interne Analysen und B2B-Marketing für bestehende Kunden.
Wie rechtmäßige Grundlage die Rechte der betroffenen Personen berührt
Die von Ihnen gewählte Grundlage bestimmt unmittelbar, welche Rechte betroffene Personen ausüben können:
- Einwilligung: Einzelpersonen können ihre Einwilligung jederzeit widerrufen, was in den meisten Fällen ein Recht auf Löschung auslöst
- Vertragserfüllung: Das Widerspruchsrecht besteht nicht; Die Daten müssen jedoch gelöscht werden, wenn der Vertrag endet und die Aufbewahrungsfrist abläuft
- Gesetzliche Verpflichtung: kein Recht auf Löschung; Die Daten müssen zur Erfüllung der Verpflichtung aufbewahrt werden
- Berechtigte Interessen: Einzelpersonen haben ein absolutes Widerspruchsrecht; Wenn sie Einwände erheben und Sie ihre Interessen nicht außer Kraft setzen können, müssen Sie die Verarbeitung einstellen
Dokumentation Ihrer Rechtsgrundlage
Ihr Verzeichnis der Verarbeitungsaktivitäten (RoPA) gemäß Artikel 30 muss die Rechtsgrundlage für jede Verarbeitungsaktivität dokumentieren. Ihre Datenschutzerklärung muss den betroffenen Personen auch die Grundlage mitteilen. Es ist nicht konform, dies im Nachhinein zu dokumentieren oder sich auf eine Grundlage zu stützen, die Sie zu diesem Zeitpunkt nicht wirklich beurteilt haben.
Können wir von einer Rechtsgrundlage zur anderen wechseln?
In den meisten Fällen nein. Die Leitlinien von ICO und EDPB sind klar: Sie können nicht die Basis wechseln, um einer entstandenen Verpflichtung zu entgehen (z. B. Wechsel von der Einwilligung zu berechtigten Interessen, nachdem Personen ihre Einwilligung widerrufen haben). Sie sollten die korrekte Grundlage ermitteln und dokumentieren, bevor mit der Verarbeitung begonnen wird.
Brauchen wir eine Einwilligung für Kundendaten, wenn wir einen Vertrag haben?
Nein. Wenn Sie Kundendaten zur Erfüllung eines Vertrags oder einer rechtlichen Verpflichtung speichern, ist die Einwilligung nicht die geeignete Grundlage – und ihre Verwendung führt zu Verpflichtungen (einfacher Widerruf, Recht auf Löschung), die Sie nicht benötigen, wenn die richtige Grundlage die Vertragserfüllung oder eine rechtliche Verpflichtung ist.
Dokumentieren Sie Ihre Rechtsgrundlagen ordnungsgemäß
Der Compliance-Arbeitsbereich von HubSecure enthält Vorlagen für Aufzeichnungen über Verarbeitungsaktivitäten und Datenschutzhinweise, die vorab auf Ihre Branche und Gerichtsbarkeit zugeschnitten sind.
Buchen Sie eine DemoOffizielle Quellen und weiterführende Literatur
Nutzen Sie diese öffentlichen Quellen, um den regulatorischen Hintergrund und die Terminologie zu überprüfen. Bei den Inhalten von HubSecure handelt es sich um Produkthinweise, nicht um Rechtsberatung.
Hinweise zur Glaubwürdigkeit
Dieser Leitfaden dient der Produkt- und Betriebsbewertung und stellt keine Rechtsberatung dar. Bestätigen Sie bei Compliance-Verpflichtungen die Anforderungen mit einem qualifizierten Berater oder der zuständigen Aufsichtsbehörde.
Verwandte HubSecure-Referenzen: Sicherheit · DPA · Unterauftragsverarbeiter · AML/KYC-Glossar · RBAC-Glossar
Überprüft für regulierte Teams
Vorbereitet vom HubSecure-Redaktionsteam für Betreiber, Compliance-Verantwortliche und IT-Prüfer, die sichere Client-Betriebssoftware bewerten.
Autoren · Rezensenten · Redaktionelle Richtlinien