Datenschutz HubEinzelthemenGrundsätze der Verarbeitung

Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)

Datenminimierung als Grundsatz der DSGVO: Erheblichkeit, Erforderlichkeit und Angemessenheit der Datenverarbeitung; Unterschiede zur früheren Datensparsamkeit; praktische Anwendungsfelder.

Der Grundsatz der Datenminimierung verlangt, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt" sein müssen. Die Vorschrift ist Ausprägung des Grundsatzes der Verhältnismäßigkeit und knüpft konsequent an die Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) an.

Das Wichtigste in Kürze

  • Die Datenminimierung verlangt drei zweckbezogene Anforderungen: Erheblichkeit, Erforderlichkeit und Angemessenheit (drei Stufen der Verhältnismäßigkeit).
  • Sie enthält keine absolute Obergrenze des Datenumfangs, sondern eine am Zweck der Verarbeitung ausgerichtete Kontrolle.
  • Sie löst die frühere Datensparsamkeit (§ 3a BDSG a.F.) ab; das Ziel der reinen Datenvermeidung ist damit aufgegeben.
  • Anwendungsfelder sind insbesondere pseudonyme/anonyme Nutzung, Big Data und die Beschränkung von Pflichtfeldern in Formularen.
  • Ein Verstoß macht die Verarbeitung unzulässig und ist bußgeldbewehrt; Art. 25 Abs. 1 DSGVO setzt den Grundsatz technisch-organisatorisch um.

1 Überblick

1.1 Drei Anforderungen: drei Stufen der Verhältnismäßigkeit

Die Datenminimierung zerfällt in drei Anforderungen, die die drei Stufen der Verhältnismäßigkeitsprüfung spiegeln:

  • Erheblichkeit („relevant"): Die Daten müssen für den verfolgten Zweck geeignet sein.
  • Erforderlichkeit („limited to what is necessary"): Die Verarbeitung muss auf das notwendige Maß beschränkt sein.
  • Angemessenheit („adequate"): Die Verarbeitung muss im engeren Sinne verhältnismäßig sein.

Alle drei Anforderungen orientieren sich am Zweck der Verarbeitung. Sie enthalten keine absolute Grenze des zulässigen Datenumfangs, sondern eine zweckbezogene Verhältnismäßigkeitskontrolle.

1.2 Rechtsfolge und Systematik

Ein Verstoß gegen die Datenminimierung macht die Verarbeitung unzulässig und ist bußgeldbewehrt. Der Grundsatz wirkt zudem als Auslegungsmaßstab für Einzelvorschriften: Art. 25 Abs. 1 DSGVO verpflichtet den Verantwortlichen, bereits bei der Auswahl und Gestaltung seiner Verarbeitungssysteme technische und organisatorische Maßnahmen vorzusehen, die die Datenminimierung umsetzen.

1.3 Verhältnis zur früheren Datensparsamkeit

Die DSGVO löst den vormaligen Grundsatz der Datensparsamkeit (§ 3a BDSG a.F.) ab. Während die Datensparsamkeit das Ziel der Datenvermeidung verfolgte und bereits die Gestaltung und Organisation von Verarbeitungsprozessen erfasste, orientiert sich die Datenminimierung allein am Zweck der Verarbeitung. Sie enthält keine normative Begrenzung des Umfangs der Verarbeitung über die zweckbezogene Prüfung hinaus.

2 Die drei Anforderungen im Einzelnen

2.1 Erheblichkeit

Die verarbeiteten Daten müssen zur Erreichung des Verarbeitungszwecks einen relevanten Beitrag leisten. Daten, die mit dem Zweck in keinem Zusammenhang stehen, dürfen nicht verarbeitet werden. Die Prüfung entspricht der Geeignetheitsstufe der allgemeinen Verhältnismäßigkeitsprüfung.

2.2 Erforderlichkeit

Die Verarbeitung muss auf das für den Zweck notwendige Maß beschränkt bleiben. Der Wortlaut der DSGVO ist insoweit enger als die Vorgängerregelung der Richtlinie 95/46/EG, die lediglich verlangte, dass die Daten „not excessive" sein durften. Eine Verarbeitung ist nicht erforderlich, wenn sich der Zweck mit geringerem Eingriff in die Rechte der betroffenen Person ebenso wirksam erreichen lässt, wenn also eine datenschutzschonende Alternative besteht.

Die Erforderlichkeit ist bereits in den meisten Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO (mit Ausnahme der Einwilligung, lit. a) als Tatbestandsmerkmal enthalten. Der Grundsatz der Datenminimierung bekräftigt und verdeutlicht diese Anforderung, erweitert sie aber nicht gegenüber Art. 6 DSGVO.

2.2.1 Anwendungsbeispiele

Typische Konstellationen, in denen die Erforderlichkeit geprüft wird, sind:

  • Identifikation: Bei vielen Onlinediensten ist es nicht erforderlich, dass die Nutzerin sich unter ihrem Klarnamen identifiziert. Pseudonyme oder anonyme Nutzungsmöglichkeiten sind regelmäßig zu prüfen und vorrangig vorzusehen.
  • Big Data: Auch bei großen Datenmengen ist kritisch zu hinterfragen, ob der Personenbezug tatsächlich nötig ist. Häufig lassen sich anonyme oder pseudonyme Datenbestände zweckgerecht einsetzen, ohne dass einzelne Betroffene identifiziert werden.
  • Pflichtfelder: Formulare und Anmeldemasken dürfen als Pflichtangabe nur diejenigen Felder enthalten, die für den konkreten Zweck wirklich benötigt werden.

2.3 Angemessenheit

Die Datenverarbeitung muss zudem im engeren Sinne angemessen sein („adequate"). Das Merkmal verlangt eine wertende Betrachtung, ob der Umfang der Verarbeitung in einem vernünftigen Verhältnis zum verfolgten Zweck steht. Die Angemessenheit ist eine eigenständige Stufe; sie kann eine Verarbeitung auch dann unzulässig machen, wenn die Voraussetzungen einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO (einschließlich einer Einwilligung) vorliegen. Unangemessen kann eine Verarbeitung insbesondere sein, wenn sie aus objektiver Perspektive exzessiv ist oder für rein hypothetische Zwecke erfolgt, für die im Zeitpunkt der Erhebung kein absehbarer Anlass besteht.

3 Prüfung im Einzelfall

Zweckbindung

Art. 5 Abs. 1 lit. b DSGVO: Ausgangspunkt jeder Minimierung.

Speicherbegrenzung

Art. 5 Abs. 1 lit. e DSGVO: Minimierung in zeitlicher Hinsicht.

Huber

EuGH C-524/06: Erforderlichkeit bei Behördenregistern.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)

Zweckbindung als Grundsatz der DSGVO: Pflicht zur Zweckfestlegung, Unvereinbarkeitsverbot, Ausnahmen für Archiv-, Forschungs- und Statistikzwecke, Verhältnis zu Art. 6 Abs. 4 DSGVO.

Richtigkeit (Art. 5 Abs. 1 lit. d DSGVO)

Richtigkeit und Aktualität personenbezogener Daten: proaktive Berichtigung, Profiling und KI, Abgrenzung bei zeitbezogenen Daten, Pflichten bei Weitergabe an Dritte.

On this page

1 Überblick1.1 Drei Anforderungen: drei Stufen der Verhältnismäßigkeit1.2 Rechtsfolge und Systematik1.3 Verhältnis zur früheren Datensparsamkeit2 Die drei Anforderungen im Einzelnen2.1 Erheblichkeit2.2 Erforderlichkeit2.2.1 Anwendungsbeispiele2.3 Angemessenheit3 Prüfung im Einzelfall