Im Leben gilt: Alles ist erlaubt, solange es nicht verboten ist. Im Datenschutz ist es genau umgekehrt: Die Verarbeitung personenbezogener Daten ist verboten, es sei denn, sie ist ausdrücklich erlaubt. Dies wird als »Verbot mit Erlaubnisvorbehalt« bezeichnet.

Die wichtigsten Rechtsgrundlagen sind dabei in Artikel 6 Absatz 1 Satz 1 DSGVO normiert. Weitere zentrale Normen sind aber auch noch Artikel 9 DSGVO, der sich mit »besonderen Kategorien personenbezogener Daten« beschäftigt, und § 26 BDSG, der den »Beschäftigtendatenschutz« regelt.

In der Regel werden wir für jede Verarbeitung in Artikel 6 DSGVO eine Rechtsgrundlage finden (müssen). Hier ein kurzer Überblick über die möglichen Rechtsgrundlagen aus Artikel 6 DSGVO:

  • Die Verarbeitung beruht auf einer informierten Einwilligung der betroffenen Person (Beispiel: Die betroffene Person hat darin eingewilligt, dass die E-Mail-Adresse zum Versand eines Newsletters verwendet werden darf) – Artikel 6 Absatz 1 Satz 1 Buchstabe a) DSGVO.
  • Die Verarbeitung wird für die Erfüllung oder Anbahnung eines Vertrags benötigt (Beispiel: der Versandhandel darf die Lieferadresse verarbeiten, um mir eine Bestellung zuzuschicken; der Dienstleister darf mir auf meine Anfrage hin ein Angebot per E-Mail unterbreiten) – Artikel 6 Absatz 1 Satz 1 Buchstabe b) DSGVO.
  • Eine rechtliche Verpflichtung ordnet die Verarbeitung an (Beispiel: Unternehmer müssen Rechnungsdaten zehn Jahre lang aufbewahren) – Artikel 6 Absatz 1 Satz 1 Buchstabe c) DSGVO.
  • Die Verarbeitung schützt lebenswichtige Interessen (Beispiel: Informationen zu Medikamentenunverträglichkeiten eines bewusstlosen Patienten werden an die behandelnde Ärztin übermittelt) – Artikel 6 Absatz 1 Satz 1 Buchstabe d) DSGVO.
  • Die Verarbeitung erfolgt in Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Übernahme öffentlicher Gewalt (Beispiel: der von der Stadt beauftragte private Sicherheitsdienst darf das Kennzeichen des Falschparkers verarbeiten) – Artikel 6 Absatz 1 Satz 1 Buchstabe e) DSGVO.
  • Es besteht ein berechtigtes Interesse an der Verarbeitung – eine Interessenabwägung ergibt, dass der Nutzen der Verarbeitung den Schaden für die betroffene Person überwiegt (Beispiel: Datenabgleich, um die Bonität eines Kunden zu prüfen) – Artikel 6 Absatz 1 Satz 1 Buchstabe f) DSGVO.

Erfolgt die Verarbeitung personenbezogener Daten ohne eine entsprechende Rechtsgrundlage, bestehen neben der Möglichkeit der Verhängung von Geldbußen auch ggf. Unterlassungs- sowie Schadensersatzansprüche von betroffenen Personen, Mitbewerbern und Verbrauchervereinigungen. Letztere können auch gerichtlich durchsetzbare Abmahnungen aussprechen.

Das Vorliegen eines der genannten Rechtsgrundlagen ist ausreichend, er muss aber während der Dauer der des gesamten Verarbeitungsvorgangs bestehen bleiben.

Es können durchaus mehrere Rechtsgrundlagen nebeneinander zur Anwendung kommen. Die folgt schon aus der wörtlichen Fassung von Artikel 6 Absatz 1 Satz 1 DSGVO: »(…) wenn mindestens eine der nachfolgenden Bedingungen erfüllt ist: (…).

Es ist aber davon abzuraten, bei Vorliegen der Voraussetzungen eines anderen Erlaubnistatbestands als ausgerechnet einer Einwilligung diese »sicherheitshalber« mit einzuholen. Da die Einwilligung widerruflich ist und die betroffene Person auch auf diese Widerrufsmöglichkeit hinzuweisen ist (vgl. Artikel 7 Absatz 3 Satz 3 DSGVO), kann es als intransparente bzw. überraschende Rechtsausübung gewertet werden, wenn der Verantwortliche sich nach Erhalt eines Widerspruchs unversehens auf die andere Rechtsgrundlage beruft. Dies kann nur dadurch abgewehrt werden, sofern die betroffene Person beim Hinweis auf die Widerrufsmöglichkeit ausdrücklich darauf hingewiesen wird, dass die weitere Verarbeitung nach Widerruf ggf. auf eine andere Rechtsgrundlage gestützt wird (siehe zu dem Thema auch den Post zur Einwilligung). Sofern eine andere Rechtsgrundlage als ausgerechnet die Einwilligung einschlägig ist, sollte auch nur diese herangezogen werden.

Grundsätzlich sind nämlich alle Rechtsgrundlagen in Artikel 6 Absatz 1 Satz 1 DSGVO gleichwertig und es gibt keinen Vorrang z.B. der Einwilligung. Es ist allerdings zu beachten, dass bestimmte gesetzliche Regelungen in anderen Gesetzen als der DSGVO zum Rückgriff auf einen bestimmten Erlaubnistatbestand zwingen können (regelmäßig die Einwilligung nach Artikel 6 Absatz 1 Satz 1 Buchstabe a), Artikel 7 DSGVO). Dies sind vornehmlich die Regelungen in § 25 TTDSG zum Beispiel für Cookies und § 7 UWG u.a. für das E-Mail-Marketing. In diesen Fällen bleibt leider kein Platz für die Anwendung anderer Erlaubnistatbestände, wie z.B. das »berechtigte Interesse« in Artikel 6 Absatz 1 Satz 1 Buchstabe f) DSGVO.