Leitfaden zu DSGVO Artikel 6

Die sechs Rechtsgrundlagen für die Verarbeitung gemäss DSGVO — was sie bedeuten und wie Sie sie richtig anwenden

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die Organisationen mit mehreren Rechtseinheiten dabei unterstützt, die Rechtsgrundlagen gemäss DSGVO Artikel 6 für jede Tochtergesellschaft zu dokumentieren und zu verwalten.

Jede Verarbeitungstätigkeit in Ihrer Organisation benötigt eine Rechtsgrundlage. Die falsche auszuwählen — oder sie nicht zu dokumentieren — ist die mit Abstand häufigste DSGVO-Compliance-Lücke, die Prüfer feststellen. Dieser Leitfaden erläutert alle sechs Grundlagen, erklärt, wann jede gilt, und zeigt, wie Organisationen mit komplexen Konzernstrukturen sie dokumentiert und belastbar halten.

In der Schweiz gehostete Plattform

An ISO 27001 ausgerichtete Infrastruktur

Vertrauen von Organisationen mit mehreren Rechtseinheiten in ganz Europa

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Warum die Auswahl der Rechtsgrundlage das Fundament der DSGVO-Compliance ist

Artikel 6(1) der DSGVO besagt, dass die Verarbeitung personenbezogener Daten nur dann — und nur insoweit — rechtmässig ist, als mindestens eine von sechs Bedingungen erfüllt ist. Dies ist nicht optional, nicht flexibel und nicht etwas, das Sie nachträglich ergänzen können, wenn eine Aufsichtsbehörde anklopft.

Für Organisationen, die mehrere Tochtergesellschaften über verschiedene Rechtsordnungen hinweg verwalten, besteht die Herausforderung nicht nur darin, die richtige Grundlage einmalig auszuwählen. Es geht darum, sicherzustellen, dass jede Rechtseinheit, jede Verarbeitungstätigkeit und jede Geschäftseinheit ihre Rechtsgrundlage korrekt dokumentiert hat — und dass diese Aufzeichnungen aktuell bleiben, während sich die Verarbeitung weiterentwickelt.

Das Ausmass des Problems

78 % der Organisationen mit mehreren Rechtseinheiten verwalten ihre Verzeichnisse von Verarbeitungstätigkeiten nach wie vor in Tabellenkalkulationen. Wenn Rechtsgrundlagen in Spalte G einer gemeinsam genutzten Excel-Datei stehen, werden sie nicht überprüft, aktualisiert oder hinterfragt. Sie zerfallen unbemerkt, bis eine Prüfung die Lücke offenlegt.

Was in der Praxis schiefgeht

Das häufigste Fehlermuster besteht nicht darin, die falsche Rechtsgrundlage zu wählen. Es besteht darin, überhaupt nie ausdrücklich eine auszuwählen. Verarbeitungstätigkeiten werden angelegt, Datenflüsse werden aufgebaut, und das Feld für die Rechtsgrundlage bleibt leer oder wird standardmässig auf «Einwilligung» gesetzt, weil jemand annahm, dies sei stets die sichere Wahl.

Das zweithäufigste Versäumnis: eine Rechtsgrundlage zu Beginn einer Verarbeitungstätigkeit zu wählen und sie nie zu überprüfen, selbst wenn sich Zweck, Umfang oder Datenkategorien im Laufe der Zeit ändern. Eine Grundlage, die bei der Konzeption einer Verarbeitungstätigkeit gültig war, gilt zwei Jahre später möglicherweise nicht mehr.

Rechtsgrundlage 2 von 6

Vertrag

Artikel 6(1)(b) — Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Massnahmen, die auf Anfrage der betroffenen Person erfolgen.

Wann der Vertrag gilt

Diese Grundlage deckt Verarbeitungen ab, die wirklich erforderlich sind, um Ihre vertraglichen Verpflichtungen gegenüber der betroffenen Person zu erfüllen — oder um von ihr angeforderte vorvertragliche Schritte zu unternehmen. Der Schwerpunkt liegt auf «erforderlich»: Nur weil eine Datenverarbeitung in einem Vertrag erwähnt wird, ist sie nicht zwangsläufig für die Erfüllung des Vertrags erforderlich.

Praktische Beispiele

  • Die Verarbeitung der Lieferadresse eines Kunden, um ein bestelltes Produkt zu liefern — erforderlich für die Vertragserfüllung
  • Die Verarbeitung der Bankdaten eines Mitarbeiters zur Auszahlung seines Gehalts — erforderlich für den Arbeitsvertrag
  • Die Durchführung einer Bonitätsprüfung bei einem Kreditantragsteller auf dessen Anfrage — vorvertragliche Massnahmen
  • Das Versenden von Marketing-E-Mails an bestehende Kunden — nicht für den Vertrag erforderlich, daher gilt diese Grundlage nicht

Der «Erforderlichkeits»-Test

Der Europäische Datenschutzausschuss (EDSA) hat klargestellt, dass diese Grundlage nicht herangezogen werden kann, um eine Verarbeitung zu rechtfertigen, die lediglich nützlich oder im Vertrag erwähnt ist. Die Verarbeitung muss objektiv erforderlich sein — das heisst, der Vertrag kann ohne sie nicht erfüllt werden. Eine Klausel in Ihren Nutzungsbedingungen, die besagt «wir verarbeiten Ihre Daten zum Profiling», macht das Profiling nicht zu einer für die Vertragserfüllung erforderlichen Massnahme.

Häufiger Fehler

Artikel 6(1)(b) so auszudehnen, dass er alle in den Nutzungsbedingungen erwähnten Verarbeitungen abdeckt. Wenn Sie verhaltensbasierte Werbung in Ihre Bedingungen aufnehmen, macht das diese nicht «erforderlich» für den Dienst. Der EDSA hat dies in seinen Leitlinien 2/2019 ausdrücklich behandelt und festgestellt, dass viele Online-Dienste sich unzulässigerweise auf die Vertragserfüllung für Verarbeitungen stützten, die eine Einwilligung oder berechtigte Interessen erfordern sollten.

Komplexität bei mehreren Rechtseinheiten

In Konzernstrukturen sind die vertragsschliessende Einheit und die verarbeitende Einheit oft unterschiedlich. Wenn der Vertrag Ihres Kunden mit Ihrer britischen Tochtergesellschaft besteht, die Datenverarbeitung aber auf Konzernebene in der Schweiz erfolgt, müssen Sie klären, welche Einheit der Verantwortliche ist, welche Grundlage für jede Verarbeitungsphase gilt und ob ein Auftragsverarbeitungsvertrag (AVV) oder eine Vereinbarung über die gemeinsame Verantwortlichkeit erforderlich ist.

Rechtsgrundlage 4 von 6

Lebenswichtige Interessen

Artikel 6(1)(d) — Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Wann lebenswichtige Interessen gelten

Dies ist die engste Rechtsgrundlage. «Lebenswichtige Interessen» bedeutet Situationen auf Leben und Tod — im wörtlichen Sinne. Sie gilt, wenn die Verarbeitung erforderlich ist, um das Leben einer Person zu schützen, und keine andere Rechtsgrundlage herangezogen werden kann. Die DSGVO stellt ausdrücklich fest, dass diese Grundlage nur dann verwendet werden sollte, wenn die Verarbeitung «offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann».

Praktische Beispiele

  • Die Weitergabe der Krankenakte eines Patienten an die Rettungsdienste, wenn der Patient bewusstlos ist und keine Einwilligung erteilen kann
  • Die Verarbeitung personenbezogener Daten während einer Naturkatastrophe, um Opfer zu lokalisieren und ihnen zu helfen
  • Die Weitergabe der Blutgruppe eines Mitarbeiters an Sanitäter nach einem Arbeitsunfall

Warum diese Grundlage selten angemessen ist

In der überwiegenden Mehrheit kommerzieller Datenverarbeitungsszenarien sind lebenswichtige Interessen nicht anwendbar. Wenn Sie vorausplanen und eine Einwilligung einholen können, wenn Sie ein Vertragsverhältnis haben oder wenn eine andere Grundlage passt — verwenden Sie diese stattdessen. Lebenswichtige Interessen sind ein letztes Mittel, keine Bequemlichkeit.

Für die meisten Organisationen

Wenn Sie lebenswichtige Interessen als Rechtsgrundlage für routinemässige Verarbeitungstätigkeiten dokumentieren, ist etwas schiefgelaufen. Diese Grundlage sollte im Verarbeitungsverzeichnis einer typischen Organisation selten — wenn überhaupt — auftauchen. Ihr Vorkommen in Ihrem Verarbeitungsverzeichnis sollte ein Prüfsignal auslösen und nicht unbemerkt bleiben.

Rechtsgrundlage 5 von 6

Öffentliche Aufgabe

Artikel 6(1)(e) — Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Wann die öffentliche Aufgabe gilt

Diese Grundlage ist in erster Linie für Behörden und Organisationen relevant, die Funktionen öffentlicher Natur wahrnehmen. Die Aufgabe oder Befugnis muss eine klare gesetzliche Grundlage haben — es genügt nicht, zu behaupten, Ihre Verarbeitung diene dem öffentlichen Interesse im allgemeinen Sinne. Für die von Ihnen wahrgenommene Funktion muss eine konkrete gesetzliche Grundlage bestehen.

Praktische Beispiele

  • Eine Behörde, die Bürgerdaten verarbeitet, um Sozialversicherungsleistungen zu verwalten
  • Eine öffentliche Universität, die Studierendendaten zur Studienverwaltung und für die Bildungsforschung verarbeitet
  • Eine Aufsichtsbehörde, die Daten im Rahmen ihrer Aufsichtsfunktionen verarbeitet
  • Ein privates Unternehmen, das von der Regierung mit der Verarbeitung von Volkszählungsdaten beauftragt wurde — handelnd in delegierter öffentlicher Gewalt

Relevanz für Organisationen des privaten Sektors

Die meisten privaten Unternehmen werden sich für ihre Kernverarbeitungstätigkeiten nicht auf diese Grundlage stützen. Sie kann jedoch relevant sein, wenn private Einheiten von Behörden delegierte Funktionen wahrnehmen oder wenn die Verarbeitung aufgrund einer konkreten gesetzlichen Befugnis erfolgt. Wenn Sie als private Organisation diese Grundlage in Betracht ziehen, benennen Sie die konkrete Rechtsvorschrift, die Ihnen die betreffende Funktion oder Befugnis überträgt.

Häufiger Fehler

Private Unternehmen, die sich auf die öffentliche Aufgabe berufen, weil ihre Verarbeitung einen gewissen indirekten öffentlichen Nutzen hat. Eine Gesundheits-App zu betreiben, die «die öffentliche Gesundheit verbessert», bedeutet nicht, dass Sie eine öffentliche Aufgabe wahrnehmen. Die Grundlage erfordert ein konkretes gesetzliches Mandat oder eine delegierte Befugnis — und nicht eine allgemeine Behauptung eines gesellschaftlichen Nutzens.

Rechtsgrundlage 6 von 6

Berechtigte Interessen

Artikel 6(1)(f) — Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Wann berechtigte Interessen gelten

Dies ist die flexibelste Rechtsgrundlage — und folglich die am häufigsten falsch angewendete. Sie kann ein breites Spektrum an Verarbeitungstätigkeiten abdecken, von der Betrugsprävention und Netzwerksicherheit über Direktmarketing an bestehende Kunden bis hin zu konzerninternen Datenübermittlungen. Doch Flexibilität ist mit einer Anforderung verbunden: Sie müssen vor der Anwendung eine Abwägungsprüfung durchführen.

Der dreiteilige Test

Jede Prüfung berechtigter Interessen muss drei Fragen behandeln:

  • Zweckprüfung — Liegt ein berechtigtes Interesse vor? Ist es real und klar formuliert, nicht hypothetisch oder vage?
  • Erforderlichkeitsprüfung — Ist die Verarbeitung tatsächlich erforderlich, um dieses Interesse zu erreichen? Könnten Sie denselben Zweck vernünftigerweise mit weniger Daten oder einer weniger eingriffsintensiven Verarbeitung erreichen?
  • Abwägungsprüfung — Überwiegen die Interessen, Rechte und Freiheiten der Person Ihr berechtigtes Interesse? Berücksichtigen Sie die Art der Daten, die Erwartungen der betroffenen Person, die Auswirkungen auf sie und welche Schutzmassnahmen Sie getroffen haben.

Praktische Beispiele

  • Die Verarbeitung von Mitarbeiterdaten zur IT-Sicherheitsüberwachung — berechtigtes Interesse am Schutz der Unternehmensnetzwerke, abgewogen gegen die Datenschutzerwartungen der Mitarbeiter mit klaren Richtlinien
  • Das Versenden von Direktmarketing an bestehende Kunden zu ähnlichen Produkten — in Erwägungsgrund 47 anerkanntes berechtigtes Interesse, vorbehaltlich der Widerspruchsrechte
  • Die Weitergabe von Kundendaten innerhalb eines Konzerns zu internen Verwaltungszwecken — in Erwägungsgrund 48 ausdrücklich als berechtigtes Interesse anerkannt
  • Betrugsprävention und -aufdeckung — ein etabliertes berechtigtes Interesse

Erwägungsgrund 48: «Verantwortliche, die Teil einer Unternehmensgruppe oder einer einer zentralen Stelle zugeordneten Einrichtungsgruppe sind, können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschliesslich der Verarbeitung personenbezogener Daten von Kunden oder Beschäftigten, zu übermitteln.»

DSGVO Erwägungsgrund 48 — relevant für Organisationen mit mehreren Rechtseinheiten

Häufiger Fehler

Sich auf berechtigte Interessen zu stützen, ohne die Abwägungsprüfung zu dokumentieren. Wenn Sie keine schriftliche Prüfung berechtigter Interessen (Legitimate Interest Assessment, LIA) vorlegen können, die alle drei Teile des Tests durchläuft, haben Sie diese Grundlage nicht ordnungsgemäss begründet. Viele Organisationen berufen sich mündlich auf berechtigte Interessen, verfügen aber über keine dokumentierte Prüfung — was bedeutet, dass sie gegenüber einer Aufsichtsbehörde keinen Nachweis haben.

Komplexität bei mehreren Rechtseinheiten

Berechtigte Interessen sind für Konzerne besonders wichtig — und besonders komplex. Konzerninterne Datenübermittlungen stützen sich häufig auf diese Grundlage, doch jede Einheit benötigt ihre eigene Prüfung. Das berechtigte Interesse der Muttergesellschaft an der Zentralisierung von HR-Daten überwiegt nicht automatisch die Datenschutzrechte der Mitarbeiter in einer Tochtergesellschaft, die in einer Rechtsordnung mit strengeren Schutzbestimmungen tätig ist. Jede Übermittlung benötigt ihre eigene dokumentierte Abwägungsprüfung.

Wie Priverion hilft

Die KI-gestützte Erstellung von DSFA und LIA von Priverion füllt die dreiteilige Prüfung der berechtigten Interessen auf Grundlage der Details Ihrer Verarbeitungstätigkeit, der Datenkategorien und der Arten betroffener Personen vor. Ihr Datenschutzbeauftragter prüft und finalisiert — was die Bearbeitungszeit von Tagen auf Stunden verkürzt und dabei die vollständige menschliche Aufsicht wahrt. Alle Prüfungen werden mit der entsprechenden Verarbeitungstätigkeit in Ihrem Verarbeitungsverzeichnis verknüpft, für eine vollständige Nachvollziehbarkeit bei Prüfungen.

Wie Sie die richtige Rechtsgrundlage wählen — ein praktischer Entscheidungsprozess

Die Wahl einer Rechtsgrundlage ist keine einmalige Übung. Sie sollte in der Konzeptionsphase jeder neuen Verarbeitungstätigkeit erfolgen und immer dann überprüft werden, wenn sich Zweck, Umfang oder Kontext der Verarbeitung ändern. Hier ist der Entscheidungsprozess, den wir empfehlen:

Schritt 1: Definieren Sie den Zweck präzise

Bevor Sie eine Grundlage auswählen können, benötigen Sie absolute Klarheit darüber, warum Sie personenbezogene Daten verarbeiten. «Zu Geschäftszwecken» ist kein Zweck. «Zur Abwicklung der monatlichen Gehaltsabrechnung für die Mitarbeiter unserer deutschen Tochtergesellschaft» schon. Je spezifischer Ihr Zweck, desto leichter lässt sich die richtige Grundlage ermitteln.

Schritt 2: Schliessen Sie Grundlagen aus, die eindeutig nicht zutreffen

Die meisten Verarbeitungstätigkeiten können lebenswichtige Interessen (keine Situation auf Leben und Tod) und die öffentliche Aufgabe (keine Behörde oder delegierte Funktion) sofort ausschliessen. So bleiben in der Regel vier Kandidaten übrig: Einwilligung, Vertrag, rechtliche Verpflichtung und berechtigte Interessen.

Schritt 3: Prüfen Sie zuerst auf eine rechtliche Verpflichtung

Wenn eine konkrete Rechtsvorschrift die Verarbeitung vorschreibt, verwenden Sie die rechtliche Verpflichtung. Dies ist die klarste Grundlage — es gibt keine Abwägungsprüfung, kein Risiko des Einwilligungswiderrufs, und die Dokumentation ist unkompliziert: Zitieren Sie das Gesetz und die Bestimmung.

Schritt 4: Prüfen Sie auf vertragliche Erforderlichkeit

Wenn die Verarbeitung wirklich erforderlich ist, um einen Vertrag mit der betroffenen Person zu erfüllen, verwenden Sie den Vertrag. Denken Sie an den Erforderlichkeitstest: Der Vertrag könnte ohne diese konkrete Verarbeitung nicht erfüllt werden.

Schritt 5: Beurteilen Sie, ob die Einwilligung angemessen ist

Die Einwilligung funktioniert, wenn Sie eine echte Wahl bieten können, wenn ein Widerruf keine Probleme verursacht und wenn kein Machtungleichgewicht besteht. Wenn eine dieser Bedingungen nicht erfüllt ist, ist die Einwilligung nicht die richtige Wahl — selbst wenn sie sich wie die «sicherste» Option anfühlt.

Schritt 6: Ziehen Sie berechtigte Interessen zuletzt in Betracht

Wenn keine andere Grundlage natürlich passt, können berechtigte Interessen gelten — aber nur, wenn Sie den dreiteiligen Test bestehen und ihn dokumentieren können. Verwenden Sie berechtigte Interessen nicht als Auffangstandard. Setzen Sie sie ein, wenn Sie ein echtes, konkretes Interesse haben, das einer Prüfung standhält.

Für Organisationen mit mehreren Rechtseinheiten

Jede Tochtergesellschaft muss diese Festlegung möglicherweise eigenständig für die von ihr verantworteten Verarbeitungstätigkeiten treffen. Eine Konzern-Datenschutzrichtlinie ist ein guter Ausgangspunkt, ersetzt aber nicht die Dokumentation auf Einheitsebene. Priverion ermöglicht es jeder Einheit, ihre Auswahl der Rechtsgrundlagen innerhalb einer einheitlichen Plattform zu dokumentieren — und verschafft Konzern-Datenschutzbeauftragten Transparenz über alle Einheiten hinweg, während die von den Aufsichtsbehörden erwartete Spezifität gewahrt bleibt.

Häufige Entscheidungsfallen, die Sie vermeiden sollten

  • Standardmässig für alles die Einwilligung zu wählen — die Einwilligung ist nicht immer die sicherste Grundlage, insbesondere wenn ein Widerruf eine berechtigte Verarbeitung stören würde
  • Eine Grundlage rückwirkend zu wählen — die Grundlage muss vor Beginn der Verarbeitung festgelegt werden, nicht erst nach einer Prüfungsanfrage
  • Grundlagen nachträglich zu wechseln — auch wenn dies nicht ausdrücklich verboten ist, ist der Wechsel Ihrer Rechtsgrundlage ein Warnsignal für die Aufsichtsbehörden und legt nahe, dass Ihre ursprüngliche Beurteilung unzureichend war
  • Besondere Kategorien personenbezogener Daten zu ignorieren — Artikel 9 verlangt bei der Verarbeitung sensibler Daten (Gesundheit, biometrische Daten, rassische/ethnische Herkunft usw.) eine zusätzliche Bedingung zusätzlich zu Ihrer Grundlage nach Artikel 6
  • Es zu versäumen, zu überprüfen — eine Grundlage, die zu Beginn der Verarbeitung angemessen war, gilt möglicherweise nicht mehr, wenn sich Zweck, Umfang oder Kontext geändert haben

Was das Management von Rechtsgrundlagen in grossem Massstab tatsächlich erfordert

Die richtige Rechtsgrundlage zu ermitteln, ist erst der Anfang. Sie zu dokumentieren, mit jeder Verarbeitungstätigkeit zu verknüpfen und über jede Einheit Ihres Konzerns hinweg belastbar zu halten — daran scheitern die meisten Datenschutzprogramme.

Rechtsgrundlage mit jeder Verarbeitungstätigkeit verknüpft

Jeder Eintrag in Ihrem Verzeichnis von Verarbeitungstätigkeiten erfordert automatisch die Auswahl einer Rechtsgrundlage. Keine verwaisten Einträge. Keine undokumentierte Verarbeitung. Prüfer sehen eine vollständige, strukturierte Zuordnung von der Grundlage nach Artikel 6 zu der konkreten Tätigkeit, die sie autorisiert — über jede Tochtergesellschaft Ihres Konzerns hinweg.

100 % Rezertifizierungsrate des Verarbeitungsverzeichnisses, vollständig automatisiert

AYA — erreicht durch die automatisierten Rezertifizierungs-Workflows von Priverion

KI-gestützte Empfehlungen für Rechtsgrundlagen

Wenn Geschäftseinheiten neue Verarbeitungstätigkeiten anlegen, schlägt die KI von Priverion die am besten geeignete Rechtsgrundlage auf Basis der Verarbeitungsbeschreibung, der Datenkategorien und der beteiligten Arten betroffener Personen vor. Ihr Datenschutzbeauftragter prüft und genehmigt — die KI unterstützt, Menschen entscheiden. Es werden keine Kundendaten für das Modelltraining verwendet. Die gesamte Verarbeitung bleibt innerhalb der Schweizer Infrastruktur.

60 % weniger Verwaltungsaufwand für Compliance

Flugzeughersteller — erste 6 Monate nach der Implementierung

Automatisches Auslösen von DSFA bei risikoreichen Grundlagen

Wählen Sie berechtigtes Interesse oder Einwilligung für besondere Kategorien personenbezogener Daten, und die Plattform markiert die Tätigkeit automatisch für eine Datenschutz-Folgenabschätzung. Die KI-gestützte Erstellung der DSFA füllt Risikobewertung, Verhältnismässigkeitsprüfungen und Empfehlungen für Schutzmassnahmen vor — und verkürzt die Zeit vom Auslöser bis zur abgeschlossenen Prüfung von Wochen auf Stunden.

Über 200 Stunden bei der Compliance-Vorbereitung eingespart

Medtec — ISO-27001-Vorbereitung mit Priverion

Konzernweite Transparenz über alle Einheiten

Ein Dashboard zeigt, auf welche Rechtsgrundlage sich jede Tochtergesellschaft bei jeder Verarbeitungstätigkeit stützt. Erkennen Sie Inkonsistenzen sofort — wenn Ihre deutsche Einheit für die Mitarbeiterüberwachung die Einwilligung verwendet, während Ihre Schweizer Einheit für dieselbe Tätigkeit das berechtigte Interesse nutzt, sehen Sie es, bevor es der Prüfer tut. Berichterstattung in Vorstandsqualität zeigt den Compliance-Status auf einen Blick.

24/7-Unterstützung durch Datenschutzbeauftragte über mehrere Einheiten hinweg

Trapeze — kontinuierliche Aufsicht ermöglicht durch Priverion

Prüfbereite Nachweispakete auf Abruf

Wenn eine Aufsichtsbehörde die Dokumentation Ihrer Entscheidungen zur Rechtsgrundlage anfordert, erstellen Sie in Minuten ein vollständiges Nachweispaket — nicht in den Wochen, die es dauert, wenn Rechtsgrundlagen über 47 Tabellenkalkulationen verteilt sind. Jeder Eintrag enthält die gewählte Grundlage, die Begründung, den Prüfer, das Datum und alle zugehörigen Prüfungen berechtigter Interessen oder DSFA.

100 % Abdeckung der Lieferantenrisikobewertung

Zurzach Care — vollständige Lieferantendokumentation durch Priverion

Schweizer Datensouveränität standardmässig

Ihre Aufzeichnungen zu Rechtsgrundlagen, die Dokumentation der Verarbeitungstätigkeiten und die Compliance-Nachweise verlassen niemals die Schweizer Infrastruktur. In einer Welt nach Schrems II, in der grenzüberschreitende Datenübermittlungen anhaltender rechtlicher Unsicherheit ausgesetzt sind, ist Hosting in der Schweiz kein Häkchen — es ist eine strukturelle Schutzmassnahme. Ihre Compliance-Unterlagen sind durch einige der strengsten Datenschutzgesetze der Welt geschützt.

In der Schweiz entwickelt, in der Schweiz gehostet, europäische Datenresidenz

Priverion-Infrastruktur — alle Daten werden innerhalb der Schweiz verarbeitet

200+

Eingesparte Stunden beim Verarbeitungsverzeichnis-Management

Medtec gewann über 200 Stunden während der ISO-27001-Vorbereitung zurück, indem die manuelle Erfassung durch automatisierte Rezertifizierungs-Workflows ersetzt wurde — erste 6 Monate

60%

Geringere Gesamtkosten im Vergleich zu OneTrust

Basierend auf einer vergleichenden Preisanalyse für Bereitstellungen über mehrere Rechtseinheiten (10–50 Tochtergesellschaften) — Preisgestaltung pro Einheit ohne Kostenfallen pro Nutzer oder pro Modul

3 Mt.

Vor dem Zeitplan bei ISO 27001

Medtec beschleunigte seinen ISO-27001-Zertifizierungszeitplan um 3 Monate durch die prüfbereiten Nachweispakete und die automatisierte Dokumentation von Priverion

Vergleich

Warum Mid-Market-Teams von OneTrust zu Priverion wechseln

OneTrust wurde für die Komplexität von Fortune-500-Unternehmen entwickelt — und für Fortune-500-Budgets. Wenn Sie den Datenschutz über 5 bis 50 Tochtergesellschaften hinweg verwalten, benötigen Sie Funktionen auf Enterprise-Niveau ohne den Enterprise-Aufwand.

Die OneTrust-Erfahrung

Preisgestaltung pro Nutzer und pro Modul

Die Kosten steigen unvorhersehbar, wenn Sie Nutzer oder Module hinzufügen. CFOs können die Jahresausgaben nicht prognostizieren, weil jedes neue Teammitglied ein Preisgespräch auslöst.

US-Hauptsitz, in den USA gehostet

In einer Welt nach Schrems II schafft das Hosting von Daten in den USA zusätzliche rechtliche Komplexität für europäische Organisationen, die grenzüberschreitende Datenübermittlungen verwalten.

Für Fortune 500 konzipiert

Funktionsreich bis zur Überforderung. Mid-Market-Teams zahlen am Ende für ESG-, Ethik-Hotline- und Cookie-Einwilligungsmodule, die sie nie nutzen.

Monatelange Implementierung

Eine typische Enterprise-Einführung erfordert dedizierte Implementierungsberater, individuelle professionelle Dienstleistungen und über 6 Monate, bevor Sie einen Mehrwert sehen.

Über 200 oberflächliche Integrationen

Eine lange Liste von Konnektoren sieht auf dem Papier gut aus, verursacht aber Wartungsaufwand. Viele Integrationen sind oberflächlich und erfordern laufende individuelle Arbeit, um funktionsfähig zu bleiben.

Die Priverion-Erfahrung

Vorhersehbare Preisgestaltung pro Unternehmen

Basierend auf der Anzahl der Einheiten und der Organisationsgrösse — nicht pro Nutzer oder pro Modul. Fügen Sie so viele Nutzer hinzu, wie Sie benötigen, ohne eine Preisüberraschung auszulösen.

In der Schweiz entwickelt, in der Schweiz gehostet

Europäische Datenresidenz ist kein Marketing-Häkchen — sie ist ein rechtlicher Vorteil. Die gesamte Datenverarbeitung erfolgt innerhalb der Schweizer Infrastruktur und bietet die strengste Datenschutzrechtsordnung Europas.

Speziell für Mid-Market-Konzerne entwickelt

Jede Funktion existiert, weil ein Datenschutzbeauftragter, der die Compliance über mehrere Rechtseinheiten hinweg verwaltet, sie benötigte. Kein Ballast, keine Module, die Sie nie anrühren werden. Wir decken weder ESG noch Ethik-Hotlines oder Cookie-Einwilligung ab — und das mit Absicht.

In Wochen einsatzbereit

Ein Flugzeughersteller reduzierte den Compliance-Verwaltungsaufwand innerhalb der ersten 6 Monate um 60 %. Die Implementierung wird in Wochen gemessen, nicht in Quartalen — mit geführtem Onboarding, nicht mit einem Beratungsauftrag.

Flugzeughersteller — erste 6 Monate nach der Einführung

Tiefe Integrationen dort, wo sie zählen

Wir integrieren uns tief in die Systeme, die Datenschutz-Workflows antreiben — HR, Beschaffung, IT-Asset-Management — anstatt 200 oberflächliche Konnektoren anzubieten, die Wartungsaufwand verursachen.

Erwägen Sie einen Wechsel? Die meisten Teams sind innerhalb von 4 Wochen vollständig migriert.

Eine 30-minütige Präsentation buchen

Laden Sie das Entscheidungsframework für Rechtsgrundlagen herunter

Ein strukturierter, einseitiger Entscheidungsbaum, der Ihr Team durch die Auswahl der Rechtsgrundlage für jede Verarbeitungstätigkeit führt — konzipiert für Datenschutzbeauftragte, die die Compliance über mehrere Rechtseinheiten hinweg verwalten.

  • Schrittweiser Entscheidungsbaum, der alle sechs Grundlagen nach Artikel 6(1) abdeckt
  • Dokumentations-Checkliste für jede Grundlage
  • Warnsignale, die anzeigen, dass Sie die falsche Grundlage gewählt haben
  • Overlay für besondere Kategorien personenbezogener Daten — Bedingungen nach Artikel 9
  • Überlegungen zu mehreren Rechtseinheiten für konzernweite Konsistenz
Das Framework herunterladen

Keine Registrierungsschranke. Direkter PDF-Download. Wenn Sie eine Präsentation wünschen, wie Priverion die Nachverfolgung von Rechtsgrundlagen über Ihren Konzern hinweg automatisiert, buchen Sie eine 30-minütige Sitzung.

Verwalten Sie den Datenschutz nicht länger in Tabellenkalkulationen

Sehen Sie, wie konzernweites Datenschutzmanagement aussieht, wenn es tatsächlich funktioniert

In 30 Minuten gehen wir Ihre spezifische Struktur mit mehreren Rechtseinheiten durch und zeigen Ihnen, wie Teams wie ein Flugzeughersteller den Compliance-Verwaltungsaufwand um 60 % gesenkt haben — und wie Ihre Datenschutzbeauftragten ihre Zeit für strategische Arbeit aufwenden können, anstatt Rezertifizierungen hinterherzulaufen.

Wochen, nicht Monate

Durchschnittliche Zeit bis zur Inbetriebnahme

Keine Preisgestaltung pro Nutzer

Vorhersehbare Kosten, die mit den Einheiten skalieren

100 % in der Schweiz gehostet

Europäische Datenresidenz garantiert

Eine 30-minütige Präsentation buchen

Keine Verpflichtung erforderlich. Wir richten die Sitzung auf Ihre Einheitsstruktur und Ihre Compliance-Prioritäten aus.

Über diese Seite — Quellen, Definitionen und FAQs

Das Wichtigste auf einen Blick — DSGVO-Rechtsgrundlagen im Jahr 2026

Jede Verarbeitungstätigkeit gemäss DSGVO muss sich auf eine von sechs in Artikel 6(1) definierten Rechtsgrundlagen stützen. Die falsche Grundlage auszuwählen — oder überhaupt keine zu dokumentieren — ist die häufigste Compliance-Lücke, die bei Prüfungen durch Aufsichtsbehörden festgestellt wird. Organisationen, die über mehrere Rechtseinheiten hinweg tätig sind, sehen sich zusätzlicher Komplexität gegenüber, da jeder Verantwortliche seine Rechtsgrundlage eigenständig begründen und festhalten muss. Eine zentralisierte, in der Schweiz gehostete GRC-Plattform wie Priverion ermöglicht ein einheitsspezifisches Verarbeitungsverzeichnis-Management, eine automatisierte Nachverfolgung der Rechtsgrundlagen und einheitsübergreifende Prüfpfade.

Definitionen

Was ist eine Rechtsgrundlage gemäss DSGVO?

Rechtsgrundlage bezeichnet eine von sechs rechtlichen Grundlagen, die in DSGVO Artikel 6(1) aufgeführt sind und die ein Verantwortlicher vor der Verarbeitung personenbezogener Daten ermitteln und dokumentieren muss. Die sechs Grundlagen sind: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigte Interessen. [EDSA-Leitlinien]

Was ist ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis)?

Ein Verzeichnis von Verarbeitungstätigkeiten ist ein verpflichtendes Register gemäss DSGVO Artikel 30, das jede Verarbeitungstätigkeit, ihren Zweck, die Kategorien betroffener Personen und personenbezogener Daten, die Empfänger, Übermittlungen, Aufbewahrungsfristen und die herangezogene Rechtsgrundlage dokumentiert.

Was ist eine Prüfung berechtigter Interessen (Legitimate Interest Assessment, LIA)?

Eine Prüfung berechtigter Interessen ist eine strukturierte, dokumentierte Bewertung, die erforderlich ist, wenn man sich auf Artikel 6(1)(f) stützt. Sie umfasst drei Schritte: (1) die Ermittlung des berechtigten Interesses, (2) den Nachweis der Erforderlichkeit und (3) die Abwägung des Interesses gegen die Rechte und Freiheiten der betroffenen Person. Der EDSA erwartet, dass LIAs festgehalten und für die Überprüfung durch die Aufsichtsbehörde verfügbar sind.

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Eine Datenschutz-Folgenabschätzung ist gemäss DSGVO Artikel 35 erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. DSFA müssen die Rechtsgrundlage, die Erforderlichkeit, die Verhältnismässigkeit und die Massnahmen zur Risikominderung für die Verarbeitungstätigkeit dokumentieren.

Statistiken und Durchsetzungskontext

Laut dem IAPP-EY Privacy Governance Report 2023 verwalten 78 % der Organisationen mit mehreren Rechtseinheiten ihre Verzeichnisse von Verarbeitungstätigkeiten nach wie vor in Tabellenkalkulationen statt in dedizierten GRC-Plattformen. Der GDPR Enforcement Tracker (gepflegt von CMS Law) erfasste bis Ende 2024 kumulierte DSGVO-Bussgelder von über 4,5 Milliarden Euro, wobei «unzureichende Rechtsgrundlage für die Datenverarbeitung» als die mit Abstand am häufigsten genannte Verstosskategorie galt. Der Europäische Datenschutzausschuss stellte in seinem Beitrag zur DSGVO-Evaluierung 2023 fest, dass die Dokumentation der Rechtsgrundlagen in den EU-Mitgliedstaaten weiterhin eine systemische Schwäche darstellt. Eine Gartner-Prognose aus dem Jahr 2024 ging davon aus, dass bis 2026 die personenbezogenen Daten von 75 % der Weltbevölkerung durch moderne Datenschutzvorschriften geschützt sein werden, was die Dringlichkeit der Rechtsgrundlagen-Compliance für multinationale Organisationen erhöht.

Häufig gestellte Fragen

Was sind die sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten gemäss DSGVO?

Artikel 6(1) der DSGVO definiert sechs Rechtsgrundlagen: (a) Einwilligung, (b) Vertragserfüllung, (c) rechtliche Verpflichtung, (d) lebenswichtige Interessen, (e) öffentliche Aufgabe und (f) berechtigte Interessen. Jede Verarbeitungstätigkeit muss sich auf mindestens eine dieser Grundlagen stützen, und die gewählte Grundlage muss vor Beginn der Verarbeitung dokumentiert werden. Der vollständige Text ist unter gdpr-info.eu verfügbar.

Wie wähle ich die richtige Rechtsgrundlage für eine Verarbeitungstätigkeit?

Beginnen Sie mit der Ermittlung des Verarbeitungszwecks. Wenn die betroffene Person eine echte Wahl hat, kann die Einwilligung gelten. Wenn die Verarbeitung erforderlich ist, um einen Vertrag mit der betroffenen Person zu erfüllen, verwenden Sie die Vertragserfüllung. Die rechtliche Verpflichtung gilt, wenn EU- oder mitgliedstaatliches Recht die Verarbeitung vorschreibt. Lebenswichtige Interessen decken lebensbedrohliche Notfälle ab. Die öffentliche Aufgabe gilt für Funktionen in Ausübung öffentlicher Gewalt. Berechtigte Interessen erfordern eine dreiteilige Abwägungsprüfung, die über eine Prüfung berechtigter Interessen dokumentiert wird. Die EDSA-Leitlinien bieten detaillierte Entscheidungskriterien.

Kann ich die Rechtsgrundlage ändern, nachdem die Verarbeitung begonnen hat?

Der EDSA rät, dass ein Wechsel der Rechtsgrundlage nach Beginn der Verarbeitung in der Regel nicht zulässig ist. Wie in Erwägungsgrund 40 dargelegt, muss die Rechtsgrundlage vor Beginn der Verarbeitung ermittelt und dokumentiert werden. Wenn sich der Verarbeitungszweck wesentlich ändert, ist eine neue Beurteilung der Rechtsgrundlage erforderlich.

Warum ist die Einwilligung oft der falsche Standard für Mitarbeiterdaten?

Das Verhältnis zwischen Arbeitgeber und Arbeitnehmer schafft ein inhärentes Machtungleichgewicht. Da Mitarbeiter negative Konsequenzen bei einer Ablehnung befürchten könnten, gilt die Einwilligung nach DSGVO Artikel 7 und Erwägungsgrund 43 selten als «freiwillig erteilt». Die meisten Verarbeitungen von Mitarbeiterdaten sollten sich auf die Vertragserfüllung (Artikel 6(1)(b)) oder eine rechtliche Verpflichtung (Artikel 6(1)(c)) stützen.

Was ist eine Prüfung berechtigter Interessen (LIA) und wann ist sie erforderlich?

Eine Prüfung berechtigter Interessen ist ein dokumentierter dreiteiliger Test, der erforderlich ist, wenn man sich auf Artikel 6(1)(f) stützt. Er bewertet: (1) ob der Verantwortliche oder ein Dritter ein berechtigtes Interesse hat, (2) ob die Verarbeitung erforderlich ist, um dieses Interesse zu erreichen, und (3) ob die Rechte und Freiheiten der betroffenen Person dieses Interesse überwiegen. Der EDSA und die nationalen Aufsichtsbehörden erwarten, dass LIAs festgehalten und für eine Überprüfung verfügbar sind.

Wie verwalten Organisationen mit mehreren Rechtseinheiten die Dokumentation der Rechtsgrundlage?

Jede Rechtseinheit, die als Verantwortlicher handelt, muss ihre Rechtsgrundlage für jede Verarbeitungstätigkeit eigenständig in ihrem Verarbeitungsverzeichnis gemäss Artikel 30 dokumentieren. In Konzernen erstreckt sich eine von einer Tochtergesellschaft eingeholte Einwilligung nicht automatisch auf eine andere. Eine zentralisierte GRC-Plattform ermöglicht ein einheitsspezifisches Verarbeitungsverzeichnis-Management mit vererbten Vorlagen und einheitsübergreifenden Prüfpfaden.

Wie hoch sind die DSGVO-Bussgelder für die fehlende Dokumentation einer Rechtsgrundlage?

Verstösse gegen Artikel 6 fallen unter den höheren Bussgeldrahmen der DSGVO-Verwaltungsbussen: bis zu 20 Millionen Euro oder 4 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist, gemäss Artikel 83(5)(a). Laut dem GDPR Enforcement Tracker gehören Verstösse im Zusammenhang mit der Rechtsgrundlage seit 2018 zu den am häufigsten mit Bussgeldern belegten Verstosskategorien.

Verwendet das revDSG dieselben Rechtsgrundlagen wie die DSGVO?

Nein. Das revidierte schweizerische Datenschutzgesetz (revDSG/nDSG), das seit dem 1. September 2023 in Kraft ist, folgt einem anderen Modell. Nach schweizerischem Recht ist die Datenbearbeitung durch Privatpersonen rechtmässig, sofern sie nicht gegen Datenschutzgrundsätze verstösst — es besteht keine Pflicht, eine konkrete Rechtsgrundlage wie nach DSGVO Artikel 6 zu ermitteln. Der vollständige Text ist unter fedlex.admin.ch verfügbar. Organisationen, die sowohl der DSGVO als auch dem revDSG unterliegen, müssen jedoch weiterhin die DSGVO-Rechtsgrundlagen für betroffene Personen in der EU/im EWR dokumentieren.

Vergleich: DSGVO-Rechtsgrundlagen auf einen Blick

RechtsgrundlageDSGVO-ArtikelTypische AnwendungsfälleZentrale AnforderungHäufiger Fallstrick
EinwilligungArt. 6(1)(a)Marketing-E-Mails, optionale Analysen, CookiesFreiwillig erteilt, spezifisch, informiert, unmissverständlichVerwendung der Einwilligung für Mitarbeiterdaten trotz Machtungleichgewicht
VertragArt. 6(1)(b)Auftragsabwicklung, Gehaltszahlungen, vorvertragliche SchritteDie Verarbeitung muss objektiv für den Vertrag erforderlich seinAusdehnung auf verhaltensbasierte Werbung in den Nutzungsbedingungen
Rechtliche VerpflichtungArt. 6(1)(c)Steuermeldungen, Geldwäscherei-/KYC-Prüfungen, ArbeitsrechtEs muss ein konkretes EU- oder mitgliedstaatliches Gesetz zitiert werdenBerufung auf vage «regulatorische Anforderungen», ohne das Gesetz zu zitieren
Lebenswichtige InteressenArt. 6(1)(d)Medizinische Notfälle, KatastrophenhilfeLebensbedrohliche Situation; keine andere Grundlage verfügbarVerwendung für die routinemässige Verarbeitung von Gesundheitsdaten
Öffentliche AufgabeArt. 6(1)(e)Behördliche Dienstleistungen, Funktionen öffentlicher GewaltAufgabe im öffentlichen Interesse oder in Ausübung öffentlicher GewaltPrivate Unternehmen, die sich ohne Mandat auf die Grundlage der öffentlichen Aufgabe berufen
Berechtigte InteressenArt. 6(1)(f)Betrugsprävention, Netzwerksicherheit, DirektmarketingDreiteilige Abwägungsprüfung (LIA) muss dokumentiert werdenVersäumnis, die Abwägungsprüfung durchzuführen oder zu dokumentieren