Nexvyra

DSGVO Art. 5 Abs. 1 lit. e – Speicherbegrenzung

Inhaltlich verantwortet von Andreas Warkentin (warepoint-media GbR) · zuletzt geprüft am 2026-05-31 · Quellenautorität A (amtliche Primärquelle) Fehler melden ✉
Datenschutz DSGVO Art. 5 Speicherbegrenzung Löschkonzept Aufbewahrungspflichten Deutschland / EU
Status: in Kraft
Kurzantwort Der Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO verlangt, dass personenbezogene Daten nur so lange in einer die Identifizierung der betroffenen Person ermöglichenden Form gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist. Ist der Zweck erfüllt oder entfallen, müssen die Daten gelöscht oder anonymisiert werden. Eine längere Speicherung ist nur zulässig, soweit die Daten ausschließlich für Archiv-, Forschungs- oder Statistikzwecke nach Art. 89 Abs. 1 verarbeitet werden und geeignete Schutzmaßnahmen bestehen. Zur Umsetzung dient ein Löschkonzept mit definierten Löschfristen; gesetzliche Aufbewahrungspflichten (z. B. § 257 HGB, § 147 AO) stehen einer Löschung vor Fristablauf entgegen.

Kernfakten

PunktWert
RechtsgrundlageVerordnung (EU) 2016/679, Art. 5 Abs. 1 lit. e
GrundsatzSpeicherbegrenzung („storage limitation")
KernpflichtSpeicherung nur, solange für den Zweck erforderlich
Rechtsfolge bei ZweckwegfallLöschung oder Anonymisierung
AusnahmeArchiv-, Forschungs- und Statistikzwecke nach Art. 89 Abs. 1 (Art. 5 Abs. 1 lit. e Hs. 2)
VerknüpfungRechenschaftspflicht nach Art. 5 Abs. 2 (Nachweis durch Löschkonzept)
Aufbewahrung Handelsbücher / Jahresabschlüsse10 Jahre (§ 257 Abs. 4 i. V. m. Abs. 1 Nr. 1 HGB)
Aufbewahrung Buchungsbelege8 Jahre, seit 1.1.2025 (§ 257 Abs. 4 i. V. m. Abs. 1 Nr. 4 HGB)
Aufbewahrung Handelsbriefe / sonstige6 Jahre (§ 257 Abs. 4 i. V. m. Abs. 1 Nr. 2, 3 HGB)
Steuerliche Aufbewahrungparallel nach § 147 AO (10 / 8 / 6 Jahre)
Bußgeldrahmen bei Verstoßbis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 lit. a)

Geltungsbereich

Der Grundsatz gilt für jede Verarbeitung personenbezogener Daten im Anwendungsbereich der DSGVO (Art. 2, Art. 3) und richtet sich an den Verantwortlichen i. S. v. Art. 4 Nr. 7 sowie den Auftragsverarbeiter. Er ist kein eigenständiger Erlaubnistatbestand, sondern ein übergreifender Verarbeitungsgrundsatz, der neben Rechtmäßigkeit (lit. a), Zweckbindung (lit. b), Datenminimierung (lit. c) und Richtigkeit (lit. d) steht. Maßgeblich ist nicht der Zeitpunkt der Erhebung, sondern der fortlaufende Erforderlichkeitsbezug: Sobald die Daten für den ursprünglichen Zweck nicht mehr benötigt werden und kein anderer zulässiger Zweck oder keine Aufbewahrungspflicht besteht, ist die Speicherung zu beenden.

Verhältnis zu gesetzlichen Aufbewahrungspflichten

Die Speicherbegrenzung wird durch gesetzliche Aufbewahrungspflichten begrenzt. Solange eine solche Pflicht besteht, ist die Löschung weder zulässig noch geboten; einschlägig sind insbesondere:

Während der laufenden Aufbewahrungsfrist empfiehlt sich eine Einschränkung der Verarbeitung nach Art. 18 DSGVO: Die Daten werden für den eigentlichen Geschäftsbetrieb gesperrt und nur noch zum gesetzlichen Aufbewahrungszweck vorgehalten, bis die Frist abläuft und endgültig gelöscht werden kann.

Umsetzung: Löschkonzept und Löschfristen

Aus dem Zusammenspiel von Speicherbegrenzung (Art. 5 Abs. 1 lit. e) und Rechenschaftspflicht (Art. 5 Abs. 2) folgt, dass der Verantwortliche die Einhaltung nachweisen können muss. In der Praxis geschieht dies über ein Löschkonzept, das Datenarten erfasst, je Datenart eine Löschfrist und einen Fristbeginn festlegt, Verantwortlichkeiten zuweist und die Löschung dokumentiert. Es gibt keine einheitliche gesetzliche Speicherfrist für alle Daten – die Frist ergibt sich aus dem Verarbeitungszweck und etwaigen Aufbewahrungspflichten. Als methodische Referenz wird häufig die Norm DIN 66398 (Leitlinie zur Entwicklung eines Löschkonzepts) herangezogen; ihr Volltext ist urheberrechtlich geschützt und hier nicht wiedergegeben.

Ausnahmen

Eine über die Zweckerreichung hinausgehende Speicherung ist nach Art. 5 Abs. 1 lit. e Hs. 2 nur zulässig, soweit die Daten ausschließlich verarbeitet werden für:

jeweils gemäß Art. 89 Abs. 1 DSGVO und unter der Voraussetzung, dass geeignete technische und organisatorische Maßnahmen (z. B. Pseudonymisierung) zum Schutz der Rechte und Freiheiten der betroffenen Person getroffen werden. Daneben kann eine fortdauernde Speicherung durch eine gesetzliche Aufbewahrungspflicht (siehe oben) gerechtfertigt sein.

Häufige Fehler

Beispiel

Ein Online-Händler speichert Bestelldaten eines Kunden. Der unmittelbare Verarbeitungszweck (Vertragsabwicklung, Gewährleistung) ist nach einigen Jahren erfüllt. Die in der Rechnung enthaltenen Daten unterliegen jedoch als Buchungsbeleg der Aufbewahrungspflicht nach § 257 Abs. 1 Nr. 4 HGB und sind daher 8 Jahre (Belege ab 2025) aufzubewahren. Der Händler schränkt die Verarbeitung nach Art. 18 DSGVO ein (kein Marketing, kein operativer Zugriff mehr) und löscht den Datensatz nach Ablauf der achtjährigen Frist – gerechnet ab Schluss des Kalenderjahres, in dem der Beleg entstanden ist (§ 257 Abs. 5 HGB).

Quellen

Stand:
2026-05-31
Gültig ab:
2018-05-25 (Geltungsbeginn der DSGVO)
Status:
aktuell
Quellenautorität:
A (EUR-Lex, gesetze-im-internet.de; ergänzend DSK)
Lizenz:
CC BY 4.0