Öffnungsklauseln und nationales Recht (Art. 6 Abs. 2, 3 DSGVO)
Regelungsspielraum der Mitgliedstaaten bei Art. 6 Abs. 1 lit. c und e DSGVO: Systematik der Öffnungsklauseln, Grenzen des nationalen Gesetzgebers, BDSG, Landesgesetze und TDDDG.
Die DSGVO ist als Verordnung unmittelbar anwendbar. Für die Erlaubnistatbestände des Art. 6 Abs. 1 lit. c und e DSGVO eröffnet sie den Mitgliedstaaten dennoch einen Regelungsspielraum durch die Öffnungsklauseln der Absätze 2 und 3. Diese sind die Grundlage umfangreicher nationaler Gesetzgebung, in Deutschland insbesondere im BDSG, in den Landes-Datenschutzgesetzen und in zahlreichen Fachgesetzen.
Das Wichtigste in Kürze
- Die Öffnungsklauseln der Art. 6 Abs. 2 und 3 DSGVO eröffnen den Mitgliedstaaten einen Regelungsspielraum, aber nur für die Erlaubnistatbestände lit. c und e.
- Abs. 2 ist weitgehend klarstellend; Abs. 3 ist die eigentliche Kompetenzgrundlage und formuliert die Anforderungen an die nationale Rechtsgrundlage.
- Abs. 1 und Abs. 4 enthalten keine Öffnungsklausel: der Erlaubniskatalog des Abs. 1 ist abschließend.
- Nationale Regelungen müssen klar, präzise und verhältnismäßig sein und sich stets auf einen Tatbestand des Abs. 1 zurückführen lassen, sonst sind sie unionsrechtswidrig.
- In Deutschland füllen vor allem das BDSG, die Landes-Datenschutzgesetze, das TDDDG und zahlreiche Fachgesetze die Öffnungsklauseln aus.
1 Überblick
1.1 Funktion der Öffnungsklauseln
Die Öffnungsklauseln dienen dazu, nationale Besonderheiten im öffentlichen Sektor und in Bereichen mit gesetzlich geregelten Verarbeitungspflichten zu berücksichtigen. Sie sind eng auszulegen und dürfen nicht zur Umgehung der DSGVO genutzt werden.
1.2 Keine Öffnungsklausel in Abs. 1 und Abs. 4
Abs. 1 ist abschließend: Die sechs Erlaubnistatbestände können weder um weitere Tatbestände ergänzt noch in ihrer Tragweite durch nationales Recht verändert werden. Abs. 4 ist nach zutreffender Auffassung keine Öffnungsklausel, sondern eine Kompatibilitätsprüfung; der Bundesgerichtshof hat dies allerdings anders gesehen (BGH, Beschl. v. 24.09.2019, VI ZB 39/18).
1.3 Systematik der beiden Absätze
- Abs. 2: Ermächtigt die Mitgliedstaaten, „spezifischere Bestimmungen" im Bereich lit. c und e „beizubehalten oder einzuführen". Die Norm ist weitgehend klarstellend; sie schafft keine eigene Regelungskompetenz, sondern bezieht sich auf Abs. 3.
- Abs. 3: Ist die eigentliche Kompetenzgrundlage. Sie bestimmt, dass die Rechtsgrundlage für Verarbeitungen nach lit. c und e durch Unionsrecht oder mitgliedstaatliches Recht festgelegt wird, und formuliert inhaltliche Anforderungen an diese Rechtsgrundlage.
2 Abs. 2: Klarstellende Öffnungsklausel
2.1 Spezifischere Bestimmungen
Abs. 2 spricht von „spezifischeren Bestimmungen". Damit sind konkretisierende Regelungen für einzelne Verarbeitungssituationen gemeint, etwa im Beschäftigten-, Gesundheits- oder Sozialrecht. Allgemeine Generalklauseln, die lediglich das Schutzniveau der DSGVO wiederholen, fallen nicht unter Abs. 2.
2.2 Beibehaltung bestehender Vorschriften
Die Öffnungsklausel erlaubt den Mitgliedstaaten auch das Beibehalten bereits bestehender Vorschriften. Das ist praktisch bedeutsam: Die im BDSG und in den Landes-Datenschutzgesetzen über viele Jahre entstandene Spezialgesetzgebung kann unter DSGVO-Bedingungen fortgeführt werden, soweit sie in den Rahmen der Öffnungsklauseln passt.
2.3 Grenzen der Öffnungsklausel
Die Öffnungsklausel ändert nichts an der Tragweite der Erlaubnistatbestände des Abs. 1. Nationale Regelungen dürfen insbesondere nicht dazu führen, dass neue Rechtsgrundlagen geschaffen oder bestehende in ihrer Tragweite verändert werden (EuGH, Urt. v. 30.03.2023, C-34/21, Hauptpersonalrat der Lehrerinnen und Lehrer, Rn. 70).
3 Abs. 3: Anforderungen an die Rechtsgrundlage
3.1 Quellen der Rechtsgrundlage
Abs. 3 lässt zwei Rechtsquellen zu: Unionsrecht (Abs. 3 lit. a) und mitgliedstaatliches Recht (Abs. 3 lit. b). Unter Unionsrecht sind Verordnungen, Richtlinien und Beschlüsse der EU-Organe zu verstehen. Das mitgliedstaatliche Recht umfasst formelle Gesetze, Rechtsverordnungen, Satzungen und untergesetzliche Normen.
3.2 Festlegung des Zwecks
Der Zweck der Verarbeitung muss in der Rechtsgrundlage festgelegt oder für die Erfüllung der im öffentlichen Interesse liegenden Aufgabe erforderlich sein. Es handelt sich um zwei Alternativen: Entweder wird der Zweck ausdrücklich benannt, oder er ergibt sich aus der zugrunde liegenden öffentlichen Aufgabe.
3.3 Inhaltlicher Rahmen der Rechtsgrundlage
Nach Abs. 3 S. 3 kann die Rechtsgrundlage weitere Bestimmungen enthalten, etwa zu:
- den Arten der verarbeiteten Daten,
- den Kategorien der betroffenen Personen,
- den Empfängern und den Zwecken einer Offenlegung,
- der Zweckbindung,
- der Speicherdauer,
- den Verarbeitungsvorgängen und -verfahren.
3.4 Ziel im öffentlichen Interesse und Verhältnismäßigkeit
Abs. 3 S. 4 verlangt, dass die Rechtsgrundlage ein im öffentlichen Interesse liegendes Ziel verfolgt und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck steht. Damit wird das Verhältnismäßigkeitsprinzip aus Art. 52 Abs. 1 S. 2 GRC ins einfache Recht übersetzt.
4 Grenzen des mitgliedstaatlichen Regelungsspielraums
Der nationale Gesetzgeber ist bei der Ausfüllung der Öffnungsklauseln an vier Grenzen gebunden:
| Grenze | Kerngehalt |
|---|---|
| Kein neuer Erlaubnistatbestand | Der Katalog des Art. 6 Abs. 1 DSGVO ist abschließend; nationale Regelungen müssen sich auf lit. c oder e zurückführen lassen. |
| Keine Veränderung der Tragweite | Nationales Recht darf die Erlaubnistatbestände des Abs. 1 weder ausweiten noch einschränken. |
| Bestimmtheitsgebot | Rechtsgrundlagen müssen klar und präzise sein; pauschale Aufgabenzuweisungs- oder Auffangklauseln genügen nicht. |
| Verhältnismäßigkeit | Die Verarbeitung muss sich auf das unbedingt Notwendige beschränken und einen angemessenen Grundrechtsausgleich finden. |
4.1 Kein neuer Erlaubnistatbestand
Der Katalog des Abs. 1 ist abschließend; Mitgliedstaaten können keine weiteren Erlaubnistatbestände schaffen. Nationale Regelungen müssen sich immer auf einen der Tatbestände des Abs. 1 zurückführen lassen, regelmäßig auf lit. c oder e.
4.2 Keine Veränderung der Tragweite des Abs. 1
Nationale Regelungen dürfen die Tragweite der Erlaubnistatbestände des Abs. 1 weder ausweiten noch einschränken. Das Bundesverwaltungsgericht hat diese Grenze mehrfach eingefordert und insbesondere Interessenabwägungsklauseln in allgemeinen öffentlich-rechtlichen Erlaubnistatbeständen beanstandet (BVerwG, Urt. v. 27.09.2018, 7 C 5/17; BVerwG, Urt. v. 27.03.2019, 6 C 2/18).
4.3 Bestimmtheitsgebot
Nationale Rechtsgrundlagen müssen klar und präzise sein. Pauschale Aufgabenzuweisungsnormen oder allgemeine Auffangklauseln genügen regelmäßig nicht. Je sensibler die Daten und je eingriffsintensiver die Verarbeitung, desto höher die Anforderungen an die Bestimmtheit.
4.4 Verhältnismäßigkeit
Auch die nationale Regelung muss verhältnismäßig sein. Das prüft der EuGH streng: Verarbeitungen müssen sich auf das unbedingt Notwendige beschränken; die Regelung muss einen angemessenen Ausgleich zwischen dem verfolgten Ziel und dem Grundrechtsschutz der betroffenen Person finden (EuGH, Urt. v. 01.08.2022, C-184/20, Vyriausioji tarnybinės etikos komisija, Rn. 91 ff.).
5 Nationale Gesetzgebung in Deutschland
5.1 BDSG
Das BDSG ist das zentrale Anpassungsgesetz auf Bundesebene. Es enthält allgemeine Regelungen für öffentliche Stellen des Bundes und für nicht-öffentliche Stellen sowie eine Reihe von Spezialvorschriften:
- § 3 BDSG: Verarbeitung zum Zwecke der Ausübung hoheitlicher Aufgaben,
- § 4 BDSG: Videoüberwachung öffentlich zugänglicher Räume durch öffentliche Stellen (privatwirtschaftlich zwischenzeitlich durch BVerwG-Rechtsprechung auf lit. f verwiesen),
- §§ 22 ff. BDSG: besondere Kategorien personenbezogener Daten,
- § 26 BDSG: Beschäftigtendatenverarbeitung (nach EuGH, Urt. v. 30.03.2023, C-34/21 teilweise unvereinbar mit Art. 88 DSGVO),
- § 31 BDSG: Scoring.
5.2 Landes-Datenschutzgesetze
Für die Verarbeitung personenbezogener Daten durch öffentliche Stellen der Länder gelten die Landes-Datenschutzgesetze. Sie konkretisieren lit. e für den jeweiligen Landes-Bereich und enthalten die allgemeinen Vorschriften zur Verarbeitung durch Landes- und Kommunalbehörden. Daneben bestehen bereichsspezifische Landesgesetze, etwa zu Polizei, Verfassungsschutz, Melderecht und Schulrecht.
5.3 TDDDG (vormals TTDSG)
Das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (TDDDG, vormals TTDSG) setzt die E-Privacy-Richtlinie 2002/58/EG um und enthält datenschutzrechtliche Sonderregelungen für den Telemedien- und Telekommunikationsbereich:
- § 25 TDDDG: Speicherung von und Zugriff auf Informationen in Endeinrichtungen (Cookies und vergleichbare Technologien). Die Vorschrift verlangt grundsätzlich eine Einwilligung und lässt nur eng umgrenzte Ausnahmen zu (technisch erforderlich, ausdrücklich gewünscht).
- §§ 3 ff. TDDDG: Fernmeldegeheimnis und Schutz der Privatsphäre im Telekommunikationsverkehr.
- §§ 9 ff. TDDDG: Verarbeitung von Verkehrs- und Standortdaten.
Das TDDDG tritt neben die DSGVO; die Vorschriften verdrängen Art. 6 Abs. 1 DSGVO, soweit sie reichen.
5.4 Bereichsspezifische Fachgesetze
Zahllose Fachgesetze konkretisieren die Datenverarbeitung in ihrem jeweiligen Anwendungsbereich. Beispiele: Sozialgesetzbücher, Abgabenordnung, Handelsgesetzbuch, Gesundheitsgesetze, Melderecht, Statistikgesetze, Gewerbeordnung, Berufsgesetze (BRAO, StBerG, WPO).
6 Verhältnis zwischen DSGVO und nationalem Recht
6.1 Anwendungsvorrang der DSGVO
Nationales Recht darf nicht im Widerspruch zur DSGVO stehen. Soweit nationale Regelungen den Rahmen der Öffnungsklauseln überschreiten, sind sie unionsrechtswidrig und können keine Verarbeitung tragen. Das gilt insbesondere für Regelungen, die den abschließenden Charakter des Erlaubniskatalogs unterlaufen.
6.2 Konformauslegung
Nationale Regelungen sind nach Möglichkeit so auszulegen, dass sie mit der DSGVO vereinbar sind. Reicht eine konforme Auslegung nicht aus, bleibt nur die Nichtanwendung der nationalen Regelung und der unmittelbare Rückgriff auf Art. 6 Abs. 1 DSGVO.
6.3 Vorabentscheidungsverfahren
Bei Zweifeln an der Unionsrechtskonformität nationaler Regelungen kann das nationale Gericht den EuGH im Wege des Vorabentscheidungsverfahrens (Art. 267 AEUV) anrufen. Der EuGH hat seine Rechtsprechung zu den nationalen Öffnungsklauseln in zahlreichen Entscheidungen weiterentwickelt, zuletzt insbesondere im Beschäftigtendatenschutz (EuGH, Urt. v. 30.03.2023, C-34/21).
Bei der Prüfung nationaler Rechtsgrundlagen gilt die Leitfrage: Welchen der Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO konkretisiert die Vorschrift? Erst wenn diese Frage klar beantwortet ist, lässt sich beurteilen, ob die Rechtsgrundlage die Anforderungen des Abs. 3 erfüllt. Nationale Regelungen, die sich nicht auf einen der sechs Tatbestände zurückführen lassen, sind unionsrechtswidrig.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Zweckänderung (Art. 6 Abs. 4 DSGVO)
Kompatibilitätstest bei Weiterverarbeitung zu neuen Zwecken: Funktion des Art. 6 Abs. 4 DSGVO, Kriterien des Kompatibilitätstests und Sonderfall der Archiv-, Forschungs- und Statistikzwecke.
Grundsätze der Verarbeitung (Art. 5 DSGVO)
Überblick über die Grundsätze der Verarbeitung personenbezogener Daten nach Art. 5 DSGVO: Rechtsnatur, Adressaten, Verhältnis zu Art. 6 DSGVO, Ausnahmen und Bußgeldbewehrung.