Die sechs Rechtsgrundlagen für die Verarbeitung gemäss DSGVO — was sie bedeuten und wie Sie sie richtig anwenden
Jede Verarbeitungstätigkeit in Ihrer Organisation benötigt eine Rechtsgrundlage. Die falsche auszuwählen — oder sie nicht zu dokumentieren — ist die mit Abstand häufigste DSGVO-Compliance-Lücke, die Prüfer feststellen. Dieser Leitfaden erläutert alle sechs Grundlagen, erklärt, wann jede gilt, und zeigt, wie Organisationen mit komplexen Konzernstrukturen sie dokumentiert und belastbar halten.
Warum die Auswahl der Rechtsgrundlage das Fundament der DSGVO-Compliance ist
Artikel 6(1) der DSGVO besagt, dass die Verarbeitung personenbezogener Daten nur dann — und nur insoweit — rechtmässig ist, als mindestens eine von sechs Bedingungen erfüllt ist. Dies ist nicht optional, nicht flexibel und nicht etwas, das Sie nachträglich ergänzen können, wenn eine Aufsichtsbehörde anklopft.
Für Organisationen, die mehrere Tochtergesellschaften über verschiedene Rechtsordnungen hinweg verwalten, besteht die Herausforderung nicht nur darin, die richtige Grundlage einmalig auszuwählen. Es geht darum, sicherzustellen, dass jede Rechtseinheit, jede Verarbeitungstätigkeit und jede Geschäftseinheit ihre Rechtsgrundlage korrekt dokumentiert hat — und dass diese Aufzeichnungen aktuell bleiben, während sich die Verarbeitung weiterentwickelt.
Das Ausmass des Problems
78 % der Organisationen mit mehreren Rechtseinheiten verwalten ihre Verzeichnisse von Verarbeitungstätigkeiten nach wie vor in Tabellenkalkulationen. Wenn Rechtsgrundlagen in Spalte G einer gemeinsam genutzten Excel-Datei stehen, werden sie nicht überprüft, aktualisiert oder hinterfragt. Sie zerfallen unbemerkt, bis eine Prüfung die Lücke offenlegt.
Was in der Praxis schiefgeht
Das häufigste Fehlermuster besteht nicht darin, die falsche Rechtsgrundlage zu wählen. Es besteht darin, überhaupt nie ausdrücklich eine auszuwählen. Verarbeitungstätigkeiten werden angelegt, Datenflüsse werden aufgebaut, und das Feld für die Rechtsgrundlage bleibt leer oder wird standardmässig auf «Einwilligung» gesetzt, weil jemand annahm, dies sei stets die sichere Wahl.
Das zweithäufigste Versäumnis: eine Rechtsgrundlage zu Beginn einer Verarbeitungstätigkeit zu wählen und sie nie zu überprüfen, selbst wenn sich Zweck, Umfang oder Datenkategorien im Laufe der Zeit ändern. Eine Grundlage, die bei der Konzeption einer Verarbeitungstätigkeit gültig war, gilt zwei Jahre später möglicherweise nicht mehr.
In diesem Leitfaden
- 1. Einwilligung — Artikel 6(1)(a)
- 2. Vertrag — Artikel 6(1)(b)
- 3. Rechtliche Verpflichtung — Artikel 6(1)(c)
- 4. Lebenswichtige Interessen — Artikel 6(1)(d)
- 5. Öffentliche Aufgabe — Artikel 6(1)(e)
- 6. Berechtigte Interessen — Artikel 6(1)(f)
- Wie Sie die richtige Grundlage wählen
- Das Entscheidungsframework herunterladen
Rechtsgrundlage 1 von 6
Einwilligung
Artikel 6(1)(a) — Die betroffene Person hat ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
Wann die Einwilligung gilt
Die Einwilligung ist die richtige Grundlage, wenn Sie der betroffenen Person eine echte Wahlmöglichkeit und Massnahme darüber bieten, wie ihre Daten verwendet werden. Sie eignet sich gut für Marketingkommunikation, optionale Analysen, Newsletter-Anmeldungen und nicht zwingend erforderliche Cookies. Das Schlüsselwort ist «echt» — wenn die betroffene Person keine realistische Möglichkeit hat, ohne negative Konsequenzen abzulehnen, ist die Einwilligung nicht freiwillig erteilt.
Was die DSGVO für eine gültige Einwilligung verlangt
- Freiwillig erteilt — keine Kopplung der Einwilligung an die Annahme von Bedingungen, kein Machtungleichgewicht, das die freie Entscheidung untergräbt
- Spezifisch — die Einwilligung muss granular sein und unterschiedliche Verarbeitungszwecke getrennt abdecken
- Informiert — die betroffene Person muss wissen, wer der Verantwortliche ist, welche Verarbeitung erfolgt und zu welchem Zweck
- Unmissverständlich — erfordert eine eindeutige bestätigende Handlung (Opt-in, keine vorausgewählten Kästchen)
- Widerrufbar — der Widerruf muss so einfach sein wie die Erteilung, und die betroffene Person muss vor der Einwilligung darüber informiert werden
Praktische Beispiele
Ein Softwareunternehmen versendet einen monatlichen Produkt-Newsletter. Abonnenten melden sich aktiv über ein Kästchen bei der Kontoerstellung an. Das Kästchen ist nicht vorausgewählt. Die Datenschutzerklärung gibt klar an, was der Abonnent erhält, wie oft und wie er sich abmelden kann. Dies ist eine gültige Einwilligung.
Ein Krankenhaus bittet Patienten um ihre Einwilligung in die Datenverarbeitung zu Behandlungszwecken. Dies ist problematisch — der Patient hat keine echte Wahl, weil er die Behandlung benötigt. Vertrag oder rechtliche Verpflichtung wären hier geeignetere Grundlagen.
Häufiger Fehler
Die Einwilligung als Standardgrundlage für die Verarbeitung von Mitarbeiterdaten zu verwenden. Das Verhältnis zwischen Arbeitgeber und Arbeitnehmer schafft ein inhärentes Machtungleichgewicht, das eine Einwilligung praktisch nie «freiwillig erteilt» macht. Die meisten Verarbeitungen von Mitarbeiterdaten sollten sich auf die Vertragserfüllung (Artikel 6(1)(b)) oder eine rechtliche Verpflichtung (Artikel 6(1)(c)) stützen.
Komplexität bei mehreren Rechtseinheiten
Wenn Sie über mehrere Tochtergesellschaften hinweg tätig sind, wird das Einwilligungsmanagement exponentiell schwieriger. Jede Rechtseinheit kann ein eigener Verantwortlicher sein, was bedeutet, dass eine von Ihrer deutschen Tochtergesellschaft eingeholte Einwilligung die Verarbeitung durch Ihre Schweizer Muttergesellschaft nicht automatisch autorisiert. Einwilligungsnachweise müssen einheitsspezifisch, prüfbar und mit bestimmten Verarbeitungstätigkeiten verknüpft sein — und nicht in einer gemeinsam genutzten Tabellenkalkulation vergraben.
Rechtsgrundlage 2 von 6
Vertrag
Artikel 6(1)(b) — Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Massnahmen, die auf Anfrage der betroffenen Person erfolgen.
Wann der Vertrag gilt
Diese Grundlage deckt Verarbeitungen ab, die wirklich erforderlich sind, um Ihre vertraglichen Verpflichtungen gegenüber der betroffenen Person zu erfüllen — oder um von ihr angeforderte vorvertragliche Schritte zu unternehmen. Der Schwerpunkt liegt auf «erforderlich»: Nur weil eine Datenverarbeitung in einem Vertrag erwähnt wird, ist sie nicht zwangsläufig für die Erfüllung des Vertrags erforderlich.
Praktische Beispiele
- Die Verarbeitung der Lieferadresse eines Kunden, um ein bestelltes Produkt zu liefern — erforderlich für die Vertragserfüllung
- Die Verarbeitung der Bankdaten eines Mitarbeiters zur Auszahlung seines Gehalts — erforderlich für den Arbeitsvertrag
- Die Durchführung einer Bonitätsprüfung bei einem Kreditantragsteller auf dessen Anfrage — vorvertragliche Massnahmen
- Das Versenden von Marketing-E-Mails an bestehende Kunden — nicht für den Vertrag erforderlich, daher gilt diese Grundlage nicht
Der «Erforderlichkeits»-Test
Der Europäische Datenschutzausschuss (EDSA) hat klargestellt, dass diese Grundlage nicht herangezogen werden kann, um eine Verarbeitung zu rechtfertigen, die lediglich nützlich oder im Vertrag erwähnt ist. Die Verarbeitung muss objektiv erforderlich sein — das heisst, der Vertrag kann ohne sie nicht erfüllt werden. Eine Klausel in Ihren Nutzungsbedingungen, die besagt «wir verarbeiten Ihre Daten zum Profiling», macht das Profiling nicht zu einer für die Vertragserfüllung erforderlichen Massnahme.
Häufiger Fehler
Artikel 6(1)(b) so auszudehnen, dass er alle in den Nutzungsbedingungen erwähnten Verarbeitungen abdeckt. Wenn Sie verhaltensbasierte Werbung in Ihre Bedingungen aufnehmen, macht das diese nicht «erforderlich» für den Dienst. Der EDSA hat dies in seinen Leitlinien 2/2019 ausdrücklich behandelt und festgestellt, dass viele Online-Dienste sich unzulässigerweise auf die Vertragserfüllung für Verarbeitungen stützten, die eine Einwilligung oder berechtigte Interessen erfordern sollten.
Komplexität bei mehreren Rechtseinheiten
In Konzernstrukturen sind die vertragsschliessende Einheit und die verarbeitende Einheit oft unterschiedlich. Wenn der Vertrag Ihres Kunden mit Ihrer britischen Tochtergesellschaft besteht, die Datenverarbeitung aber auf Konzernebene in der Schweiz erfolgt, müssen Sie klären, welche Einheit der Verantwortliche ist, welche Grundlage für jede Verarbeitungsphase gilt und ob ein Auftragsverarbeitungsvertrag (AVV) oder eine Vereinbarung über die gemeinsame Verantwortlichkeit erforderlich ist.
Rechtsgrundlage 3 von 6
Rechtliche Verpflichtung
Artikel 6(1)(c) — Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
Wann die rechtliche Verpflichtung gilt
Diese Grundlage gilt, wenn Sie nach EU- oder mitgliedstaatlichem Recht zur Verarbeitung personenbezogener Daten verpflichtet sind. Die Verpflichtung muss durch Gesetz begründet sein — nicht durch vertragliche Verpflichtungen, Branchenstandards oder Selbstregulierungskodizes. Sie benötigen keine Einwilligung, wenn die Verarbeitung gesetzlich vorgeschrieben ist, und tatsächlich wäre es hier unangemessen, sich auf die Einwilligung zu stützen, da die betroffene Person nicht in sinnvoller Weise ablehnen kann.
Praktische Beispiele
- Arbeitgeber, die Steuerdaten von Mitarbeitern verarbeiten, um steuerrechtliche Vorgaben einzuhalten
- Finanzinstitute, die verdächtige Transaktionen im Rahmen von Geldwäschereivorschriften melden
- Unternehmen, die Buchhaltungsunterlagen für die gesetzlich vorgeschriebene Aufbewahrungsfrist aufbewahren
- Gesundheitsdienstleister, die Patientendaten während Krankheitsausbrüchen mit den Gesundheitsbehörden teilen, wie gesetzlich vorgeschrieben
Zentrale Anforderungen
Sie sollten in der Lage sein, die konkrete Rechtsvorschrift zu benennen, die die Verpflichtung begründet. «Wir glauben, dass wir wahrscheinlich verpflichtet sind» reicht nicht aus. Dokumentieren Sie das Gesetz, die konkrete Bestimmung und den Umfang der vorgeschriebenen Verarbeitung. Die Verarbeitung darf nicht über das hinausgehen, was die rechtliche Verpflichtung erfordert.
Häufiger Fehler
Aufsichtsrechtliche Leitlinien oder bewährte Branchenpraktiken mit rechtlichen Verpflichtungen zu verwechseln. Eine Empfehlung einer Aufsichtsbehörde ist nicht dasselbe wie eine rechtliche Verpflichtung. Ebenso begründen vertragliche Verpflichtungen gegenüber anderen Unternehmen (wie ein Auftragsverarbeitungsvertrag (AVV)) keine «rechtliche Verpflichtung» im Sinne von Artikel 6(1)(c) — diese Grundlage erfordert eine gesetzliche Verpflichtung.
Komplexität bei mehreren Rechtseinheiten
Rechtliche Verpflichtungen unterscheiden sich je nach Rechtsordnung. Ihre deutsche Tochtergesellschaft unterliegt für dieselbe Kategorie von Unterlagen möglicherweise anderen Aufbewahrungspflichten als Ihre Schweizer Einheit. Bei der Steuerung der Compliance über einen Konzern hinweg muss jede Einheit die konkret in ihrer Rechtsordnung geltenden Gesetze ermitteln — ein Einheitsansatz führt entweder zu einer Übermassverarbeitung oder zu Verstössen.
Rechtsgrundlage 4 von 6
Lebenswichtige Interessen
Artikel 6(1)(d) — Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Wann lebenswichtige Interessen gelten
Dies ist die engste Rechtsgrundlage. «Lebenswichtige Interessen» bedeutet Situationen auf Leben und Tod — im wörtlichen Sinne. Sie gilt, wenn die Verarbeitung erforderlich ist, um das Leben einer Person zu schützen, und keine andere Rechtsgrundlage herangezogen werden kann. Die DSGVO stellt ausdrücklich fest, dass diese Grundlage nur dann verwendet werden sollte, wenn die Verarbeitung «offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann».
Praktische Beispiele
- Die Weitergabe der Krankenakte eines Patienten an die Rettungsdienste, wenn der Patient bewusstlos ist und keine Einwilligung erteilen kann
- Die Verarbeitung personenbezogener Daten während einer Naturkatastrophe, um Opfer zu lokalisieren und ihnen zu helfen
- Die Weitergabe der Blutgruppe eines Mitarbeiters an Sanitäter nach einem Arbeitsunfall
Warum diese Grundlage selten angemessen ist
In der überwiegenden Mehrheit kommerzieller Datenverarbeitungsszenarien sind lebenswichtige Interessen nicht anwendbar. Wenn Sie vorausplanen und eine Einwilligung einholen können, wenn Sie ein Vertragsverhältnis haben oder wenn eine andere Grundlage passt — verwenden Sie diese stattdessen. Lebenswichtige Interessen sind ein letztes Mittel, keine Bequemlichkeit.
Für die meisten Organisationen
Wenn Sie lebenswichtige Interessen als Rechtsgrundlage für routinemässige Verarbeitungstätigkeiten dokumentieren, ist etwas schiefgelaufen. Diese Grundlage sollte im Verarbeitungsverzeichnis einer typischen Organisation selten — wenn überhaupt — auftauchen. Ihr Vorkommen in Ihrem Verarbeitungsverzeichnis sollte ein Prüfsignal auslösen und nicht unbemerkt bleiben.
Rechtsgrundlage 5 von 6
Öffentliche Aufgabe
Artikel 6(1)(e) — Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Wann die öffentliche Aufgabe gilt
Diese Grundlage ist in erster Linie für Behörden und Organisationen relevant, die Funktionen öffentlicher Natur wahrnehmen. Die Aufgabe oder Befugnis muss eine klare gesetzliche Grundlage haben — es genügt nicht, zu behaupten, Ihre Verarbeitung diene dem öffentlichen Interesse im allgemeinen Sinne. Für die von Ihnen wahrgenommene Funktion muss eine konkrete gesetzliche Grundlage bestehen.
Praktische Beispiele
- Eine Behörde, die Bürgerdaten verarbeitet, um Sozialversicherungsleistungen zu verwalten
- Eine öffentliche Universität, die Studierendendaten zur Studienverwaltung und für die Bildungsforschung verarbeitet
- Eine Aufsichtsbehörde, die Daten im Rahmen ihrer Aufsichtsfunktionen verarbeitet
- Ein privates Unternehmen, das von der Regierung mit der Verarbeitung von Volkszählungsdaten beauftragt wurde — handelnd in delegierter öffentlicher Gewalt
Relevanz für Organisationen des privaten Sektors
Die meisten privaten Unternehmen werden sich für ihre Kernverarbeitungstätigkeiten nicht auf diese Grundlage stützen. Sie kann jedoch relevant sein, wenn private Einheiten von Behörden delegierte Funktionen wahrnehmen oder wenn die Verarbeitung aufgrund einer konkreten gesetzlichen Befugnis erfolgt. Wenn Sie als private Organisation diese Grundlage in Betracht ziehen, benennen Sie die konkrete Rechtsvorschrift, die Ihnen die betreffende Funktion oder Befugnis überträgt.
Häufiger Fehler
Private Unternehmen, die sich auf die öffentliche Aufgabe berufen, weil ihre Verarbeitung einen gewissen indirekten öffentlichen Nutzen hat. Eine Gesundheits-App zu betreiben, die «die öffentliche Gesundheit verbessert», bedeutet nicht, dass Sie eine öffentliche Aufgabe wahrnehmen. Die Grundlage erfordert ein konkretes gesetzliches Mandat oder eine delegierte Befugnis — und nicht eine allgemeine Behauptung eines gesellschaftlichen Nutzens.
Rechtsgrundlage 6 von 6
Berechtigte Interessen
Artikel 6(1)(f) — Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Wann berechtigte Interessen gelten
Dies ist die flexibelste Rechtsgrundlage — und folglich die am häufigsten falsch angewendete. Sie kann ein breites Spektrum an Verarbeitungstätigkeiten abdecken, von der Betrugsprävention und Netzwerksicherheit über Direktmarketing an bestehende Kunden bis hin zu konzerninternen Datenübermittlungen. Doch Flexibilität ist mit einer Anforderung verbunden: Sie müssen vor der Anwendung eine Abwägungsprüfung durchführen.
Der dreiteilige Test
Jede Prüfung berechtigter Interessen muss drei Fragen behandeln:
- Zweckprüfung — Liegt ein berechtigtes Interesse vor? Ist es real und klar formuliert, nicht hypothetisch oder vage?
- Erforderlichkeitsprüfung — Ist die Verarbeitung tatsächlich erforderlich, um dieses Interesse zu erreichen? Könnten Sie denselben Zweck vernünftigerweise mit weniger Daten oder einer weniger eingriffsintensiven Verarbeitung erreichen?
- Abwägungsprüfung — Überwiegen die Interessen, Rechte und Freiheiten der Person Ihr berechtigtes Interesse? Berücksichtigen Sie die Art der Daten, die Erwartungen der betroffenen Person, die Auswirkungen auf sie und welche Schutzmassnahmen Sie getroffen haben.
Praktische Beispiele
- Die Verarbeitung von Mitarbeiterdaten zur IT-Sicherheitsüberwachung — berechtigtes Interesse am Schutz der Unternehmensnetzwerke, abgewogen gegen die Datenschutzerwartungen der Mitarbeiter mit klaren Richtlinien
- Das Versenden von Direktmarketing an bestehende Kunden zu ähnlichen Produkten — in Erwägungsgrund 47 anerkanntes berechtigtes Interesse, vorbehaltlich der Widerspruchsrechte
- Die Weitergabe von Kundendaten innerhalb eines Konzerns zu internen Verwaltungszwecken — in Erwägungsgrund 48 ausdrücklich als berechtigtes Interesse anerkannt
- Betrugsprävention und -aufdeckung — ein etabliertes berechtigtes Interesse
Erwägungsgrund 48: «Verantwortliche, die Teil einer Unternehmensgruppe oder einer einer zentralen Stelle zugeordneten Einrichtungsgruppe sind, können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschliesslich der Verarbeitung personenbezogener Daten von Kunden oder Beschäftigten, zu übermitteln.»
DSGVO Erwägungsgrund 48 — relevant für Organisationen mit mehreren Rechtseinheiten
Häufiger Fehler
Sich auf berechtigte Interessen zu stützen, ohne die Abwägungsprüfung zu dokumentieren. Wenn Sie keine schriftliche Prüfung berechtigter Interessen (Legitimate Interest Assessment, LIA) vorlegen können, die alle drei Teile des Tests durchläuft, haben Sie diese Grundlage nicht ordnungsgemäss begründet. Viele Organisationen berufen sich mündlich auf berechtigte Interessen, verfügen aber über keine dokumentierte Prüfung — was bedeutet, dass sie gegenüber einer Aufsichtsbehörde keinen Nachweis haben.
Komplexität bei mehreren Rechtseinheiten
Berechtigte Interessen sind für Konzerne besonders wichtig — und besonders komplex. Konzerninterne Datenübermittlungen stützen sich häufig auf diese Grundlage, doch jede Einheit benötigt ihre eigene Prüfung. Das berechtigte Interesse der Muttergesellschaft an der Zentralisierung von HR-Daten überwiegt nicht automatisch die Datenschutzrechte der Mitarbeiter in einer Tochtergesellschaft, die in einer Rechtsordnung mit strengeren Schutzbestimmungen tätig ist. Jede Übermittlung benötigt ihre eigene dokumentierte Abwägungsprüfung.
Wie Priverion hilft
Die KI-gestützte Erstellung von DSFA und LIA von Priverion füllt die dreiteilige Prüfung der berechtigten Interessen auf Grundlage der Details Ihrer Verarbeitungstätigkeit, der Datenkategorien und der Arten betroffener Personen vor. Ihr Datenschutzbeauftragter prüft und finalisiert — was die Bearbeitungszeit von Tagen auf Stunden verkürzt und dabei die vollständige menschliche Aufsicht wahrt. Alle Prüfungen werden mit der entsprechenden Verarbeitungstätigkeit in Ihrem Verarbeitungsverzeichnis verknüpft, für eine vollständige Nachvollziehbarkeit bei Prüfungen.
Wie Sie die richtige Rechtsgrundlage wählen — ein praktischer Entscheidungsprozess
Die Wahl einer Rechtsgrundlage ist keine einmalige Übung. Sie sollte in der Konzeptionsphase jeder neuen Verarbeitungstätigkeit erfolgen und immer dann überprüft werden, wenn sich Zweck, Umfang oder Kontext der Verarbeitung ändern. Hier ist der Entscheidungsprozess, den wir empfehlen:
Schritt 1: Definieren Sie den Zweck präzise
Bevor Sie eine Grundlage auswählen können, benötigen Sie absolute Klarheit darüber, warum Sie personenbezogene Daten verarbeiten. «Zu Geschäftszwecken» ist kein Zweck. «Zur Abwicklung der monatlichen Gehaltsabrechnung für die Mitarbeiter unserer deutschen Tochtergesellschaft» schon. Je spezifischer Ihr Zweck, desto leichter lässt sich die richtige Grundlage ermitteln.
Schritt 2: Schliessen Sie Grundlagen aus, die eindeutig nicht zutreffen
Die meisten Verarbeitungstätigkeiten können lebenswichtige Interessen (keine Situation auf Leben und Tod) und die öffentliche Aufgabe (keine Behörde oder delegierte Funktion) sofort ausschliessen. So bleiben in der Regel vier Kandidaten übrig: Einwilligung, Vertrag, rechtliche Verpflichtung und berechtigte Interessen.
Schritt 3: Prüfen Sie zuerst auf eine rechtliche Verpflichtung
Wenn eine konkrete Rechtsvorschrift die Verarbeitung vorschreibt, verwenden Sie die rechtliche Verpflichtung. Dies ist die klarste Grundlage — es gibt keine Abwägungsprüfung, kein Risiko des Einwilligungswiderrufs, und die Dokumentation ist unkompliziert: Zitieren Sie das Gesetz und die Bestimmung.
Schritt 4: Prüfen Sie auf vertragliche Erforderlichkeit
Wenn die Verarbeitung wirklich erforderlich ist, um einen Vertrag mit der betroffenen Person zu erfüllen, verwenden Sie den Vertrag. Denken Sie an den Erforderlichkeitstest: Der Vertrag könnte ohne diese konkrete Verarbeitung nicht erfüllt werden.
Schritt 5: Beurteilen Sie, ob die Einwilligung angemessen ist
Die Einwilligung funktioniert, wenn Sie eine echte Wahl bieten können, wenn ein Widerruf keine Probleme verursacht und wenn kein Machtungleichgewicht besteht. Wenn eine dieser Bedingungen nicht erfüllt ist, ist die Einwilligung nicht die richtige Wahl — selbst wenn sie sich wie die «sicherste» Option anfühlt.
Schritt 6: Ziehen Sie berechtigte Interessen zuletzt in Betracht
Wenn keine andere Grundlage natürlich passt, können berechtigte Interessen gelten — aber nur, wenn Sie den dreiteiligen Test bestehen und ihn dokumentieren können. Verwenden Sie berechtigte Interessen nicht als Auffangstandard. Setzen Sie sie ein, wenn Sie ein echtes, konkretes Interesse haben, das einer Prüfung standhält.
Für Organisationen mit mehreren Rechtseinheiten
Jede Tochtergesellschaft muss diese Festlegung möglicherweise eigenständig für die von ihr verantworteten Verarbeitungstätigkeiten treffen. Eine Konzern-Datenschutzrichtlinie ist ein guter Ausgangspunkt, ersetzt aber nicht die Dokumentation auf Einheitsebene. Priverion ermöglicht es jeder Einheit, ihre Auswahl der Rechtsgrundlagen innerhalb einer einheitlichen Plattform zu dokumentieren — und verschafft Konzern-Datenschutzbeauftragten Transparenz über alle Einheiten hinweg, während die von den Aufsichtsbehörden erwartete Spezifität gewahrt bleibt.
Häufige Entscheidungsfallen, die Sie vermeiden sollten
- Standardmässig für alles die Einwilligung zu wählen — die Einwilligung ist nicht immer die sicherste Grundlage, insbesondere wenn ein Widerruf eine berechtigte Verarbeitung stören würde
- Eine Grundlage rückwirkend zu wählen — die Grundlage muss vor Beginn der Verarbeitung festgelegt werden, nicht erst nach einer Prüfungsanfrage
- Grundlagen nachträglich zu wechseln — auch wenn dies nicht ausdrücklich verboten ist, ist der Wechsel Ihrer Rechtsgrundlage ein Warnsignal für die Aufsichtsbehörden und legt nahe, dass Ihre ursprüngliche Beurteilung unzureichend war
- Besondere Kategorien personenbezogener Daten zu ignorieren — Artikel 9 verlangt bei der Verarbeitung sensibler Daten (Gesundheit, biometrische Daten, rassische/ethnische Herkunft usw.) eine zusätzliche Bedingung zusätzlich zu Ihrer Grundlage nach Artikel 6
- Es zu versäumen, zu überprüfen — eine Grundlage, die zu Beginn der Verarbeitung angemessen war, gilt möglicherweise nicht mehr, wenn sich Zweck, Umfang oder Kontext geändert haben
Was das Management von Rechtsgrundlagen in grossem Massstab tatsächlich erfordert
Die richtige Rechtsgrundlage zu ermitteln, ist erst der Anfang. Sie zu dokumentieren, mit jeder Verarbeitungstätigkeit zu verknüpfen und über jede Einheit Ihres Konzerns hinweg belastbar zu halten — daran scheitern die meisten Datenschutzprogramme.
Rechtsgrundlage mit jeder Verarbeitungstätigkeit verknüpft
Jeder Eintrag in Ihrem Verzeichnis von Verarbeitungstätigkeiten erfordert automatisch die Auswahl einer Rechtsgrundlage. Keine verwaisten Einträge. Keine undokumentierte Verarbeitung. Prüfer sehen eine vollständige, strukturierte Zuordnung von der Grundlage nach Artikel 6 zu der konkreten Tätigkeit, die sie autorisiert — über jede Tochtergesellschaft Ihres Konzerns hinweg.
100 % Rezertifizierungsrate des Verarbeitungsverzeichnisses, vollständig automatisiert
AYA — erreicht durch die automatisierten Rezertifizierungs-Workflows von Priverion
KI-gestützte Empfehlungen für Rechtsgrundlagen
Wenn Geschäftseinheiten neue Verarbeitungstätigkeiten anlegen, schlägt die KI von Priverion die am besten geeignete Rechtsgrundlage auf Basis der Verarbeitungsbeschreibung, der Datenkategorien und der beteiligten Arten betroffener Personen vor. Ihr Datenschutzbeauftragter prüft und genehmigt — die KI unterstützt, Menschen entscheiden. Es werden keine Kundendaten für das Modelltraining verwendet. Die gesamte Verarbeitung bleibt innerhalb der Schweizer Infrastruktur.
60 % weniger Verwaltungsaufwand für Compliance
Flugzeughersteller — erste 6 Monate nach der Implementierung
Automatisches Auslösen von DSFA bei risikoreichen Grundlagen
Wählen Sie berechtigtes Interesse oder Einwilligung für besondere Kategorien personenbezogener Daten, und die Plattform markiert die Tätigkeit automatisch für eine Datenschutz-Folgenabschätzung. Die KI-gestützte Erstellung der DSFA füllt Risikobewertung, Verhältnismässigkeitsprüfungen und Empfehlungen für Schutzmassnahmen vor — und verkürzt die Zeit vom Auslöser bis zur abgeschlossenen Prüfung von Wochen auf Stunden.
Über 200 Stunden bei der Compliance-Vorbereitung eingespart
Medtec — ISO-27001-Vorbereitung mit Priverion
Konzernweite Transparenz über alle Einheiten
Ein Dashboard zeigt, auf welche Rechtsgrundlage sich jede Tochtergesellschaft bei jeder Verarbeitungstätigkeit stützt. Erkennen Sie Inkonsistenzen sofort — wenn Ihre deutsche Einheit für die Mitarbeiterüberwachung die Einwilligung verwendet, während Ihre Schweizer Einheit für dieselbe Tätigkeit das berechtigte Interesse nutzt, sehen Sie es, bevor es der Prüfer tut. Berichterstattung in Vorstandsqualität zeigt den Compliance-Status auf einen Blick.
24/7-Unterstützung durch Datenschutzbeauftragte über mehrere Einheiten hinweg
Trapeze — kontinuierliche Aufsicht ermöglicht durch Priverion
Prüfbereite Nachweispakete auf Abruf
Wenn eine Aufsichtsbehörde die Dokumentation Ihrer Entscheidungen zur Rechtsgrundlage anfordert, erstellen Sie in Minuten ein vollständiges Nachweispaket — nicht in den Wochen, die es dauert, wenn Rechtsgrundlagen über 47 Tabellenkalkulationen verteilt sind. Jeder Eintrag enthält die gewählte Grundlage, die Begründung, den Prüfer, das Datum und alle zugehörigen Prüfungen berechtigter Interessen oder DSFA.
100 % Abdeckung der Lieferantenrisikobewertung
Zurzach Care — vollständige Lieferantendokumentation durch Priverion
Schweizer Datensouveränität standardmässig
Ihre Aufzeichnungen zu Rechtsgrundlagen, die Dokumentation der Verarbeitungstätigkeiten und die Compliance-Nachweise verlassen niemals die Schweizer Infrastruktur. In einer Welt nach Schrems II, in der grenzüberschreitende Datenübermittlungen anhaltender rechtlicher Unsicherheit ausgesetzt sind, ist Hosting in der Schweiz kein Häkchen — es ist eine strukturelle Schutzmassnahme. Ihre Compliance-Unterlagen sind durch einige der strengsten Datenschutzgesetze der Welt geschützt.
In der Schweiz entwickelt, in der Schweiz gehostet, europäische Datenresidenz
Priverion-Infrastruktur — alle Daten werden innerhalb der Schweiz verarbeitet
200+
Eingesparte Stunden beim Verarbeitungsverzeichnis-Management
Medtec gewann über 200 Stunden während der ISO-27001-Vorbereitung zurück, indem die manuelle Erfassung durch automatisierte Rezertifizierungs-Workflows ersetzt wurde — erste 6 Monate
60%
Geringere Gesamtkosten im Vergleich zu OneTrust
Basierend auf einer vergleichenden Preisanalyse für Bereitstellungen über mehrere Rechtseinheiten (10–50 Tochtergesellschaften) — Preisgestaltung pro Einheit ohne Kostenfallen pro Nutzer oder pro Modul
3 Mt.
Vor dem Zeitplan bei ISO 27001
Medtec beschleunigte seinen ISO-27001-Zertifizierungszeitplan um 3 Monate durch die prüfbereiten Nachweispakete und die automatisierte Dokumentation von Priverion
Warum Mid-Market-Teams von OneTrust zu Priverion wechseln
OneTrust wurde für die Komplexität von Fortune-500-Unternehmen entwickelt — und für Fortune-500-Budgets. Wenn Sie den Datenschutz über 5 bis 50 Tochtergesellschaften hinweg verwalten, benötigen Sie Funktionen auf Enterprise-Niveau ohne den Enterprise-Aufwand.
Die OneTrust-Erfahrung
Preisgestaltung pro Nutzer und pro Modul
Die Kosten steigen unvorhersehbar, wenn Sie Nutzer oder Module hinzufügen. CFOs können die Jahresausgaben nicht prognostizieren, weil jedes neue Teammitglied ein Preisgespräch auslöst.
US-Hauptsitz, in den USA gehostet
In einer Welt nach Schrems II schafft das Hosting von Daten in den USA zusätzliche rechtliche Komplexität für europäische Organisationen, die grenzüberschreitende Datenübermittlungen verwalten.
Für Fortune 500 konzipiert
Funktionsreich bis zur Überforderung. Mid-Market-Teams zahlen am Ende für ESG-, Ethik-Hotline- und Cookie-Einwilligungsmodule, die sie nie nutzen.
Monatelange Implementierung
Eine typische Enterprise-Einführung erfordert dedizierte Implementierungsberater, individuelle professionelle Dienstleistungen und über 6 Monate, bevor Sie einen Mehrwert sehen.
Über 200 oberflächliche Integrationen
Eine lange Liste von Konnektoren sieht auf dem Papier gut aus, verursacht aber Wartungsaufwand. Viele Integrationen sind oberflächlich und erfordern laufende individuelle Arbeit, um funktionsfähig zu bleiben.
Die Priverion-Erfahrung
Vorhersehbare Preisgestaltung pro Unternehmen
Basierend auf der Anzahl der Einheiten und der Organisationsgrösse — nicht pro Nutzer oder pro Modul. Fügen Sie so viele Nutzer hinzu, wie Sie benötigen, ohne eine Preisüberraschung auszulösen.
In der Schweiz entwickelt, in der Schweiz gehostet
Europäische Datenresidenz ist kein Marketing-Häkchen — sie ist ein rechtlicher Vorteil. Die gesamte Datenverarbeitung erfolgt innerhalb der Schweizer Infrastruktur und bietet die strengste Datenschutzrechtsordnung Europas.
Speziell für Mid-Market-Konzerne entwickelt
Jede Funktion existiert, weil ein Datenschutzbeauftragter, der die Compliance über mehrere Rechtseinheiten hinweg verwaltet, sie benötigte. Kein Ballast, keine Module, die Sie nie anrühren werden. Wir decken weder ESG noch Ethik-Hotlines oder Cookie-Einwilligung ab — und das mit Absicht.
In Wochen einsatzbereit
Ein Flugzeughersteller reduzierte den Compliance-Verwaltungsaufwand innerhalb der ersten 6 Monate um 60 %. Die Implementierung wird in Wochen gemessen, nicht in Quartalen — mit geführtem Onboarding, nicht mit einem Beratungsauftrag.
Flugzeughersteller — erste 6 Monate nach der Einführung
Tiefe Integrationen dort, wo sie zählen
Wir integrieren uns tief in die Systeme, die Datenschutz-Workflows antreiben — HR, Beschaffung, IT-Asset-Management — anstatt 200 oberflächliche Konnektoren anzubieten, die Wartungsaufwand verursachen.
Erwägen Sie einen Wechsel? Die meisten Teams sind innerhalb von 4 Wochen vollständig migriert.
Eine 30-minütige Präsentation buchenLaden Sie das Entscheidungsframework für Rechtsgrundlagen herunter
Ein strukturierter, einseitiger Entscheidungsbaum, der Ihr Team durch die Auswahl der Rechtsgrundlage für jede Verarbeitungstätigkeit führt — konzipiert für Datenschutzbeauftragte, die die Compliance über mehrere Rechtseinheiten hinweg verwalten.
- Schrittweiser Entscheidungsbaum, der alle sechs Grundlagen nach Artikel 6(1) abdeckt
- Dokumentations-Checkliste für jede Grundlage
- Warnsignale, die anzeigen, dass Sie die falsche Grundlage gewählt haben
- Overlay für besondere Kategorien personenbezogener Daten — Bedingungen nach Artikel 9
- Überlegungen zu mehreren Rechtseinheiten für konzernweite Konsistenz
Keine Registrierungsschranke. Direkter PDF-Download. Wenn Sie eine Präsentation wünschen, wie Priverion die Nachverfolgung von Rechtsgrundlagen über Ihren Konzern hinweg automatisiert, buchen Sie eine 30-minütige Sitzung.
Verwalten Sie den Datenschutz nicht länger in Tabellenkalkulationen
Sehen Sie, wie konzernweites Datenschutzmanagement aussieht, wenn es tatsächlich funktioniert
In 30 Minuten gehen wir Ihre spezifische Struktur mit mehreren Rechtseinheiten durch und zeigen Ihnen, wie Teams wie ein Flugzeughersteller den Compliance-Verwaltungsaufwand um 60 % gesenkt haben — und wie Ihre Datenschutzbeauftragten ihre Zeit für strategische Arbeit aufwenden können, anstatt Rezertifizierungen hinterherzulaufen.
Wochen, nicht Monate
Durchschnittliche Zeit bis zur Inbetriebnahme
Keine Preisgestaltung pro Nutzer
Vorhersehbare Kosten, die mit den Einheiten skalieren
100 % in der Schweiz gehostet
Europäische Datenresidenz garantiert
Keine Verpflichtung erforderlich. Wir richten die Sitzung auf Ihre Einheitsstruktur und Ihre Compliance-Prioritäten aus.


