Rechtsgrundlagen der Verarbeitung (Art. 6 DSGVO)

Art. 6 DSGVO ist die zentrale Erlaubnisnorm des europäischen Datenschutzrechts. Jede Verarbeitung personenbezogener Daten, gleich ob durch öffentliche oder nicht-öffentliche Stellen, ist nur dann rechtmäßig, wenn sie sich auf einen der in Art. 6 Abs. 1 DSGVO aufgezählten Erlaubnistatbestände stützen lässt. Die Vorschrift setzt die grundrechtliche Vorgabe aus Art. 8 Abs. 2 GRC um, wonach die Verarbeitung personenbezogener Daten auf Einwilligung oder einer gesetzlich geregelten legitimen Grundlage beruhen muss.

1 Überblick

1.1 Rechtsfolge und Systematik

Liegt keine der Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO vor, ist die Verarbeitung rechtswidrig. Neben der Rechtsgrundlage müssen zugleich die Grundsätze des Art. 5 DSGVO eingehalten werden; beide Prüfungen stehen kumulativ nebeneinander (EuGH, Urt. v. 04.05.2023, C-60/22). Eine einzige Rechtsgrundlage genügt; Art. 6 Abs. 1 UA 1 DSGVO stellt mit der Formulierung „mindestens eine" ausdrücklich klar, dass eine Verarbeitung auf mehrere Rechtsgrundlagen zugleich gestützt werden kann.

Der Katalog des Art. 6 Abs. 1 DSGVO ist abschließend und erschöpfend (EuGH, Urt. v. 01.08.2022, C-184/20, Vyriausioji tarnybinės etikos komisija, Rn. 67; EuGH, Urt. v. 30.03.2023, C-34/21, Hauptpersonalrat der Lehrerinnen und Lehrer, Rn. 70). Außerhalb dieses Katalogs existieren keine weiteren Rechtsgrundlagen; auch nationales Recht kann keine zusätzlichen Erlaubnistatbestände schaffen.

1.2 Der Katalog der Erlaubnistatbestände

Art. 6 Abs. 1 DSGVO unterscheidet zwischen einer einwilligungsbasierten Grundlage (lit. a) und fünf gesetzlichen Erlaubnistatbeständen (lit. b-f). Inhaltlich entsprechen die gesetzlichen Tatbestände weitgehend ihren Vorgängern in Art. 7 der Richtlinie 95/46/EG; die Rechtsprechung zur Richtlinie bleibt deshalb in weiten Teilen übertragbar.

1.3 Verbot mit Erlaubnisvorbehalt

Das dem Art. 6 DSGVO zugrunde liegende Regelungsmodell wird traditionell als „Verbot mit Erlaubnisvorbehalt" bezeichnet: Die Verarbeitung personenbezogener Daten ist grundsätzlich untersagt und nur zulässig, wenn ein gesetzlicher oder einwilligungsgestützter Erlaubnistatbestand eingreift. Dieses Modell ist durch Art. 8 Abs. 2 S. 1 GRC grundrechtlich abgesichert; der Einzelne soll grundsätzlich selbst Herr seiner Daten sein.

An dem Modell wird vereinzelt Kritik geübt, die im Kern auf einen „risikobasierten Regelungsansatz" zielt, der Verarbeitungen je nach ihrem Gefährdungspotential unterschiedlich streng reguliert. Die DSGVO folgt diesem Ansatz jedoch bereits, ohne das Verbotsprinzip aufzugeben: Sie differenziert nach sensiblen Datenkategorien (Art. 9 DSGVO), berücksichtigt Risiken im Rahmen der Erlaubnistatbestände (insbesondere bei Art. 6 Abs. 1 lit. f DSGVO) und verpflichtet zu einer Datenschutz-Folgenabschätzung bei hohen Risiken (Art. 35 DSGVO).

1.4 Erforderlichkeitsprinzip

Mit Ausnahme der Einwilligung (lit. a) stehen alle Erlaubnistatbestände unter dem Vorbehalt der Erforderlichkeit. Erwägungsgrund 39 DSGVO präzisiert das Kriterium dahingehend, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn der Verarbeitungszweck nicht in zumutbarer Weise durch andere Mittel erreicht werden kann.

Der EuGH legt die Erforderlichkeit eng aus. Die Verarbeitung muss in den „Grenzen des unbedingt Notwendigen" bleiben (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 106); sie ist nicht schon dann zulässig, wenn sie dem Verarbeitungszweck „nützlich" oder „dienlich" ist. Diese enge Auslegung gilt für sämtliche gesetzliche Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO.

2 Struktur und Aufbau der Vorschrift

2.1 Absatz 1: Erlaubnistatbestände

Absatz 1 bildet das Herzstück des Art. 6 DSGVO. Der Unterabsatz 2 schließt Behörden vom Anwendungsbereich des lit. f aus: Behörden, die in Erfüllung ihrer Aufgaben handeln, können sich nicht auf die allgemeine Interessenabwägung stützen, sondern müssen ihre Verarbeitungen auf lit. c oder e iVm Art. 6 Abs. 3 DSGVO stützen.

2.2 Absatz 2: Öffnungsklausel mit klarstellender Funktion

Absatz 2 eröffnet den Mitgliedstaaten die Möglichkeit, im Anwendungsbereich des lit. c und lit. e spezifischere Bestimmungen zu erlassen oder bestehende beizubehalten. Ihm kommt im Wesentlichen eine klarstellende Funktion zu; die eigentliche Regelungskompetenz folgt aus Absatz 3.

2.3 Absatz 3: Anforderungen an die mitgliedstaatliche Rechtsgrundlage

Absatz 3 bildet die Kompetenzgrundlage für mitgliedstaatliche Regelungen im Bereich lit. c und lit. e. Die Rechtsgrundlage muss durch Union oder Mitgliedstaat festgelegt werden, einen konkreten Zweck verfolgen, im öffentlichen Interesse liegen und verhältnismäßig sein (Satz 4). Mitgliedstaaten dürfen insbesondere Anforderungen an die Arten der Daten, die Kategorien der betroffenen Personen, Zweckbindung, Speicherdauer und Verfahren festlegen. Neue Erlaubnistatbestände außerhalb des abschließenden Katalogs des Absatzes 1 können sie nicht schaffen.

2.4 Absatz 4: Zweckänderung

Absatz 4 konkretisiert den Grundsatz der Zweckbindung aus Art. 5 Abs. 1 lit. b DSGVO für den Fall der Weiterverarbeitung. Die Vorschrift ist weder eigenständige Rechtsgrundlage noch Öffnungsklausel; sie gibt einen nicht abschließenden Kriterienkatalog vor, an dem sich die Vereinbarkeit eines neuen Verarbeitungszwecks mit dem ursprünglichen Erhebungszweck messen lässt.

3 Verhältnis zu anderen Vorschriften der DSGVO

3.1 Verhältnis zu Art. 5 DSGVO

Die Erlaubnistatbestände des Art. 6 DSGVO konkretisieren den in Art. 5 Abs. 1 lit. a DSGVO niedergelegten Grundsatz der Rechtmäßigkeit. Die übrigen Grundsätze des Art. 5 DSGVO (Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit) gelten unabhängig von der einschlägigen Rechtsgrundlage und müssen zusätzlich eingehalten werden.

3.2 Verhältnis zu Art. 9 DSGVO

Für die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) reicht Art. 6 Abs. 1 DSGVO allein nicht aus. Zusätzlich muss ein Ausnahmetatbestand des Art. 9 Abs. 2 DSGVO eingreifen. Der EuGH stellt klar, dass beide Normen kumulativ zu prüfen sind (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 90).

Ist ein Datensatz als Ganzes Gegenstand der Verarbeitung und enthält er sowohl sensible als auch nicht sensible Daten, ohne dass sich die Daten zum Zeitpunkt der Erhebung trennen lassen, richtet sich die Rechtmäßigkeit der gesamten Verarbeitung nach Art. 9 Abs. 2 DSGVO, sobald der Datensatz mindestens ein sensibles Datum enthält (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 89).

3.3 Verhältnis zu den Öffnungsklauseln

Die Öffnungsklauseln der Art. 6 Abs. 2, 3, Art. 23 und Art. 85 ff. DSGVO ermöglichen mitgliedstaatliche Sonderregelungen. Sie ändern nichts an der Struktur des Erlaubniskatalogs des Art. 6 Abs. 1 DSGVO: Nationale Spezialvorschriften müssen ihrerseits an einen der sechs Erlaubnistatbestände anknüpfen (EuGH, Urt. v. 30.03.2023, C-34/21, Hauptpersonalrat der Lehrerinnen und Lehrer, Rn. 70).

4 Kumulation mehrerer Rechtsgrundlagen

4.1 Grundsätzliche Zulässigkeit

Art. 6 Abs. 1 UA 1 DSGVO stellt mit der Formulierung „mindestens eine" ausdrücklich klar, dass eine Verarbeitung kumulativ auf mehrere Erlaubnistatbestände gestützt werden kann. Das betrifft insbesondere Konstellationen, in denen die Verarbeitung verschiedene Zwecke verfolgt und jeder Zweck eine eigene Rechtsgrundlage erfordert. Die Einholung einer Einwilligung schließt den Rückgriff auf andere Rechtsgrundlagen bei Verweigerung oder Widerruf nicht aus (Art. 17 Abs. 1 lit. b DSGVO).

4.2 Grenzen der Kumulation

Die Stützung einer Verarbeitung auf mehrere Rechtsgrundlagen darf die jeweiligen Voraussetzungen nicht unterlaufen. Insbesondere dürfen die engeren Anforderungen an die Einwilligung (Art. 7 DSGVO) oder das Erfordernis eines unmittelbaren Bezugs zum Vertragsinhalt bei lit. b nicht dadurch umgangen werden, dass hilfsweise auf lit. f gestützt wird. In rechtsgeschäftlichen Konstellationen ist daher vorrangig zu prüfen, ob die Einwilligung oder lit. b tragen; lit. f kommt erst in Betracht, wenn die Verarbeitung dort nicht unterzubringen ist.

4.3 Klarstellung gegenüber der betroffenen Person

Der EDSA weist darauf hin, dass genau zu untersuchen ist, welche Rechtsgrundlage im konkreten Einzelfall einschlägig ist, weil die Rechtsgrundlagen unterschiedlichen Anforderungen unterliegen und unterschiedliche Folgen für die Betroffenenrechte haben. Beim Betroffenen dürfen keine Verwirrungen hinsichtlich der angewandten Rechtsgrundlage entstehen (EDSA, Leitlinien 2/2019 zur Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 lit. b DSGVO im Zusammenhang mit der Erbringung von Online-Diensten, Rn. 17 ff.).

Für die Speicherung von Kreditkartendaten durch Online-Händler allein zu dem Zweck, künftige Einkäufe zu erleichtern, ist die Einwilligung die einzig mögliche Rechtsgrundlage; lit. b trägt diese Verarbeitung nicht (EDSA, Empfehlungen 02/2021, Rn. 10).

5 Rechtmäßigkeitsanforderungen und Rechtswidrigkeitsfolgen

5.1 Folgen fehlender Rechtsgrundlage

Liegt keiner der Tatbestände des Art. 6 Abs. 1 UA 1 DSGVO vor, ist die Verarbeitung rechtswidrig. Verstöße gegen Art. 6 DSGVO sind nach Art. 83 Abs. 5 lit. a DSGVO mit Geldbußen bis zu 20 Mio. EUR oder 4 % des gesamten weltweiten Jahresumsatzes bedroht. Betroffene Personen können zivilrechtlich auf Unterlassung weiterer Verarbeitungen klagen; als Schutzgesetz im Sinne des § 823 Abs. 2 BGB kommen insbesondere die Rechtmäßigkeitstatbestände des Art. 6 Abs. 1 DSGVO in Betracht. Daneben greifen Löschungsansprüche nach Art. 17 DSGVO sowie Schadensersatzansprüche nach Art. 82 DSGVO, der unionsrechtlich autonom auszulegen ist.

5.2 Rechtswidrigkeitszusammenhänge im Verarbeitungsablauf

Schwieriger zu beurteilen sind die Folgen einer rechtswidrigen Teilhandlung für spätere Verarbeitungsschritte. Art. 6 DSGVO ordnet weder eine durchgehende „Rechtmäßigkeitskette" an noch sind die einzelnen Verarbeitungsschritte vollständig voneinander zu entkoppeln. Die Beurteilung erfordert eine differenzierte Abwägung anhand der Funktion des verletzten Tatbestandselements, der Schwere der Rechtsverletzung und der Schutzwürdigkeit der betroffenen Person. In bestimmten Konstellationen kann der Gedanke der „Heilung" tragen; bei systematischen Verstößen greift der Disziplinierungsgedanke.

5.3 Praktische Konsequenz: Videoaufzeichnungen aus rechtswidriger Videoüberwachung

Videoaufzeichnungen, die aus einer nicht von Art. 6 Abs. 1 lit. f DSGVO gedeckten privaten Videoüberwachung stammen, können im Strafprozess trotz der Rechtswidrigkeit ihrer Erhebung als Beweismittel verwertbar sein (BGH, Beschl. v. 18.08.2020, 5 StR 175/20). Die Verwertbarkeit hängt im Einzelfall von einer Abwägung zwischen dem Interesse an einer funktionstüchtigen Strafrechtspflege und dem Grundrechtsschutz der betroffenen Person ab.

5.4 Informationspflichten als eigenständige Pflicht

Die Rechtmäßigkeit einer zweckändernden Weiterverarbeitung ist nicht davon abhängig, dass alle Transparenz- und Informationspflichten (Art. 13 Abs. 3, Art. 14 Abs. 4 DSGVO) erfüllt sind. Ein Verstoß gegen die Informationspflichten löst eigenständige Sanktionen und Schadensersatzansprüche aus, macht die Weiterverarbeitung aber nicht zwangsläufig rechtswidrig.