Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
Rechtliche Verpflichtung als Rechtsgrundlage: persönliche Inanspruchnahme des Verantwortlichen, Anforderungen an die unions- oder mitgliedstaatliche Rechtsgrundlage nach Art. 6 Abs. 3 DSGVO und Anwendungsbeispiele.
Nach Art. 6 Abs. 1 lit. c DSGVO ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Die Vorschrift trägt dem Umstand Rechnung, dass zahlreiche gesetzliche Pflichten, etwa aus dem Steuer-, Handels-, Sozial- und Arbeitsrecht, ohne Verarbeitung personenbezogener Daten nicht erfüllt werden können.
Das Wichtigste in Kürze
- Lit. c verlangt eine echte Pflicht zum Tun, kein bloßes Dürfen; eine reine Ermächtigung genügt nicht und verweist auf lit. e oder f.
- Adressat der Pflicht muss der Verantwortliche selbst sein; Pflichten Dritter tragen keine Verarbeitung durch ihn.
- Die Pflicht muss aus Unionsrecht oder mitgliedstaatlichem Recht folgen und nach Art. 6 Abs. 3 DSGVO klar, präzise und verhältnismäßig sein.
- Die Verarbeitung muss auf den zur Pflichterfüllung erforderlichen Umfang beschränkt bleiben; der Grundsatz der Datenminimierung gilt fort.
- Jede über die gesetzliche Pflicht hinausgehende oder „vorsorgliche" Verarbeitung braucht eine eigene Rechtsgrundlage.
1 Überblick
1.1 Rechtsfolge
Liegt eine einschlägige rechtliche Verpflichtung vor, trägt sie die dafür erforderliche Verarbeitung, ohne dass es einer zusätzlichen Einwilligung oder Interessenabwägung bedarf. Die Verarbeitung muss sich jedoch in den Grenzen der gesetzlichen Verpflichtung halten; Vorrats- oder „vorsorgliche" Verarbeitungen, die über die gesetzliche Verpflichtung hinausgehen, sind nicht auf lit. c zu stützen.
1.2 Voraussetzungen im Überblick
Die Rechtsgrundlage setzt voraus:
- eine rechtliche Verpflichtung im Sinne einer konkreten Pflicht zum Tun,
- Adressat der Pflicht ist der Verantwortliche,
- die Pflicht beruht auf Unionsrecht oder mitgliedstaatlichem Recht (Art. 6 Abs. 3 DSGVO),
- die Verarbeitung ist zur Erfüllung der Pflicht erforderlich.
1.3 Rechtliche Verpflichtung versus bloße Ermächtigung
Abzugrenzen ist die rechtliche Verpflichtung von einer bloßen Ermächtigung. Lit. c verlangt eine Pflicht, nicht lediglich ein Dürfen. Eröffnet das nationale Recht dem Verantwortlichen einen Handlungsspielraum, trägt lit. c nur die Verarbeitung, die zur Erfüllung einer verbindlichen Pflicht erforderlich ist. Im Übrigen ist auf lit. e oder f auszuweichen. Insbesondere der allgemeine verwaltungsverfahrensrechtliche Amtsermittlungsgrundsatz ist in seinem Aussagegehalt zu vage, als dass daraus ohne bereichsspezifische Konkretisierung eine rechtliche Verpflichtung iSd lit. c folgen könnte; einschlägig ist hier regelmäßig lit. e. Ebenso wenig deckt lit. c eine Übermittlung allein deshalb, weil die empfangende Stelle die Daten zur Aufgabenerfüllung benötigt. Die Verpflichtung muss den Verantwortlichen selbst treffen und sich unmittelbar auf die Datenverarbeitung beziehen.
2 Anforderungen an die Rechtsgrundlage
2.1 Unions- oder mitgliedstaatliches Recht
Die rechtliche Verpflichtung muss sich aus Unionsrecht oder aus dem Recht eines Mitgliedstaats ergeben (Art. 6 Abs. 3 S. 1 DSGVO). Erfasst sind formelle Gesetze, Rechtsverordnungen, Satzungen und untergesetzliche Normen, soweit sie in der nationalen Rechtsordnung Verbindlichkeit entfalten. Aufsichtsbehördliche Leitlinien sind für sich genommen keine Rechtsgrundlage im Sinne des Art. 6 Abs. 3 DSGVO.
Auch eine Verpflichtung, die sich aus ständiger Rechtsprechung ergibt, kann als rechtliche Verpflichtung im Sinne des lit. c dienen. Voraussetzung ist, dass die einschlägige Rechtsprechung klar und präzise ist, in ihrer Anwendung für die Rechtsunterworfenen vorhersehbar ist, ein im öffentlichen Interesse liegendes Ziel verfolgt und in einem angemessenen Verhältnis zu diesem Ziel steht (EuGH, Urt. v. 12.09.2024, C-17/22 und C-18/22 = NJW 2024, 3637 Rn. 68 ff., 72 f., 77).
2.2 Anforderungen an die Bestimmtheit
Die Rechtsgrundlage muss klar und präzise formuliert sein. Die betroffene Person muss erkennen können, welche Verarbeitungen aus welchen Gründen stattfinden und welche Rechte und Pflichten daraus folgen. Das Bundesverwaltungsgericht hat wiederholt betont, dass der deutsche Gesetzgeber bei der Ausfüllung der Öffnungsklausel hinreichende Bestimmtheit zu wahren hat (BVerwG, Urt. v. 27.09.2018, 7 C 5/17, Rn. 25; BVerwG, Urt. v. 27.03.2019, 6 C 2/18, Rn. 45 ff.).
2.3 Verhältnismäßigkeit
Die Rechtsgrundlage muss in einem angemessenen Verhältnis zum verfolgten legitimen Zweck stehen (Art. 6 Abs. 3 S. 4 DSGVO). Sie muss ein im öffentlichen Interesse liegendes Ziel verfolgen. Der nationale Gesetzgeber ist nicht berechtigt, über allgemeine Auffangklauseln den engen Rahmen des Art. 6 Abs. 1 lit. c DSGVO zu öffnen (BVerwG, Urt. v. 27.03.2019, 6 C 2/18, Rn. 42).
2.4 Unionsrechtsautonome Auslegung des Begriffs der Erforderlichkeit
Auch wenn die rechtliche Verpflichtung dem mitgliedstaatlichen Recht entstammt, ist die Erforderlichkeit unionsrechtsautonom zu bestimmen. Der Gerichtshof hat das Kriterium im Zusammenhang mit dem Ausländerzentralregister konkretisiert: Erforderlich ist die Verarbeitung, wenn sie zu einer effizienteren Anwendung der zugrunde liegenden Rechtsvorschriften führt und keine milderen Mittel verfügbar sind (EuGH, Urt. v. 16.12.2008, C-524/06, Huber, Rn. 52 ff.).
3 Rechtliche Verpflichtung des Verantwortlichen
3.1 Persönliche Inanspruchnahme
Adressat der rechtlichen Verpflichtung muss der Verantwortliche selbst sein. Verpflichtungen, die nur Dritte treffen (etwa andere Konzerngesellschaften oder Auftragsverarbeiter), tragen keine Verarbeitung durch den Verantwortlichen. Bei konzerninternen Verarbeitungen ist sorgfältig zu prüfen, welches Unternehmen die gesetzliche Verpflichtung trifft.
3.2 Keine Beschränkung auf öffentlich-rechtliche Pflichten
Die Verpflichtung kann öffentlich-rechtlicher oder privatrechtlicher Natur sein, solange sie in einer förmlichen Rechtsnorm wurzelt. Nicht erfasst sind dagegen rein vertragliche Verpflichtungen, für diese ist lit. b einschlägig.
3.3 Behördliche Anordnungen
Behördliche Anordnungen können eine rechtliche Verpflichtung im Sinne des lit. c begründen, sofern sie sich auf eine hinreichende gesetzliche Ermächtigungsgrundlage stützen und dem Verantwortlichen keinen eigenen Prüfspielraum lassen. Wird der Verantwortliche behördlich angeordneten Auskunftspflichten unterworfen (z.B. nach § 93 AO oder § 161 StPO iVm § 70 StPO), trägt lit. c die Datenübermittlung.
4 Erforderlichkeit
4.1 Maßstab
Die Verarbeitung muss zur Erfüllung der gesetzlichen Pflicht erforderlich sein. Sie darf sich nicht auf Daten erstrecken, die über den gesetzlichen Zweck hinausgehen, und muss sich auf den zur Pflichterfüllung nötigen Umfang beschränken.
4.2 Grenze durch den Grundsatz der Datenminimierung
Lit. c befreit nicht vom Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO). Wird die gesetzliche Pflicht auch ohne Verarbeitung bestimmter Daten erfüllbar, ist die Verarbeitung gerade nicht erforderlich.
5 Anwendungsbeispiele
5.1 Handels- und Steuerrecht
Die Aufbewahrung von Buchungsbelegen, Handelsbriefen und Jahresabschlüssen nach §§ 238, 257 HGB, § 147 AO trägt die Verarbeitung der enthaltenen personenbezogenen Daten. Erfasst sind insbesondere Rechnungen mit Kunden- und Lieferantendaten, Lohnunterlagen und Arbeitsverträge.
5.2 Sozialversicherungs- und Arbeitsrecht
Meldepflichten gegenüber Sozialversicherungsträgern (§§ 28a ff. SGB IV, § 99 SGB IV), Lohnsteuerabführung (§§ 41 ff. EStG) und arbeitsschutzrechtliche Dokumentationspflichten fordern eine Verarbeitung von Beschäftigtendaten. Auch die Pflicht zum betrieblichen Eingliederungsmanagement (§ 167 Abs. 2 SGB IX) ist eine rechtliche Verpflichtung im Sinne des lit. c (BAG, Urt. v. 17.04.2019, 7 AZR 292/17, Rn. 41).
5.3 Geldwäsche- und Finanzaufsichtsrecht
Das Geldwäschegesetz (§§ 10 ff. GwG) verpflichtet Finanzinstitute und weitere Verpflichtete zu Identifikations-, Verdachtsprüfungs- und Meldepflichten. Die damit einhergehende Datenverarbeitung wird von lit. c getragen, teilweise überlagert durch Art. 9 Abs. 2 DSGVO bei der Verarbeitung besonderer Kategorien.
5.4 Arbeitszeitdokumentation
Der Gerichtshof hat aus Art. 31 Abs. 2 GRC und den arbeitszeitrechtlichen Richtlinien abgeleitet, dass die Mitgliedstaaten Arbeitgeber zur Einführung eines Systems verpflichten müssen, mit dem die von jedem Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann (EuGH, Urt. v. 14.05.2019, C-55/18, CCOO, Rn. 60). Die daraus folgenden Datenverarbeitungen sind auf lit. c zu stützen.
5.5 Fahrtenschreiber und Lenkzeiten
Die Verpflichtung zur Verwendung von Fahrtenschreibern nach der Verordnung (EG) Nr. 561/2006 erfasst Beschäftigte, die Lenk- und Ruhezeiten einzuhalten haben. Für alle übrigen Mitarbeiter besteht keine solche Verpflichtung; eine „vorsorgliche" Überwachung findet in lit. c keine Grundlage.
5.6 Gerichtliche Mitwirkungspflichten
Fordern Gerichte im Rahmen der Amtsermittlung Akten oder Unterlagen bei Behörden an (§ 86 Abs. 1, § 99 Abs. 1 VwGO), trägt lit. c die Übermittlung, soweit die Vorlagepflicht reicht. Parallel kommt lit. e für die Erfüllung der gerichtlichen Aufgabe selbst in Betracht (EuGH, Urt. v. 08.12.2022, C-180/21, Inspectoratul General pentru Imigrări, Rn. 83 ff.).
In der Praxis ist bei lit. c genau zu prüfen, wo die rechtliche Verpflichtung endet. Jede Verarbeitung, die darüber hinausgeht, benötigt eine eigene Rechtsgrundlage. Das gilt auch für „freiwillige" Begleitmaßnahmen, mit denen sich der Verantwortliche die Erfüllung gesetzlicher Pflichten erleichtern will.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Vertrag und vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO)
Vertragliche Erlaubnisgrundlage nach Art. 6 Abs. 1 lit. b DSGVO: Anwendungsbereich, unionsrechtlicher Begriff der Erforderlichkeit, Abgrenzung zu Einwilligung und Nutzungsbedingungen, Kündigungsfolgen und typische Fallgruppen insbesondere bei Online-Diensten.
Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d DSGVO)
Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person als Rechtsgrundlage; Subsidiarität und Verhältnis zum Selbstbestimmungsrecht.