# Einschränkung der Verarbeitung (Art. 4 Nr. 3 DSGVO)

Einschränkung der Verarbeitung bezeichnet die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung zu begrenzen. Sie entspricht der früheren Sperrung und bildet die technische Grundlage des Rechts aus Art. 18 DSGVO.

> Quelle: https://www.thomashelbing.com/de/wissen/dsgvo-hub/begriffe-und-definitionen/1.2.3-einschraenkung-der-verarbeitung
> Sprache: de



[Art. 4 Nr. 3 DSGVO](https://dsgvo-gesetz.de/art-4-dsgvo/) definiert die Einschränkung der Verarbeitung als die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken. Die Definition ist technikneutral und beschreibt sowohl den Vorgang (Markierung) als auch seinen Zweck (Begrenzung künftiger Verarbeitung).

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Einschränkung der Verarbeitung bedeutet: gespeicherte Daten werden markiert, damit ihre künftige aktive Nutzung blockiert ist, ohne dass sie sofort gelöscht werden.
  * Das Konzept ist der Nachfolger der früheren „Sperrung" des BDSG a. F. ([Erwägungsgrund 67 DSGVO](https://dsgvo-gesetz.de/erwaegungsgruende/nr-67/)).
  * Das subjektive Recht der betroffenen Person auf Einschränkung ergibt sich aus [Art. 18 DSGVO](https://dsgvo-gesetz.de/art-18-dsgvo/) und greift in vier klar definierten Situationen.
  * Technisch muss die Einschränkung in automatisierten Systemen durch Markierung oder Isolation sichergestellt sein; rein organisatorische Hinweise genügen nicht.
  * Archivierungssysteme ersetzen die Einschränkung nicht; sie müssen diese ihrerseits abbilden können.
</Callout>

## 1 Überblick [#1-überblick]

Die Einschränkung der Verarbeitung ist als [Unterfall der Verarbeitung](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.2-verarbeitung) selbst eine Verarbeitungsform im Sinne der DSGVO. Ihr Kerngedanke: Die Daten bleiben gespeichert, ihre aktive Nutzung wird jedoch durch eine technische oder organisatorische Markierung blockiert. Auf eingeschränkte Daten darf außer zur bloßen Speicherung nur unter den engen Voraussetzungen des [Art. 18 Abs. 2 DSGVO](https://dsgvo-gesetz.de/art-18-dsgvo/) zugegriffen werden, nämlich mit Einwilligung der betroffenen Person, zur Geltendmachung von Rechtsansprüchen, zum Schutz einer anderen Person oder wegen eines wichtigen öffentlichen Interesses.

Das Recht auf Einschränkung steht der betroffenen Person nach [Art. 18 Abs. 1 DSGVO](https://dsgvo-gesetz.de/art-18-dsgvo/) in vier Situationen zu: wenn sie die Richtigkeit der Daten bestreitet (für die Dauer der Überprüfung), wenn die Verarbeitung unrechtmäßig ist, sie aber keine Löschung wünscht, wenn der Verantwortliche die Daten nicht mehr benötigt, die Person sie jedoch zur Rechtsverfolgung braucht, und schließlich solange ein Widerspruch nach Art. 21 Abs. 1 DSGVO noch nicht abschließend beurteilt ist.

Der Begriff knüpft inhaltlich an die frühere „Sperrung" an. [Erwägungsgrund 67 DSGVO](https://dsgvo-gesetz.de/erwaegungsgruende/nr-67/) verwendet den Begriff „sperren" noch als Synonym und umschreibt damit dasselbe Konzept unter neuem Namen.

## 2 Methoden der Einschränkung [#2-methoden-der-einschränkung]

[Erwägungsgrund 67 DSGVO](https://dsgvo-gesetz.de/erwaegungsgruende/nr-67/) nennt drei Methoden, die zeigen, wie eine Einschränkung technisch umgesetzt werden kann:

* vorübergehendes Übertragen der Daten auf ein anderes Verarbeitungssystem,
* Sperren für Nutzerinnen und Nutzer,
* vorübergehendes Entfernen veröffentlichter Daten von einer Website.

In automatisierten Dateisystemen muss die Einschränkung grundsätzlich durch technische Mittel erfolgen, sodass die Daten weder weiterverarbeitet noch verändert werden können ([Erwägungsgrund 67 DSGVO](https://dsgvo-gesetz.de/erwaegungsgruende/nr-67/)). Zusätzlich ist im System unmissverständlich auf die bestehende Einschränkung hinzuweisen.

## 3 Abgrenzungen [#3-abgrenzungen]

### 3.1 Verhältnis zur früheren Sperrung (BDSG a. F.) [#31-verhältnis-zur-früheren-sperrung-bdsg-a-f]

Das frühere BDSG kannte eine Sperrung als Ersatz für die Löschung, wenn letztere wegen der Art der Speicherung nicht oder nur mit unverhältnismäßigem Aufwand möglich war. Diese Regelung ist mit dem Inkrafttreten der DSGVO entfallen. Systeme, die eine Löschung technisch nicht abbilden können, müssen daher um entsprechende Löschroutinen ergänzt werden. Die Einschränkung der Verarbeitung nach Art. 4 Nr. 3 DSGVO erfüllt eine andere Funktion: Sie sichert dem Verantwortlichen und der betroffenen Person einen Schwebezustand, in dem die Daten erhalten bleiben, aber nicht aktiv genutzt werden dürfen.

### 3.2 Einschränkung, Archivierung und Löschung im Vergleich [#32-einschränkung-archivierung-und-löschung-im-vergleich]

Die drei Maßnahmen verfolgen unterschiedliche Ziele und haben unterschiedliche Rechtsgrundlagen. Die folgende Tabelle stellt sie gegenüber:

| Merkmal               | Einschränkung der Verarbeitung                                                         | Archivierung                                                                                                                                             | Löschung                                                                    |
| :-------------------- | :------------------------------------------------------------------------------------- | :------------------------------------------------------------------------------------------------------------------------------------------------------- | :-------------------------------------------------------------------------- |
| Ziel                  | Aktive Nutzung blockieren, Daten erhalten                                              | Langfristige Aufbewahrung für Nachweis- oder Archivzwecke                                                                                                | Daten dauerhaft und unwiederbringlich beseitigen                            |
| Datenbestand          | Bleibt unverändert gespeichert, nur Nutzung eingeschränkt                              | Bleibt erhalten, ggf. in gesondertem System                                                                                                              | Entfällt vollständig                                                        |
| Typische Situation    | Streit über Richtigkeit, Widerspruchsverfahren, kein Bedarf mehr beim Verantwortlichen | Handels- oder steuerrechtliche Aufbewahrungsfristen, öffentliches Archivwesen                                                                            | Zweck weggefallen, keine gesetzliche Aufbewahrungspflicht                   |
| Rechtsgrundlage       | [Art. 18 DSGVO](https://dsgvo-gesetz.de/art-18-dsgvo/) (Betroffenenrecht)              | [Art. 89 DSGVO](https://dsgvo-gesetz.de/art-89-dsgvo/) i. V. m. nationalem Archivrecht (z. B. [BArchG](https://www.gesetze-im-internet.de/barchg_2017/)) | [Art. 17 DSGVO](https://dsgvo-gesetz.de/art-17-dsgvo/) (Recht auf Löschung) |
| Wiederherstellbarkeit | Einschränkung ist aufhebbar                                                            | Dauerhaft aufbewahrt, Zugriff begrenzt                                                                                                                   | Nicht wiederherstellbar                                                     |

Archivierungsprogramme ersetzen die Einschränkung der Verarbeitung nicht: Sie müssen ihrerseits Einschränkung und Löschung technisch ermöglichen, um die Anforderungen der DSGVO zu erfüllen. Eine dauerhafte Aufbewahrung statt Löschung ist nur auf der Grundlage des Archivrechts zulässig, und auch dort nur unter den Garantien des [Art. 89 DSGVO](https://dsgvo-gesetz.de/art-89-dsgvo/). Das [Bundesarchivgesetz (BArchG)](https://www.gesetze-im-internet.de/barchg_2017/) richtet sich an Bundesbehörden und vergleichbare öffentliche Stellen; für private Unternehmen gilt es nicht. Für den nicht-öffentlichen Bereich sind die einschlägigen Archivgesetze der Länder und die allgemeinen DSGVO-Grundsätze maßgeblich.

<Cards>
  <Card title="Verarbeitung (Art. 4 Nr. 2 DSGVO)" href="/docs/dsgvo-hub/begriffe-und-definitionen/1.2.2-verarbeitung" description="Einschränkung als Unterfall des weiten Verarbeitungsbegriffs." />

  <Card title="Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.7-speicherbegrenzung" description="Zeitliche Datenminimierung: Löschpflicht bei Zweckerreichung und Löschkonzepte." />

  <Card title="Personenbezogene Daten (Art. 4 Nr. 1 DSGVO)" href="/docs/dsgvo-hub/begriffe-und-definitionen/1.2.1-personenbezogene-daten" description="Grundbegriff: welche Daten der DSGVO unterliegen." />

  <Card title="Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO)" href="/docs/dsgvo-hub/begriffe-und-definitionen/1.2.12-verletzung-des-schutzes-personenbezogener-daten" description="Wenn Einschränkungen versagen: Meldepflichten bei Datenpannen." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/de) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/de#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/de#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/de#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.