Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)
Speicherbegrenzung als zeitliche Datenminimierung: Löschpflicht bei Zweckerreichung, Überprüfungsintervalle, Löschkonzepte, Privilegierung von Archiv-, Forschungs- und Statistikzwecken.
Art. 5 Abs. 1 lit. e DSGVO verlangt, dass personenbezogene Daten nur so lange in identifizierender Form gespeichert werden, wie es für die Zwecke ihrer Verarbeitung erforderlich ist. Der Grundsatz ist eine Ausprägung des Verhältnismäßigkeitsgrundsatzes und konkretisiert die Datenminimierung in zeitlicher Hinsicht.
Das Wichtigste in Kürze
- Die Speicherbegrenzung ist die zeitliche Dimension der Datenminimierung: Daten sind nach Zweckerreichung oder Verlust der Zweckrelevanz zu löschen.
- Die Löschpflicht ist proaktiv: Der Verantwortliche darf nicht abwarten, bis ein Löschungsanspruch nach Art. 17 Abs. 1 DSGVO geltend gemacht wird.
- Die Speicherdauer oder die Kriterien dafür sind intern festzulegen und zu dokumentieren; die Praxis arbeitet mit Löschkonzepten und Regelprüffristen.
- Eine Vorratsspeicherung für unbestimmte künftige Zwecke ist unzulässig.
- Privilegiert sind Archiv-, Forschungs- und Statistikzwecke, aber nur bei Einhaltung der Garantien des Art. 89 Abs. 1 DSGVO.
1 Überblick
1.1 Rechtsfolge und Rechtfertigungsdruck
Dass der Unionsgesetzgeber die zeitliche Dimension in einen eigenständigen Grundsatz überführt hat, gibt ihr besonderes Gewicht und erhöht den Rechtfertigungsdruck auf den Verantwortlichen. Erwägungsgrund 39 S. 8 DSGVO fordert ausdrücklich, die Speicherdauer auf das „unbedingt erforderliche Mindestmaß" zu beschränken.
1.2 Interne Festlegung der Speicherdauer
Der Verantwortliche muss die betroffene Person nach Art. 13 Abs. 2 lit. a und Art. 14 Abs. 2 lit. a DSGVO über die Speicherdauer oder (wenn eine konkrete Dauer nicht angegeben werden kann) die Kriterien für ihre Festlegung informieren. Aus der Verknüpfung mit der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) folgt, dass die Speicherdauer oder die zu ihrer Bestimmung herangezogenen Kriterien intern festzulegen sind, ähnlich wie der Zweck der Verarbeitung. Die Festlegung dient zugleich der Nachweisbarkeit gegenüber der Aufsichtsbehörde.
2 Inhalt des Grundsatzes
2.1 Erforderlichkeit in zeitlicher Hinsicht
Art. 5 Abs. 1 lit. e Hs. 1 DSGVO erfasst zwei Konstellationen:
- Zweckerreichung: Ist der Verarbeitungszweck erfüllt, entfällt die Grundlage für die Speicherung. Die Daten müssen gelöscht werden.
- Verlust der Zweckrelevanz: Daten können auch vor Zweckerreichung ihre Relevanz für den Zweck verlieren, etwa weil sie nicht mehr aktuell oder durch neuere Informationen überholt sind (EuGH, Urt. v. 13.05.2014, C-131/12, Google Spain, Rn. 93 f.).
2.2 Proaktive Löschpflicht
Der Verantwortliche muss die Daten aus eigener Initiative löschen; er darf nicht abwarten, bis die betroffene Person ihren Löschungsanspruch aus Art. 17 Abs. 1 DSGVO geltend macht (EuGH, Urt. v. 13.05.2014, C-131/12, Google Spain, Rn. 72; EuGH, Urt. v. 16.12.2008, C-524/06, Huber, Rn. 60).
2.3 Regelmäßige Überprüfung
Um die Löschpflicht praktisch umzusetzen, muss der Verantwortliche seine Datenbestände in regelmäßigen Abständen überprüfen (Erwägungsgrund 39 S. 10 DSGVO). Die Überprüfungsintervalle sind im Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 S. 2 lit. f DSGVO zu dokumentieren.
Bei größeren Datenbeständen ist es nicht erforderlich, auf den einzelnen Datensatz abzustellen. Die Praxis arbeitet mit „typisierten Regelprüffristen" oder umfassenden Löschkonzepten, die festlegen, wann welche Datenkategorien anlassbezogen oder turnusmäßig gelöscht werden.
2.4 Vorratsspeicherung unzulässig
Sind Daten für den Verarbeitungszweck nicht mehr erforderlich, dürfen sie nicht für unbestimmte künftige Zwecke auf Vorrat aufbewahrt werden. Das Verbot der Vorratsspeicherung folgt unmittelbar aus dem Zusammenspiel von Zweckbindung und Speicherbegrenzung.
3 Privilegierte Zwecke
3.1 Archivzwecke, Forschung, Statistik
Art. 5 Abs. 1 lit. e Hs. 2 DSGVO enthält eine Ausnahme zugunsten der Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke sowie für statistische Zwecke. Der Unionsgesetzgeber trägt damit dem gesellschaftlichen Interesse an einer funktionierenden Forschung und dem Erhalt des kollektiven Gedächtnisses Rechnung.
3.2 Flankierende Garantien nach Art. 89 DSGVO
Eine längere Speicherung ist nur zulässig, wenn die technischen und organisatorischen Maßnahmen des Art. 89 Abs. 1 DSGVO eingehalten werden. Nach Art. 89 Abs. 1 S. 3 DSGVO muss der Verantwortliche prüfen, ob der Zweck auch mit anonymisierten Daten erreicht werden kann. Nur wenn das nicht möglich ist, dürfen Daten in identifizierbarer Form verarbeitet werden.
Zwischen der Aufbewahrungsregel in Art. 5 Abs. 1 lit. e Hs. 2 DSGVO und der Pflicht aus Art. 89 Abs. 1 S. 3 DSGVO besteht ein gewisser Spannungsbogen. Die Aufbewahrung erlaubt eine Speicherung gewissermaßen auf Vorrat für noch nicht konkretisierte Verarbeitungen; sobald jedoch eine konkrete Verarbeitung erfolgt, ist erneut zu prüfen, ob hierfür wirklich personenbezogene Daten erforderlich sind.
4 Bezug zu den übrigen Grundsätzen
Die Speicherbegrenzung greift ineinander mit der Zweckbindung: Ohne festgelegten Zweck lässt sich keine Speicherdauer bestimmen. Sie verzahnt sich zudem mit der Rechenschaftspflicht, weil der Verantwortliche die Einhaltung der Löschfristen nachweisen muss, und mit der Integrität und Vertraulichkeit, weil auch die Löschung selbst eine technische und organisatorische Maßnahme darstellt.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Richtigkeit (Art. 5 Abs. 1 lit. d DSGVO)
Richtigkeit und Aktualität personenbezogener Daten: proaktive Berichtigung, Profiling und KI, Abgrenzung bei zeitbezogenen Daten, Pflichten bei Weitergabe an Dritte.
Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO)
Datensicherheit als Grundsatz der DSGVO: Schutz vor unbefugter Verarbeitung, Verlust und Zerstörung; Verhältnis zu Art. 32 DSGVO; risikobasierter Ansatz bei den Sicherheitsmaßnahmen.