Wissen/Welche Rechtsgrundlage gilt wann nach Art. 6 DSGVO?

Welche Rechtsgrundlage gilt wann nach Art. 6 DSGVO?

Die sechs Rechtsgrundlagen nach Art. 6 DSGVO: Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse, berechtigtes Interesse. Stand 2026-05-16.

ComplyCheck-Redaktion · Stand: 2026-05-22

dsgvoart-6rechtsgrundlageneinwilligungberechtigtes-interesse

Welche Rechtsgrundlage gilt wann nach Art. 6 DSGVO?

Lit. a — Einwilligung

Die Einwilligung ist die wohl bekannteste Rechtsgrundlage — aber nicht die einfachste. Art. 7 DSGVO und die EDSA-Leitlinien 05/2020 setzen vier Voraussetzungen:

  • Freiwillig — die betroffene Person darf nicht unter Druck stehen. Eine Einwilligung, die Bedingung für einen Vertrag ist, der ohne sie nicht zustandekommt, ist regelmäßig nicht freiwillig.
  • Informiert — die betroffene Person muss wissen, was sie genehmigt: Zwecke, Datenkategorien, ggf. Empfänger.
  • Spezifisch — eine Einwilligung pro Zweck, nicht pauschal für "alle Zwecke der Datenverarbeitung".
  • Eindeutig durch eine aktive Handlung — Häkchen setzen, Anklicken eines Buttons. Vorausgewählte Kästchen sind unzulässig.

Bei Kindern unter 16 (in Deutschland: ergänzend §22 BDSG-Konkretisierungen) ist Einwilligung der Erziehungsberechtigten nötig — bei Diensten der Informationsgesellschaft.

Einwilligung ist jederzeit widerrufbar (Art. 7 Abs. 3). Die Verarbeitung bis zum Widerruf bleibt rechtmäßig, aber nach dem Widerruf darf nicht weiterverarbeitet werden.

Hinweis

Wann Einwilligung NICHT sinnvoll ist

Einwilligung ist die schwächste Rechtsgrundlage — leicht zu widerrufen, mit hohen Formalanforderungen, kein Selbstläufer im Streitfall. Wer für die Kerntätigkeit (Vertragserfüllung, gesetzliche Pflicht) auf Einwilligung baut, hängt von einem widerrufbaren Akt ab. Praxis-Empfehlung: Einwilligung nur für optionale Zwecke nutzen (Newsletter, Marketing-Cookies, Forschungsteilnahme). Für vertragliche Pflichten lit. b, für gesetzliche Pflichten lit. c, für „typische Tätigkeit mit Interessenabwägung" lit. f.

Lit. b — Vertrag und vorvertragliche Maßnahmen

Verarbeitung ist rechtmäßig, wenn sie zur Erfüllung eines Vertrags erforderlich ist, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person.

Praktisch deckt lit. b den größten Teil von Standard-Geschäftsverarbeitungen ab:

  • Kundenbestellungen und ihre Abwicklung.
  • Vertrags-Stammdaten (Name, Anschrift, Bankverbindung) für die Vertragsdauer.
  • Lieferungen und Versand.
  • Reklamationen und Garantieabwicklung.
  • Newsletter-Bestätigung bei aktivem Bestellprozess.

Wichtig: "Erforderlich" ist eng auszulegen. Die Daten müssen notwendig für den Vertrag sein — nicht nur nützlich. Marketing-Datenanalysen, Tracking, Re-Targeting fallen nicht unter lit. b — auch wenn der Kunde einen Vertrag abgeschlossen hat. Sie brauchen eine andere Rechtsgrundlage (lit. a Einwilligung oder lit. f berechtigtes Interesse mit Abwägung).

Vorvertragliche Maßnahmen umfassen die Bearbeitung von Angebots- und Vertragsanfragen. Die Daten dürfen verarbeitet werden, solange der Vertragsabschluss möglich ist.

Lit. c — Rechtliche Verpflichtung

Wenn der Verantwortliche einer rechtlichen Pflicht unterliegt, die die Verarbeitung erfordert, ist lit. c die passende Rechtsgrundlage. Typische Beispiele:

  • Steuerrechtliche Aufbewahrungspflichten — §147 AO verlangt Aufbewahrung von Geschäftsunterlagen für 8-10 Jahre.
  • Sozialrechtliche Meldepflichten — SGB-Meldungen über Mitarbeiter an Sozialversicherungsträger.
  • Geldwäsche-Identifikation — GwG verpflichtet zur Identifikation von Vertragspartnern.
  • Datenschutz-Meldepflichten — wenn ihr eine Datenpanne nach Art. 33 meldet, ist die Verarbeitung dieser Meldedaten auch wieder über lit. c gerechtfertigt.
  • Berufsständische Aufbewahrungspflichten — Patientenakten 10 Jahre, Steuerberater-Akten 10 Jahre, Anwalts-Akten 6 Jahre.

Die rechtliche Pflicht muss eine Rechtsvorschrift in der EU oder einem Mitgliedsstaat sein — Verträge mit Privaten, AGB oder Berufsordnungen ohne gesetzliche Grundlage genügen nicht.

Lit. d — Lebenswichtige Interessen

Verarbeitung ist rechtmäßig, wenn sie zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist.

Typische Anwendungsfälle:

  • Notfallmedizin — Behandlung einer bewusstlosen Person ohne Möglichkeit, Einwilligung einzuholen.
  • Naturkatastrophen — Datenverarbeitung zur Lokalisierung und Rettung von Vermissten.
  • Epidemien — Verarbeitung von Gesundheitsdaten zur Eindämmung schwerwiegender grenzüberschreitender Gesundheitsgefahren.

Lit. d ist eng auszulegen. Erwägungsgrund 46 stellt klar, dass diese Rechtsgrundlage nur dort gilt, wo keine andere Rechtsgrundlage zur Verfügung steht. Für die alltägliche Patientenverarbeitung ist nicht lit. d, sondern lit. b (Behandlungsvertrag) oder lit. c (gesetzliche Pflicht) einschlägig.

Lit. e — Öffentliches Interesse oder hoheitliche Befugnis

Verarbeitung ist rechtmäßig, wenn sie zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich ist, die dem Verantwortlichen übertragen wurde.

Diese Rechtsgrundlage gilt vor allem für Behörden und mit hoheitlichen Aufgaben betraute Stellen:

  • Polizeiliche Datenverarbeitung im Rahmen der Gefahrenabwehr.
  • Datenverarbeitung durch Finanzbehörden.
  • Statistische Verarbeitung durch staatliche Stellen.
  • Verarbeitung durch Selbstverwaltungs-Organe (Kammern, Berufsorganisationen).

Private Unternehmen können sich auf lit. e stützen, wenn sie eine gesetzlich übertragene öffentliche Aufgabe wahrnehmen — etwa beliehene Unternehmen, akkreditierte Stellen.

Lit. f — Berechtigte Interessen

Die wohl am häufigsten genutzte und am häufigsten falsch angewandte Rechtsgrundlage: berechtigte Interessen des Verantwortlichen oder eines Dritten — mit einer Interessenabwägung gegen die Interessen oder Grundrechte der betroffenen Person.

Drei Voraussetzungen sind kumulativ:

  • Berechtigtes Interesse muss vorliegen — geschäftlich, wirtschaftlich, ideell.
  • Erforderlichkeit — die Verarbeitung muss zur Verwirklichung des Interesses notwendig sein, mildere Mittel nicht ausreichen.
  • Überwiegen der Interessen oder Grundrechte der betroffenen Person darf nicht vorliegen.

Typische Anwendungsfälle:

  • Marketing an Bestandskunden — Direktmarketing-Mailings an existierende Kunden (BDSG-Privilegierung beachten).
  • Konzern-interne Datenübermittlung — soweit nicht ohnehin durch lit. b oder lit. c gedeckt.
  • IT-Sicherheits-Maßnahmen — Logging, Monitoring, Schutz gegen Cyber-Angriffe.
  • Reichweitenmessung in geringer Eingriffsintensität — anonyme oder pseudonyme Webanalyse.
  • Betrugsprävention und -bekämpfung.

Wichtig: Lit. f gilt nicht für Behörden in Erfüllung ihrer Aufgaben — sie müssen lit. e nutzen. Außerdem: Bei besonderen Kategorien greift lit. f nicht — Art. 9 hat eigene Tatbestände.

Achtung

"Wir nehmen einfach lit. f" ohne Abwägung

Berechtigtes Interesse erfordert eine schriftliche Interessenabwägung — drei Schritte: (1) Was ist unser berechtigtes Interesse? (2) Welche Interessen oder Grundrechte der betroffenen Person stehen dem entgegen? (3) Überwiegt unser Interesse oder das der betroffenen Person? Die Abwägung muss vor der Verarbeitung erfolgen, schriftlich dokumentiert sein und auf Anfrage der Aufsicht vorgelegt werden. Wer lit. f nutzt, ohne diese Abwägung zu führen, ist im Streitfall nicht abgesichert — das ist die häufigste Fehlerquelle bei lit. f.

Kombination mehrerer Rechtsgrundlagen

Eine Verarbeitung kann mehrere Rechtsgrundlagen gleichzeitig erfüllen. Das ist nicht nur erlaubt, sondern oft sinnvoll — als Sicherheitsnetz. Beispiel: Ein Onlineshop verarbeitet Kundendaten:

  • Bestellabwicklung: lit. b (Vertrag).
  • Rechnungs-Aufbewahrung 10 Jahre: lit. c (Steuerrecht).
  • Marketing-Newsletter an Bestandskunden: lit. f (berechtigtes Interesse + Interessenabwägung) oder lit. a (Einwilligung — sicherer Weg).
  • Re-Targeting via Werbe-Cookies: lit. a (Einwilligung — TTDSG verlangt Cookie-Banner mit aktiver Zustimmung).

Wichtig: Bei der Information der betroffenen Person nach Art. 13/14 ist jede angewandte Rechtsgrundlage aufzuführen — und der Zweck pro Rechtsgrundlage zu benennen.

Wechsel der Rechtsgrundlage

Die Rechtsgrundlage muss vor Beginn der Verarbeitung feststehen. Ein nachträglicher Wechsel ist problematisch — der EDSA hat in mehreren Stellungnahmen klargestellt, dass der Wechsel von z.B. Einwilligung auf berechtigtes Interesse die Verarbeitung nicht "retten" kann, wenn die ursprüngliche Einwilligung unwirksam war.

In bestimmten Konstellationen ist ein Wechsel möglich:

  • Eine Verarbeitung auf Einwilligungsbasis wird nach Widerruf der Einwilligung auf eine andere Rechtsgrundlage gestellt — wenn die andere Rechtsgrundlage tatsächlich vorliegt und die betroffene Person darüber informiert wird.
  • Wechsel bei Änderung des Verarbeitungszwecks — wenn der neue Zweck eine andere Rechtsgrundlage erfordert.

In der Praxis: jeder Wechsel ist heikel. Besser von Anfang an die passende Rechtsgrundlage wählen.

Praxis: Auswahl der richtigen Rechtsgrundlage

Praxis-Tipp

für die Rechtsgrundlagen-Auswahl

Drei Schritte mit hohem Hebel: (1) Verarbeitungsverzeichnis nach Art. 30 DSGVO um die Spalte „Rechtsgrundlage" ergänzen — pro Verarbeitung einen Tatbestand benennen. (2) Bei lit. f (berechtigtes Interesse) die schriftliche Interessenabwägung beilegen — als kurzes Dokument mit drei Absätzen (Interesse, Erforderlichkeit, Abwägung). (3) Datenschutzerklärung gegenüber der Rechtsgrundlagen-Liste validieren — jeder dort genannte Zweck muss eine korrekte Rechtsgrundlage angeben.

Vollständige Vorgehensweise:

  1. Verarbeitungs-Inventar: Was wird verarbeitet, zu welchem Zweck?
  2. Rechtsgrundlage pro Verarbeitung: passenden Tatbestand aus Art. 6 Abs. 1 zuordnen.
  3. Bei lit. f: schriftliche Interessenabwägung führen und dokumentieren.
  4. Bei besonderen Kategorien (Art. 9): zusätzlich Tatbestand aus Art. 9 Abs. 2 wählen.
  5. Datenschutzerklärung: alle Rechtsgrundlagen transparent kommunizieren.
  6. Bei Einwilligung: Einwilligungs-Mechanismus auf Art. 7-Konformität prüfen — freiwillig, informiert, spezifisch, eindeutig.

FAQ

Kann ich für dieselbe Verarbeitung mehrere Rechtsgrundlagen angeben?

Ja, das ist sinnvoll. Klassisches Beispiel: Bestelldaten sind über lit. b (Vertrag) während der Abwicklung gerechtfertigt — und über lit. c (Steuerrecht) für die anschließende Aufbewahrung. Die zeitliche Abgrenzung der Rechtsgrundlagen ist in der Datenschutzerklärung zu erläutern.

Was, wenn keine der sechs Rechtsgrundlagen passt?

Dann ist die Verarbeitung nicht zulässig. Eine Verarbeitung ohne Rechtsgrundlage ist rechtswidrig — selbst wenn der Verantwortliche überzeugt ist, dass sie sinnvoll ist. In der Praxis prüfen viele Verantwortliche zuerst auf lit. b und lit. c — wenn dort nichts greift, lit. f mit ehrlicher Interessenabwägung. Wenn auch lit. f scheitert: Einwilligung einholen oder Verarbeitung unterlassen.

Reicht für Mitarbeiterdaten lit. b?

Teilweise. Für die Vertragsabwicklung (Lohnauszahlung, Sozialversicherungs-Meldung) reicht lit. b und lit. c. Für weiterreichende Verarbeitungen — Mitarbeiterfotos, Onboarding-Videos, Werbung mit Mitarbeitern — ist meist lit. a (Einwilligung) nötig, weil Mitarbeiter im Beschäftigungsverhältnis ein Machtgefälle haben und Einwilligung nur eingeschränkt freiwillig ist. §26 BDSG konkretisiert die Beschäftigtendatenverarbeitung mit eigenen Rechtsgrundlagen.

Wie oft muss ich die Interessenabwägung aktualisieren?

Bei wesentlichen Änderungen der Verarbeitung. Praxis-Empfehlung: jährliche Sichtung im Rahmen der DSGVO-Compliance-Routine, anlassbezogene Aktualisierung bei neuen Datenkategorien, Empfängern oder Verarbeitungszwecken. Eine zehn Jahre alte, nie aktualisierte Interessenabwägung wird von der Aufsicht im Streitfall kritisch hinterfragt.

Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 22. Mai 2026.

Verantwortlich i.S.d. § 18 MStV: siehe Impressum.

Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de

Artikel teilen
CC

Compliance-Updates ohne GRC-Bloat

NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.

🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU

Das könnte dich auch interessieren

Kommentare (0)

Kommentar schreiben

Kommentare werden vor der Veröffentlichung geprüft.