# Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)

Datenminimierung als Grundsatz der DSGVO: Erheblichkeit, Erforderlichkeit und Angemessenheit der Datenverarbeitung; Unterschiede zur früheren Datensparsamkeit; praktische Anwendungsfelder.

> Quelle: https://www.thomashelbing.com/de/wissen/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.5-datenminimierung
> Sprache: de



Der Grundsatz der Datenminimierung verlangt, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt" sein müssen. Die Vorschrift ist Ausprägung des Grundsatzes der Verhältnismäßigkeit und knüpft konsequent an die Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) an.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Die Datenminimierung verlangt **drei** zweckbezogene Anforderungen: Erheblichkeit, Erforderlichkeit und Angemessenheit (drei Stufen der Verhältnismäßigkeit).
  * Sie enthält **keine absolute** Obergrenze des Datenumfangs, sondern eine am Zweck der Verarbeitung ausgerichtete Kontrolle.
  * Sie löst die frühere **Datensparsamkeit** (§ 3a BDSG a.F.) ab; das Ziel der reinen Datenvermeidung ist damit aufgegeben.
  * Anwendungsfelder sind insbesondere **pseudonyme/anonyme Nutzung**, Big Data und die Beschränkung von **Pflichtfeldern** in Formularen.
  * Ein Verstoß macht die Verarbeitung **unzulässig** und ist bußgeldbewehrt; Art. 25 Abs. 1 DSGVO setzt den Grundsatz technisch-organisatorisch um.
</Callout>

## 1 Überblick [#1-überblick]

### 1.1 Drei Anforderungen: drei Stufen der Verhältnismäßigkeit [#11-drei-anforderungen-drei-stufen-der-verhältnismäßigkeit]

Die Datenminimierung zerfällt in drei Anforderungen, die die drei Stufen der Verhältnismäßigkeitsprüfung spiegeln:

* **Erheblichkeit** („relevant"): Die Daten müssen für den verfolgten Zweck geeignet sein.
* **Erforderlichkeit** („limited to what is necessary"): Die Verarbeitung muss auf das notwendige Maß beschränkt sein.
* **Angemessenheit** („adequate"): Die Verarbeitung muss im engeren Sinne verhältnismäßig sein.

Alle drei Anforderungen orientieren sich am Zweck der Verarbeitung. Sie enthalten keine absolute Grenze des zulässigen Datenumfangs, sondern eine zweckbezogene Verhältnismäßigkeitskontrolle.

### 1.2 Rechtsfolge und Systematik [#12-rechtsfolge-und-systematik]

Ein Verstoß gegen die Datenminimierung macht die Verarbeitung unzulässig und ist bußgeldbewehrt. Der Grundsatz wirkt zudem als Auslegungsmaßstab für Einzelvorschriften: Art. 25 Abs. 1 DSGVO verpflichtet den Verantwortlichen, bereits bei der Auswahl und Gestaltung seiner Verarbeitungssysteme technische und organisatorische Maßnahmen vorzusehen, die die Datenminimierung umsetzen.

### 1.3 Verhältnis zur früheren Datensparsamkeit [#13-verhältnis-zur-früheren-datensparsamkeit]

Die DSGVO löst den vormaligen Grundsatz der Datensparsamkeit (§ 3a BDSG a.F.) ab. Während die Datensparsamkeit das Ziel der **Datenvermeidung** verfolgte und bereits die Gestaltung und Organisation von Verarbeitungsprozessen erfasste, orientiert sich die Datenminimierung allein am Zweck der Verarbeitung. Sie enthält keine normative Begrenzung des Umfangs der Verarbeitung über die zweckbezogene Prüfung hinaus.

## 2 Die drei Anforderungen im Einzelnen [#2-die-drei-anforderungen-im-einzelnen]

### 2.1 Erheblichkeit [#21-erheblichkeit]

Die verarbeiteten Daten müssen zur Erreichung des Verarbeitungszwecks einen relevanten Beitrag leisten. Daten, die mit dem Zweck in keinem Zusammenhang stehen, dürfen nicht verarbeitet werden. Die Prüfung entspricht der Geeignetheitsstufe der allgemeinen Verhältnismäßigkeitsprüfung.

### 2.2 Erforderlichkeit [#22-erforderlichkeit]

Die Verarbeitung muss auf das für den Zweck notwendige Maß beschränkt bleiben. Der Wortlaut der DSGVO ist insoweit enger als die Vorgängerregelung der Richtlinie 95/46/EG, die lediglich verlangte, dass die Daten „not excessive" sein durften. Eine Verarbeitung ist nicht erforderlich, wenn sich der Zweck mit geringerem Eingriff in die Rechte der betroffenen Person ebenso wirksam erreichen lässt, wenn also eine datenschutzschonende Alternative besteht.

<Callout type="info">
  Die Erforderlichkeit ist bereits in den meisten Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO (mit Ausnahme der Einwilligung, lit. a) als Tatbestandsmerkmal enthalten. Der Grundsatz der Datenminimierung bekräftigt und verdeutlicht diese Anforderung, erweitert sie aber nicht gegenüber Art. 6 DSGVO.
</Callout>

#### 2.2.1 Anwendungsbeispiele [#221-anwendungsbeispiele]

Typische Konstellationen, in denen die Erforderlichkeit geprüft wird, sind:

* **Identifikation**: Bei vielen Onlinediensten ist es nicht erforderlich, dass die Nutzerin sich unter ihrem Klarnamen identifiziert. Pseudonyme oder anonyme Nutzungsmöglichkeiten sind regelmäßig zu prüfen und vorrangig vorzusehen.
* **Big Data**: Auch bei großen Datenmengen ist kritisch zu hinterfragen, ob der Personenbezug tatsächlich nötig ist. Häufig lassen sich anonyme oder pseudonyme Datenbestände zweckgerecht einsetzen, ohne dass einzelne Betroffene identifiziert werden.
* **Pflichtfelder**: Formulare und Anmeldemasken dürfen als Pflichtangabe nur diejenigen Felder enthalten, die für den konkreten Zweck wirklich benötigt werden.

### 2.3 Angemessenheit [#23-angemessenheit]

Die Datenverarbeitung muss zudem im engeren Sinne angemessen sein („adequate"). Das Merkmal verlangt eine **wertende** Betrachtung, ob der Umfang der Verarbeitung in einem vernünftigen Verhältnis zum verfolgten Zweck steht. Die Angemessenheit ist eine eigenständige Stufe; sie kann eine Verarbeitung auch dann unzulässig machen, wenn die Voraussetzungen einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO (einschließlich einer Einwilligung) vorliegen. Unangemessen kann eine Verarbeitung insbesondere sein, wenn sie aus objektiver Perspektive exzessiv ist oder für rein hypothetische Zwecke erfolgt, für die im Zeitpunkt der Erhebung kein absehbarer Anlass besteht.

## 3 Prüfung im Einzelfall [#3-prüfung-im-einzelfall]

<Mermaid
  chart="flowchart TD
  A[Verarbeitung geplant] --> B{Tragen die Daten<br/>zum Zweck bei?}
  B -->|Nein| X1[Unzulässig<br/>Erheblichkeit fehlt]
  B -->|Ja| C{Datenschonendere<br/>Alternative möglich?}
  C -->|Ja| X2[Unzulässig<br/>Erforderlichkeit fehlt]
  C -->|Nein| D{Verhältnis zum Zweck<br/>angemessen?}
  D -->|Nein| X3[Unzulässig<br/>Angemessenheit fehlt]
  D -->|Ja| Y[Datenminimierung erfüllt]"
/>

<Cards>
  <Card title="Zweckbindung" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.4-zweckbindung" description="Art. 5 Abs. 1 lit. b DSGVO: Ausgangspunkt jeder Minimierung." />

  <Card title="Speicherbegrenzung" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.7-speicherbegrenzung" description="Art. 5 Abs. 1 lit. e DSGVO: Minimierung in zeitlicher Hinsicht." />

  <Card title="Huber" href="/docs/dsgvo-hub/rechtsprechung/1.4.3-eugh-huber" description="EuGH C-524/06: Erforderlichkeit bei Behördenregistern." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/de) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/de#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/de#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/de#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.