# Grundsätze der Verarbeitung (Art. 5 DSGVO)

Überblick über die Grundsätze der Verarbeitung personenbezogener Daten nach Art. 5 DSGVO: Rechtsnatur, Adressaten, Verhältnis zu Art. 6 DSGVO, Ausnahmen und Bußgeldbewehrung.

> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung
> Sprache: en



Art. 5 DSGVO stellt einen Katalog von Grundpflichten auf, die jede Verarbeitung personenbezogener Daten erfüllen muss. Die Grundsätze gehen auf Art. 8 Abs. 2 GRC zurück und bilden zusammen mit den Rechtsgrundlagen des Art. 6 DSGVO den materiellen Kern des unionsrechtlichen Datenschutzrechts.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Art. 5 DSGVO enthält **neun Grundsätze**: acht materielle in Abs. 1 und die **Rechenschaftspflicht** in Abs. 2.
  * Jede Verarbeitung muss die Grundsätze und **zusätzlich** eine Rechtsgrundlage nach Art. 6 DSGVO erfüllen; beide Prüfungen sind **kumulativ**.
  * Die Grundsätze des Abs. 1 binden jede verarbeitende Stelle, also auch den **Auftragsverarbeiter**; die Rechenschaftspflicht trifft nur den Verantwortlichen.
  * Verstöße sind nach Art. 83 Abs. 5 lit. a DSGVO mit Bußgeldern der **höchsten Kategorie** bedroht (bis 20 Mio. Euro oder 4 % des Jahresumsatzes).
  * Ausnahmen sind nur eng über Art. 23 DSGVO (nationale Beschränkungen) und Art. 85 DSGVO (Medienprivileg) möglich.
</Callout>

## 1 Überblick [#1-überblick]

### 1.1 Rechtsfolge und Systematik [#11-rechtsfolge-und-systematik]

Jede Datenverarbeitung muss zugleich die Grundsätze des Art. 5 DSGVO und eine Rechtsgrundlage nach Art. 6 DSGVO erfüllen. Die Grundsätze beschreiben die **Qualität** der Verarbeitung, Art. 6 DSGVO ihre **Zulässigkeit**. Der EuGH hält in ständiger Rechtsprechung daran fest, dass beide Prüfungen kumulativ erfüllt sein müssen.

Die Grundsätze sind keine bloßen Programmsätze und auch keine bloßen Optimierungsgebote, sondern verbindliche Grundpflichten des Verantwortlichen. Ihre Bindungswirkung folgt unmittelbar aus Art. 8 Abs. 2 GRC, der selbst einzelne dieser Grundsätze (Einwilligung oder gesetzliche Grundlage, Zweckfestlegung und Treu und Glauben) benennt.

### 1.2 Die neun Grundsätze im Einzelnen [#12-die-neun-grundsätze-im-einzelnen]

Art. 5 Abs. 1 DSGVO nennt sechs materielle Grundsätze, lit. a enthält darüber hinaus zwei weitere eigenständige Anforderungen:

| Grundsatz                          | Fundstelle                 |
| ---------------------------------- | -------------------------- |
| Rechtmäßigkeit                     | Art. 5 Abs. 1 lit. a DSGVO |
| Verarbeitung nach Treu und Glauben | Art. 5 Abs. 1 lit. a DSGVO |
| Transparenz                        | Art. 5 Abs. 1 lit. a DSGVO |
| Zweckbindung                       | Art. 5 Abs. 1 lit. b DSGVO |
| Datenminimierung                   | Art. 5 Abs. 1 lit. c DSGVO |
| Richtigkeit                        | Art. 5 Abs. 1 lit. d DSGVO |
| Speicherbegrenzung                 | Art. 5 Abs. 1 lit. e DSGVO |
| Integrität und Vertraulichkeit     | Art. 5 Abs. 1 lit. f DSGVO |
| Rechenschaftspflicht               | Art. 5 Abs. 2 DSGVO        |

Gegenüber Art. 6 der Datenschutz-Richtlinie 95/46/EG sind die Grundsätze der Transparenz, der Integrität und Vertraulichkeit sowie die Rechenschaftspflicht neu hinzugekommen. Parallel zu Art. 5 DSGVO bestehen inhaltlich weitgehend gleichlaufende Vorschriften in Art. 4 Abs. 1 der Richtlinie (EU) 2016/680 (umgesetzt in § 47 BDSG) sowie in Art. 4 der Verordnung (EU) 2018/1725 für die Organe und Einrichtungen der Union.

### 1.3 Adressaten [#13-adressaten]

Art. 5 Abs. 2 DSGVO spricht die Rechenschaftspflicht ausdrücklich dem Verantwortlichen zu. Die Grundsätze des Absatzes 1 richten sich demgegenüber an jede Stelle, die personenbezogene Daten verarbeitet, also auch an den Auftragsverarbeiter. Soweit die DSGVO den Auftragsverarbeiter gesondert verpflichtet (etwa durch Art. 28, 32 DSGVO), konkretisieren diese Regelungen die Grundsätze für seine Tätigkeit.

### 1.4 Bußgeldbewehrung [#14-bußgeldbewehrung]

Verstöße gegen die Grundsätze des Art. 5 DSGVO sind nach Art. 83 Abs. 5 lit. a DSGVO mit Bußgeldern der höchsten Kategorie (bis 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes) bedroht. Die Allgemeinheit der Grundsätze wirft dabei Fragen des Bestimmtheitsgrundsatzes auf, weil die Grundsätze aus sich heraus wenig konkrete Verhaltensanforderungen formulieren.

## 2 Ausnahmen von den Grundsätzen [#2-ausnahmen-von-den-grundsätzen]

### 2.1 Nationale Ausnahmen nach Art. 23 DSGVO [#21-nationale-ausnahmen-nach-art-23-dsgvo]

Art. 23 Abs. 1 DSGVO erlaubt nationalen Gesetzgebern Ausnahmen von den Grundsätzen des Art. 5 DSGVO, allerdings nur „insofern dessen Bestimmungen den in den Art. 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen". Die Einschränkung ist an den praktischen Auswirkungen des jeweiligen Grundsatzes zu messen: Informationspflichten, die sich aus Transparenz oder Treu und Glauben neben Art. 13, 14 DSGVO ergeben können, dürfen beschränkt werden; eine Ausnahme vom Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) lässt sich hingegen nicht auf Art. 23 Abs. 1 DSGVO stützen, weil dieser keinen Bezug zu den Betroffenenrechten hat.

### 2.2 Medienprivileg nach Art. 85 DSGVO [#22-medienprivileg-nach-art-85-dsgvo]

Art. 85 Abs. 2 DSGVO erlaubt Ausnahmen vom Kapitel II der DSGVO (und damit auch von Art. 5 DSGVO) für Verarbeitungen zu journalistischen, künstlerischen, wissenschaftlichen und literarischen Zwecken. Die Mitgliedstaaten haben diese Öffnungsklausel durch Medien- und Presserecht ausgefüllt, in Deutschland etwa durch § 23 Abs. 1 S. 4 MStV sowie die Landespressegesetze.

## 3 Verhältnis zu Art. 6 DSGVO [#3-verhältnis-zu-art-6-dsgvo]

Der Grundsatz der Rechtmäßigkeit in Art. 5 Abs. 1 lit. a DSGVO verweist auf Art. 6 DSGVO, der die konkreten Rechtsgrundlagen für die Verarbeitung benennt. Die übrigen Grundsätze entfalten daneben eigenständige Anforderungen. Das führt dazu, dass eine Verarbeitung trotz wirksamer Rechtsgrundlage unzulässig sein kann, wenn sie beispielsweise gegen die Datenminimierung oder die Speicherbegrenzung verstößt.

<Callout type="info">
  Die Grundsätze sind nicht abschließend; sie werden durch eine Vielzahl spezieller Pflichten der DSGVO konkretisiert. Art. 25 DSGVO (Datenschutz durch Technikgestaltung), Art. 32 DSGVO (Sicherheit der Verarbeitung) oder Art. 13, 14 DSGVO (Informationspflichten) setzen die Grundsätze in konkrete Verhaltensanforderungen um.
</Callout>

## 4 Die einzelnen Grundsätze im Hub [#4-die-einzelnen-grundsätze-im-hub]

<Cards>
  <Card title="Rechtmäßigkeit" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.1-rechtmaessigkeit" description="Art. 5 Abs. 1 lit. a DSGVO: Erforderlichkeit einer Rechtsgrundlage." />

  <Card title="Treu und Glauben" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.2-treu-und-glauben" description="Art. 5 Abs. 1 lit. a DSGVO: Fairness, Dark Patterns, offene Datenerhebung." />

  <Card title="Transparenz" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.3-transparenz" description="Art. 5 Abs. 1 lit. a DSGVO: Nachvollziehbarkeit der Verarbeitung." />

  <Card title="Zweckbindung" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.4-zweckbindung" description="Art. 5 Abs. 1 lit. b DSGVO: Zweckfestlegung und Zweckänderung." />

  <Card title="Datenminimierung" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.5-datenminimierung" description="Art. 5 Abs. 1 lit. c DSGVO: Erheblichkeit, Erforderlichkeit, Angemessenheit." />

  <Card title="Richtigkeit" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.6-richtigkeit" description="Art. 5 Abs. 1 lit. d DSGVO: Richtigkeit und Aktualität der Daten." />

  <Card title="Speicherbegrenzung" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.7-speicherbegrenzung" description="Art. 5 Abs. 1 lit. e DSGVO: Löschpflicht nach Zweckerreichung." />

  <Card title="Integrität und Vertraulichkeit" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.8-integritaet-und-vertraulichkeit" description="Art. 5 Abs. 1 lit. f DSGVO: Datensicherheit als Grundsatz." />

  <Card title="Rechenschaftspflicht" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.9-rechenschaftspflicht" description="Art. 5 Abs. 2 DSGVO: Einhaltung nachweisen, Accountability." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.