Checkliste zur Rechtsgrundlage für die Verarbeitung für Gründer und Compliance-Leads

Entscheidungen zur Rechtsgrundlage wirken oft erst dann kompliziert, wenn ein Produktteam schnell liefern will, ein Kunde Fragen in der Due Diligence stellt oder ein Audit wissen möchte, warum eine bestimmte Datennutzung zulässig war. Dann zeigt sich, dass ein juristisches Label allein nicht reicht. Teams brauchen einen wiederholbaren Weg, um Zweck, Erforderlichkeit, Owner und Nachweise festzuhalten.

Genau dabei hilft eine Checkliste. Die DSGVO verlangt eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Offizielle Leitlinien des EDPB und der ICO betonen zudem, dass die passende Grundlage vor Beginn der Verarbeitung festgelegt, dem echten Zweck zugeordnet und später begründet werden können muss. Für Gründer und Compliance-Leads heißt das praktisch: früh entscheiden, eng dokumentieren und so in den Workflow einbauen, dass unter Zeitdruck nichts rekonstruiert werden muss.

Wofür diese Checkliste gedacht ist

Die meisten Probleme rund um Rechtsgrundlagen entstehen nicht, weil Teams Datenschutz ignorieren. Häufiger fehlen vier Dinge:

• der Zweck ist zu unklar;
• eine Grundlage wird auf mehrere unähnliche Abläufe ausgedehnt;
• der Prozess ändert sich, aber die Entscheidung wird nicht überprüft;
• jemand kennt das Label, aber niemand kann die Begründung zeigen.

Das führt später zu Reibung in Procurement, Security Reviews, Vendor-Onboarding, Produkt-Launches und internen Audits.

Die Checkliste

Nutzen Sie die Punkte unten für jede wesentliche Verarbeitung: neue Features, Analytics, Marketing, Vendor-Integrationen, Änderungen bei Aufbewahrung oder Datenteilung.

1. Die Verarbeitung eng beschreiben

Beginnen Sie nicht mit "wir verarbeiten Kundendaten für die Plattform". Beschreiben Sie stattdessen den konkreten Ablauf:

• Nutzerkonten anlegen und authentifizieren;
• Rechnungen und Zahlungserinnerungen versenden;
• Support-Tickets bearbeiten;
• Produktnutzung messen;
• verdächtige Logins prüfen;
• Werbe- oder Lifecycle-Mails senden.

Je enger der Ablauf beschrieben ist, desto leichter lässt sich prüfen, ob die Grundlage wirklich passt.

2. Den konkreten Zweck notieren

Die Rechtsgrundlage muss zum Zweck passen. Fragen Sie:

• welches Ergebnis die Verarbeitung unterstützen soll;
• ob der Zweck kundenbezogen, intern, kommerziell, rechtlich oder sicherheitsbezogen ist;
• ob dieselben Daten für einen zweiten Zweck genutzt werden, der separat geprüft werden muss.

Gerade hier zeigt sich oft, dass dieselben Daten je nach Zweck anders zu bewerten sind.

3. Erforderlichkeit testen, bevor die Grundlage gewählt wird

Für Vertrag sollte klar sein, ob die Leistung ohne die fraglichen Daten überhaupt erbracht werden kann. Für gesetzliche Pflicht sollte klar sein, welches Gesetz die Verarbeitung verlangt. Für berechtigte Interessen sollte das konkrete Interesse, die Notwendigkeit und die vernünftige Erwartung der betroffenen Personen geprüft werden. Für Einwilligung muss echte Freiwilligkeit mit einfacher Widerrufsmöglichkeit vorliegen.

Das verhindert, dass Teams vorschnell zur bequemsten Antwort greifen.

4. Prüfen, ob besondere Kategorien die Analyse ändern

Eine Grundlage nach Art. 6 DSGVO reicht nicht aus, wenn besondere Kategorien personenbezogener Daten betroffen sind. Bei Gesundheitsdaten, biometrischen Daten zur Identifikation, politischen Meinungen, religiösen Überzeugungen oder ähnlichen sensiblen Daten muss zusätzlich geprüft werden, ob die Voraussetzungen nach Art. 9 erfüllt sind.

5. Die Begründung in einem kurzen Entscheidungsdokument festhalten

Es braucht kein langes Memo. Es braucht einen belastbaren Kurzvermerk mit:

• Verarbeitungstätigkeit;
• Zweck;
• gewählter Rechtsgrundlage;
• kurzer Begründung;
• betroffenen Systemen oder Vendoren;
• Entscheidungs-Owner;
• Bedingungen und Schutzmaßnahmen;
• Re-Review-Triggern.

Das ist gelebte Accountability.

6. Prüfen, ob der reale Workflow zur Entscheidung passt

Eine gute Dokumentation reicht nicht, wenn der tatsächliche Ablauf anders läuft.

Prüfen Sie zum Beispiel:

• ob Einwilligungen wirklich frei erteilt und widerrufen werden können;
• ob bei Vertrag nur die nötigen Daten erhoben werden;
• ob gesetzliche Pflichten korrekt auf Aufbewahrung oder Offenlegung gemappt sind;
• ob Annahmen zu berechtigten Interessen und Schutzmaßnahmen noch stimmen.

7. Datenschutzhinweise und Außenkommunikation angleichen

Interne Entscheidung und externe Darstellung dürfen nicht auseinanderlaufen. Privacy Notice, Formulare, Produkttexte und Sales-Aussagen sollten denselben Zweck und dieselben Grenzen widerspiegeln.

8. Einen Owner für Pflege, nicht nur Freigabe benennen

Jede wesentliche Entscheidung braucht:

• einen Owner für die Entscheidungslogik;
• einen Owner dafür, dass der Workflow weiter zu dieser Logik passt.

Das können unterschiedliche Personen sein.

9. Klare Auslöser für eine neue Prüfung definieren

Eine erneute Prüfung sollte stattfinden, wenn:

• sich der Zweck ändert;
• ein neuer Vendor oder Subprozessor hinzukommt;
• der Datensatz wächst;
• neue Märkte oder Kundensegmente Erwartungen ändern;
• sensible Daten dazukommen;
• Aufbewahrungs- oder Sharing-Regeln wesentlich angepasst werden.

10. Leichte, auffindbare Nachweise aufbewahren

Hilfreiche Nachweise sind meist:

• ein Verzeichnis mit sinnvollen Feldern zu Zweck und Grundlage;
• kurze Entscheidungsprotokolle für riskantere Abläufe;
• Intake-Formulare oder Tickets mit den relevanten Fragen;
• Screenshots oder Logs zu Einwilligung, Offenlegung, Aufbewahrung oder Kontrollen.

Ein einfacher 30-Tage-Start

Lean Teams müssen nicht alles auf einmal lösen.

Woche 1: wichtigste Abläufe auswählen

Starten Sie mit fünf bis zehn Verarbeitungen, die heute schon Druck erzeugen, etwa Kontoerstellung, Billing, Support, Analytics, Security-Monitoring oder Marketing.

Woche 2: Zweck und Grundlage dokumentieren

Erstellen Sie je Ablauf einen kurzen Entscheidungsdatensatz.

Woche 3: Realität gegen Dokumentation prüfen

Vergleichen Sie Formulare, Notices, Produktverhalten, Vendor-Nutzung und Retention-Logik mit der dokumentierten Entscheidung.

Woche 4: Owner und Trigger verankern

Benennen Sie Verantwortliche, legen Sie den Ablageort fest und definieren Sie klare Trigger für neue Prüfungen.

Häufige Fehler

Vertrag als pauschale Antwort behandeln

Vertrag kann die Kernleistung tragen, aber nicht automatisch jeden angrenzenden Zweck.

Einwilligung als vermeintlich sicherste Antwort sehen

Einwilligung ist nicht automatisch tragfähig, wenn keine echte Wahl besteht.

Mehrere Zwecke in einer Antwort verstecken

Wenn derselbe Datensatz für einen neuen Zweck verwendet wird, ist oft eine neue Analyse nötig.

Nur das Label dokumentieren, nicht die Grenze

Teams müssen wissen, unter welchen Bedingungen die Grundlage tragfähig bleibt.

Die Entscheidung in einem Dokument verstecken, das niemand nutzt

Wenn Produkt, Procurement oder Security die Regel im Alltag nicht finden, ist sie noch nicht operationalisiert.

FAQ

Was sollten Teams über die Rechtsgrundlage verstehen?

Die Grundlage ist immer an einen konkreten Zweck und Ablauf gebunden, nicht an eine vage Datenkategorie.

Warum ist die Rechtsgrundlage praktisch so wichtig?

Sie beeinflusst Produktdesign, Datenschutzhinweise, Aufbewahrung, Vendor-Einsatz, Kundenvertrauen und Audit Readiness.

Was ist der häufigste Fehler?

Die Rechtsgrundlage als einmalige juristische Meinung zu behandeln statt als operativen Kontrollpunkt.