Beachtung DSGVO und Archivierungspflicht

Ich habe OXID CE seit 2010 installiert - nun möchte ich eine Datenbereinigung durchführen.

bzgl. DSGVO (1):
„…nach Artikel 5 Abs. 1 DSGVO dürfen Daten nur so lange gespeichert werden, wie sie für die Erfüllung des Zweckes notwendig sind, für den sie ursprünglich erhoben und gespeichert wurden…“

bzgl. Löschung nach Archivierungspflicht (2):
„…trotz Fokus auf den Datenschutz sind stets mögliche Archivierungspflichten einzuhalten…diesen Widerspruch zwischen der Pflicht zur Datenlöschung und den Aufbewahrungspflichten löst die DSGVO über Art. 6 Abs. 1

Folgende Daten möchte ich über SQL löschen:

(1) Daten von Benutzern, die noch nie bestellt haben. Unabhängig davon, ob diese sich ein Kundenkonto angelegt haben oder nicht.
=> siehe Forumbeitrag: Benutzer löschen die noch nie bestellt haben - #24 by oxid-flo

(2) Bestelldaten, die älter sind als 10 Jahre:

a) Stammkunden, die bis heute noch aktiv in meinem Shop bestellen: hier sollen nur die Bestellungen, die älter als 10 Jahre sind gelöscht werden – nicht aber die Kundenkonten (Adressdaten)

b) Kunden, die seit 10 Jahren nichts mehr bestellt haben: hier sollen genau diese Benutzer mit allen Adressdaten, Bestellungen, Warenkörben und Bewertungen gelöscht werden.

Vielleicht habe ich sogar noch etwas zusätzlich vergessen. Aber dies wären nun die wichtigsten Dinge aus meiner Sicht.