---
title: DSGVO Art. 5 Abs. 1 lit. e – Speicherbegrenzung
slug: dsgvo-speicherbegrenzung
topic: datenschutz
legal_status: in_force
authority_level: A
valid_from: 2018-05-25
valid_to: null
last_reviewed: 2026-05-31
status: aktuell
license: CC-BY-4.0
url: https://nexvyra.de/fakten/dsgvo-speicherbegrenzung.md
wikidata_subjects: [Q1172506]
factcheck_status: ok
---

# DSGVO Art. 5 Abs. 1 lit. e – Speicherbegrenzung

## Kurzantwort

Der Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO verlangt, dass personenbezogene Daten nur so lange **in einer die Identifizierung der betroffenen Person ermöglichenden Form** gespeichert werden dürfen, wie es für die Zwecke der Verarbeitung erforderlich ist. Ist der Zweck erfüllt oder entfallen, müssen die Daten **gelöscht oder anonymisiert** werden. Eine längere Speicherung ist nur zulässig, soweit die Daten ausschließlich für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 verarbeitet werden und geeignete technische und organisatorische Maßnahmen getroffen sind. Zur praktischen Umsetzung dienen ein **Löschkonzept** mit definierten Löschfristen; gesetzliche Aufbewahrungspflichten (z. B. § 257 HGB, § 147 AO) stehen der Löschung vor Fristablauf entgegen.

## Kernfakten

| Punkt | Wert |
|---|---|
| Rechtsgrundlage | Verordnung (EU) 2016/679, Art. 5 Abs. 1 lit. e [DSGVO, EUR-Lex] |
| Grundsatz | Speicherbegrenzung („storage limitation") |
| Kernpflicht | Speicherung nur, solange für den Zweck erforderlich [Art. 5 Abs. 1 lit. e] |
| Rechtsfolge bei Zweckwegfall | Löschung oder Anonymisierung |
| Ausnahme | Archiv-, Forschungs- und Statistikzwecke nach Art. 89 Abs. 1 [Art. 5 Abs. 1 lit. e Hs. 2] |
| Verknüpfung | Rechenschaftspflicht nach Art. 5 Abs. 2 (Nachweis durch Löschkonzept) |
| Aufbewahrungspflicht Handelsbücher/Jahresabschlüsse | 10 Jahre [§ 257 Abs. 4 i. V. m. Abs. 1 Nr. 1 HGB] |
| Aufbewahrungspflicht Buchungsbelege | 8 Jahre (seit 1.1.2025) [§ 257 Abs. 4 i. V. m. Abs. 1 Nr. 4 HGB] |
| Aufbewahrungspflicht Handelsbriefe / sonstige | 6 Jahre [§ 257 Abs. 4 i. V. m. Abs. 1 Nr. 2, 3 HGB] |
| Steuerliche Aufbewahrung | parallel nach § 147 AO (10 / 8 / 6 Jahre) |
| Bußgeldrahmen bei Verstoß | bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes [Art. 83 Abs. 5 lit. a DSGVO] |

## Geltungsbereich

Der Grundsatz gilt für **jede** Verarbeitung personenbezogener Daten im Anwendungsbereich der DSGVO (Art. 2, Art. 3) und richtet sich an den **Verantwortlichen** i. S. v. Art. 4 Nr. 7 sowie den Auftragsverarbeiter. Er ist kein eigenständiger Erlaubnistatbestand, sondern ein **übergreifender Verarbeitungsgrundsatz**, der neben Rechtmäßigkeit (lit. a), Zweckbindung (lit. b), Datenminimierung (lit. c) und Richtigkeit (lit. d) steht. Maßgeblich ist nicht der Zeitpunkt der Erhebung, sondern der **fortlaufende Erforderlichkeitsbezug**: Sobald die Daten für den ursprünglichen Zweck nicht mehr benötigt werden und kein anderer zulässiger Zweck oder keine Aufbewahrungspflicht besteht, ist die Speicherung zu beenden.

## Verhältnis zu gesetzlichen Aufbewahrungspflichten

Die Speicherbegrenzung wird durch **gesetzliche Aufbewahrungspflichten** begrenzt. Solange eine solche Pflicht besteht, ist die Löschung weder zulässig noch geboten; einschlägig sind insbesondere:

- **§ 257 Abs. 4 HGB:** Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse und Lageberichte (Abs. 1 Nr. 1) **10 Jahre**; Buchungsbelege (Abs. 1 Nr. 4) **8 Jahre** (verkürzt von 10 auf 8 Jahre durch das Vierte Bürokratieentlastungsgesetz, verkündet am 29.10.2024, anwendbar auf Belege, deren Frist am 1.1.2025 noch nicht abgelaufen war); empfangene und abgesandte Handelsbriefe (Abs. 1 Nr. 2, 3) **6 Jahre**.
- **§ 147 Abs. 3 AO:** spiegelbildliche steuerliche Aufbewahrungsfristen (10 / 8 / 6 Jahre).

Während der laufenden Aufbewahrungsfrist empfiehlt sich eine **Einschränkung der Verarbeitung** nach Art. 18 DSGVO: Die Daten werden für den eigentlichen Geschäftsbetrieb gesperrt und nur noch zum gesetzlichen Aufbewahrungszweck vorgehalten, bis die Frist abläuft und endgültig gelöscht werden kann.

## Umsetzung: Löschkonzept und Löschfristen

Aus dem Zusammenspiel von Speicherbegrenzung (Art. 5 Abs. 1 lit. e) und Rechenschaftspflicht (Art. 5 Abs. 2) folgt, dass der Verantwortliche die Einhaltung **nachweisen** können muss. In der Praxis geschieht dies über ein **Löschkonzept**, das Datenarten erfasst, je Datenart eine Löschfrist und einen Fristbeginn festlegt, Verantwortlichkeiten zuweist und die Löschung dokumentiert. Es gibt **keine einheitliche** gesetzliche Speicherfrist für alle Daten – die Frist ergibt sich aus dem Verarbeitungszweck und etwaigen Aufbewahrungspflichten. Als methodische Referenz wird häufig die Norm DIN 66398 (Leitlinie zur Entwicklung eines Löschkonzepts) herangezogen; ihr Volltext ist urheberrechtlich geschützt und hier nicht wiedergegeben.

## Ausnahmen

Eine über die Zweckerreichung hinausgehende Speicherung ist nach Art. 5 Abs. 1 lit. e Hs. 2 **nur** zulässig, soweit die Daten **ausschließlich** verarbeitet werden für:

- im öffentlichen Interesse liegende **Archivzwecke**,
- **wissenschaftliche oder historische Forschungszwecke** oder
- **statistische Zwecke**

jeweils gemäß Art. 89 Abs. 1 DSGVO und unter der Voraussetzung, dass geeignete technische und organisatorische Maßnahmen (z. B. Pseudonymisierung) zum Schutz der Rechte und Freiheiten der betroffenen Person getroffen werden. Daneben kann eine fortdauernde Speicherung durch eine gesetzliche Aufbewahrungspflicht (siehe oben) gerechtfertigt sein.

## Häufige Fehler

- **„Anonymisierte Daten löschen":** Eine echte **Anonymisierung** beendet den Personenbezug und genügt der Speicherbegrenzung ebenso wie die Löschung – die Daten fallen dann aus dem Anwendungsbereich der DSGVO. Eine bloße **Pseudonymisierung** reicht hierfür nicht, da der Personenbezug wiederherstellbar bleibt.
- **„Aufbewahrungspflicht = Daueraufbewahrung":** Nach Ablauf der handels- bzw. steuerrechtlichen Frist entfällt der Rechtfertigungsgrund; die Daten sind dann zu löschen.
- **„Aufbewahren auf Vorrat, falls man sie noch braucht":** Wirtschaftliche Bequemlichkeit, mögliche künftige Nutzung oder Marketinginteressen rechtfertigen keine Speicherung über den Zweck hinaus.
- **Fehlender Fristbeginn:** Ohne definierten Startzeitpunkt je Datenart lässt sich die Löschfrist nicht rechtssicher berechnen.

## Beispiel

Ein Online-Händler speichert Bestelldaten eines Kunden. Der unmittelbare Verarbeitungszweck (Vertragsabwicklung, Gewährleistung) ist nach einigen Jahren erfüllt. Die in der Rechnung enthaltenen Daten unterliegen jedoch als **Buchungsbeleg** der Aufbewahrungspflicht nach § 257 Abs. 1 Nr. 4 HGB und sind daher **8 Jahre** (Belege ab 2025) aufzubewahren. Der Händler schränkt die Verarbeitung nach Art. 18 DSGVO ein (kein Marketing, kein operativer Zugriff mehr) und löscht den Datensatz nach Ablauf der achtjährigen Frist – gerechnet ab Schluss des Kalenderjahres, in dem der Beleg entstanden ist (§ 257 Abs. 5 HGB).

## Quellen

- Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung, Art. 5 (Volltext, EUR-Lex):
  https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679
- § 257 HGB – Aufbewahrung von Unterlagen, Aufbewahrungsfristen (gesetze-im-internet.de):
  https://www.gesetze-im-internet.de/hgb/__257.html
- § 147 AO – Ordnungsvorschriften für die Aufbewahrung von Unterlagen (gesetze-im-internet.de):
  https://www.gesetze-im-internet.de/ao_1977/__147.html
- § 35 BDSG – Recht auf Löschung (gesetze-im-internet.de):
  https://www.gesetze-im-internet.de/bdsg_2018/__35.html
- Datenschutzkonferenz (DSK) – Kurzpapier Nr. 11 „Recht auf Löschung / Recht auf Vergessenwerden" (PDF):
  https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_11.pdf

## Änderungsverlauf

- 2026-05-31: Erstveröffentlichung der Faktenseite. Alle Quellen-URLs gegen amtliche Stellen auf HTTP 200 geprüft. Aufbewahrungsfristen nach § 257 HGB auf den Stand des Vierten Bürokratieentlastungsgesetzes (Buchungsbelege 8 Jahre, seit 1.1.2025) gebracht. Frontmatter-Felder gesetzt (legal_status, authority_level, wikidata_subjects). | change_type=initial_publication reviewed_by="Andreas Warkentin" field="topic_lifecycle" new="published"
## Stand

- Stand: 2026-05-31
- Gültig ab: 2018-05-25 (Geltungsbeginn der DSGVO)
- Status: aktuell
- Quellenautorität: A (EUR-Lex, gesetze-im-internet.de; ergänzend DSK)
- Lizenz: CC BY 4.0
