Einschränkung der Verarbeitung (Art. 4 Nr. 3 DSGVO)
Einschränkung der Verarbeitung bezeichnet die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung zu begrenzen. Sie entspricht der früheren Sperrung und bildet die technische Grundlage des Rechts aus Art. 18 DSGVO.
Art. 4 Nr. 3 DSGVO definiert die Einschränkung der Verarbeitung als die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken. Die Definition ist technikneutral und beschreibt sowohl den Vorgang (Markierung) als auch seinen Zweck (Begrenzung künftiger Verarbeitung).
Das Wichtigste in Kürze
- Einschränkung der Verarbeitung bedeutet: gespeicherte Daten werden markiert, damit ihre künftige aktive Nutzung blockiert ist, ohne dass sie sofort gelöscht werden.
- Das Konzept ist der Nachfolger der früheren „Sperrung" des BDSG a. F. (Erwägungsgrund 67 DSGVO).
- Das subjektive Recht der betroffenen Person auf Einschränkung ergibt sich aus Art. 18 DSGVO und greift in vier klar definierten Situationen.
- Technisch muss die Einschränkung in automatisierten Systemen durch Markierung oder Isolation sichergestellt sein; rein organisatorische Hinweise genügen nicht.
- Archivierungssysteme ersetzen die Einschränkung nicht; sie müssen diese ihrerseits abbilden können.
1 Überblick
Die Einschränkung der Verarbeitung ist als Unterfall der Verarbeitung selbst eine Verarbeitungsform im Sinne der DSGVO. Ihr Kerngedanke: Die Daten bleiben gespeichert, ihre aktive Nutzung wird jedoch durch eine technische oder organisatorische Markierung blockiert. Auf eingeschränkte Daten darf außer zur bloßen Speicherung nur unter den engen Voraussetzungen des Art. 18 Abs. 2 DSGVO zugegriffen werden, nämlich mit Einwilligung der betroffenen Person, zur Geltendmachung von Rechtsansprüchen, zum Schutz einer anderen Person oder wegen eines wichtigen öffentlichen Interesses.
Das Recht auf Einschränkung steht der betroffenen Person nach Art. 18 Abs. 1 DSGVO in vier Situationen zu: wenn sie die Richtigkeit der Daten bestreitet (für die Dauer der Überprüfung), wenn die Verarbeitung unrechtmäßig ist, sie aber keine Löschung wünscht, wenn der Verantwortliche die Daten nicht mehr benötigt, die Person sie jedoch zur Rechtsverfolgung braucht, und schließlich solange ein Widerspruch nach Art. 21 Abs. 1 DSGVO noch nicht abschließend beurteilt ist.
Der Begriff knüpft inhaltlich an die frühere „Sperrung" an. Erwägungsgrund 67 DSGVO verwendet den Begriff „sperren" noch als Synonym und umschreibt damit dasselbe Konzept unter neuem Namen.
2 Methoden der Einschränkung
Erwägungsgrund 67 DSGVO nennt drei Methoden, die zeigen, wie eine Einschränkung technisch umgesetzt werden kann:
- vorübergehendes Übertragen der Daten auf ein anderes Verarbeitungssystem,
- Sperren für Nutzerinnen und Nutzer,
- vorübergehendes Entfernen veröffentlichter Daten von einer Website.
In automatisierten Dateisystemen muss die Einschränkung grundsätzlich durch technische Mittel erfolgen, sodass die Daten weder weiterverarbeitet noch verändert werden können (Erwägungsgrund 67 DSGVO). Zusätzlich ist im System unmissverständlich auf die bestehende Einschränkung hinzuweisen.
3 Abgrenzungen
3.1 Verhältnis zur früheren Sperrung (BDSG a. F.)
Das frühere BDSG kannte eine Sperrung als Ersatz für die Löschung, wenn letztere wegen der Art der Speicherung nicht oder nur mit unverhältnismäßigem Aufwand möglich war. Diese Regelung ist mit dem Inkrafttreten der DSGVO entfallen. Systeme, die eine Löschung technisch nicht abbilden können, müssen daher um entsprechende Löschroutinen ergänzt werden. Die Einschränkung der Verarbeitung nach Art. 4 Nr. 3 DSGVO erfüllt eine andere Funktion: Sie sichert dem Verantwortlichen und der betroffenen Person einen Schwebezustand, in dem die Daten erhalten bleiben, aber nicht aktiv genutzt werden dürfen.
3.2 Einschränkung, Archivierung und Löschung im Vergleich
Die drei Maßnahmen verfolgen unterschiedliche Ziele und haben unterschiedliche Rechtsgrundlagen. Die folgende Tabelle stellt sie gegenüber:
| Merkmal | Einschränkung der Verarbeitung | Archivierung | Löschung |
|---|---|---|---|
| Ziel | Aktive Nutzung blockieren, Daten erhalten | Langfristige Aufbewahrung für Nachweis- oder Archivzwecke | Daten dauerhaft und unwiederbringlich beseitigen |
| Datenbestand | Bleibt unverändert gespeichert, nur Nutzung eingeschränkt | Bleibt erhalten, ggf. in gesondertem System | Entfällt vollständig |
| Typische Situation | Streit über Richtigkeit, Widerspruchsverfahren, kein Bedarf mehr beim Verantwortlichen | Handels- oder steuerrechtliche Aufbewahrungsfristen, öffentliches Archivwesen | Zweck weggefallen, keine gesetzliche Aufbewahrungspflicht |
| Rechtsgrundlage | Art. 18 DSGVO (Betroffenenrecht) | Art. 89 DSGVO i. V. m. nationalem Archivrecht (z. B. BArchG) | Art. 17 DSGVO (Recht auf Löschung) |
| Wiederherstellbarkeit | Einschränkung ist aufhebbar | Dauerhaft aufbewahrt, Zugriff begrenzt | Nicht wiederherstellbar |
Archivierungsprogramme ersetzen die Einschränkung der Verarbeitung nicht: Sie müssen ihrerseits Einschränkung und Löschung technisch ermöglichen, um die Anforderungen der DSGVO zu erfüllen. Eine dauerhafte Aufbewahrung statt Löschung ist nur auf der Grundlage des Archivrechts zulässig, und auch dort nur unter den Garantien des Art. 89 DSGVO. Das Bundesarchivgesetz (BArchG) richtet sich an Bundesbehörden und vergleichbare öffentliche Stellen; für private Unternehmen gilt es nicht. Für den nicht-öffentlichen Bereich sind die einschlägigen Archivgesetze der Länder und die allgemeinen DSGVO-Grundsätze maßgeblich.
Verarbeitung (Art. 4 Nr. 2 DSGVO)
Einschränkung als Unterfall des weiten Verarbeitungsbegriffs.
Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)
Zeitliche Datenminimierung: Löschpflicht bei Zweckerreichung und Löschkonzepte.
Personenbezogene Daten (Art. 4 Nr. 1 DSGVO)
Grundbegriff: welche Daten der DSGVO unterliegen.
Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO)
Wenn Einschränkungen versagen: Meldepflichten bei Datenpannen.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Verarbeitung (Art. 4 Nr. 2 DSGVO)
Der Verarbeitungsbegriff der DSGVO: jeder Umgang mit personenbezogenen Daten, automatisiert oder manuell, vom Erheben über Speichern und Offenlegen bis zur Löschung.
Profiling (Art. 4 Nr. 4 DSGVO)
Profiling bezeichnet jede automatisierte Verarbeitung personenbezogener Daten zur Bewertung persönlicher Aspekte einer natürlichen Person, insbesondere zur Analyse oder Prognose von Verhalten, wirtschaftlicher Lage oder Gesundheit.