RSS FeedsTwitterEnglish Version
Datenschutz Glossar

Rechtsgrundlage

Personenbezogene Daten dürfen nur unter Vorliegen einer konkreten Rechtsgrundlage verarbeitet werden.

Die 6 Rechtsgrundlagen nach Art. 6 DSGVO

  1. Einwilligung
    Die betroffene Person muss freiwillig, für einen bestimmten Zweck, informiert und unmissverständlich zustimmen – z.B. durch Ankreuzen einer Checkbox beim Newsletter-Abonnement.
  2. Vertragserfüllung
    Die Datenverarbeitung ist für die Erfüllung eines Vertrages mit der betroffenen Person erforderlich, etwa die Speicherung der Lieferadresse bei einem Online-Kauf.
  3. Rechtliche Verpflichtung
    Gesetze können eine Verarbeitung personenbezogener Daten erfordern - wie beispielsweise steuerrechtliche Aufbewahrungspflichten für Rechnungsdaten.
  4. Schutz lebenswichtiger Interessen
    Die Rechtsgrundlage greift in Notfallsituationen, etwa wenn medizinische Daten eines bewusstlosen Patienten verarbeitet werden müssen.
  5. Öffentliches Interesse / Ausübung öffentlicher Gewalt
    Öffentliches Interesse (z.B. Betrieb eines Schwimmbades) oder die Ausübung öffentlicher Gewalt (z.B. polizeiliche Ermittlungen) können eine Verarbeitung rechtfertigen.
  6. Berechtigtes Interesse
    Interessen des Unternehmens, wie IT-Sicherheitsmaßnahmen zur Betrugsbekämpfung oder Direktwerbung an Bestandskunden, können eine Datenverarbeitung legitimieren.

Was bedeutet das für Unternehmen?

Unternehmen müssen für jede Datenverarbeitung vorab eine passende Rechtsgrundlage identifizieren und dokumentieren. Ein Verarbeitungsverzeichnis gemäß Art. 30 DSGVO ist dabei Pflicht: Es listet alle Verarbeitungstätigkeiten mit der jeweiligen Rechtsgrundlage auf. In der Datenschutzerklärung (gem. Art. 13 ff DSGVO) müssen Unternehmen transparent darlegen, auf welcher rechtlichen Basis sie Daten verarbeiten.

Mögliche Strafen

Fehlt eine Rechtsgrundlage, drohen empfindliche Sanktionen: Gemäß Art. 83 Abs. 5 DSGVO können Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängen – je nachdem, welcher Betrag höher ist. Bekannte Beispiele sind die 746 Millionen Euro Strafe gegen Amazon wegen fehlender Einwilligung für personalisierte Werbung oder die 35 Millionen Euro Strafe gegen H&M wegen Mitarbeiterüberwachung ohne Rechtsgrundlage. Darüber hinaus haben betroffene Personen nach Art. 82 DSGVO ein Recht auf Schadensersatz.

Datenschutz Glossar
Impressum / Datenschutz / Rechtliche Hinweise