Grundsätze der Verarbeitung (Art. 5 DSGVO)
Überblick über die Grundsätze der Verarbeitung personenbezogener Daten nach Art. 5 DSGVO: Rechtsnatur, Adressaten, Verhältnis zu Art. 6 DSGVO, Ausnahmen und Bußgeldbewehrung.
Art. 5 DSGVO stellt einen Katalog von Grundpflichten auf, die jede Verarbeitung personenbezogener Daten erfüllen muss. Die Grundsätze gehen auf Art. 8 Abs. 2 GRC zurück und bilden zusammen mit den Rechtsgrundlagen des Art. 6 DSGVO den materiellen Kern des unionsrechtlichen Datenschutzrechts.
Das Wichtigste in Kürze
- Art. 5 DSGVO enthält neun Grundsätze: acht materielle in Abs. 1 und die Rechenschaftspflicht in Abs. 2.
- Jede Verarbeitung muss die Grundsätze und zusätzlich eine Rechtsgrundlage nach Art. 6 DSGVO erfüllen; beide Prüfungen sind kumulativ.
- Die Grundsätze des Abs. 1 binden jede verarbeitende Stelle, also auch den Auftragsverarbeiter; die Rechenschaftspflicht trifft nur den Verantwortlichen.
- Verstöße sind nach Art. 83 Abs. 5 lit. a DSGVO mit Bußgeldern der höchsten Kategorie bedroht (bis 20 Mio. Euro oder 4 % des Jahresumsatzes).
- Ausnahmen sind nur eng über Art. 23 DSGVO (nationale Beschränkungen) und Art. 85 DSGVO (Medienprivileg) möglich.
1 Überblick
1.1 Rechtsfolge und Systematik
Jede Datenverarbeitung muss zugleich die Grundsätze des Art. 5 DSGVO und eine Rechtsgrundlage nach Art. 6 DSGVO erfüllen. Die Grundsätze beschreiben die Qualität der Verarbeitung, Art. 6 DSGVO ihre Zulässigkeit. Der EuGH hält in ständiger Rechtsprechung daran fest, dass beide Prüfungen kumulativ erfüllt sein müssen.
Die Grundsätze sind keine bloßen Programmsätze und auch keine bloßen Optimierungsgebote, sondern verbindliche Grundpflichten des Verantwortlichen. Ihre Bindungswirkung folgt unmittelbar aus Art. 8 Abs. 2 GRC, der selbst einzelne dieser Grundsätze (Einwilligung oder gesetzliche Grundlage, Zweckfestlegung und Treu und Glauben) benennt.
1.2 Die neun Grundsätze im Einzelnen
Art. 5 Abs. 1 DSGVO nennt sechs materielle Grundsätze, lit. a enthält darüber hinaus zwei weitere eigenständige Anforderungen:
| Grundsatz | Fundstelle |
|---|---|
| Rechtmäßigkeit | Art. 5 Abs. 1 lit. a DSGVO |
| Verarbeitung nach Treu und Glauben | Art. 5 Abs. 1 lit. a DSGVO |
| Transparenz | Art. 5 Abs. 1 lit. a DSGVO |
| Zweckbindung | Art. 5 Abs. 1 lit. b DSGVO |
| Datenminimierung | Art. 5 Abs. 1 lit. c DSGVO |
| Richtigkeit | Art. 5 Abs. 1 lit. d DSGVO |
| Speicherbegrenzung | Art. 5 Abs. 1 lit. e DSGVO |
| Integrität und Vertraulichkeit | Art. 5 Abs. 1 lit. f DSGVO |
| Rechenschaftspflicht | Art. 5 Abs. 2 DSGVO |
Gegenüber Art. 6 der Datenschutz-Richtlinie 95/46/EG sind die Grundsätze der Transparenz, der Integrität und Vertraulichkeit sowie die Rechenschaftspflicht neu hinzugekommen. Parallel zu Art. 5 DSGVO bestehen inhaltlich weitgehend gleichlaufende Vorschriften in Art. 4 Abs. 1 der Richtlinie (EU) 2016/680 (umgesetzt in § 47 BDSG) sowie in Art. 4 der Verordnung (EU) 2018/1725 für die Organe und Einrichtungen der Union.
1.3 Adressaten
Art. 5 Abs. 2 DSGVO spricht die Rechenschaftspflicht ausdrücklich dem Verantwortlichen zu. Die Grundsätze des Absatzes 1 richten sich demgegenüber an jede Stelle, die personenbezogene Daten verarbeitet, also auch an den Auftragsverarbeiter. Soweit die DSGVO den Auftragsverarbeiter gesondert verpflichtet (etwa durch Art. 28, 32 DSGVO), konkretisieren diese Regelungen die Grundsätze für seine Tätigkeit.
1.4 Bußgeldbewehrung
Verstöße gegen die Grundsätze des Art. 5 DSGVO sind nach Art. 83 Abs. 5 lit. a DSGVO mit Bußgeldern der höchsten Kategorie (bis 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes) bedroht. Die Allgemeinheit der Grundsätze wirft dabei Fragen des Bestimmtheitsgrundsatzes auf, weil die Grundsätze aus sich heraus wenig konkrete Verhaltensanforderungen formulieren.
2 Ausnahmen von den Grundsätzen
2.1 Nationale Ausnahmen nach Art. 23 DSGVO
Art. 23 Abs. 1 DSGVO erlaubt nationalen Gesetzgebern Ausnahmen von den Grundsätzen des Art. 5 DSGVO, allerdings nur „insofern dessen Bestimmungen den in den Art. 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen". Die Einschränkung ist an den praktischen Auswirkungen des jeweiligen Grundsatzes zu messen: Informationspflichten, die sich aus Transparenz oder Treu und Glauben neben Art. 13, 14 DSGVO ergeben können, dürfen beschränkt werden; eine Ausnahme vom Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) lässt sich hingegen nicht auf Art. 23 Abs. 1 DSGVO stützen, weil dieser keinen Bezug zu den Betroffenenrechten hat.
2.2 Medienprivileg nach Art. 85 DSGVO
Art. 85 Abs. 2 DSGVO erlaubt Ausnahmen vom Kapitel II der DSGVO (und damit auch von Art. 5 DSGVO) für Verarbeitungen zu journalistischen, künstlerischen, wissenschaftlichen und literarischen Zwecken. Die Mitgliedstaaten haben diese Öffnungsklausel durch Medien- und Presserecht ausgefüllt, in Deutschland etwa durch § 23 Abs. 1 S. 4 MStV sowie die Landespressegesetze.
3 Verhältnis zu Art. 6 DSGVO
Der Grundsatz der Rechtmäßigkeit in Art. 5 Abs. 1 lit. a DSGVO verweist auf Art. 6 DSGVO, der die konkreten Rechtsgrundlagen für die Verarbeitung benennt. Die übrigen Grundsätze entfalten daneben eigenständige Anforderungen. Das führt dazu, dass eine Verarbeitung trotz wirksamer Rechtsgrundlage unzulässig sein kann, wenn sie beispielsweise gegen die Datenminimierung oder die Speicherbegrenzung verstößt.
Die Grundsätze sind nicht abschließend; sie werden durch eine Vielzahl spezieller Pflichten der DSGVO konkretisiert. Art. 25 DSGVO (Datenschutz durch Technikgestaltung), Art. 32 DSGVO (Sicherheit der Verarbeitung) oder Art. 13, 14 DSGVO (Informationspflichten) setzen die Grundsätze in konkrete Verhaltensanforderungen um.
4 Die einzelnen Grundsätze im Hub
Rechtmäßigkeit
Art. 5 Abs. 1 lit. a DSGVO: Erforderlichkeit einer Rechtsgrundlage.
Treu und Glauben
Art. 5 Abs. 1 lit. a DSGVO: Fairness, Dark Patterns, offene Datenerhebung.
Transparenz
Art. 5 Abs. 1 lit. a DSGVO: Nachvollziehbarkeit der Verarbeitung.
Zweckbindung
Art. 5 Abs. 1 lit. b DSGVO: Zweckfestlegung und Zweckänderung.
Datenminimierung
Art. 5 Abs. 1 lit. c DSGVO: Erheblichkeit, Erforderlichkeit, Angemessenheit.
Richtigkeit
Art. 5 Abs. 1 lit. d DSGVO: Richtigkeit und Aktualität der Daten.
Speicherbegrenzung
Art. 5 Abs. 1 lit. e DSGVO: Löschpflicht nach Zweckerreichung.
Integrität und Vertraulichkeit
Art. 5 Abs. 1 lit. f DSGVO: Datensicherheit als Grundsatz.
Rechenschaftspflicht
Art. 5 Abs. 2 DSGVO: Einhaltung nachweisen, Accountability.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Öffnungsklauseln und nationales Recht (Art. 6 Abs. 2, 3 DSGVO)
Regelungsspielraum der Mitgliedstaaten bei Art. 6 Abs. 1 lit. c und e DSGVO: Systematik der Öffnungsklauseln, Grenzen des nationalen Gesetzgebers, BDSG, Landesgesetze und TDDDG.
Rechtmäßigkeit (Art. 5 Abs. 1 lit. a DSGVO)
Rechtmäßigkeit als Grundsatz der Verarbeitung: Erforderlichkeit einer Rechtsgrundlage, Verhältnis zu Art. 6 DSGVO, Anforderungen an klare und präzise Rechtsgrundlagen.