Die 6 Rechtsgrundlagen der Verarbeitung unter der DSGVO
Verstehen Sie die sechs DSGVO-Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Praktischer Leitfaden zur Wahl der richtigen Grundlage für jede Verarbeitungstätigkeit, mit SaaS-spezifischen Beispielen und häufigen Fehlern.
GRCTrail Team
Jedes Mal, wenn Ihr SaaS-Unternehmen personenbezogene Daten verarbeitet — jeder Datenbankeintrag, jedes Analyseereignis, jede versendete E-Mail, jeder Protokolleintrag — brauchen Sie eine Rechtsgrundlage für diese Verarbeitung. Das ist keine Formalität. Artikel 6 der DSGVO verlangt, dass jede Verarbeitungstätigkeit auf einer der sechs spezifischen Rechtsgrundlagen basiert. Ohne gültige Grundlage ist die Verarbeitung rechtswidrig — Punkt.
Die Wahl der richtigen Rechtsgrundlage für jede Tätigkeit hat weitreichende Konsequenzen. Sie bestimmt, was Sie den Menschen in Ihrem Datenschutzhinweis mitteilen müssen, ob betroffene Personen der Verarbeitung widersprechen können, ob Sie die Daten international übermitteln können und was passiert, wenn Ihre Rechtsgrundlage angefochten wird.
Dieser Leitfaden erklärt alle sechs Grundlagen, wann jede verwendet werden sollte und die praktischen Auswirkungen für SaaS-Unternehmen.
Die sechs Rechtsgrundlagen
1. Einwilligung — Artikel 6(1)(a)
Was es bedeutet: Die betroffene Person hat eine klare, bestätigende Zustimmung zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke erteilt.
Wann zu verwenden:
- Marketing-E-Mails und Newsletter
- Nicht-essentielle Cookies und Tracking-Technologien
- Verarbeitung, die über das zur Erbringung Ihres Dienstes Erforderliche hinausgeht
- Optionale Features, die neue Arten der Datenverarbeitung beinhalten
- Forschung oder Umfragen
Wann NICHT zu verwenden:
- Verarbeitung, die zur Erbringung Ihres Dienstes erforderlich ist (verwenden Sie stattdessen Vertragserfüllung)
- Verarbeitung, die Sie unabhängig von der Einwilligung durchführen
- Situationen, in denen die Person realistisch nicht ablehnen kann (Machtgefälle)
Anforderungen: Die Einwilligung unter der DSGVO hat strenge Anforderungen — freiwillig, spezifisch, informiert und eindeutig. Vorangekreuzte Kästchen gelten nicht. Gebündelte Einwilligungen, die mehrere Zwecke abdecken, gelten nicht. Und Sie müssen den Widerruf genauso einfach gestalten wie die ursprüngliche Einwilligung. Siehe unseren Leitfaden zum Einwilligungsmanagement für die vollständigen Anforderungen.
Zentrale Implikation: Wenn die Einwilligung Ihre Grundlage ist und jemand sie widerruft, müssen Sie die Verarbeitung einstellen. Sie können nicht rückwirkend auf eine andere Rechtsgrundlage wechseln.
SaaS-Beispiel: Ein Projektmanagement-SaaS möchte Nutzern einen monatlichen Newsletter mit Produktivitätstipps senden. Dies ist vom Dienst, für den sie sich angemeldet haben, getrennt. Die Einwilligung ist die richtige Grundlage — der Nutzer stimmt aktiv zu, und der Newsletter stoppt, wenn er sich abmeldet.
2. Vertragserfüllung — Artikel 6(1)(b)
Was es bedeutet: Die Verarbeitung ist für die Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen auf deren Anfrage erforderlich.
Wann zu verwenden:
- Speicherung und Verwaltung von Benutzerkonten für Ihr SaaS-Produkt
- Verarbeitung von Zahlungsinformationen zur Abrechnung Ihres Dienstes
- Bereitstellung der Kernfunktionen Ihres Produkts
- Kundensupport im Zusammenhang mit dem Dienst
- Vorvertragliche Schritte wie Bearbeitung einer Demo-Anfrage oder Anmeldung zum kostenlosen Test
Wann NICHT zu verwenden:
- Verarbeitung, die nützlich, aber nicht notwendig für den Vertrag ist (Analysen, Marketing, Produktverbesserung)
- Verarbeitung, die mehr Ihren Interessen als der Diensterbringung dient
- Verarbeitung für Features, die der Nutzer nicht aktiviert oder erworben hat
Der „Erforderlichkeits”-Test: Die Verarbeitung muss tatsächlich notwendig sein, um den Vertrag zu erfüllen — nicht nur nützlich oder wünschenswert. Die Speicherung von Name und E-Mail eines Nutzers, damit er sich einloggen kann, ist erforderlich. Die Verfolgung seiner Mausbewegungen für eine Heatmap ist nicht für den Vertrag erforderlich, auch wenn es Ihnen hilft, das Produkt zu verbessern. Der EDSA hat klargestellt: Vertragserfüllung muss eng ausgelegt werden.
SaaS-Beispiel: Ein CRM-SaaS speichert Kundenkontaktdatensätze, Deal-Pipeline-Daten und Aktivitätsprotokolle, weil der gesamte Zweck des Dienstes die Verwaltung dieser Datensätze ist. Die Verarbeitung dieser Daten ist direkt zur Vertragserfüllung erforderlich.
3. Rechtliche Verpflichtung — Artikel 6(1)(c)
Was es bedeutet: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderlich.
Wann zu verwenden:
- Aufbewahrung von Finanzunterlagen für die Steuermeldung (typischerweise 7–10 Jahre)
- Meldungen an Finanzaufsichtsbehörden (Geldwäschebekämpfung)
- Erfüllung von Gerichtsbeschlüssen oder Rechtsverfahren
- Arbeitsrechtliche Anforderungen (Gehaltsabrechnung, Sozialversicherung, Arbeitsschutzunterlagen)
- Regulatorische Meldepflichten
Wann NICHT zu verwenden:
- „Vorsichtshalber”-Aufbewahrung — die Verpflichtung muss spezifisch und aktuell sein
- Branchenübliche Praktiken, die nicht gesetzlich vorgeschrieben sind
- Vertragliche Verpflichtungen (verwenden Sie stattdessen Vertragserfüllung)
Die Spezifitätsanforderung: Sie müssen auf ein spezifisches Gesetz, eine Verordnung oder eine rechtliche Verpflichtung verweisen können, die die Verarbeitung verlangt. „Wir könnten das aus rechtlichen Gründen brauchen” qualifiziert sich nicht. Die Verpflichtung muss real, aktuell und auf Ihre Organisation anwendbar sein.
SaaS-Beispiel: Ein SaaS-Unternehmen bewahrt Kundenrechnungen und Zahlungsunterlagen 10 Jahre lang auf, um deutsches Steuerrecht (Abgabenordnung) einzuhalten. Das spezifische Gesetz und die Aufbewahrungsfrist sind im VVT dokumentiert.
4. Lebenswichtige Interessen — Artikel 6(1)(d)
Was es bedeutet: Die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich.
Wann zu verwenden: Im Wesentlichen nur in lebensbedrohlichen Situationen — medizinische Notfälle, Naturkatastrophen, humanitäre Krisen.
Relevanz für SaaS: Diese Grundlage ist für SaaS-Unternehmen fast nie anwendbar. Wenn Sie ein Gesundheitsüberwachungs- oder Notfallreaktionsprodukt entwickeln, könnte sie in Extremfällen gelten. Für den Standardgeschäftsbetrieb schauen Sie auf die anderen fünf Grundlagen.
5. Öffentliches Interesse / Hoheitliche Befugnis — Artikel 6(1)(e)
Was es bedeutet: Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Wann zu verwenden: Regierungsbehörden, öffentliche Stellen und Organisationen, die Aufgaben im öffentlichen Interesse wahrnehmen (öffentliche Gesundheit, Forschung, Archivierung).
Relevanz für SaaS: Selten anwendbar, es sei denn, Sie sind von einer Regierungsbehörde mit der Wahrnehmung einer öffentlichen Funktion beauftragt. Als privates SaaS-Unternehmen ist diese Grundlage für keine Ihrer Verarbeitungstätigkeiten wahrscheinlich anwendbar.
6. Berechtigtes Interesse — Artikel 6(1)(f)
Was es bedeutet: Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen, Rechte oder Freiheiten der betroffenen Person überwiegen.
Wann zu verwenden:
- Produktanalysen und Nutzungsverfolgung (aggregiert, nicht-intrusiv)
- Betrugsprävention und Sicherheitsüberwachung
- Netzwerk- und Informationssicherheit (einschließlich Logging und Monitoring)
- Interne Verwaltung und Geschäftsbetrieb
- Direktwerbung an Bestandskunden (in einigen Rechtsordnungen, mit angemessenen Schutzmaßnahmen)
- Kundenzufriedenheitsumfragen
- Bug-Tracking und Fehlermeldung
Wann NICHT zu verwenden:
- Verarbeitung, die primär zu Ihrem Vorteil ist, mit erheblichen Auswirkungen auf Personen
- Umfangreiches Profiling ohne Transparenz
- Verarbeitung, die Personen nicht vernünftigerweise erwarten würden
- Wenn Einwilligung oder eine andere Grundlage angemessener ist
Der Abwägungstest: Berechtigtes Interesse ist die flexibelste Grundlage, erfordert aber einen dokumentierten Abwägungstest — die Interessenabwägung (Legitimate Interest Assessment, LIA). Sie müssen Ihre Interessen gegen die Rechte und Erwartungen der betroffenen Person abwägen. Wenn die Interessen der betroffenen Person überwiegen, funktioniert berechtigtes Interesse nicht.
Der LIA-Prozess:
- Das berechtigte Interesse identifizieren. Welches spezifische Interesse verfolgen Sie? Es muss real sein, nicht hypothetisch.
- Ist die Verarbeitung erforderlich? Könnten Sie dasselbe Ziel ohne die Daten oder mit weniger Daten erreichen?
- Gegen die Interessen betroffener Personen abwägen. Berücksichtigen Sie: Würden Personen diese Verarbeitung erwarten? Wie intrusiv ist sie? Könnte sie Schaden verursachen? Welche Schutzmaßnahmen bestehen?
- Die Bewertung dokumentieren. Zeichnen Sie Ihre Analyse und Schlussfolgerung auf.
SaaS-Beispiel: Ein SaaS-Unternehmen nutzt Produktanalysen, um zu verfolgen, welche Features wie oft und von wie vielen Nutzern verwendet werden. Die Daten werden pseudonymisiert und für die Analyse aggregiert. Das berechtigte Interesse ist Produktverbesserung; die Auswirkung auf Nutzer ist minimal (kein individuelles Profiling, keine sensiblen Daten, im Einklang mit Nutzererwartungen). Eine dokumentierte LIA unterstützt diese Grundlage.
Wie Sie die richtige Grundlage wählen
Entscheidungsrahmen
Arbeiten Sie für jede Verarbeitungstätigkeit diese Reihenfolge durch:
-
Gibt es eine rechtliche Verpflichtung? Wenn das Gesetz die Verarbeitung verlangt, verwenden Sie rechtliche Verpflichtung. Dies ist die klarste Grundlage.
-
Ist die Verarbeitung für einen Vertrag erforderlich? Wenn die Verarbeitung tatsächlich zur Erbringung des Dienstes erforderlich ist, für den sich die Person angemeldet hat, verwenden Sie Vertragserfüllung.
-
Gilt berechtigtes Interesse? Wenn die Verarbeitung einem echten Geschäftsinteresse dient, verhältnismäßig ist und die betroffene Person nicht überraschen würde, führen Sie einen Abwägungstest durch. Wenn er besteht, könnte berechtigtes Interesse die richtige Grundlage sein.
-
Ist Einwilligung angemessen? Wenn nichts davon zutrifft — die Verarbeitung ist optional, dient mehr Ihren Interessen als denen des Nutzers, oder die Person sollte eine echte Wahl haben — verwenden Sie Einwilligung.
Gängige SaaS-Verarbeitungstätigkeiten und ihre Grundlagen
| Verarbeitungstätigkeit | Empfohlene Grundlage | Begründung |
|---|---|---|
| Erstellung und Verwaltung von Benutzerkonten | Vertragserfüllung | Zur Erbringung des Dienstes erforderlich |
| Zahlungsabwicklung | Vertragserfüllung + Rechtliche Verpflichtung | Vertrag für Abrechnung; Steuerrecht für Unterlagen |
| Kernproduktfunktionalität | Vertragserfüllung | Wofür der Nutzer sich angemeldet hat |
| Kundensupport | Vertragserfüllung | Teil der Diensterbringung |
| Produktanalysen (pseudonymisiert) | Berechtigtes Interesse | Produktverbesserung, geringe Auswirkung |
| Sicherheitsüberwachung und Logging | Berechtigtes Interesse | Netzwerksicherheit, Betrugsprävention |
| Marketing-E-Mails an Interessenten | Einwilligung | Keine bestehende Kundenbeziehung |
| Marketing-E-Mails an Kunden (ähnliche Produkte) | Berechtigtes Interesse (variiert nach Land) | Soft-Opt-in in einigen Rechtsordnungen erlaubt |
| Newsletter an Nicht-Kunden | Einwilligung | Keine bestehende Beziehung |
| Nicht-essentielle Cookies | Einwilligung | Anforderung der ePrivacy-Richtlinie |
| Gehaltsabrechnung für Mitarbeiter | Vertragserfüllung + Rechtliche Verpflichtung | Arbeitsvertrag und Steuerrecht |
| Bewerberdaten | Einwilligung oder Berechtigtes Interesse | Abhängig von Rechtsordnung und Kontext |
| Aufbewahrung von Finanzunterlagen | Rechtliche Verpflichtung | Steuer- und Buchhaltungsrecht |
| Produktverbesserungsforschung | Berechtigtes Interesse oder Einwilligung | Abhängig von verwendeten Daten und Methodik |
Häufige Fehler
Standardmäßig Einwilligung für alles. Die Einwilligung scheint die sicherste Wahl — „wir haben gefragt, sie haben zugestimmt.” Aber sich auf Einwilligung zu stützen, wenn es nicht die richtige Grundlage ist, schafft Probleme. Wenn die Einwilligung nicht freiwillig erteilt ist (weil die Ablehnung den Dienstverlust bedeutet), ist sie ungültig. Und wenn Sie die Verarbeitung bei Widerruf der Einwilligung nicht tatsächlich einstellen würden, sind Sie nicht ehrlich über Ihre Rechtsgrundlage.
Die gewählte Grundlage nicht dokumentieren. Ihr VVT sollte die Rechtsgrundlage für jede Verarbeitungstätigkeit zusammen mit der Begründung aufzeichnen. Aufsichtsbehörden werden danach fragen. „Wir dachten, berechtigtes Interesse wäre in Ordnung” ohne dokumentierte LIA weist keine Rechenschaftspflicht nach.
Eine Grundlage verwenden, aber eine andere kommunizieren. Ihr Datenschutzhinweis muss genau angeben, welche Rechtsgrundlage für jeden Verarbeitungszweck gilt. Wenn Ihr Hinweis „Einwilligung” sagt, Sie sich aber tatsächlich auf berechtigtes Interesse stützen, gibt es eine Diskrepanz, die sowohl rechtliche als auch Vertrauensprobleme schafft.
Versuchen, die Grundlage bei Anfechtung zu wechseln. Wenn jemand die Einwilligung widerruft, können Sie nicht rückwirkend behaupten, Sie hätten die ganze Zeit ein berechtigtes Interesse gehabt. Der EDSA hat klargestellt, dass das Wechseln der Grundlage zur Vermeidung der Konsequenzen der ursprünglichen Wahl nicht zulässig ist. Wählen Sie von Anfang an sorgfältig.
Berechtigtes Interesse mit „wir haben einen Grund” verwechseln. Jede Organisation hat Gründe für die Verarbeitung von Daten. Berechtigtes Interesse erfordert mehr — eine dokumentierte Bewertung, die zeigt, dass Ihr Interesse real und spezifisch ist, die Verarbeitung für dieses Interesse erforderlich ist und die Rechte der betroffenen Person nicht überwiegen.
Wie GRCTrail die Dokumentation der Rechtsgrundlage unterstützt
GRCTrail hilft Ihnen, Ihre Rechtsgrundlagen-Entscheidungen zu dokumentieren und zu pflegen:
VVT mit Rechtsgrundlagen-Tracking. Jede Verarbeitungstätigkeit in Ihrem Verzeichnis der Verarbeitungstätigkeiten enthält die dokumentierte Rechtsgrundlage, verknüpft mit unterstützenden Bewertungen (LIAs für berechtigtes Interesse, Einwilligungsaufzeichnungen für Einwilligung).
Konsistenzprüfungen. GRCTrail kennzeichnet Inkonsistenzen zwischen Ihrer dokumentierten Rechtsgrundlage und Ihrem veröffentlichten Datenschutzhinweis und hilft sicherzustellen, dass das, was Sie betroffenen Personen sagen, mit Ihrer internen Dokumentation übereinstimmt.
LIA-Vorlagen. Führen Sie Interessenabwägungen mit strukturierten Vorlagen durch und dokumentieren Sie sie, die alle erforderlichen Elemente abdecken.
Dokumentieren Sie Ihre Rechtsgrundlagen systematisch →
Verwandte Leitfäden
- Einwilligungsmanagement — Wenn Einwilligung die richtige Grundlage ist
- Verzeichnis der Verarbeitungstätigkeiten (VVT) — Dokumentation Ihrer Verarbeitung und Grundlagen
- Anforderungen an Datenschutzhinweise — Ihre Rechtsgrundlagen an betroffene Personen kommunizieren
- DSGVO-Compliance-Checkliste — Das vollständige Compliance-Framework
Verwandte Artikel
DSGVO-Einwilligungsmanagement: Anforderungen und Best Practices
Verstehen Sie, wann eine DSGVO-Einwilligung erforderlich ist, was eine gültige Einwilligung ausmacht, wie Sie Einwilligungsmechanismen implementieren und den Unterschied zwischen Einwilligung und anderen Rechtsgrundlagen. Praktischer Leitfaden für SaaS-Teams.
Verzeichnis der Verarbeitungstätigkeiten (VVT): DSGVO-Leitfaden
Erfahren Sie, wie Sie Ihr DSGVO-Verzeichnis der Verarbeitungstätigkeiten erstellen und pflegen. Behandelt Artikel-30-Anforderungen, Register für Verantwortliche und Auftragsverarbeiter, SaaS-Beispiele und praktische Tipps zur Aktualisierung.
DSGVO-Compliance-Checkliste für SaaS-Unternehmen
Eine schrittweise DSGVO-Compliance-Checkliste für SaaS-Teams. Umfasst Dokumentation, Betroffenenrechte, Auftragnehmer-Management und laufende Überwachung, damit nichts übersehen wird.