Skip to content
Rechte & Anfragen calendar_today Aktualisiert: 11. April 2026 schedule 5 Min. Lesezeit

Recht auf Einschraenkung der Verarbeitung: Wann und Wie

Ein Kunde sagt 'hoeren Sie auf, meine Daten zu verwenden, bis wir das geklaert haben.' Dieser Artikel erklaert Schritt fuer Schritt, wie Sie einen Antrag auf Einschraenkung der Verarbeitung nach der DSGVO bearbeiten.

summarize Kernaussagen
  • check_circle Einschraenkung bedeutet, dass Sie die Daten speichern, aber nicht weiterverarbeiten duerfen
  • check_circle Es gibt vier spezifische Gruende unter Artikel 18, bei denen die Einschraenkung gilt
  • check_circle Sie muessen die betroffene Person informieren, bevor Sie eine Einschraenkung aufheben
  • check_circle Sie haben einen Monat Zeit, um auf einen Antrag auf Einschraenkung zu reagieren

Was ist die Einschraenkung der Verarbeitung?

Gemaess Artikel 18 der DSGVO kann eine betroffene Person Sie auffordern, die Verarbeitung ihrer personenbezogenen Daten einzuschraenken. Das bedeutet, Sie duerfen die Daten noch speichern, aber nicht verwenden - kein Versenden, kein Analysieren, kein Teilen, keine Entscheidungen auf Grundlage dieser Daten.

Stellen Sie es sich vor, als wuerden Sie Daten in eine verschlossene Schublade legen. Sie sind noch da, aber niemand fasst sie an, bis die Situation geklaert ist.

Wann gilt dieses Recht?

Es gibt genau vier Gruende, aus denen eine betroffene Person die Einschraenkung verlangen kann. Sie muessen die Einschraenkung anwenden, wenn eine dieser Situationen zutrifft.

Grund 1: Die Richtigkeit wird bestritten

Die betroffene Person behauptet, die Daten seien unrichtig, und Sie benoetigen Zeit zur Ueberpruefung. Waehrend dieser Ueberpruefungszeit muessen die Daten eingeschraenkt werden.

Beispiel: Ein Kunde behauptet, sein Geburtsdatum in Ihrem System sei falsch. Waehrend Sie Ihre Originalunterlagen pruefen, schraenken Sie die Verarbeitung dieser Daten ein.

Grund 2: Die Verarbeitung ist unrechtmaessig, aber keine Loeschung gewuenscht

Die Verarbeitung ist unrechtmaessig (z.B. keine gueltige Rechtsgrundlage), aber die betroffene Person zieht die Einschraenkung der Loeschung vor.

Beispiel: Sie haben E-Mail-Adressen ohne gueltige Einwilligung gesammelt. Statt die Loeschung zu verlangen, sagt ein Kunde: “Behalten Sie meine Daten, aber verwenden Sie sie nicht, bis Sie meine Einwilligung haben.”

Grund 3: Daten fuer Rechtsansprueche benoetigt

Sie benoetigen die Daten nicht mehr fuer Ihren urspruenglichen Zweck, aber die betroffene Person braucht sie zur Geltendmachung, Ausuebung oder Verteidigung von Rechtsanspruechen.

Beispiel: Ein ehemaliger Mitarbeiter bittet Sie, seine Leistungsbeurteilungen aufzubewahren, obwohl Ihre Aufbewahrungsfrist abgelaufen ist, weil er die Unterlagen fuer einen laufenden Arbeitsrechtsstreit benoetigt.

Grund 4: Widerspruch in Pruefung

Die betroffene Person hat gemaess Artikel 21 Widerspruch gegen die Verarbeitung eingelegt, und Sie pruefen, ob Ihre berechtigten Gruende gegenueber denen der betroffenen Person ueberwiegen.

Beispiel: Ein Kunde widerspricht Ihrem Direktmarketing-Profiling. Waehrend Sie pruefen, ob Ihr berechtigtes Interesse gegenueber seinem Widerspruch ueberwiegt, schraenken Sie das Profiling ein.

Schritt 1: Antrag registrieren

Sobald der Antrag eingeht, notieren Sie:

  • Wer den Antrag stellt
  • Wann Sie ihn erhalten haben (die Monatsfrist beginnt jetzt)
  • Ueber welchen Kanal er eingegangen ist
  • Welcher Grund zutrifft (oder lassen Sie die betroffene Person ihren Grund erklaeren)
  • Welche Daten eingeschraenkt werden sollen
description

Vorlage: Anfragenregister

Halten Sie jede Anfrage in einem Register fest: wer, wann, was gefragt wurde und wie es bearbeitet wurde.

Vorlage ansehen arrow_forward

Schritt 2: Identitaet ueberpruefen

Bevor Sie Daten einschraenken, stellen Sie sicher, dass Sie es mit der richtigen Person zu tun haben. Es gelten dieselben Verifizierungsregeln wie bei anderen Betroffenenanfragen:

  • Kontoinhaber: Bestaetigung ueber ihr Konto
  • Bekannte Personen: Bestaetigung ueber die bekannte E-Mail-Adresse
  • Unbekannte Personen: Fordern Sie eine geschwaerzte Kopie eines Ausweisdokuments an

Schritt 3: Die Einschraenkung umsetzen

Hier wird es praktisch. Sie muessen sicherstellen, dass die Daten gespeichert, aber nicht anderweitig verarbeitet werden. Hier sind konkrete Ansaetze:

MethodeSo funktioniert es
Kennzeichnung im CRMFuegen Sie dem Datensatz eine “eingeschraenkt”-Kennzeichnung oder einen Status hinzu, damit Mitarbeiter wissen, dass sie ihn nicht verwenden duerfen
Separater OrdnerVerschieben Sie die Daten in einen Ordner oder eine Datenbanktabelle mit eingeschraenktem Zugang
ZugangsbeschraenkungEntfernen Sie die Verarbeitungsberechtigungen fuer den Datensatz, behalten Sie nur Lesezugriff fuer autorisiertes Personal
SystemblockierungWenn Ihr System dies unterstuetzt, blockieren Sie den Datensatz fuer die Aufnahme in Mailings, Berichte oder automatisierte Prozesse

Was Sie einstellen muessen:

  • Marketing oder Kommunikation auf Grundlage der Daten versenden
  • Die Daten in Analysen oder Berichte einbeziehen
  • Die Daten mit Dritten teilen
  • Entscheidungen auf Grundlage der Daten treffen

Was Sie weiterhin tun duerfen:

  • Die Daten speichern
  • Mit Einwilligung der betroffenen Person verarbeiten
  • Fuer Rechtsansprueche verarbeiten
  • Zum Schutz der Rechte einer anderen Person verarbeiten
  • Aus wichtigen Gruenden des oeffentlichen Interesses verarbeiten

Schritt 4: Empfaenger informieren (Artikel 19)

Wie bei der Berichtigung und Loeschung muessen Sie alle Empfaenger, die die Daten erhalten haben, darueber informieren, dass die Verarbeitung nun eingeschraenkt ist, es sei denn, dies erweist sich als unmoeglich oder ist mit unverhaeltnismaessigem Aufwand verbunden.

Schritt 5: Der betroffenen Person antworten

Senden Sie innerhalb eines Monats eine klare Antwort:

  • Bestaetigen Sie, dass die Einschraenkung angewendet wurde
  • Erklaeren Sie, welche Daten betroffen sind
  • Beschreiben Sie, wie Sie die Einschraenkung umgesetzt haben
  • Bei (teilweiser) Ablehnung erklaeren Sie warum und informieren Sie ueber das Recht, sich bei der Aufsichtsbehoerde zu beschweren

Wann darf die Einschraenkung aufgehoben werden?

Dies ist entscheidend: Sie muessen die betroffene Person informieren, bevor Sie die Einschraenkung aufheben. Sie koennen nicht einfach wieder mit der Verarbeitung der Daten beginnen, ohne dies mitzuteilen.

Die Einschraenkung kann aufgehoben werden, wenn:

  • Der Streit ueber die Richtigkeit beigelegt ist und die Daten als korrekt bestaetigt wurden
  • Das Problem der unrechtmaessigen Verarbeitung geloest ist (z.B. Einwilligung wurde eingeholt)
  • Die Rechtsansprueche, fuer die die Daten aufbewahrt wurden, abgeschlossen sind
  • Ihre Ueberpruefung des Widerspruchs nach Artikel 21 abgeschlossen ist

Informieren Sie die betroffene Person immer im Voraus. Geben Sie ihr eine angemessene Gelegenheit zu reagieren, bevor Sie die Verarbeitung wieder aufnehmen.

Haeufige Herausforderungen bei der Umsetzung

CRM-Systeme ohne Einschraenkungskennzeichnung

Viele Standard-CRM-Systeme haben keinen eingebauten “eingeschraenkt”-Status. Moegliche Loesungen:

  • Ein benutzerdefiniertes Feld oder Tag hinzufuegen
  • Den Datensatz in eine separate “eingeschraenkt”-Liste verschieben
  • Eine Notiz zum Datensatz mit klaren Anweisungen fuer Mitarbeiter hinzufuegen

Automatisierte Prozesse

Pruefen Sie, ob automatisierte Workflows (E-Mail-Sequenzen, Berichte, Datensynchronisierungen) die eingeschraenkten Daten enthalten. Moeglicherweise muessen Sie Ausschlussregeln erstellen oder den Datensatz manuell aus automatisierten Prozessen entfernen.

Gemeinsam genutzte Datenbanken

Wenn mehrere Abteilungen oder Systeme auf dieselben Daten zugreifen, stellen Sie sicher, dass alle die Einschraenkung respektieren. Eine Einschraenkung in Ihrem CRM ist nutzlos, wenn das Marketingteam die Daten weiterhin aus einer gemeinsam genutzten Datenbank abrufen kann.

Haeufig gestellte Fragen

Was ist der Unterschied zwischen Einschraenkung und Loeschung?

Bei der Loeschung werden die Daten dauerhaft geloescht. Bei der Einschraenkung werden die Daten aufbewahrt, duerfen aber nicht verwendet werden. Die Einschraenkung ist nuetzlich, wenn die Daten moeglicherweise noch benoetigt werden - zum Beispiel bei einem Streit ueber die Richtigkeit, oder wenn die betroffene Person die Daten fuer Rechtsansprueche benoetigt.

Darf ich eingeschraenkte Daten weiterhin sichern?

Die Speicherung ist waehrend der Einschraenkung ausdruecklich erlaubt. Das Einbeziehen eingeschraenkter Daten in regulaere Backups als Teil normaler Speichervorgaenge ist grundsaetzlich zulaessig. Sie duerfen die Backup-Daten jedoch nicht aktiv fuer Verarbeitungszwecke ueber die Speicherung hinaus nutzen.

Was, wenn ich versehentlich eingeschraenkte Daten verarbeite?

Dies ist ein potenzieller Datenschutzvorfall. Dokumentieren Sie, was passiert ist, bewerten Sie das Risiko fuer die betroffene Person und informieren Sie sie. Bei hohem Risiko muessen Sie moeglicherweise die Aufsichtsbehoerde innerhalb von 72 Stunden benachrichtigen. Ueberpruefen Sie Ihre technischen Massnahmen, um eine Wiederholung zu verhindern.

auto_awesome Behalten Sie den Ueberblick ueber Betroffenenanfragen

GDPRWise hilft Ihnen, Einschraenkungsantraege zu verfolgen und stellt sicher, dass Sie korrekt und fristgerecht reagieren.

GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.