Skip to content
Rechte & Anfragen calendar_today Aktualisiert: 11. April 2026 schedule 5 Min. Lesezeit

Recht auf Einschränkung der Verarbeitung: Wann und Wie

verified Zuletzt überprüft 11. April 2026 · das GDPRWise Rechtsteam

Ein Kunde sagt 'hören Sie auf, meine Daten zu verwenden, bis wir das geklärt haben.' Dieser Artikel erklärt Schritt für Schritt, wie Sie einen Antrag auf Einschränkung der Verarbeitung nach der DSGVO bearbeiten.

summarize Kernaussagen
  • check_circle Einschränkung bedeutet, dass Sie die Daten speichern, aber nicht weiterverarbeiten dürfen
  • check_circle Es gibt vier spezifische Gründe unter Artikel 18, bei denen die Einschränkung gilt
  • check_circle Sie müssen die betroffene Person informieren, bevor Sie eine Einschränkung aufheben
  • check_circle Sie haben einen Monat Zeit, um auf einen Antrag auf Einschränkung zu reagieren

Was ist die Einschränkung der Verarbeitung?

Gemäß Artikel 18 der DSGVO kann eine betroffene Person Sie auffordern, die Verarbeitung ihrer personenbezogenen Daten einzuschränken. Das bedeutet, Sie dürfen die Daten noch speichern, aber nicht verwenden - kein Versenden, kein Analysieren, kein Teilen, keine Entscheidungen auf Grundlage dieser Daten.

Stellen Sie es sich vor, als würden Sie Daten in eine verschlossene Schublade legen. Sie sind noch da, aber niemand fasst sie an, bis die Situation geklärt ist.

Wann gilt dieses Recht?

Es gibt genau vier Gründe, aus denen eine betroffene Person die Einschränkung verlangen kann. Sie müssen die Einschränkung anwenden, wenn eine dieser Situationen zutrifft.

Grund 1: Die Richtigkeit wird bestritten

Die betroffene Person behauptet, die Daten seien unrichtig, und Sie benötigen Zeit zur Überprüfung. Während dieser Überprüfungszeit müssen die Daten eingeschränkt werden.

Beispiel: Ein Kunde behauptet, sein Geburtsdatum in Ihrem System sei falsch. Während Sie Ihre Originalunterlagen prüfen, schränken Sie die Verarbeitung dieser Daten ein.

Grund 2: Die Verarbeitung ist unrechtmäßig, aber keine Löschung gewünscht

Die Verarbeitung ist unrechtmäßig (z.B. keine gültige Rechtsgrundlage), aber die betroffene Person zieht die Einschränkung der Löschung vor.

Beispiel: Sie haben E-Mail-Adressen ohne gültige Einwilligung gesammelt. Statt die Löschung zu verlangen, sagt ein Kunde: “Behalten Sie meine Daten, aber verwenden Sie sie nicht, bis Sie meine Einwilligung haben.”

Grund 3: Daten für Rechtsansprüche benötigt

Sie benötigen die Daten nicht mehr für Ihren ursprünglichen Zweck, aber die betroffene Person braucht sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Beispiel: Ein ehemaliger Mitarbeiter bittet Sie, seine Leistungsbeurteilungen aufzubewahren, obwohl Ihre Aufbewahrungsfrist abgelaufen ist, weil er die Unterlagen für einen laufenden Arbeitsrechtsstreit benötigt.

Grund 4: Widerspruch in Prüfung

Die betroffene Person hat gemäß Artikel 21 Widerspruch gegen die Verarbeitung eingelegt, und Sie prüfen, ob Ihre berechtigten Gründe gegenüber denen der betroffenen Person überwiegen.

Beispiel: Ein Kunde widerspricht Ihrem Direktmarketing-Profiling. Während Sie prüfen, ob Ihr berechtigtes Interesse gegenüber seinem Widerspruch überwiegt, schränken Sie das Profiling ein.

Schritt 1: Antrag registrieren

Sobald der Antrag eingeht, notieren Sie:

  • Wer den Antrag stellt
  • Wann Sie ihn erhalten haben (die Monatsfrist beginnt jetzt)
  • Über welchen Kanal er eingegangen ist
  • Welcher Grund zutrifft (oder lassen Sie die betroffene Person ihren Grund erklären)
  • Welche Daten eingeschränkt werden sollen
description

Vorlage: Anfragenregister

Halten Sie jede Anfrage in einem Register fest: wer, wann, was gefragt wurde und wie es bearbeitet wurde.

Vorlage ansehen arrow_forward

Schritt 2: Identität überprüfen

Bevor Sie Daten einschränken, stellen Sie sicher, dass Sie es mit der richtigen Person zu tun haben. Es gelten dieselben Verifizierungsregeln wie bei anderen Betroffenenanfragen:

  • Kontoinhaber: Bestätigung über ihr Konto
  • Bekannte Personen: Bestätigung über die bekannte E-Mail-Adresse
  • Unbekannte Personen: Fordern Sie eine geschwärzte Kopie eines Ausweisdokuments an

Schritt 3: Die Einschränkung umsetzen

Hier wird es praktisch. Sie müssen sicherstellen, dass die Daten gespeichert, aber nicht anderweitig verarbeitet werden. Hier sind konkrete Ansätze:

MethodeSo funktioniert es
Kennzeichnung im CRMFügen Sie dem Datensatz eine “eingeschränkt”-Kennzeichnung oder einen Status hinzu, damit Mitarbeiter wissen, dass sie ihn nicht verwenden dürfen
Separater OrdnerVerschieben Sie die Daten in einen Ordner oder eine Datenbanktabelle mit eingeschränktem Zugang
ZugangsbeschränkungEntfernen Sie die Verarbeitungsberechtigungen für den Datensatz, behalten Sie nur Lesezugriff für autorisiertes Personal
SystemblockierungWenn Ihr System dies unterstützt, blockieren Sie den Datensatz für die Aufnahme in Mailings, Berichte oder automatisierte Prozesse

Was Sie einstellen müssen:

  • Marketing oder Kommunikation auf Grundlage der Daten versenden
  • Die Daten in Analysen oder Berichte einbeziehen
  • Die Daten mit Dritten teilen
  • Entscheidungen auf Grundlage der Daten treffen

Was Sie weiterhin tun dürfen:

  • Die Daten speichern
  • Mit Einwilligung der betroffenen Person verarbeiten
  • Für Rechtsansprüche verarbeiten
  • Zum Schutz der Rechte einer anderen Person verarbeiten
  • Aus wichtigen Gründen des öffentlichen Interesses verarbeiten

Schritt 4: Empfänger informieren (Artikel 19)

Wie bei der Berichtigung und Löschung müssen Sie alle Empfänger, die die Daten erhalten haben, darüber informieren, dass die Verarbeitung nun eingeschränkt ist, es sei denn, dies erweist sich als unmöglich oder ist mit unverhältnismäßigem Aufwand verbunden.

Schritt 5: Der betroffenen Person antworten

Senden Sie innerhalb eines Monats eine klare Antwort:

  • Bestätigen Sie, dass die Einschränkung angewendet wurde
  • Erklären Sie, welche Daten betroffen sind
  • Beschreiben Sie, wie Sie die Einschränkung umgesetzt haben
  • Bei (teilweiser) Ablehnung erklären Sie warum und informieren Sie über das Recht, sich bei der Aufsichtsbehörde zu beschweren

Wann darf die Einschränkung aufgehoben werden?

Dies ist entscheidend: Sie müssen die betroffene Person informieren, bevor Sie die Einschränkung aufheben. Sie können nicht einfach wieder mit der Verarbeitung der Daten beginnen, ohne dies mitzuteilen.

Die Einschränkung kann aufgehoben werden, wenn:

  • Der Streit über die Richtigkeit beigelegt ist und die Daten als korrekt bestätigt wurden
  • Das Problem der unrechtmäßigen Verarbeitung gelöst ist (z.B. Einwilligung wurde eingeholt)
  • Die Rechtsansprüche, für die die Daten aufbewahrt wurden, abgeschlossen sind
  • Ihre Überprüfung des Widerspruchs nach Artikel 21 abgeschlossen ist

Informieren Sie die betroffene Person immer im Voraus. Geben Sie ihr eine angemessene Gelegenheit zu reagieren, bevor Sie die Verarbeitung wieder aufnehmen.

Häufige Herausforderungen bei der Umsetzung

CRM-Systeme ohne Einschränkungskennzeichnung

Viele Standard-CRM-Systeme haben keinen eingebauten “eingeschränkt”-Status. Mögliche Lösungen:

  • Ein benutzerdefiniertes Feld oder Tag hinzufügen
  • Den Datensatz in eine separate “eingeschränkt”-Liste verschieben
  • Eine Notiz zum Datensatz mit klaren Anweisungen für Mitarbeiter hinzufügen

Automatisierte Prozesse

Prüfen Sie, ob automatisierte Workflows (E-Mail-Sequenzen, Berichte, Datensynchronisierungen) die eingeschränkten Daten enthalten. Möglicherweise müssen Sie Ausschlussregeln erstellen oder den Datensatz manuell aus automatisierten Prozessen entfernen.

Gemeinsam genutzte Datenbanken

Wenn mehrere Abteilungen oder Systeme auf dieselben Daten zugreifen, stellen Sie sicher, dass alle die Einschränkung respektieren. Eine Einschränkung in Ihrem CRM ist nutzlos, wenn das Marketingteam die Daten weiterhin aus einer gemeinsam genutzten Datenbank abrufen kann.

Häufig gestellte Fragen

Was ist der Unterschied zwischen Einschränkung und Löschung?

Bei der Löschung werden die Daten dauerhaft gelöscht. Bei der Einschränkung werden die Daten aufbewahrt, dürfen aber nicht verwendet werden. Die Einschränkung ist nützlich, wenn die Daten möglicherweise noch benötigt werden - zum Beispiel bei einem Streit über die Richtigkeit, oder wenn die betroffene Person die Daten für Rechtsansprüche benötigt.

Darf ich eingeschränkte Daten weiterhin sichern?

Die Speicherung ist während der Einschränkung ausdrücklich erlaubt. Das Einbeziehen eingeschränkter Daten in reguläre Backups als Teil normaler Speichervorgänge ist grundsätzlich zulässig. Sie dürfen die Backup-Daten jedoch nicht aktiv für Verarbeitungszwecke über die Speicherung hinaus nutzen.

Was, wenn ich versehentlich eingeschränkte Daten verarbeite?

Dies ist ein potenzieller Datenschutzvorfall. Dokumentieren Sie, was passiert ist, bewerten Sie das Risiko für die betroffene Person und informieren Sie sie. Bei hohem Risiko müssen Sie möglicherweise die Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen. Überprüfen Sie Ihre technischen Maßnahmen, um eine Wiederholung zu verhindern.

auto_awesome Behalten Sie den Überblick über Betroffenenanfragen

GDPRWise hilft Ihnen, Einschränkungsanträge zu verfolgen und stellt sicher, dass Sie korrekt und fristgerecht reagieren.

Teilen share LinkedIn mail E-Mail
GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.