# Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)

Speicherbegrenzung als zeitliche Datenminimierung: Löschpflicht bei Zweckerreichung, Überprüfungsintervalle, Löschkonzepte, Privilegierung von Archiv-, Forschungs- und Statistikzwecken.

> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.7-speicherbegrenzung
> Sprache: en



Art. 5 Abs. 1 lit. e DSGVO verlangt, dass personenbezogene Daten nur so lange in identifizierender Form gespeichert werden, wie es für die Zwecke ihrer Verarbeitung erforderlich ist. Der Grundsatz ist eine Ausprägung des Verhältnismäßigkeitsgrundsatzes und konkretisiert die Datenminimierung in **zeitlicher Hinsicht**.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Die Speicherbegrenzung ist die **zeitliche** Dimension der Datenminimierung: Daten sind nach Zweckerreichung oder Verlust der Zweckrelevanz zu löschen.
  * Die Löschpflicht ist **proaktiv**: Der Verantwortliche darf nicht abwarten, bis ein Löschungsanspruch nach Art. 17 Abs. 1 DSGVO geltend gemacht wird.
  * Die Speicherdauer oder die Kriterien dafür sind **intern festzulegen** und zu dokumentieren; die Praxis arbeitet mit Löschkonzepten und Regelprüffristen.
  * Eine **Vorratsspeicherung** für unbestimmte künftige Zwecke ist unzulässig.
  * Privilegiert sind Archiv-, Forschungs- und Statistikzwecke, aber nur bei Einhaltung der Garantien des **Art. 89 Abs. 1 DSGVO**.
</Callout>

## 1 Überblick [#1-überblick]

### 1.1 Rechtsfolge und Rechtfertigungsdruck [#11-rechtsfolge-und-rechtfertigungsdruck]

Dass der Unionsgesetzgeber die zeitliche Dimension in einen eigenständigen Grundsatz überführt hat, gibt ihr besonderes Gewicht und erhöht den Rechtfertigungsdruck auf den Verantwortlichen. Erwägungsgrund 39 S. 8 DSGVO fordert ausdrücklich, die Speicherdauer auf das „unbedingt erforderliche Mindestmaß" zu beschränken.

### 1.2 Interne Festlegung der Speicherdauer [#12-interne-festlegung-der-speicherdauer]

Der Verantwortliche muss die betroffene Person nach Art. 13 Abs. 2 lit. a und Art. 14 Abs. 2 lit. a DSGVO über die Speicherdauer oder (wenn eine konkrete Dauer nicht angegeben werden kann) die Kriterien für ihre Festlegung informieren. Aus der Verknüpfung mit der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) folgt, dass die Speicherdauer oder die zu ihrer Bestimmung herangezogenen Kriterien **intern festzulegen** sind, ähnlich wie der Zweck der Verarbeitung. Die Festlegung dient zugleich der Nachweisbarkeit gegenüber der Aufsichtsbehörde.

## 2 Inhalt des Grundsatzes [#2-inhalt-des-grundsatzes]

### 2.1 Erforderlichkeit in zeitlicher Hinsicht [#21-erforderlichkeit-in-zeitlicher-hinsicht]

Art. 5 Abs. 1 lit. e Hs. 1 DSGVO erfasst zwei Konstellationen:

* **Zweckerreichung**: Ist der Verarbeitungszweck erfüllt, entfällt die Grundlage für die Speicherung. Die Daten müssen gelöscht werden.
* **Verlust der Zweckrelevanz**: Daten können auch vor Zweckerreichung ihre Relevanz für den Zweck verlieren, etwa weil sie nicht mehr aktuell oder durch neuere Informationen überholt sind ([EuGH, Urt. v. 13.05.2014, C-131/12, Google Spain, Rn. 93 f.](https://curia.europa.eu/juris/document/document.jsf?docid=152065\&doclang=DE)).

### 2.2 Proaktive Löschpflicht [#22-proaktive-löschpflicht]

Der Verantwortliche muss die Daten **aus eigener Initiative** löschen; er darf nicht abwarten, bis die betroffene Person ihren Löschungsanspruch aus Art. 17 Abs. 1 DSGVO geltend macht ([EuGH, Urt. v. 13.05.2014, C-131/12, Google Spain, Rn. 72](https://curia.europa.eu/juris/document/document.jsf?docid=152065\&doclang=DE); [EuGH, Urt. v. 16.12.2008, C-524/06, Huber, Rn. 60](https://curia.europa.eu/juris/liste.jsf?language=de\&num=C-524/06)).

### 2.3 Regelmäßige Überprüfung [#23-regelmäßige-überprüfung]

Um die Löschpflicht praktisch umzusetzen, muss der Verantwortliche seine Datenbestände in regelmäßigen Abständen überprüfen (Erwägungsgrund 39 S. 10 DSGVO). Die Überprüfungsintervalle sind im [Verzeichnis von Verarbeitungstätigkeiten](/docs/dsgvo-hub/einzelthemen/1.3.7-verzeichnis-von-verarbeitungstaetigkeiten) nach Art. 30 Abs. 1 S. 2 lit. f DSGVO zu dokumentieren.

<Callout type="info">
  Bei größeren Datenbeständen ist es nicht erforderlich, auf den einzelnen Datensatz abzustellen. Die Praxis arbeitet mit „typisierten Regelprüffristen" oder umfassenden **Löschkonzepten**, die festlegen, wann welche Datenkategorien anlassbezogen oder turnusmäßig gelöscht werden.
</Callout>

### 2.4 Vorratsspeicherung unzulässig [#24-vorratsspeicherung-unzulässig]

Sind Daten für den Verarbeitungszweck nicht mehr erforderlich, dürfen sie nicht für unbestimmte künftige Zwecke auf Vorrat aufbewahrt werden. Das Verbot der Vorratsspeicherung folgt unmittelbar aus dem Zusammenspiel von Zweckbindung und Speicherbegrenzung.

## 3 Privilegierte Zwecke [#3-privilegierte-zwecke]

### 3.1 Archivzwecke, Forschung, Statistik [#31-archivzwecke-forschung-statistik]

Art. 5 Abs. 1 lit. e Hs. 2 DSGVO enthält eine Ausnahme zugunsten der Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke sowie für statistische Zwecke. Der Unionsgesetzgeber trägt damit dem gesellschaftlichen Interesse an einer funktionierenden Forschung und dem Erhalt des kollektiven Gedächtnisses Rechnung.

### 3.2 Flankierende Garantien nach Art. 89 DSGVO [#32-flankierende-garantien-nach-art-89-dsgvo]

Eine längere Speicherung ist nur zulässig, wenn die technischen und organisatorischen Maßnahmen des Art. 89 Abs. 1 DSGVO eingehalten werden. Nach Art. 89 Abs. 1 S. 3 DSGVO muss der Verantwortliche prüfen, ob der Zweck auch mit anonymisierten Daten erreicht werden kann. Nur wenn das nicht möglich ist, dürfen Daten in identifizierbarer Form verarbeitet werden.

<Callout type="warn">
  Zwischen der Aufbewahrungsregel in Art. 5 Abs. 1 lit. e Hs. 2 DSGVO und der Pflicht aus Art. 89 Abs. 1 S. 3 DSGVO besteht ein gewisser Spannungsbogen. Die Aufbewahrung erlaubt eine Speicherung gewissermaßen auf Vorrat für noch nicht konkretisierte Verarbeitungen; sobald jedoch eine konkrete Verarbeitung erfolgt, ist erneut zu prüfen, ob hierfür wirklich personenbezogene Daten erforderlich sind.
</Callout>

## 4 Bezug zu den übrigen Grundsätzen [#4-bezug-zu-den-übrigen-grundsätzen]

Die Speicherbegrenzung greift ineinander mit der Zweckbindung: Ohne festgelegten Zweck lässt sich keine Speicherdauer bestimmen. Sie verzahnt sich zudem mit der Rechenschaftspflicht, weil der Verantwortliche die Einhaltung der Löschfristen nachweisen muss, und mit der Integrität und Vertraulichkeit, weil auch die Löschung selbst eine technische und organisatorische Maßnahme darstellt.

<Cards>
  <Card title="Zweckbindung" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.4-zweckbindung" description="Art. 5 Abs. 1 lit. b DSGVO: Zweck als Bezugspunkt der Speicherdauer." />

  <Card title="Datenminimierung" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.5-datenminimierung" description="Art. 5 Abs. 1 lit. c DSGVO: Minimierung im Umfang." />

  <Card title="Rechenschaftspflicht" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.9-rechenschaftspflicht" description="Art. 5 Abs. 2 DSGVO: Nachweis der Löschpraxis." />

  <Card title="Google Spain" href="/docs/dsgvo-hub/rechtsprechung/1.4.6-eugh-google-spain" description="EuGH C-131/12: Löschung bei Verlust der Zweckrelevanz." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.