Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass jede Verarbeitung personenbezogener Daten auf einer klar definierten rechtlichen Grundlage basieren muss. Fehlt diese Basis, handelt es sich um einen Datenschutzverstoß, der schwerwiegende Folgen haben kann, von hohen Bußgeldern bis hin zu einem Vertrauensverlust bei Kunden und Geschäftspartnern.

Die korrekte Identifikation und der rechtmäßige Umgang mit personenbezogenen Daten sind zentrale Anforderungen der DSGVO. Unternehmen müssen jederzeit nachweisen können, dass sie diese Daten nur im Rahmen der gesetzlichen Vorschriften erheben, verarbeiten und speichern, bspw. für Kundenmanagement, Marketing, Mitarbeiterverwaltung oder IT-Systemprotokolle.

Eine fehlerhafte Handhabung kann zu hohen Bußgeldern und Imageschäden führen. Deshalb sind technische Schutzmaßnahmen (z. B. Verschlüsselung) und organisatorische Prozesse (z. B. Datenschutzrichtlinien, Schulungen) unerlässlich.

In diesem Artikel erfahren Sie, welche Rechtsgrundlagen die DSGVO vorsieht, wie sie sich unterscheiden und wie Sie sicherstellen, dass Ihr Unternehmen rechtssicher arbeitet.


Was sind personenbezogene Daten?

Bevor wir die Rechtsgrundlagen betrachten, ist wichtig zu verstehen, was überhaupt unter personenbezogenen Daten fällt. Darunter versteht die DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Der Begriff ist weit auszulegen. Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie:

  • Name
  • Kennnummer
  • Standortdaten
  • Online-Kennung (z. B. IP-Adresse, Cookies)
  • oder einem oder mehreren besonderen Merkmalen,die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Beispiele für personenbezogene Daten:

  • Klassische Identifikatoren: Name, Adresse, Geburtsdatum, Telefonnummer
  • Digitale Daten: IP-Adressen, E-Mail-Adressen, Nutzer-IDs, Cookies
  • Sensible Informationen: Gesundheitsdaten, biometrische Daten, politische Meinungen, religiöse Überzeugungen
  • Online-Kennung (z. B. IP-Adresse, Cookies)
  • Wirtschaftliche Daten: Bankverbindungen, Kontonummern, Steuerdaten

Abgrenzung:

  • Personenbezogene Daten beziehen sich immer auf natürliche Personen, nicht auf juristische Personen wie Unternehmen oder Vereine.
  • Daten gelten nicht als personenbezogen, wenn die betroffene Person nicht identifiziert oder identifizierbar ist, etwa bei vollständig anonymisierten Daten.
  • Pseudonymisierte Daten bleiben personenbezogen, solange eine Re-Identifizierung möglich ist.

Die 6 Rechtsgrundlagen der Datenverarbeitung nach Art. 6 DSGVO

Die DSGVO nennt in Art. 6 sechs Rechtsgrundlagen, auf die sich die Verarbeitung personenbezogener Daten stützen kann. Eine Erklärung der wichtigsten Grundlagen dazu erfolgt im Folgenden:

  1. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
    Die betroffene Person stimmt der Datenverarbeitung freiwillig, informiert und eindeutig zu.
    • Beispiel: Anmeldung für einen Newsletter, bei der der Nutzer aktiv zustimmt.
    • Wichtig: Die Einwilligung muss dokumentiert und jederzeit widerrufbar sein.
  2. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
    Daten dürfen verarbeitet werden, wenn dies notwendig ist, um einen Vertrag zu erfüllen oder vorvertragliche Maßnahmen durchzuführen.
    • Beispiel: Versandadresse für die Lieferung eines Online-Shops.
    • Hinweis: Nur die für die Vertragserfüllung erforderlichen Daten dürfen verarbeitet werden
  3. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
    Wenn Unternehmen gesetzlich verpflichtet sind, bestimmte Daten zu verarbeiten, ist dies ebenfalls erlaubt.
    • Beispiele:
      • Aufbewahrungspflichten nach Handels- und Steuerrecht
      • Meldungen an Sozialversicherungsträger
      • Dokumentation im Rahmen von Arbeitszeitgesetzen
  4. Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d DSGVO)
    Diese Grundlage greift selten, ist aber wichtig für Notfälle.
    • Beispiel: Verarbeitung von Gesundheitsdaten durch Ärzte oder Rettungsdienste, um Leben zu retten.
  5. Öffentliches Interesse (Art. 6 Abs. 1 lit. e DSGVO)
    Behörden und öffentliche Einrichtungen dürfen Daten verarbeiten, wenn dies für Aufgaben im öffentlichen Interesse erforderlich ist.
    • Beispiel: Meldebehörden oder Gesundheitsämter.
  6. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
    Unternehmen dürfen Daten verarbeiten, wenn sie ein berechtigtes Interesse daran haben, solange die Interessen oder Grundrechte der betroffenen Person nicht überwiegen.
    • Beispiele:
      • Videoüberwachung auf Firmengelände zur Sicherheit
      • Direktwerbung an Bestandskunden
      • IT-Sicherheitsmaßnahmen wie Firewalls und Protokollierungen
    • Wichtig: Hier ist eine Interessenabwägung notwendig. Unternehmen müssen dokumentieren, warum ihr Interesse an der Datenverarbeitung höher wiegt.

Unsere Leistungen: Rechtssichere Datenverarbeitung für dein Unternehmen

Als erfahrene externe Datenschutzbeauftragte unterstützen wir Unternehmen dabei, DSGVO-Anforderungen rechtssicher umzusetzen.

  1. Prüfung deiner Prozesse
    • Wir analysieren, auf welcher Rechtsgrundlage Ihre Datenverarbeitungen aktuell beruhen und identifizieren mögliche Risiken.
  2. Erstellung von Dokumentationen
    • Wir erstellen die notwendigen Datenschutzdokumente, wie Verarbeitungsverzeichnisse oder Datenschutzrichtlinien, die für Audits und Behörden wichtig sind.
  3. Schulung Ihrer Mitarbeiter
    • Ihr Team wird für den Umgang mit personenbezogenen Daten sensibilisiert und lernt, wie rechtliche Grundlagen in der Praxis angewendet werden.
  4. Laufende Betreuung
    • Wir begleiten Sie langfristig und halten Sie über Änderungen der Gesetzeslage auf dem Laufenden.

Die Wahl der richtigen Rechtsgrundlage ist der erste und wichtigste Schritt, um Daten DSGVO-konform zu verarbeiten. Mit unserer Unterstützung stellen Sie sicher, dass Ihr Unternehmen rechtssicher arbeitet und gleichzeitig das Vertrauen von Kunden und Geschäftspartnern stärkt. Vermeiden Sie Bußgelder und Unsicherheiten: Lassen Sie uns gemeinsam prüfen, ob Ihre Datenverarbeitungen auf den richtigen rechtlichen Grundlagen basieren.


Checkliste: Welche Rechtsgrundlage gilt für deine Datenverarbeitung?

  • Gibt es eine Einwilligung der betroffenen Person?
  • Ist die Verarbeitung notwendig für einen Vertrag?
  • Besteht eine gesetzliche Pflicht zur Verarbeitung?
  • Liegt ein berechtigtes Interesse vor, das dokumentiert werden kann?

Wenn Sie keine eindeutige Antwort finden, ist es höchste Zeit für eine professionelle Datenschutzprüfung.

+49 911 7903034

info@it-rechtsberater.de


© 2025 IT Rechtsberater – Datenschutzbeauftragter. All rights reserved. Impressum I Datenschutzerklärung