Datenschutz HubEinzelthemenRechtsgrundlagen der Verarbeitung

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Rechtliche Verpflichtung als Rechtsgrundlage: unmittelbarer Bezug der Pflicht zur Verarbeitung, persönliche Inanspruchnahme des Verantwortlichen, Anforderungen an die unions- oder mitgliedstaatliche Rechtsgrundlage nach Art. 6 Abs. 3 DSGVO und Anwendungsbeispiele.

Als Markdown ansehen

Nach Art. 6 Abs. 1 lit. c DSGVO ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Die Vorschrift trägt dem Umstand Rechnung, dass zahlreiche gesetzliche Pflichten, etwa aus dem Steuer-, Handels-, Sozial- und Arbeitsrecht, ohne Verarbeitung personenbezogener Daten nicht erfüllt werden können. Lit. c ist dabei selbst keine Rechtsgrundlage, sondern das Einfallstor für die eigentlich legitimierende Vorschrift des Unions- oder mitgliedstaatlichen Rechts.

Das Wichtigste in Kürze

  • Lit. c verlangt eine echte Pflicht zum Tun, kein bloßes Dürfen; eine reine Ermächtigung genügt nicht und verweist auf lit. e oder f.
  • Die Pflicht muss sich unmittelbar auf die Verarbeitung beziehen: Es reicht nicht, dass der Verantwortliche eine sonstige Pflicht nur erfüllen kann, wenn er nebenbei auch Daten verarbeitet.
  • Adressat der Pflicht muss der Verantwortliche selbst sein; Pflichten Dritter tragen keine Verarbeitung durch ihn.
  • Die Pflicht muss aus Unionsrecht oder mitgliedstaatlichem Recht folgen, den Verarbeitungszweck festlegen und nach Art. 6 Abs. 3 DSGVO klar, präzise und verhältnismäßig sein.
  • Die Verarbeitung bleibt auf den zur Pflichterfüllung erforderlichen Umfang beschränkt; jede darüber hinausgehende oder „vorsorgliche" Verarbeitung braucht eine eigene Rechtsgrundlage.

1 Überblick

1.1 Rechtsfolge

Liegt eine einschlägige rechtliche Verpflichtung vor, trägt sie die dafür erforderliche Verarbeitung, ohne dass es einer zusätzlichen Einwilligung oder Interessenabwägung bedarf. Die Verarbeitung muss sich jedoch in den Grenzen der gesetzlichen Verpflichtung halten; Vorrats- oder „vorsorgliche" Verarbeitungen, die über die gesetzliche Verpflichtung hinausgehen, sind nicht auf lit. c zu stützen.

1.2 Voraussetzungen im Überblick

Die Rechtsgrundlage setzt voraus:

  • eine rechtliche Verpflichtung im Sinne einer konkreten Pflicht zum Tun,
  • die sich unmittelbar auf die Datenverarbeitung bezieht,
  • Adressat der Pflicht ist der Verantwortliche,
  • die Pflicht beruht auf Unionsrecht oder mitgliedstaatlichem Recht (Art. 6 Abs. 3 DSGVO),
  • die Verarbeitung ist zur Erfüllung der Pflicht erforderlich.

Das folgende Schema zeigt die Prüfung im Zusammenhang; nur wenn alle Stufen durchlaufen werden, trägt lit. c die Verarbeitung.

1.3 Unmittelbarer Bezug zur Datenverarbeitung

Die DSGVO definiert die „rechtliche Verpflichtung" nicht; gemeint ist eine Pflicht, die aus einer Rechtsvorschrift folgt. Entscheidend ist, dass sich diese Pflicht unmittelbar auf die Datenverarbeitung bezieht. Die Norm muss die Verarbeitung also selbst gebieten und nicht bloß eine Aufgabe oder ein Ziel vorgeben, das sich faktisch nur mit Datenverarbeitung erreichen lässt.

Als Prüfmaßstab dient die Frage, ob der Verantwortliche gegen die gesetzliche Pflicht (oder gegen eine auf Gesetz beruhende Anordnung) verstößt, wenn er die fragliche Verarbeitung unterlässt. Nur in diesem Fall ist die Verarbeitung selbst Gegenstand der Pflicht und wird von lit. c getragen.

Nicht ausreichend ist dagegen der bloße Umstand, dass der Verantwortliche irgendeine andere Rechtspflicht nur erfüllen kann, wenn er zugleich personenbezogene Daten verarbeitet. Dann ist die Verarbeitung nicht das, wozu das Gesetz verpflichtet, sondern nur ihre tatsächliche Begleiterscheinung. Sie ist auf eine andere Rechtsgrundlage zu stützen, regelmäßig auf das berechtigte Interesse nach lit. f.

1.4 Abgrenzung zur bloßen Ermächtigung

Abzugrenzen ist die rechtliche Verpflichtung von einer bloßen Ermächtigung. Lit. c verlangt eine Pflicht, nicht lediglich ein Dürfen. Eröffnet das nationale Recht dem Verantwortlichen einen Handlungsspielraum, trägt lit. c nur die Verarbeitung, die zur Erfüllung einer verbindlichen Pflicht erforderlich ist. Im Übrigen ist auf lit. e oder f auszuweichen. Insbesondere der allgemeine verwaltungsverfahrensrechtliche Amtsermittlungsgrundsatz ist in seinem Aussagegehalt zu vage, als dass daraus ohne bereichsspezifische Konkretisierung eine rechtliche Verpflichtung iSd lit. c folgen könnte; einschlägig ist hier regelmäßig lit. e. Ebenso wenig deckt lit. c eine Übermittlung allein deshalb, weil die empfangende Stelle die Daten zur Aufgabenerfüllung benötigt.

1.5 Abgrenzung zu rechtsgeschäftlichen Pflichten

Die deutsche Fassung ist insoweit missverständlich, als auch Verträge „rechtliche Verpflichtungen" begründen. Lit. c erfasst jedoch nur Pflichten aus Rechtsvorschriften. Verarbeitungen zur Erfüllung vertraglicher Pflichten richten sich nach lit. b, nicht nach lit. c. Andere Sprachfassungen bringen das deutlicher zum Ausdruck, etwa die englische („compliance with a legal obligation") oder die französische („respect d'une obligation légale").

2 Anforderungen an die Rechtsgrundlage

2.1 Unions- oder mitgliedstaatliches Recht

Die rechtliche Verpflichtung muss sich aus Unionsrecht oder aus dem Recht eines Mitgliedstaats ergeben (Art. 6 Abs. 3 S. 1 DSGVO). Maßgeblich ist nicht nur das förmliche Parlamentsgesetz, sondern jedes Gesetz im materiellen Sinne. Erfasst sind daher auch Rechtsverordnungen, kommunale Satzungen und, im Beschäftigungskontext, der normative Teil von Tarifverträgen sowie Kollektivvereinbarungen wie Betriebs- und Dienstvereinbarungen (Art. 88 DSGVO). Ob berufsständisches Recht genügt, richtet sich nach der jeweiligen mitgliedstaatlichen Verfassungsordnung.

Nicht ausreichend sind bloße Verwaltungsanweisungen, Vollzugshinweise oder aufsichtsbehördliche Rundschreiben und Leitlinien. Sie dienen der Auslegung gesetzlicher Vorgaben, begründen aber für sich genommen keine rechtliche Verpflichtung im Sinne des Art. 6 Abs. 3 DSGVO.

Rechtsvorschriften von Drittstaaten lösen ohne einen mitgliedstaatlichen Umsetzungs- oder Übernahmeakt keine rechtliche Verpflichtung iSd lit. c aus (dazu das Beispiel unter Abschnitt 5.7).

2.2 Festlegung des Verarbeitungszwecks

Der Verarbeitungszweck muss in der Rechtsgrundlage selbst festgelegt sein (Art. 6 Abs. 3 S. 2 DSGVO). Anders als bei lit. e ist diese Zweckfestlegung bei lit. c zwingend. Eine Rechtsvorschrift kann zwar Grundlage für mehrere Verarbeitungsvorgänge sein, und nicht jeder einzelne Vorgang muss durch ein gesondertes Gesetz geregelt werden. Die Regelung muss aber so klar und präzise sein, dass die zulässigen Verarbeitungen für die Betroffenen vorhersehbar sind.

2.3 Anforderungen an die Bestimmtheit

Die Rechtsgrundlage muss klar und präzise formuliert sein. Die betroffene Person muss erkennen können, welche Verarbeitungen aus welchen Gründen stattfinden und welche Rechte und Pflichten daraus folgen. Das Bundesverwaltungsgericht hat wiederholt betont, dass der deutsche Gesetzgeber bei der Ausfüllung der Öffnungsklausel hinreichende Bestimmtheit zu wahren hat und das Erfordernis einer gesonderten Ermächtigungsgrundlage nicht durch einen umfassenden Auffangtatbestand überspielen darf (BVerwG, Urt. v. 27.09.2018, 7 C 5/17, Rn. 25; BVerwG, Urt. v. 27.03.2019, 6 C 2/18, Rn. 45 ff.).

2.4 Verhältnismäßigkeit

Die Rechtsgrundlage muss ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zum verfolgten legitimen Zweck stehen (Art. 6 Abs. 3 S. 4 DSGVO). Der nationale Gesetzgeber ist nicht berechtigt, über allgemeine Auffangklauseln mit weit gefassten Interessenabwägungen die Grenze zwischen den Verarbeitungsbefugnissen nach lit. c und e einerseits und der Generalklausel des lit. f andererseits zu verwischen (BVerwG, Urt. v. 27.03.2019, 6 C 2/18, Rn. 42).

2.5 Unionsrechtsautonome Auslegung des Begriffs der Erforderlichkeit

Auch wenn die rechtliche Verpflichtung dem mitgliedstaatlichen Recht entstammt, ist die Erforderlichkeit unionsrechtsautonom zu bestimmen. Der Gerichtshof hat das Kriterium im Zusammenhang mit dem Ausländerzentralregister konkretisiert: Erforderlich ist die Verarbeitung, wenn sie zu einer effizienteren Anwendung der zugrunde liegenden Rechtsvorschriften führt und keine milderen Mittel verfügbar sind (EuGH, Urt. v. 16.12.2008, C-524/06, Huber, Rn. 52 ff.).

3 Rechtliche Verpflichtung des Verantwortlichen

3.1 Persönliche Inanspruchnahme

Adressat der rechtlichen Verpflichtung muss der Verantwortliche selbst sein. Verpflichtungen, die nur Dritte treffen (etwa andere Konzerngesellschaften), tragen keine Verarbeitung durch den Verantwortlichen. Bei konzerninternen Verarbeitungen ist daher sorgfältig zu prüfen, welches Unternehmen die gesetzliche Verpflichtung trifft.

Lit. c schließt eine Auftragsverarbeitung nicht aus. Für die Frage, ob eine rechtliche Verpflichtung besteht, ist jedoch stets auf den Verantwortlichen abzustellen, nicht auf den Auftragsverarbeiter. Der Auftragsverarbeiter handelt auf Weisung; die Pflicht, die die Verarbeitung trägt, muss den Verantwortlichen treffen.

3.2 Keine Beschränkung auf öffentlich-rechtliche Pflichten

Die Verpflichtung kann öffentlich-rechtlicher oder privatrechtlicher Natur sein, solange sie in einer förmlichen Rechtsnorm wurzelt. Nicht erfasst sind dagegen rein vertragliche Verpflichtungen, für diese ist lit. b einschlägig.

3.3 Behördliche Anordnungen und Auskunftsverlangen

Verlangt eine Behörde vom Verantwortlichen die Offenlegung personenbezogener Daten, ist sorgfältig zwischen der Erhebungsbefugnis der Behörde und der Übermittlungsbefugnis des Verantwortlichen zu unterscheiden. Die gesetzliche Befugnis einer Behörde, Daten zu erheben, begründet beim angefragten Verantwortlichen für sich genommen noch keine Befugnis zur Übermittlung. Insoweit wirkt lit. c als Spiegelvorschrift zu lit. e.

Dahinter steht das aus dem deutschen Verfassungsrecht bekannte Doppeltürmodell: Der Gesetzgeber muss sowohl die „Tür" zur Datenerhebung durch die Behörde als auch die „Tür" zur Übermittlung durch den Verantwortlichen öffnen. Eine behördliche Anordnung trägt die Übermittlung daher nur, wenn sie sich auf eine hinreichend bestimmte gesetzliche Übermittlungsvorschrift stützt und der anfragenden Behörde eine korrespondierende Erhebungsbefugnis zur Seite steht.

Daraus folgt zugleich, dass lit. c keinen „blinden Gehorsam" verlangt. Der Verantwortliche bleibt für die Verarbeitung datenschutzrechtlich verantwortlich (Art. 5 Abs. 1 lit. a, Art. 24 DSGVO). Er ist berechtigt und bei Zweifeln unter Umständen verpflichtet, die rechtliche Legitimation der anfragenden Stelle zu prüfen; fehlen die Voraussetzungen der Ermächtigungsgrundlage offensichtlich, darf er die Auskunft verweigern.

4 Erforderlichkeit

4.1 Maßstab

Die Verarbeitung muss zur Erfüllung der gesetzlichen Pflicht erforderlich sein. Sie darf sich nicht auf Daten erstrecken, die über den gesetzlichen Zweck hinausgehen, und muss sich auf den zur Pflichterfüllung nötigen Umfang beschränken. Verpflichtet eine Vorschrift etwa nur zur Feststellung der Identität, ist es nicht erforderlich, daneben auch Angaben zur Bankverbindung oder zur Zuverlässigkeit zu erheben.

4.2 Grenze durch den Grundsatz der Datenminimierung

Lit. c befreit nicht vom Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO). Lässt sich die gesetzliche Pflicht auch ohne Verarbeitung bestimmter Daten erfüllen, ist die Verarbeitung gerade nicht erforderlich.

5 Anwendungsbeispiele

5.1 Handels- und Steuerrecht

Die Aufbewahrung von Buchungsbelegen, Handelsbriefen und Jahresabschlüssen nach §§ 238, 257 HGB, § 147 AO trägt die Verarbeitung der enthaltenen personenbezogenen Daten. Erfasst sind insbesondere Rechnungen mit Kunden- und Lieferantendaten, Lohnunterlagen und Arbeitsverträge. Diese handels-, gewerbe-, steuer- und sozialrechtlichen Aufzeichnungs- und Aufbewahrungspflichten gehören zu den klassischen Fällen des lit. c.

5.2 Sozialversicherungs- und Arbeitsrecht

Meldepflichten gegenüber Sozialversicherungsträgern (§§ 28a ff. SGB IV, § 99 SGB IV), Lohnsteuerabführung (§§ 41 ff. EStG) und arbeitsschutzrechtliche Dokumentationspflichten fordern eine Verarbeitung von Beschäftigtendaten. Auch die Pflicht zum betrieblichen Eingliederungsmanagement (§ 167 Abs. 2 SGB IX) ist eine rechtliche Verpflichtung im Sinne des lit. c und schließt die Offenlegung der wesentlichen Daten gegenüber einer hinzuzuziehenden Interessenvertretung ein, wenn die betroffene Person zustimmt (BAG, Urt. v. 17.04.2019, 7 AZR 292/17, Rn. 41). Daneben können sich Pflichten aus der Meldung von Arbeitnehmererfindungen an das Deutsche Patent- und Markenamt aus dem Zusammenspiel von ArbnErfG und PatG ergeben.

Umgekehrt begründen allgemeine gesetzliche Mitwirkungspflichten der betroffenen Person, etwa nach §§ 60 ff. SGB I, für sich betrachtet keine rechtliche Verpflichtung des Verantwortlichen iSd lit. c.

5.3 Geldwäsche-, Vergabe- und Korruptionsrecht

Das Geldwäschegesetz (§§ 10 ff. GwG) verpflichtet Finanzinstitute und weitere Verpflichtete zu Identifikations-, Verdachtsprüfungs- und Meldepflichten. Die damit einhergehende Datenverarbeitung wird von lit. c getragen, teilweise überlagert durch Art. 9 Abs. 2 DSGVO bei der Verarbeitung besonderer Kategorien. Aufsichtsbehördliche Weisungen oder Rundschreiben im Kredit- und Versicherungsgewerbe genügen dagegen nicht; sie legen die gesetzlichen Vorgaben nur aus.

Auch die obligatorischen Eignungsprüfungen im öffentlichen Vergaberecht gehen mit der Verarbeitung personenbezogener Daten einher, die bei hinreichend klarer gesetzlicher Regelung auf lit. c gestützt werden kann. Von der Einholung einer Einwilligung ist in diesen Pflichtkonstellationen abzuraten, weil sie freiwillig widerruflich wäre und die gesetzlich gebotene Verarbeitung nicht tragen würde.

5.4 Arbeitszeitdokumentation

Der Gerichtshof hat aus Art. 31 Abs. 2 GRC und den arbeitszeitrechtlichen Richtlinien abgeleitet, dass die Mitgliedstaaten Arbeitgeber zur Einführung eines Systems verpflichten müssen, mit dem die von jedem Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann (EuGH, Urt. v. 14.05.2019, C-55/18, CCOO, Rn. 60). Die daraus folgenden Datenverarbeitungen sind auf lit. c zu stützen. Eine entsprechende Pflicht zur Einräumung des Zugangs zu den Arbeitszeitaufzeichnungen kann auch gegenüber der zuständigen Kontrollbehörde bestehen.

5.5 Fahrtenschreiber und Lenkzeiten

Die Verpflichtung zur Verwendung von Fahrtenschreibern nach der Verordnung (EG) Nr. 561/2006 erfasst Beschäftigte, die Lenk- und Ruhezeiten einzuhalten haben. Für alle übrigen Mitarbeiter besteht keine solche Verpflichtung; eine „vorsorgliche" Überwachung findet in lit. c keine Grundlage. Auch eine Erhebung der gefahrenen Wegstrecke oder des genauen Standorts ist von der Aufzeichnungspflicht nicht gedeckt.

5.6 Marketing: Dokumentation der Einwilligung in Telefonwerbung

Wer mit Telefonwerbung wirbt, muss die zuvor erteilte ausdrückliche Einwilligung dokumentieren und den Nachweis fünf Jahre aufbewahren (§ 7a UWG). Diese gesetzliche Dokumentations- und Aufbewahrungspflicht trägt die damit verbundene Verarbeitung über lit. c, auch wenn der Werbende ohne die Pflicht die Daten aus Datenschutzgründen löschen würde.

5.7 Drittstaatliche Rechtspflichten

Pflichten aus dem Recht von Drittstaaten begründen ohne mitgliedstaatlichen Umsetzungs- oder Übernahmeakt keine rechtliche Verpflichtung iSd lit. c. Das betrifft etwa die Vorgaben des US-amerikanischen Sarbanes-Oxley-Act. In solchen Konstellationen kommt eine Verarbeitung allenfalls über das berechtigte Interesse nach lit. f oder, im Beschäftigungskontext, über Art. 88 DSGVO in Betracht.

5.8 Insolvenzverwaltung

Der Insolvenzverwalter ist verpflichtet, die Insolvenzmasse bestmöglich zu erhalten und zu verwerten, einschließlich der Geltendmachung von Forderungen des Schuldners. Diese Pflicht entbindet ihn jedoch nicht von den allgemeinen datenschutzrechtlichen Anforderungen, selbst wenn deren Beachtung die Masse schmälert. Die rechtliche Verpflichtung trägt also nur die zur Aufgabenerfüllung erforderliche Verarbeitung in den datenschutzrechtlichen Grenzen.

5.9 Gerichtliche und behördliche Mitwirkungspflichten

Fordern Gerichte im Rahmen der Amtsermittlung Akten oder Unterlagen bei Behörden an (§ 86 Abs. 1, § 99 Abs. 1 VwGO), trägt lit. c die Übermittlung, soweit die Vorlagepflicht reicht. Parallel kommt lit. e für die Erfüllung der gerichtlichen Aufgabe selbst in Betracht (EuGH, Urt. v. 08.12.2022, C-180/21, Inspectoratul General pentru Imigrări, Rn. 83 ff.). Beantwortet eine Behörde ein presserechtliches Auskunftsersuchen, ist dies nur bei hinreichend konkreter Befugnisnorm nach lit. c oder e zu beurteilen; fehlt eine solche Norm, behilft sich die Rechtsprechung mit den materiellen Anforderungen des lit. f (BVerwG, Urt. v. 27.09.2018, 7 C 5/17, Rn. 24 f.).

5.10 Auskunft an Sicherheitsbehörden

Verlangen Sicherheitsbehörden von Unternehmen die Herausgabe von Kundendaten, bedarf es bereichsspezifischer Rechtsvorschriften sowohl für die Erhebung durch die Behörde als auch für die Übermittlung durch das Unternehmen (etwa der Auskunftspflichten der Telekommunikationsanbieter nach dem TKG). Ein bloßer behördlicher Informationsbedarf rechtfertigt insbesondere keine Verarbeitung auf Vorrat zum Zweck der Kriminalitätsbekämpfung (EuGH, Urt. v. 08.04.2014, C-293/12 u.a., Digital Rights Ireland).

In der Praxis ist bei lit. c genau zu prüfen, wo die rechtliche Verpflichtung endet. Jede Verarbeitung, die darüber hinausgeht, benötigt eine eigene Rechtsgrundlage. Das gilt auch für „freiwillige" Begleitmaßnahmen, mit denen sich der Verantwortliche die Erfüllung gesetzlicher Pflichten erleichtern will.

Rechtsgrundlagen (Art. 6 DSGVO)

Systematik und Überblick.

Berechtigte Interessen

Art. 6 Abs. 1 lit. f DSGVO.

Öffentliches Interesse und öffentliche Gewalt

Art. 6 Abs. 1 lit. e DSGVO.

Öffnungsklauseln und nationales Recht

Art. 6 Abs. 2, 3 DSGVO.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Vertrag und vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO)

Vertragliche Erlaubnisgrundlage nach Art. 6 Abs. 1 lit. b DSGVO: Anwendungsbereich, unionsrechtlicher Begriff der Erforderlichkeit, Abgrenzung zu Einwilligung und Nutzungsbedingungen, Kündigungsfolgen und typische Fallgruppen insbesondere bei Online-Diensten.

Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d DSGVO)

Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person als Rechtsgrundlage; Subsidiarität und Verhältnis zum Selbstbestimmungsrecht.

Auf dieser Seite

1 Überblick1.1 Rechtsfolge1.2 Voraussetzungen im Überblick1.3 Unmittelbarer Bezug zur Datenverarbeitung1.4 Abgrenzung zur bloßen Ermächtigung1.5 Abgrenzung zu rechtsgeschäftlichen Pflichten2 Anforderungen an die Rechtsgrundlage2.1 Unions- oder mitgliedstaatliches Recht2.2 Festlegung des Verarbeitungszwecks2.3 Anforderungen an die Bestimmtheit2.4 Verhältnismäßigkeit2.5 Unionsrechtsautonome Auslegung des Begriffs der Erforderlichkeit3 Rechtliche Verpflichtung des Verantwortlichen3.1 Persönliche Inanspruchnahme3.2 Keine Beschränkung auf öffentlich-rechtliche Pflichten3.3 Behördliche Anordnungen und Auskunftsverlangen4 Erforderlichkeit4.1 Maßstab4.2 Grenze durch den Grundsatz der Datenminimierung5 Anwendungsbeispiele5.1 Handels- und Steuerrecht5.2 Sozialversicherungs- und Arbeitsrecht5.3 Geldwäsche-, Vergabe- und Korruptionsrecht5.4 Arbeitszeitdokumentation5.5 Fahrtenschreiber und Lenkzeiten5.6 Marketing: Dokumentation der Einwilligung in Telefonwerbung5.7 Drittstaatliche Rechtspflichten5.8 Insolvenzverwaltung5.9 Gerichtliche und behördliche Mitwirkungspflichten5.10 Auskunft an Sicherheitsbehörden