Treu und Glauben (Art. 5 Abs. 1 lit. a DSGVO)
Der Fairness-Grundsatz der DSGVO: Rücksichtnahmepflicht des Verantwortlichen, Verbot manipulativer Gestaltung (Dark Patterns), Vorrang der offenen Direkterhebung.
Neben der Rechtmäßigkeit und der Transparenz verlangt Art. 5 Abs. 1 lit. a DSGVO, dass personenbezogene Daten nach Treu und Glauben verarbeitet werden. Die englische Sprachfassung („fairness") trifft den Gehalt des Grundsatzes besser als die deutsche: Im Kern geht es um eine Fairness-Anforderung, die das Verhalten des Verantwortlichen im gesamten Verarbeitungsvorgang prägt.
Das Wichtigste in Kürze
- Treu und Glauben (englisch „fairness") ist eine allgemeine Rücksichtnahmepflicht des Verantwortlichen auf die Interessen der betroffenen Person.
- Der Verantwortliche darf Vertrauen nicht missbrauchen und Fehlvorstellungen nicht ausnutzen („Verbot des Erschleichens von Daten", „Überraschungsverbot").
- Dark Patterns sind verboten: Entscheidungsalternativen müssen neutral und gleichwertig dargestellt werden, die Verweigerung darf nicht erschwert werden.
- Der Grundsatz gebietet einen Vorrang der offenen Direkterhebung; verdeckte oder mittelbare Erhebungen müssen sachlich begründet sein.
- Er prägt die Auslegung der Informationspflichten (Art. 13, 14 DSGVO), der Einwilligung (Art. 7 DSGVO) und von Art. 25 DSGVO.
1 Überblick
1.1 Inhalt des Grundsatzes
Der Grundsatz der Verarbeitung nach Treu und Glauben ist Ausprägung der grundrechtlichen Vorgabe aus Art. 8 Abs. 2 S. 1 GRC. Er lässt sich als allgemeine Rücksichtnahmepflicht auf die Interessen der betroffenen Person verstehen und ist insoweit eine Ausprägung des Verhältnismäßigkeitsgrundsatzes.
Der Verantwortliche muss die Interessen und Erwartungen der betroffenen Person berücksichtigen und darf sie nicht grundlos übergehen, ihr Vertrauen nicht missbrauchen und etwaige Fehlvorstellungen der betroffenen Person nicht ausnutzen. Die Kommentarliteratur hat dafür die Begriffe „Verbot des Erschleichens von Daten" und „Überraschungsverbot" geprägt.
1.2 Bezug zur Transparenz
Der Grundsatz steht in enger Verbindung zur Transparenz. Art. 13 Abs. 2 und Art. 14 Abs. 2 DSGVO knüpfen zusätzliche Informationspflichten daran, ob die Information für eine „faire und transparente Verarbeitung" erforderlich ist. Transparenz ist insoweit ein Teilaspekt der Fairness-Anforderung, wurde aber in Art. 5 Abs. 1 lit. a DSGVO als eigenständiger Grundsatz ausdrücklich aufgenommen.
2 Anwendungsfelder
2.1 Verdeckte Rechtsgrundlagen
Ein typischer Verstoß gegen den Grundsatz liegt vor, wenn der Verantwortliche eine Einwilligung einholt, obwohl in Wahrheit eine andere Rechtsgrundlage (etwa Art. 6 Abs. 1 lit. b oder lit. f DSGVO) trägt, und dies der betroffenen Person nicht mitteilt. Die betroffene Person gibt die Einwilligung in dem irrigen Glauben ab, sie behalte die Kontrolle über ihre Daten, weil sie jederzeit widerrufen könne. Die EDSA-Leitlinien 5/2020 zur Einwilligung greifen dieses Problem ausdrücklich auf (EDSA, Guidelines 05/2020 on consent under Regulation 2016/679, v. 04.05.2020, Rn. 121 ff.).
2.2 Manipulative Gestaltung (Dark Patterns)
Der Grundsatz verbietet es dem Verantwortlichen, Entscheidungssituationen manipulativ zu gestalten. Das betrifft insbesondere die Praxis der so genannten „Dark Patterns" (gestalterische oder funktionale Kniffe, mit denen eine Entscheidung der betroffenen Person in eine bestimmte Richtung gelenkt wird). Nach Art. 25 Abs. 1 DSGVO müssen die Datenschutzgrundsätze bereits bei der Gestaltung der Datenverarbeitung berücksichtigt werden. Daraus folgt insbesondere:
- Entscheidungsalternativen müssen neutral und gleichwertig dargestellt werden.
- Die Verweigerung einer Einwilligung darf im Vergleich zur Erteilung nicht schwerer gemacht werden, als es notwendig ist.
- Die betroffene Person darf nicht durch wiederholte Einwilligungsabfragen „mürbe" gemacht werden (etwa durch Cookie-Banner, die auf jeder Unterseite erneut erscheinen, bis sie entnervt zustimmt).
2.3 Erleichterung der Rechteausübung
Aus dem Grundsatz folgt, dass der Verantwortliche der betroffenen Person die Ausübung ihrer informationellen Selbstbestimmung nicht übermäßig erschweren darf. Die Pflicht aus Art. 12 Abs. 2 DSGVO, der betroffenen Person die Ausübung ihrer Rechte zu erleichtern, lässt sich als Konkretisierung des Grundsatzes verstehen.
2.4 Offene Datenerhebung
Die Rücksichtnahme auf die Interessen und Rechte der betroffenen Person gebietet es auch, sie vor unklaren Verarbeitungsvorgängen zu schützen. Daraus folgt ein Vorrang der offenen Erhebung und der Direkterhebung bei der betroffenen Person, weil diese Form der Erhebung die größte Nachvollziehbarkeit und Kontrolle bietet. Erhebt der Verantwortliche die Daten bei Dritten oder gar verdeckt, obwohl eine Direkterhebung oder eine offene Erhebung möglich wäre, bedarf dies einer besonderen Rechtfertigung.
Ob aus Art. 5 Abs. 1 lit. a DSGVO ein eigenständiger „Grundsatz der Direkterhebung" folgt, ist in der Literatur umstritten. Unabhängig davon wirkt der Grundsatz von Treu und Glauben im Einzelfall als Rechtfertigungslast: Verdeckte oder mittelbare Erhebungen müssen sachlich begründet sein.
3 Verhältnis zu anderen Pflichten
Der Grundsatz strahlt in zahlreiche Einzelpflichten der DSGVO aus. Er prägt die Auslegung der Informationspflichten nach Art. 13, 14 DSGVO, die Gestaltung der Einwilligung nach Art. 7 DSGVO sowie die Anforderungen an Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen nach Art. 25 DSGVO.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Rechtmäßigkeit (Art. 5 Abs. 1 lit. a DSGVO)
Rechtmäßigkeit als Grundsatz der Verarbeitung: Erforderlichkeit einer Rechtsgrundlage, Verhältnis zu Art. 6 DSGVO, Anforderungen an klare und präzise Rechtsgrundlagen.
Transparenz (Art. 5 Abs. 1 lit. a DSGVO)
Der Transparenzgrundsatz der DSGVO: retrospektive und prospektive Nachvollziehbarkeit der Verarbeitung, inhaltliche und sprachliche Anforderungen an die Betroffeneninformation.