Ein praktischer Leitfaden zu GDPR Rechtsgrundlagen erklärt
TL;DR — Kurzantwort
4 Min. LesezeitGDPR Artikel 6 sieht sechs Rechtsgrundlagen vor: Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigte Interessen. Wählen Sie vor Beginn der Verarbeitung die Basis aus, die wirklich zum Zweck passt.
Dieser Leitfaden erklärt GDPR Rechtsgrundlagen erklärt praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.
Gemäß GDPR ist die Verarbeitung personenbezogener Daten nur dann rechtmäßig, wenn mindestens eine Rechtsgrundlage zutrifft. Die sechs Rechtsgrundlagen sind in GDPR Artikel 6 aufgeführt: Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigte Interessen.
Die Wahl einer Rechtsgrundlage ist kein Papierkram. Es betrifft Transparenzformulierungen, Nutzerrechte, Widerrufsmöglichkeiten, Widerspruchsrechte und ob die Verarbeitung überhaupt vertretbar ist.
1. Einwilligung
Eine Einwilligung liegt dann vor, wenn eine Person freiwillig eine konkrete, informierte und eindeutige Einwilligungserklärung abgibt. Es muss genauso einfach sein, sich zurückzuziehen wie zu geben. Vorab angekreuzte Kästchen, Schweigen, Inaktivität und gebündelte Einwilligung funktionieren nicht.
Nutzen Sie die Einwilligung, wenn Menschen eine echte Wahl haben, z. B. optionale Marketing-E-Mails oder nicht unbedingt erforderliche Cookies. Nutzen Sie die Einwilligung nicht, wenn die Person keine praktische Alternative hat, z. B. wenn ein Mitarbeiter gebeten wird, einer Kernverarbeitung im Personalwesen zuzustimmen.
Bedenken Sie bei Cookies und Tracking, dass möglicherweise bereits vor der Analyse der Rechtsgrundlagen eine Einwilligung zu ePrivacy erforderlich sein kann. Wenn Analyse-Cookies optional sind, benötigen sie in Europa im Allgemeinen eine vorherige Zustimmung, es sei denn, es gilt eine enge Ausnahmeregelung.
2. Vertrag
„Vertrag“ liegt vor, wenn die Verarbeitung erforderlich ist, um einen Vertrag mit der Person zu erfüllen oder vor Vertragsabschluss gewünschte Maßnahmen zu ergreifen.
Beispiele:
- Verarbeitung einer Lieferadresse zur Lieferung einer Bestellung.
- Erstellen eines Kontos, damit ein Benutzer auf einen kostenpflichtigen Dienst zugreifen kann.
- Verarbeitung der Zahlungsdetails für ein Abonnement.
Nicht erfasst sind Verarbeitungen, die lediglich dem Unternehmen dienen. Für die Bereitstellung eines SaaS-Kontos ist verhaltensbasierte Werbung nicht erforderlich. Produktanalysen können den Service unterstützen, erfordern jedoch in der Regel eine separate Analyse.
3. Gesetzliche Verpflichtung
Eine rechtliche Verpflichtung besteht, wenn EU oder das Recht eines Mitgliedsstaats die Verarbeitung erfordert. Beispiele hierfür sind Steuerunterlagen, arbeitsrechtliche Verpflichtungen, Buchhaltung, Sanktionsprüfung in manchen Zusammenhängen oder die Beantwortung rechtmäßiger behördlicher Anfragen.
Die Verpflichtung muss sich aus einem Gesetz ergeben, nicht aus einem Vertrag oder einer internen Richtlinie. Wenn in einem Anbietervertrag festgelegt ist, dass Sie bestimmte Marketingdaten erfassen müssen, ist dies keine GDPR rechtliche Verpflichtung.
4. Lebenswichtige Interessen
Lebenswichtige Interessen liegen dann vor, wenn die Verarbeitung zum Schutz des Lebens einer Person erforderlich ist. Es ist eng und im normalen Geschäftsbetrieb selten.
Beispiele könnten medizinische Notfallinformationen oder Krisenreaktionen sein. Für Website-Analysen, Marketing oder SaaS-Onboarding ist es normalerweise nicht relevant.
5. Öffentliche Aufgabe
Eine öffentliche Aufgabe liegt dann vor, wenn die Verarbeitung für eine Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder im Rahmen öffentlicher Gewalt erfolgt. Es wird hauptsächlich von öffentlichen Stellen oder privaten Organisationen genutzt, die gesetzlich offizielle Aufgaben wahrnehmen.
Die meisten privaten Unternehmen können öffentliche Aufgaben nicht für die routinemäßige kommerzielle Abwicklung nutzen.
Flowsery
Kostenlos testen
Echtzeit-Dashboard
Zielverfolgung
Cookie-freies Tracking
6. Berechtigte Interessen
Berechtigte Interessen können vorliegen, wenn der Verantwortliche oder ein Dritter ein berechtigtes Interesse hat, die Verarbeitung für dieses Interesse erforderlich ist und die Rechte und Freiheiten der Person nicht Vorrang haben.
Hierzu ist ein Abgleichtest erforderlich. Bei einer typischen Beurteilung berechtigter Interessen wird Folgendes gefragt:
- Was ist das berechtigte Interesse?
- Ist die Verarbeitung für dieses Interesse erforderlich?
- Welche Auswirkungen hat es auf den Einzelnen?
- Welche Schutzmaßnahmen verringern diese Auswirkungen?
- Kann man mit dieser Verarbeitung vernünftigerweise rechnen?
- Können sie leicht Einwände erheben?
Mögliche Beispiele sind Betrugsprävention, Netzwerksicherheit, grundlegende B2B-Prospekte oder in manchen Kontexten eingeschränkte First-Party-Analysen. Aber berechtigte Interessen sind kein Zauberwort für die Nachverfolgung. Cross-Site-Werbung, invasives Profiling, sensible Schlussfolgerungen und unerwarteter Datenaustausch sind viel schwieriger zu rechtfertigen.
Rechtsgrundlagen und individuelle Rechte
Die Rechtsgrundlage ändert die verfügbaren Rechte:
| Rechtsgrundlage | Praktische Konsequenz |
|---|---|
| Einwilligung | Der Benutzer kann seine Einwilligung widerrufen |
| Vertrag | Die Verarbeitung muss für die Vertragsabwicklung erforderlich sein |
| Gesetzliche Verpflichtung | Die Löschung kann durch Aufbewahrungsgesetze eingeschränkt werden |
| Lebenswichtige Interessen | Enger Notfalleinsatz |
| Öffentliche Aufgabe | Es bestehen ggf. Widerspruchsrechte |
| Berechtigte Interessen | Dem Nutzer steht ein Widerspruchsrecht zu |
Sie müssen den Menschen in Ihrer Datenschutzerklärung die Rechtsgrundlage mitteilen.
Analytics-Beispiele
Cookie-basiert Google Analytics
Ein typisches GA4-Web-Setup verwendet Cookies, um Benutzer und Sitzungen zu unterscheiden, wie Google in seiner GA4-Cookie-Dokumentation erklärt. In Europa wirft dies in der Regel Fragen zur ePrivacy-Einwilligung auf, bevor das Analyse-Cookie gesetzt wird. Die Rechtsgrundlage hängt dann vom Verarbeitungsdesign, den Bedingungen des Anbieters, den Übermittlungen und davon ab, ob Werbefunktionen aktiviert sind.
Cookielose aggregierte Analyse
Ein Cookie-freies Tool, das Kennungen, IP-Speicherung, Fingerabdrücke, Wiederverwendung von Werbung und Nutzdaten für persönliche Ereignisse vermeidet, kann je nach Implementierung die Verarbeitung personenbezogener Daten reduzieren oder vermeiden. Selbst dann sollte die Organisation den Zweck, die Datenkategorien, die Aufbewahrung und die Rolle des Anbieters dokumentieren.
Produktanalyse innerhalb eines Kontos
Bei authentifizierten Produktanalysen werden häufig personenbezogene Daten auf Kontoebene verarbeitet. Der Vertrag kann Ereignisse abdecken, die zur Erbringung der Dienstleistung erforderlich sind, während berechtigte Interessen die Sicherheit oder Produktverbesserung umfassen können. Für sensible oder optionale Verwendungen ist möglicherweise eine Einwilligung oder eine andere Grundlage erforderlich.
Häufige Fehler
- Die Zustimmung wählen, weil sie am sichersten klingt, und dann den Dienst unbrauchbar machen, wenn die Zustimmung verweigert wird.
- Verwendung eines Vertrags zur Verarbeitung, der ausschließlich dem Marketing dient.
- Geltendmachung berechtigter Interessen ohne Abwägung.
- Vergessen Sie die ePrivacy-Regeln für Cookies und Gerätespeicherung.
- Zweckänderung nachträglich ohne erneute Prüfung der Kompatibilität.
- Die Datenschutzerklärung wird nicht aktualisiert, wenn sich Tools ändern.
Die richtige Rechtsgrundlage ist diejenige, die ehrlich zur Verarbeitung passt. Wenn keine Grundlage passt, ist die Antwort keine kreative Formulierung. Die Antwort besteht darin, die Verarbeitung zu stoppen oder neu zu gestalten.
Dokumentieren Sie die Wahl
Notieren Sie für jeden Verarbeitungszweck die gewählte Grundlage und einen Satz, in dem erläutert wird, warum sie passt. Dies ist besonders wichtig für Analyse-, Marketing- und KI-Funktionen, bei denen Teams häufig Annahmen von alten Tools übernehmen. Eine kurze Aufzeichnung ist einfacher zu pflegen als eine lange Notiz, die niemand aktualisiert.
Checkliste für Aufzeichnungen auf rechtlicher Grundlage
Notieren Sie für jeden Analysezweck die Rechtsgrundlage und warum sie passt: Die Messung der Zielgruppen auf öffentlichen Websites, Marketingpixel, Produkttelemetrie, Betrugsprävention, Kontoanalysen und Supportdiagnosen erfordern möglicherweise jeweils eine andere Analyse. Verwenden Sie nicht eine Basis für den gesamten Stapel wieder.
Überprüfen Sie außerdem die ePrivacy-Regeln, bevor Tags ausgeführt werden. Selbst wenn GDPR legitime Interessen für begrenzte Analysen, Gerätespeicher, Cookies, Pixel, SDKs oder ähnliche Zugriffe geltend gemacht werden können, ist möglicherweise dennoch eine Einwilligung erforderlich, es sei denn, in der jeweiligen Gerichtsbarkeit gilt eine enge Ausnahmeregelung.
War dieser Artikel hilfreich?
Teilen Sie uns Ihre Meinung mit!
Bevor Sie gehen...
Flowsery
Umsatzorientierte Analysen für Ihre Website
Verfolgen Sie jeden Besucher, jede Quelle und jede Conversion in Echtzeit. Einfach, leistungsstark und vollständig DSGVO-konform.
Echtzeit-Dashboard
Zielverfolgung
Cookie-freies Tracking
Verwandte Artikel
Ein praktischer Leitfaden zu DSGVO-Einwilligung
Erfahren Sie, wie DSGVO-Einwilligung datenschutzfreundliche Analytics, Messqualität und praktische Website-Entscheidungen beeinflusst.
Ein praktischer Leitfaden zu 7 Grundsätze der DSGVO
Erfahren Sie, wie 7 Grundsätze der DSGVO datenschutzfreundliche Analytics, Messqualität und praktische Website-Entscheidungen beeinflusst.
Ein praktischer Leitfaden zu Auftragsverarbeitungsvertrag
Erfahren Sie, wie Auftragsverarbeitungsvertrag datenschutzfreundliche Analytics, Messqualität und praktische Website-Entscheidungen beeinflusst.