Rechtmäßigkeit (Art. 5 Abs. 1 lit. a DSGVO)
Rechtmäßigkeit als Grundsatz der Verarbeitung: Erforderlichkeit einer Rechtsgrundlage, Verhältnis zu Art. 6 DSGVO, Anforderungen an klare und präzise Rechtsgrundlagen.
Nach Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten „auf rechtmäßige Weise" verarbeitet werden. Der Grundsatz wiederholt die grundrechtliche Vorgabe aus Art. 8 Abs. 2 S. 1 GRC, wonach personenbezogene Daten nur mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen.
Das Wichtigste in Kürze
- Rechtmäßigkeit verlangt für jede Verarbeitung eine Rechtsgrundlage; Art. 6 Abs. 1 DSGVO enthält dazu einen abschließenden Katalog.
- Fehlt eine einschlägige Rechtsgrundlage, ist die Verarbeitung bereits aus diesem Grund unzulässig („Verbot mit Erlaubnisvorbehalt").
- Der Begriff ist eng zu verstehen: Rechtmäßigkeit meint das Vorliegen einer Rechtsgrundlage, nicht die Einhaltung aller übrigen DSGVO-Vorgaben.
- Die Rechtsgrundlage muss klar und präzise sein, sodass die Verarbeitung für die betroffene Person voraussehbar ist (Erwägungsgrund 41 S. 2 DSGVO).
- Je sensibler die Daten und je intensiver der Eingriff, desto höhere Anforderungen an die Bestimmtheit der Rechtsgrundlage.
1 Überblick
1.1 Rechtsfolge und Systematik
Der Grundsatz der Rechtmäßigkeit verlangt, dass für jede Verarbeitung eine Rechtsgrundlage vorliegt. Art. 6 Abs. 1 DSGVO konkretisiert den Grundsatz durch einen abschließenden Katalog möglicher Rechtsgrundlagen. Fehlt eine einschlägige Rechtsgrundlage, ist die Verarbeitung bereits aus diesem Grund unzulässig.
Der Grundsatz entspricht dem im deutschen Datenschutzrecht traditionell so genannten „Verbot mit Erlaubnisvorbehalt". Er setzt nicht die Einhaltung aller weiteren Vorgaben der DSGVO voraus; andere Aspekte der Verarbeitung werden durch die übrigen Grundsätze des Art. 5 DSGVO (Transparenz, Datenminimierung, Integrität und Vertraulichkeit) abgedeckt. Ein Verstoß gegen diese Grundsätze lässt die Verarbeitung nicht automatisch „unrechtmäßig" im Sinne von Art. 5 Abs. 1 lit. a Fall 1 DSGVO werden, er ist jedoch als eigener Grundsatzverstoß bußgeldbewehrt.
1.2 Enges Verständnis der „Rechtmäßigkeit"
Sowohl Art. 8 Abs. 2 GRC als auch die Systematik des Art. 5 Abs. 1 DSGVO sprechen für ein enges Verständnis: Rechtmäßigkeit meint das Vorliegen einer Rechtsgrundlage, nicht die Einhaltung aller Regelungen der DSGVO. Ein weites Verständnis würde dazu führen, dass jeder Verstoß (etwa gegen Informationspflichten oder die Datensicherheit) die Verarbeitung insgesamt unzulässig machen würde. Ein solches Ergebnis ist mit der eigenständigen Systematik der einzelnen Grundsätze nicht vereinbar.
2 Anforderungen an die Rechtsgrundlage
2.1 Klarheit und Präzision
Die Rechtsgrundlage, auf der eine Verarbeitung beruht, muss Tragweite und Anwendung der Verarbeitung so klar und präzise regeln, dass die Verarbeitung für die betroffene Person voraussehbar ist. Das folgt aus Erwägungsgrund 41 S. 2 DSGVO und entspricht den Anforderungen, die der EuGH in ständiger Rechtsprechung an Eingriffe in Art. 7, 8 GRC stellt (EuGH, Urt. v. 20.05.2003, C-465/00 u.a., Österreichischer Rundfunk, Rn. 77; EuGH, Urt. v. 08.04.2014, C-293/12, C-594/12, Digital Rights Ireland, Rn. 54).
2.2 Voraussehbarkeit für die betroffene Person
Die Voraussehbarkeit richtet sich nach dem Empfängerhorizont der betroffenen Person. Sie muss aus der Rechtsgrundlage ablesen können, welche Datenverarbeitungen aus welchen Gründen zu erwarten sind. Je sensibler die Daten oder intensiver der Eingriff, desto höhere Anforderungen sind an die Bestimmtheit der Rechtsgrundlage zu stellen.
3 Zusammenspiel mit den übrigen Grundsätzen
Der Grundsatz der Rechtmäßigkeit ist inhaltlich eng mit dem Grundsatz der Transparenz verbunden: Nur wenn die Verarbeitung für die betroffene Person voraussehbar ist, kann sie ihre Rechte effektiv ausüben. Zugleich besteht ein enger Zusammenhang mit der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Die Rechtsgrundlage muss stets einen konkreten Verarbeitungszweck tragen.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Grundsätze der Verarbeitung (Art. 5 DSGVO)
Überblick über die Grundsätze der Verarbeitung personenbezogener Daten nach Art. 5 DSGVO: Rechtsnatur, Adressaten, Verhältnis zu Art. 6 DSGVO, Ausnahmen und Bußgeldbewehrung.
Treu und Glauben (Art. 5 Abs. 1 lit. a DSGVO)
Der Fairness-Grundsatz der DSGVO: Rücksichtnahmepflicht des Verantwortlichen, Verbot manipulativer Gestaltung (Dark Patterns), Vorrang der offenen Direkterhebung.