SIMPLY PM > Newsblog > Datenschutz > Löschkonzept nach DSGVO: Wie lange dürfen Daten gespeichert werden?

Löschkonzept nach DSGVO: Wie lange dürfen Daten gespeichert werden?

21. September 2025 Datenschutz, Datenschutzbestimmungen, DSGVO

Inhaltsverzeichnis

Einleitung

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen dazu, personenbezogene Daten nur so lange zu speichern, wie es für den jeweiligen Zweck erforderlich ist. Was theoretisch einfach klingt, stellt viele Unternehmen jedoch in der Praxis vor große Herausforderungen: Welche Fristen gelten für Bewerbungen, Verträge oder Kundendaten? Wann ist eine Löschung zwingend erforderlich – und weshalb? Und wie lässt sich ein praxistaugliches Löschkonzept trotzdem sinnvoll umsetzen?

In diesem Beitrag zeigen wir, was ein DSGVO-konformes Löschkonzept ausmacht, welche gesetzlichen Grundlagen zu beachten sind und wie Unternehmen typische Stolperfallen vermeiden können.

Warum ein Löschkonzept unverzichtbar ist

Nach Art. 5 Abs. 1 lit. e DSGVO dürfen personenbezogene Daten nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“). Das bedeutet: Eine überflüssige Speicherung ist unzulässig und stellt einen Datenschutzverstoß dar.

Ein professionelles Löschkonzept hilft dabei,

  • gesetzliche Aufbewahrungsfristen zu berücksichtigen,
  • Daten rechtzeitig zu löschen oder zu anonymisieren,
  • interne Prozesse transparent und nachvollziehbar zu gestalten,
  • Bußgelder zu vermeiden.

Gesetzliche Aufbewahrungsfristen im Überblick

Es gibt keine einheitliche Speicherfrist, die für alle Daten gilt. Vielmehr ergeben sich Fristen aus verschiedenen Gesetzen, etwa dem Handelsgesetzbuch (HGB), der Abgabenordnung (AO) oder dem Arbeitsrecht.

Hier einige Beispiele:

  • Bewerbungsunterlagen: 6 Monate nach Abschluss des Auswahlverfahrens (AGG + DSGVO)
  • Vertragsunterlagen: Bis zu 10 Jahre (AO, HGB)
  • Gehaltsabrechnungen: 10 Jahre (AO)
  • Reisekostenabrechnungen: 6 Jahre (AO)
  • E-Mails mit steuerlicher Relevanz: 6 bis 10 Jahre

Tipp: Die Speicherung muss immer zweckgebunden sein. Liegt der Zweck nicht mehr vor, sind die Daten zu löschen – selbst wenn keine gesetzliche Aufbewahrungspflicht besteht.

Bestandteile eines DSGVO-konformen Löschkonzepts

Ein wirksames Löschkonzept sollte mindestens folgende Punkte beinhalten:

  1. Datenklassifikation: Welche Arten von personenbezogenen Daten werden verarbeitet?
  2. Speicherfristen festlegen: Welche gesetzlichen oder geschäftlichen Fristen gelten?
  3. Löschroutine definieren: In welchen Intervallen erfolgt die Überprüfung und Löschung?
  4. Verantwortlichkeiten festlegen: Wer ist für die Umsetzung zuständig?
  5. Dokumentation & Nachweisführung: Alle Schritte sollten nachweisbar sein.

Praxisbeispiele: So wird Datenschutz konkret umgesetzt

Kleinunternehmen: Legt für jede Datenkategorie (z. B. Kundendaten, Bewerbungen) eine Excel-gestützte Übersicht mit Fristen sowie Löschvermerken an.

Mittelständler: Integriert die Löschlogik direkt in das eingesetzte CRM- und HR-System.

Großunternehmen: Setzt auf automatisierte Workflows mit Erinnerungsfunktion und Audit-Trail zur Überwachung.

Typische Fehler und wie man sie vermeidet

Keine Dokumentation: Ohne Nachweis droht im Audit ein Bußgeld.

Unklare Verantwortlichkeiten: Datenschutz ist Teamsache, braucht aber klare Zuständigkeiten.

Keine Technikunterstützung: Manuelle Prozesse sind sowohl fehleranfällig als auch ineffizient.

Keine Differenzierung: Nicht alle Daten haben die gleiche Speicherfrist.

Aktuelle Zahlen: Wie steht es um Löschprozesse in der Praxis?

Löschkonzepte in Unternehmen

Eine Studie der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) aus dem Jahr 2023 zeigt:

  • 48 % der befragten Unternehmen haben kein dokumentiertes Löschkonzept.
  • Nur 29 % setzen automatisierte Verfahren zur Datenlöschung ein.
  • 62 % der Datenschutzverstöße stehen im Zusammenhang mit zu langen Speicherfristen.

Diese Ergebnisse zeigen: Das Thema Löschkonzept wird in vielen Unternehmen unterschätzt – mit erheblichen Risiken.

Quelle: BfDI – Datenschutzbericht 2023 (PDF): https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Taetigkeitsberichte/32TB_23.pdf?__blob=publicationFile&v=5

Best Practices zur Umsetzung

  1. Regelmäßige Datenprüfung: Automatisierte Tools helfen beim Aufspüren veralteter Daten.
  2. Systeme mit Fristen-Logik nutzen: Viele HR- sowie CRM-Systeme bieten Funktionen zur Fristenverwaltung.
  3. Löschkonzept schulen: Mitarbeitende müssen wissen, wann und wie Daten zu löschen sind.
  4. Datenschutzbeauftragte einbinden: Fachliche Expertise von Anfang an nutzen.
  5. Anonymisierung als Alternative: Wo Löschung technisch schwierig ist, kann Anonymisierung ein Ausweg sein.

Fazit: Löschen ist Pflicht, nicht Können

Ein professionelles Löschkonzept ist kein „Nice to have“, sondern gesetzliche Pflicht. Unternehmen, die personenbezogene Daten zu lange speichern, handeln rechtswidrig – selbst wenn die Daten nie genutzt werden. Wer dagegen frühzeitig klare Fristen, Verantwortlichkeiten und Systeme etabliert, reduziert Risiken und erhöht das Vertrauen bei Kund*innen, Bewerber*innen und Mitarbeitenden.

Jetzt prüfen, wie lange Sie Daten speichern

Sie möchten ein DSGVO-konformes Löschkonzept in Ihrem Unternehmen etablieren oder überarbeiten? Sprechen Sie uns an – wir unterstützen Sie sowohl praxisnah als auch rechtssicher!

Noch mehr Praxiswissen?
Erfahren Sie in unserem Blogbeitrag, wie Buchhandlungen DSGVO-Anforderungen alltagstauglich umsetzen – von der Bonpflicht bis zur Kundendatenverwaltung.

Social

Related articles

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Let's talk

Wegweisendes Projektmanagement für Motivation und Entscheidungsfähigkeit.
+49 30 562 917 48