Datenschutz

DSGVO Artikel 6: Die 6 Rechtsgrundlagen für die Verarbeitung

DSGVO Artikel 6 nennt die sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten: Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe, berechtigte Interessen.

Auch verfügbar in:English
TD
Dr. Thiébaut Devergranne
17. Mai 20266 min read

In einem Satz. DSGVO Artikel 6 nennt die sechs Rechtsgrundlagen, die die Verarbeitung personenbezogener Daten rechtfertigen: (a) Einwilligung, (b) Vertragserfüllung, © rechtliche Verpflichtung, (d) lebenswichtige Interessen, (e) öffentliche Aufgabe, (f) berechtigte Interessen. Mindestens eine muss zutreffen, damit eine Verarbeitung rechtmäßig ist. Die Auswahl und Dokumentation der richtigen Rechtsgrundlage ist die erste Compliance-Frage in jedem Verzeichnis der Verarbeitungstätigkeiten.

Jede Verarbeitung personenbezogener Daten muss auf einer Rechtsgrundlage beruhen (Artikel 6 Absatz 1 DSGVO). Die Wahl der falschen Rechtsgrundlage ist eine der am häufigsten genannten Ursachen für Sanktionen der BfDI, der Landesdatenschutzbehörden und der CNIL — die CNIL allein hat zwischen 2021 und 2025 389 Mio. € Bußgelder wegen unrechtmäßiger Grundlage oder ungültiger Einwilligung verhängt. Dieser Leitfaden erklärt jede der sechs Grundlagen, wann jede greift und wie die Wahl belastbar dokumentiert wird.

Für vertiefte Themen: DSGVO Artikel 7 — Einwilligungsbedingungen, berechtigtes Interesse DSGVO, Verzeichnis der Verarbeitungstätigkeiten.

Wichtige Punkte

  • Artikel 6 Absatz 1 nennt sechs abschließende Rechtsgrundlagen. Mindestens eine muss zutreffen.
  • Die Grundlagen sind nicht austauschbar — die richtige Wahl hängt vom tatsächlichen Verarbeitungskontext ab, nicht von kommerziellen Präferenzen.
  • Dieselbe Verarbeitungstätigkeit nutzt eine Rechtsgrundlage. Ein Wechsel während der Verarbeitung erfordert eine erneute Autorisierung.
  • Für besondere Kategorien personenbezogener Daten (Gesundheit, Biometrie usw.) fügt Artikel 9 eine zweite Bedingung zu Artikel 6 hinzu.
  • Die Rechtsgrundlage muss vor Beginn der Verarbeitung identifiziert und im Verzeichnis dokumentiert werden.

1. Artikel 6 Absatz 1 — Text und die sechs Grundlagen

DSGVO Artikel 6 Absatz 1 lautet:

“Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: (a) die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; (b) die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich, dessen Vertragspartei die betroffene Person ist; © die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; (d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; (e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt; (f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.”

2. (a) Einwilligung

Die bekannteste Grundlage, auch eine der fragilsten. Die Einwilligung muss freiwillig, spezifisch, informiert, unmissverständlich und widerrufbar sein (Artikel 4 Nr. 11 + Erwägungsgrund 32).

Wann verwenden: Marketing-E-Mails, optionale Cookies, optionale Funktionen, Datenweitergabe an Partner.

Wann NICHT verwenden: Arbeitsverhältnisse (Machtungleichgewicht macht Einwilligung ungültig), dienstwesentliche Verarbeitung (stattdessen Vertrag verwenden), rechtliche Verpflichtungen.

3. (b) Vertragserfüllung

Verarbeitung, die zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist, oder zur Durchführung vorvertraglicher Schritte auf deren Wunsch.

Wann verwenden: Versand einer Bestellung, Verarbeitung einer Zahlung, Bereitstellung des Dienstes selbst, Kundensupport.

Grenze: Nur Daten, die strikt erforderlich für den Vertrag sind, qualifizieren. “Verbesserung unseres Dienstes” qualifiziert selten allein — siehe berechtigtes Interesse.

4. © Rechtliche Verpflichtung

Verarbeitung, die durch EU- oder Mitgliedstaatsrecht vorgeschrieben ist.

Wann verwenden: Steuerunterlagen (6-10 Jahre aufbewahrt), AML/KYC-Prüfungen für regulierte Stellen, Mitarbeiterdaten, die durch Sozialversicherungsrecht erforderlich sind, Gerichtsbeschlüsse.

Grenze: Eine vertragliche Verpflichtung ist keine rechtliche Verpflichtung. Das Gesetz muss die spezifische Verarbeitung vorschreiben.

5. (d) Lebenswichtige Interessen

Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person.

Wann verwenden: medizinische Notfälle (der bewusstlose Patient in der Notaufnahme), humanitäre Hilfe, vermisste Personen.

Grenze: Selten die richtige Grundlage für die Routineverarbeitung. Der EDPB hat klargestellt, dass dies für lebensbedrohliche Situationen gilt, nicht für “wichtige geschäftliche Bedürfnisse”.

6. (e) Öffentliche Aufgabe

Verarbeitung, die für eine im öffentlichen Interesse liegende Aufgabe oder in Ausübung öffentlicher Gewalt erforderlich ist.

Wann verwenden: Von öffentlichen Stellen (Verwaltungen, öffentliche Krankenhäuser, öffentliche Schulen) für ihre gesetzlichen Aufgaben.

Grenze: Private Unternehmen können dies in der Regel nicht in Anspruch nehmen. Quasi-öffentliche Stellen (delegierte öffentliche Dienstmissionen) können es.

7. (f) Berechtigte Interessen

Die flexibelste — und am meisten umstrittene — Grundlage. Dreiteiliger Test erforderlich (der “Abwägungstest”):

  1. Zwecktest: Wird ein berechtigtes Interesse verfolgt?
  2. Erforderlichkeitstest: Ist die Verarbeitung zur Erreichung des Zwecks erforderlich?
  3. Abwägungstest: Überwiegt das Interesse des Verantwortlichen die Rechte und vernünftigen Erwartungen der betroffenen Person?

Wann verwenden: Betrugsprävention, IT-Sicherheitsüberwachung, B2B-Prospektion (in einigen EU-Ländern), grundlegende Analysen, interne Verwaltung.

Wann NICHT verwenden: besondere Kategorien personenbezogener Daten (Artikel 9 verbietet sie als alleinige Grundlage), Verarbeitung von Kinderdaten ohne zusätzliche Vorsicht, wenn Einwilligung angemessener wäre (z. B. Marketing-E-Mails).

Die CNIL und der EDPB haben klargestellt, dass die Berufung auf berechtigtes Interesse ohne dokumentierten Abwägungstest selbst eine sanktionsfähige Verfehlung darstellt. Siehe berechtigtes Interesse DSGVO.

8. Wahl der richtigen Grundlage — Entscheidungsmatrix

Verarbeitung Empfohlene Grundlage Warum
Newsletter-Anmeldung Einwilligung (a) Marketing, Opt-in
Auftragserfüllung Vertrag (b) Erforderlich für Lieferung
Gehaltsabrechnung Rechtliche Verpflichtung © Steuer- + Sozialversicherungsrecht
AML/KYC Rechtliche Verpflichtung © Gesetzlich reguliert
Medizinischer Notfall Lebenswichtige Interessen (d) Lebensrettend
Öffentliche Schulanmeldung Öffentliche Aufgabe (e) Gesetzliche Aufgabe
Betrugserkennung Berechtigte Interessen (f) Mit Abwägungstest
Bewerbung Vorvertragliche Schritte (b) Auf Wunsch des Bewerbers
Verhaltensbasierte Werbung Einwilligung (a) Eingriffsintensive Verarbeitung
IT-Sicherheitsprotokolle Berechtigte Interessen (f) Mit Abwägungstest

9. Besondere Kategorien: Artikel 6 + Artikel 9

Die Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheit, Biometrie, Religion, politische Meinungen, sexuelle Orientierung usw.) erfordert beides:

  • Eine Rechtsgrundlage nach Artikel 6, UND
  • Eine zusätzliche Bedingung nach Artikel 9 Absatz 2 (z. B. ausdrückliche Einwilligung, Arbeitsrecht, lebenswichtige Interessen, wichtiges öffentliches Interesse)

10. Dokumentationsanforderungen

Die Rechtsgrundlage muss:

  • Vor Beginn der Verarbeitung identifiziert werden
  • Im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden (Artikel 30)
  • Der betroffenen Person in der Datenschutzerklärung mitgeteilt werden (Artikel 13-14)
  • Bei Anfechtung gerechtfertigt werden (insbesondere für berechtigte Interessen — die LIA aufbewahren)

11. Wechsel der Rechtsgrundlage

Der EDPB (Leitlinien 2/2019) stellt klar, dass ein Wechsel der Rechtsgrundlage nach Beginn der Verarbeitung in der Regel nicht zulässig ist.

12. Sanktionen bei ungültiger Rechtsgrundlage

Artikel 83 Absatz 5 Buchstabe a DSGVO macht das Versäumnis, eine gültige Rechtsgrundlage zu identifizieren, mit Bußgeldern von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes strafbar.

Bemerkenswerte Fälle:

  • Meta Platforms Ireland (DPC, Januar 2023): 390 Mio. € für unrechtmäßige Grundlage bei verhaltensbasierter Werbung
  • Google LLC (CNIL, 2019): 50 Mio. € für unzureichende Einwilligung bei personalisierter Werbung
  • TIM SpA (Garante, 2020): 27,8 Mio. € für unrechtmäßige Verarbeitung von Marketingdaten ohne gültige Grundlage

Für die Automatisierung der Dokumentation der Rechtsgrundlage in Ihrem Verzeichnis siehe Legiscope.

Fazit

DSGVO Artikel 6 mag kurz erscheinen — sechs Stichpunkte — aber er ist die Grundlage jeder anderen Compliance-Verpflichtung. Wählen Sie die richtige Grundlage, dokumentieren Sie warum, kommunizieren Sie sie transparent und bleiben Sie dabei. Die meisten großen DSGVO-Bußgelder gehen entweder auf ungültige Einwilligung (Grundlage a) oder unbelegte Ansprüche auf berechtigte Interessen (Grundlage f) zurück.

FAQ

Was sind die sechs Rechtsgrundlagen nach DSGVO Artikel 6?

(a) Einwilligung, (b) Vertragserfüllung, © rechtliche Verpflichtung, (d) lebenswichtige Interessen, (e) öffentliche Aufgabe, (f) berechtigte Interessen. Mindestens eine muss zutreffen, damit eine Verarbeitung personenbezogener Daten rechtmäßig ist.

Kann ich mich gleichzeitig auf mehrere Rechtsgrundlagen stützen?

Nein. Jede Verarbeitungstätigkeit sollte auf einer Rechtsgrundlage beruhen. Die Auflistung mehrerer Grundlagen in der Datenschutzerklärung “für alle Fälle” wird vom EDPB als irreführend angesehen.

Ist Einwilligung immer die sicherste Wahl?

Nein — und oft die riskanteste. Die Einwilligung muss freiwillig gegeben werden (schließt Arbeitskontexte aus), spezifisch, informiert, unmissverständlich und widerrufbar. Bei Widerruf muss die Verarbeitung stoppen und die Daten gelöscht werden.

Brauche ich eine Folgenabschätzung für berechtigte Interessen (LIA)?

Wenn Sie Artikel 6 Absatz 1 Buchstabe f geltend machen, ja. Der dreiteilige Test (Zweck, Erforderlichkeit, Abwägung) muss vor Beginn der Verarbeitung dokumentiert werden.

Was ist der Unterschied zwischen Artikel 6 und Artikel 9 DSGVO?

Artikel 6 deckt die Rechtsgrundlage für alle Verarbeitungen personenbezogener Daten ab. Artikel 9 fügt eine zweite Bedingung für die Verarbeitung besonderer Kategorien von Daten hinzu (Gesundheit, Biometrie, Religion usw.). Beide müssen erfüllt sein.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →