Art. 6 DSGVO: Die sechs Rechtsgrundlagen sauber dokumentiert und audit-fest belegt

Artikel 6 Absatz 1 DSGVO benennt sechs Rechtsgrundlagen, auf die sich jede Verarbeitung personenbezogener Daten stützen muss: Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigtes Interesse. Die Vorschrift wirkt schlicht, in der Praxis scheitern jedoch Prüfungen seltener am Wortlaut als an der Dokumentation. Aufsichtsbehörden wie der Bundesbeauftragte für den Datenschutz oder die Landesdatenschutzbeauftragten fragen im Audit zuerst nach dem Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO und der dort hinterlegten Rechtsgrundlage. Wer hier eine pauschale Angabe wie "Art. 6 Abs. 1 DSGVO" einträgt, hat formal nichts dokumentiert und liefert dem Prüfer eine Steilvorlage für Folgefragen.

Dieser Beitrag bringt Ordnung in die sechs Tatbestände, zeigt die typischen Fallstricke bei Einwilligung und berechtigtem Interesse und beschreibt einen belastbaren Dokumentationsprozess. Er richtet sich an Datenschutzbeauftragte, Compliance-Verantwortliche und Geschäftsleitungen, die in den nächsten zwölf Monaten ein internes oder externes Audit zu erwarten haben. Sie erfahren, welche Felder das Verzeichnis nach Art. 30 DSGVO mindestens führen muss, wann eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO zwingend wird, wie sich Art. 6 und Art. 9 DSGVO bei sensiblen Daten überschneiden, und wie die CIVAC Compliance-Plattform und Officer-as-a-Service Verarbeitungstätigkeiten so verknüpft, dass die Rechtsgrundlage nicht in einer Excel-Tabelle versandet.

Art. 6 Abs. 1 DSGVO nennt sechs alternative Erlaubnistatbestände. Buchstabe a regelt die Einwilligung der betroffenen Person, Buchstabe b die Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen. Buchstabe c erfasst rechtliche Verpflichtungen, denen der Verantwortliche unterliegt, etwa steuer-, handels- oder sozialrechtliche Aufbewahrungspflichten. Buchstabe d schützt lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person und kommt im Personalbereich selten zum Tragen. Buchstabe e adressiert öffentliche Aufgaben und Buchstabe f das berechtigte Interesse des Verantwortlichen oder eines Dritten.

Wichtig ist die Reihenfolge in der Prüfung. Der externe Datenschutzbeauftragte wählt nicht beliebig, sondern systematisch. Zuerst prüfen Sie, ob ein Vertrag oder eine gesetzliche Pflicht die Verarbeitung trägt. Erst danach kommen Einwilligung oder berechtigtes Interesse in Betracht. Wer zuerst die Einwilligung wählt, obwohl ein Vertrag trägt, riskiert die Unwirksamkeit der gesamten Datenerhebung beim Widerruf. Der Europäische Datenschutzausschuss hat in seinen Leitlinien 05/2020 zur Einwilligung diese Hierarchie ausdrücklich bekräftigt. Eine Rechtsgrundlage pro Verarbeitungszweck ist Pflicht, kombinierte Stützungen sind nur zulässig, wenn jede Rechtsgrundlage für sich trägt und im Verzeichnis getrennt dokumentiert ist.

Diese Disziplin bei der Auswahl bestimmt später, wie standhaft eine Verarbeitung im Prüfungsfall ist. In der Berichtslinie an die Geschäftsleitung gehört die Übersicht der genutzten Buchstaben als Kennzahl. Wer feststellt, dass über siebzig Prozent seiner Verarbeitungen auf das berechtigte Interesse gestützt sind, sollte intern hinterfragen, ob die Pflichtbestände nach Buchstabe c systematisch übersehen wurden. Auch der umgekehrte Befund, dass kaum eine Verarbeitung auf das berechtigte Interesse läuft, ist ein Warnsignal: Vermutlich werden notwendige Sicherheitsmaßnahmen wie Log-Analyse oder Betrugsprävention rechtlich nicht sauber unterlegt. Eine Verteilung der Rechtsgrundlagen quer durch die sechs Buchstaben ist in den meisten mittelständischen Unternehmen realistisch und plausibel.

Die Einwilligung ist der prominenteste, aber auch der fragilste Tatbestand. Art. 7 DSGVO verlangt, dass die Einwilligung freiwillig, in informierter Weise und unmissverständlich abgegeben wird. Die Beweislast trägt der Verantwortliche, nicht die betroffene Person. Im Audit reicht ein Hinweis "Nutzer hat zugestimmt" nicht. Notwendig sind der Wortlaut der eingeholten Erklärung, der Zeitstempel, die technische Quelle (Formular, Cookie-Banner, Doppelt-Opt-In-Mail) und die Information über die Widerrufsmöglichkeit nach Art. 7 Abs. 3 DSGVO. Fehlt einer dieser Belege, kippt die Rechtsgrundlage und die Verarbeitung wird rückwirkend rechtswidrig.

Besondere Vorsicht gilt bei Beschäftigtendaten. Das Bundesarbeitsgericht hat mit Urteil vom 8. Mai 2020 (Az. 2 AZR 168/20) klargestellt, dass im Beschäftigungsverhältnis die Freiwilligkeit nach Art. 7 Abs. 4 DSGVO regelmäßig zweifelhaft ist. § 26 Abs. 2 BDSG verlangt explizit, dass die Freiwilligkeit dokumentiert wird, etwa wenn eine Verarbeitung dem Arbeitnehmer einen rechtlichen oder wirtschaftlichen Vorteil verschafft. Wer Mitarbeitende um Einwilligung zur Veröffentlichung von Profilfotos im Intranet bittet, dokumentiert daher Anlass, Vorteil und die ausdrückliche Information zur folgenlosen Verweigerung.

Bestellurkunde, unterschrieben, abgelegt, belegbar. Wer Einwilligungen über einen Identity-Provider, ein CRM oder ein Consent-Management-Tool einsammelt, exportiert die Logs mindestens jährlich und legt sie revisionssicher ab. Frist läuft ab Kenntnis: Wird ein Mangel an Einwilligungsbelegen festgestellt, ist die betroffene Verarbeitung sofort zu stoppen oder auf eine andere tragfähige Rechtsgrundlage zu prüfen. Eine spätere Nachholung der Einwilligung heilt die zwischenzeitliche Rechtswidrigkeit nicht und schützt nicht vor Bußgeldern nach Art. 83 Abs. 5 DSGVO. Praktisch hilfreich ist eine monatliche Stichprobe: Wählen Sie drei eingeholte Einwilligungen aus dem CRM, fordern Sie die zugehörigen Belege an und prüfen Sie Vollständigkeit. Wenn diese Stichprobe scheitert, scheitert auch das Audit.

Art. 6 Abs. 1 lit. b DSGVO erlaubt die Verarbeitung, wenn sie zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist oder zur Durchführung vorvertraglicher Maßnahmen, die auf ihre Anfrage erfolgen. Das ist die Rechtsgrundlage des klassischen Bestellprozesses, der Reservierung, des Mietvertrags. Entscheidend ist das Wort "erforderlich". Der Europäische Datenschutzausschuss hat in den Leitlinien 02/2019 zu Online-Diensten betont, dass Erforderlichkeit eng auszulegen ist. Daten, die für den Vertrag verzichtbar sind, lassen sich nicht auf lit. b stützen, sondern bedürfen einer zusätzlichen Rechtsgrundlage oder einer separaten Einwilligung.

Konkret heißt das: Eine Lieferadresse für den Versand eines Pakets fällt klar unter lit. b. Eine Telefonnummer, die der Versender lediglich für Marketingzwecke einsammelt, fällt nicht darunter. Auch nicht das Geburtsdatum, sofern nicht ein Altersnachweis Vertragsbestandteil ist. Die Trennung zwischen vertraglichen und werblichen Datenfeldern gehört in das Verzeichnis nach Art. 30 DSGVO und in den Datenschutzhinweis nach Art. 13 DSGVO. Wer eine umfassende Verarbeitung pauschal auf den Vertrag stützt, riskiert Bußgelder.

Die französische Aufsichtsbehörde CNIL hat 2026 ein Bußgeld in Höhe von 32 Millionen Euro gegen Amazon France Logistique verhängt, das unter anderem auf eine überdehnte Auslegung von lit. b bei Mitarbeiter-Scannern abstellte. Eine saubere Dokumentation pro Datenfeld und Zweck hätte den Streit zumindest stark eingegrenzt. Die Praxis im Versandhandel zeigt zusätzlich, dass auch die Datenweitergabe an Zahlungsdienstleister, Logistikpartner und Bewertungsplattformen je nach Konstellation auf unterschiedliche Buchstaben gestützt werden muss. Eine einheitliche Klausel "Vertragserfüllung" trägt nicht für Bonitätsabfragen, Newsletter oder Kundenzufriedenheitsumfragen. Jede dieser Verarbeitungen muss im Verzeichnis getrennt geführt und mit der jeweils zutreffenden Rechtsgrundlage versehen werden.

Buchstabe c trägt Verarbeitungen, die der Verantwortliche aufgrund einer rechtlichen Verpflichtung durchführen muss. Typische Beispiele sind die zehnjährige Aufbewahrung von Buchungsbelegen nach § 257 HGB und § 147 AO, das Führen der Lohnkonten nach § 41 EStG oder die Meldepflichten an die Sozialversicherung. Wichtig ist: Die Pflicht muss aus einer Rechtsnorm folgen, nicht aus einer Empfehlung, einem Branchenstandard oder einer Konzernrichtlinie. Eine ISO/IEC 27001:2022-Vorgabe begründet für sich allein keine Rechtsgrundlage nach lit. c, sie kann aber im Rahmen des berechtigten Interesses argumentativ helfen.

Buchstabe e ist auf öffentliche Stellen und private Akteure mit öffentlicher Aufgabe zugeschnitten, etwa beliehene Unternehmen. Im privatwirtschaftlichen Kontext spielt er praktisch keine Rolle. Im Verzeichnis nach Art. 30 DSGVO muss die rechtliche Verpflichtung konkret benannt werden: "Aufbewahrung Rechnungsbelege nach § 147 Abs. 1 AO, Frist zehn Jahre". Eine pauschale Angabe "gesetzliche Pflicht" erfüllt nicht die Anforderungen der Aufsichtsbehörden.

Der Compliance-Beauftragte sollte die handels-, steuer- und sozialrechtlichen Aufbewahrungspflichten gemeinsam mit dem Datenschutzbeauftragten in einer Löschmatrix abbilden. Diese Löschmatrix wird im CIVAC-Workspace als Vorlage geführt und mit dem Verzeichnis verknüpft, sodass nicht-belegte Aufbewahrungen automatisch in das Löschkonzept fallen. Das schließt eine der häufigsten Audit-Lücken: die zu lange Aufbewahrung ohne klare Pflicht. Wer eine Löschfrist nicht aus einem konkreten Paragraphen ableiten kann, hat im Zweifel eine zu löschende Verarbeitung, nicht eine zu speichernde. Diese Logik kehrt die häufige Praxis um, Daten vorsorglich aufzubewahren, und zwingt zu einer expliziten Begründung. Die Löschmatrix wird damit zum aktiven Steuerungsinstrument, nicht zum reinen Reporting-Werkzeug.

Art. 6 Abs. 1 lit. f DSGVO ist die flexibelste, aber auch die anspruchsvollste Rechtsgrundlage. Der Europäische Gerichtshof hat in der Entscheidung Fashion ID (C-40/17) und zuletzt in TC Medical Air (C-621/22) die drei Stufen der Prüfung gefestigt. Erstens muss der Verantwortliche ein berechtigtes Interesse haben, das nicht offensichtlich rechtswidrig ist. Zweitens muss die Verarbeitung zur Wahrung dieses Interesses erforderlich sein, ein milderes Mittel darf nicht zur Verfügung stehen. Drittens dürfen die Grundrechte und Grundfreiheiten der betroffenen Person das Interesse des Verantwortlichen nicht überwiegen.

Die Prüfung muss vor der Verarbeitung erfolgen und schriftlich dokumentiert werden. Eine nachgeschobene Abwägung im Bußgeldverfahren ist nicht heilend. Inhaltlich gehört in das Dokument: Bezeichnung des Interesses (zum Beispiel IT-Sicherheit, Betrugsabwehr, Direktmarketing für Bestandskunden), Erforderlichkeit (welche Daten, welches Verfahren), Abwägung mit den Interessen der betroffenen Person (vernünftige Erwartung, Eingriffstiefe, Betroffenenkreis) und Ergebnis. Die Datenschutzkonferenz hat in ihrer Orientierungshilfe "Berechtigtes Interesse" von 2026 eine Strukturvorlage veröffentlicht, die als Mindestmuster dient.

Wer das berechtigte Interesse als Auffangtatbestand für alles nutzt, was sonst nirgendwo passt, fällt im Audit auf. Der Prüfer ruft an, der Nachweis liegt bereit, sobald die Abwägung in einer Vorlage geführt wird, die mit der Verarbeitung im Verzeichnis verknüpft ist. Praktisch hat sich bewährt, die Abwägung alle zwölf Monate zu überprüfen, vor allem dann, wenn sich Mengen, Datenfelder oder Empfängerkreise verändert haben. Eine Versionierung mit Datum, Autor und Begründung der Änderung gehört in jeden Workspace, der diesen Namen verdient. Wer die Abwägung ausschließlich in einer Word-Datei führt, verliert spätestens bei der dritten Aktualisierung die Übersicht über den jeweils gültigen Stand.

Art. 6 DSGVO ist der Grundtatbestand. Werden besondere Kategorien personenbezogener Daten verarbeitet, etwa Gesundheitsdaten, biometrische Daten, Gewerkschaftszugehörigkeit oder Daten zur ethnischen Herkunft, tritt Art. 9 DSGVO hinzu. Der Verantwortliche braucht in diesem Fall sowohl eine Rechtsgrundlage nach Art. 6 als auch einen zusätzlichen Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO. Beide müssen erfüllt sein, die eine ersetzt die andere nicht. Diese Doppelprüfung wird in der Praxis häufig übersehen, insbesondere im betrieblichen Eingliederungsmanagement und in der HR-Software.

Beispiele: Bei der Pflege eines Krankheitsregisters durch den Betriebsarzt trägt Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 26 BDSG die Rechtsgrundlage. Zusätzlich braucht es Art. 9 Abs. 2 lit. b oder lit. h DSGVO. Werden biometrische Daten zur Zutrittskontrolle verarbeitet, reicht das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO nicht. Es muss eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO eingeholt oder eine andere enge Ausnahme erfüllt sein.

Die deutschen Aufsichtsbehörden haben in den vergangenen drei Jahren mehrfach Bußgelder zwischen 50.000 und 1,8 Millionen Euro verhängt, wenn diese Doppelprüfung fehlte. Der betriebsärztliche Bereich erhält im CIVAC-Workspace eine eigene Maske, die beide Rechtsgrundlagen erzwingt, bevor die Verarbeitung freigegeben wird. Das ist keine technische Schikane, sondern eine direkte Umsetzung der Doppelstruktur von Art. 6 und Art. 9 DSGVO. Wer den Workspace lizenziert, erhält die Maske vorbereitet. Wer Officer-as-a-Service nutzt, bekommt sie inklusive Pflege und turnusmäßiger Aktualisierung an neue DSK-Beschlüsse. Die Trennung zwischen Datenschutzbeauftragtem und Betriebsarzt nach § 78 SGB X bleibt dabei strikt erhalten, ein Zugriff auf medizinische Befunde durch andere Rollen ist technisch ausgeschlossen.

Eine Rechtsgrundlage darf grundsätzlich nicht im laufenden Verfahren ausgetauscht werden, wenn sich der Zweck nicht ändert. Der Europäische Datenschutzausschuss hat dies in seinen Leitlinien 03/2019 klargestellt: Wer eine Verarbeitung zunächst auf Einwilligung stützt und nach deren Widerruf auf das berechtigte Interesse umschaltet, umgeht den Schutzgedanken des Art. 7 DSGVO. Zulässig ist ein Wechsel nur, wenn die ursprüngliche Wahl der Rechtsgrundlage objektiv falsch war, dies dokumentiert wird und die betroffenen Personen informiert werden.

Änderungen an der Rechtsgrundlage lösen die Informationspflichten nach Art. 13 und Art. 14 DSGVO erneut aus. Die Datenschutzhinweise müssen so aktualisiert werden, dass die neue Rechtsgrundlage sichtbar ist, idealerweise mit einem aktiven Hinweis an betroffene Personen, falls die Änderung wesentlich ist. Im Verzeichnis nach Art. 30 DSGVO wird der Wechsel mit Datum, Grund und neuer Begründung dokumentiert. Wer hier eine Versionierung nutzt, hat es im Audit leichter.

Die CIVAC-Plattform führt jede Änderung an einer Verarbeitung mit Zeitstempel und Autor in einem Änderungsprotokoll, das aus dem Workspace nicht entfernt werden kann. Audit-fest, dokumentiert, Art. 30-fest. Diese Versionierung ersetzt nicht die rechtliche Prüfung, sie macht sie aber nachvollziehbar. Wer die Prüfung nicht selbst leisten kann oder will, lizenziert den Workspace für die internen Beauftragten oder lässt die Beauftragten von CIVAC bestellen. Beide Wege führen zum gleichen Ergebnis: eine dokumentierte, nachvollziehbare und im Zweifel verteidigbare Rechtsgrundlage pro Verarbeitung. Die Versionierung greift auch bei Zweckänderungen, die nach Art. 6 Abs. 4 DSGVO gesondert zu prüfen sind. Eine Zweckänderung erfordert eine eigene Kompatibilitätsprüfung und gegebenenfalls eine neue Rechtsgrundlage.

Die Rechtsgrundlage steht in einer engen Beziehung zur Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, ist eine DSFA durchzuführen. Die deutsche Datenschutzkonferenz hat eine Liste solcher Verarbeitungen veröffentlicht, die sogenannte Muss-Liste nach Art. 35 Abs. 4 DSGVO. Darauf stehen unter anderem umfangreiche Beschäftigtendatenverarbeitungen, Profiling mit rechtlichen Folgen, biometrische Identifikation und der Einsatz von KI-gestützten Bewerber-Filtern.

Die DSFA prüft nicht nur die Rechtsgrundlage, sondern auch die Verhältnismäßigkeit. Eine Rechtsgrundlage existiert formal, aber die Verarbeitung kann trotzdem unverhältnismäßig sein. In diesem Fall verlangt Art. 36 DSGVO die vorherige Konsultation der Aufsichtsbehörde. In der Praxis wird die DSFA häufig erst geschrieben, nachdem das Projekt produktiv ist. Das ist sowohl rechtswidrig als auch operativ riskant, weil eine nachträgliche Korrektur Mehrkosten und Vertrauensverluste auslöst.

Wer eine Plattform wie CIVAC nutzt, verknüpft die DSFA-Vorlage direkt mit der Verarbeitung im Verzeichnis und erzwingt die Prüfung als Freigabeschritt. Die 490 Audit-Vorlagen im Workspace decken auch die DSFA ab und enthalten die nach DSK-Kurzpapier Nr. 5 geforderten Prüfpunkte. Die Verbindung von Rechtsgrundlage, DSFA und Verzeichnis ist der Kern einer ordentlichen DSGVO-Compliance. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Die Plattform speichert die DSFA in der EU-Datenresidenz und erlaubt es, externe Prüfer mit zeitlich begrenztem Lesezugriff einzuladen. Ein vollständig ausgefülltes DSFA-Dokument liegt damit nicht in einem Sharepoint-Ordner, sondern direkt an der Verarbeitung, auf die es sich bezieht. Diese strukturelle Nähe verkürzt im Audit den Zugriff auf den entscheidenden Nachweis von einer halben Stunde auf wenige Klicks. Wer den Prüfer länger als zehn Minuten suchen lässt, hat schon verloren.

Wer den Beitrag bis hierhin gelesen hat, kennt die sechs Rechtsgrundlagen, die Stolperfallen bei Einwilligung und berechtigtem Interesse, die Doppelstruktur bei besonderen Daten und die Verbindung zur DSFA. Der nächste Schritt ist nicht ein weiteres Whitepaper, sondern eine geordnete Bestandsaufnahme. Welche Verarbeitungen führen Sie aktuell durch? Welche Rechtsgrundlage ist im Verzeichnis hinterlegt? Wie alt ist die letzte Aktualisierung? Wann wurde zuletzt eine Abwägung zum berechtigten Interesse dokumentiert?

CIVAC arbeitet als Compliance-Plattform und Officer-as-a-Service. Die Plattform führt das Verzeichnis nach Art. 30 DSGVO, die Vorlagen für Einwilligungserklärungen, die Drei-Stufen-Prüfung für das berechtigte Interesse und die DSFA in einem gemeinsamen Workspace mit EU-Datenresidenz. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. In der Variante Officer-as-a-Service übernehmen unsere externen Datenschutzbeauftragten die Bestellurkunde, die Berichtslinie an die Geschäftsleitung und die Pflege des Verzeichnisses, im Regelfall innerhalb von zwei Werktagen nach Auftragserteilung.

Aus dem Lesen einen Auftrag machen. Eine kurze Mail an info@civac.de mit Branche, Mitarbeiterzahl und vorhandenem Datenschutzstand reicht für den ersten Termin. Wer lieber das Kontaktformular nutzt, findet es über die FAQ-Seite verlinkt. Was Sie nicht bekommen: ein generisches Beratungsangebot. Was Sie bekommen: eine konkrete Rückmeldung, welche Lücken in Ihrem Verzeichnis sitzen und wie sich diese in den nächsten dreißig Tagen schließen lassen. Belegbar, dokumentiert, mit Bestellurkunde, wenn Sie die externe Variante wählen. Wer den ersten Termin nicht direkt buchen möchte, erhält auf Wunsch vorab eine Checkliste, mit der die eigene Abteilung die Bestandsaufnahme selbst beginnen kann.