Nach der Datenschutz-Grundverordnung erfordert eine rechtmäßige Verarbeitung eine Rechtsgrundlage (siehe Unterabschnitt „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz“, Abschnitt „Hauptgrundsätze“ im Allgemeinen Teil dieser Leitlinien). Wenn die Verarbeitung die in der ePrivacy-Verordnung enthaltene Art von Tätigkeiten umfasst, gelten die Bestimmungen dieses neuen Instruments, sobald es verabschiedet ist. Gegenwärtig sind in Artikel 6 DSGVO insgesamt sechs mögliche Rechtsgrundlagen definiert. Im Falle der Verarbeitung von Daten aus sozialen Netzwerken muss unbedingt betont werden, dass IKT-Forscher oder -Innovatoren sich darüber im Klaren sein müssen, dass sie zum Zeitpunkt des Zugriffs auf die Daten und zu dem Zeitpunkt, zu dem sie ihre Forschung oder Innovation auf der Grundlage dieser Daten durchführen, mit Sicherheit unterschiedliche Rechtsgrundlagen für die Datenverarbeitung benötigen. Im ersten Fall ist eine Rechtsgrundlage erforderlich, um die Daten aus dem sozialen Netzwerk zu erhalten. Im zweiten Fall geht es darum, eine Grundlage zu finden, die es erlaubt, die bereits rechtmäßig erworbenen Daten für Forschungszwecke zu nutzen. Es ist darauf hinzuweisen, dass die bloße Tatsache, dass die betroffenen Personen ihre Daten in öffentlichen Online-Räumen veröffentlicht haben, deren Verarbeitung nicht zulässt. Es handelt sich immer noch um personenbezogene Daten, auch wenn die Daten öffentlich zugänglich sind. Die Veröffentlichung kann dazu dienen, das Verbot gemäß Artikel 9 Absatz 1 DSGVO zu umgehen, wenn es sich um Daten besonderer Kategorien handelt, sie dient jedoch nicht als Rechtsgrundlage für die Verarbeitung. Unternehmen dürfen die Daten also nicht frei wiederverwenden und ohne Wissen der betroffenen Personen und ohne eine angemessene Grundlage für eine rechtmäßige Verarbeitung weiterverarbeiten.