Rechtsgrundlage

Die DSGVO folgt dem Prinzip des Verbots mit Erlaubnisvorbehalt: Jede Verarbeitung personenbezogener Daten ist grundsätzlich untersagt, es sei denn, sie kann auf mindestens eine der in Art. 6 Abs. 1 DSGVO abschließend aufgezählten Rechtsgrundlagen gestützt werden. Der Verantwortliche muss die einschlägige Rechtsgrundlage bereits vor Beginn der Verarbeitung festlegen und dokumentieren; ein nachträgliches Auswechseln ist regelmäßig unzulässig. Die Wahl der richtigen Rechtsgrundlage ist damit kein formaler Akt, sondern Voraussetzung der Rechtmäßigkeit und zugleich Anknüpfungspunkt für Betroffenenrechte und Informationspflichten.

Art. 6 Abs. 1 kennt sechs Erlaubnistatbestände: die Einwilligung der betroffenen Person (lit. a), die Erforderlichkeit zur Erfüllung oder Anbahnung eines Vertrags (lit. b), die Erfüllung einer rechtlichen Verpflichtung (lit. c), der Schutz lebenswichtiger Interessen (lit. d), die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt (lit. e) sowie die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten (lit. f). Letztere setzt eine Interessenabwägung voraus, bei der die berechtigten Interessen nicht von den Grundrechten und Grundfreiheiten der betroffenen Person überwogen werden dürfen. Lit. f steht öffentlichen Stellen bei der Erfüllung ihrer Aufgaben nicht zur Verfügung.

Für besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO genügt eine Rechtsgrundlage des Art. 6 allein nicht; zusätzlich muss eine Ausnahme des Art. 9 Abs. 2 vorliegen. Bei der Verarbeitung zu einem anderen als dem ursprünglichen Zweck ist eine Kompatibilitätsprüfung nach Art. 6 Abs. 4 durchzuführen. Die gewählte Rechtsgrundlage bestimmt zudem, welche Betroffenenrechte greifen: So bestehen das Widerrufsrecht nur bei der Einwilligung, das Widerspruchsrecht nur bei lit. e und f und das Recht auf Datenübertragbarkeit nur bei lit. a und b. Eine sorgfältige Zuordnung ist daher Kern jeder datenschutzkonformen Dokumentation.