Löschkonzept nach DSGVO: Wie lange dürfen Daten gespeichert werden?

Inhaltsverzeichnis
- Einleitung
- Warum ein Löschkonzept unverzichtbar ist
- Gesetzliche Aufbewahrungsfristen im Überblick
- Bestandteile eines DSGVO-konformen Löschkonzepts
- Praxisbeispiele: So wird Datenschutz konkret umgesetzt
- Typische Fehler und wie man sie vermeidet
- Aktuelle Zahlen: Wie steht es um Löschprozesse in der Praxis?
- Best Practices zur Umsetzung
- Fazit: Löschen ist Pflicht, nicht Können
- Jetzt prüfen, wie lange Sie Daten speichern
Einleitung
Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen dazu, personenbezogene Daten nur so lange zu speichern, wie es für den jeweiligen Zweck erforderlich ist. Was theoretisch einfach klingt, stellt viele Unternehmen jedoch in der Praxis vor große Herausforderungen: Welche Fristen gelten für Bewerbungen, Verträge oder Kundendaten? Wann ist eine Löschung zwingend erforderlich – und weshalb? Und wie lässt sich ein praxistaugliches Löschkonzept trotzdem sinnvoll umsetzen?
In diesem Beitrag zeigen wir, was ein DSGVO-konformes Löschkonzept ausmacht, welche gesetzlichen Grundlagen zu beachten sind und wie Unternehmen typische Stolperfallen vermeiden können.
Warum ein Löschkonzept unverzichtbar ist
Nach Art. 5 Abs. 1 lit. e DSGVO dürfen personenbezogene Daten nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“). Das bedeutet: Eine überflüssige Speicherung ist unzulässig und stellt einen Datenschutzverstoß dar.
Ein professionelles Löschkonzept hilft dabei,
- gesetzliche Aufbewahrungsfristen zu berücksichtigen,
- Daten rechtzeitig zu löschen oder zu anonymisieren,
- interne Prozesse transparent und nachvollziehbar zu gestalten,
- Bußgelder zu vermeiden.
Gesetzliche Aufbewahrungsfristen im Überblick
Es gibt keine einheitliche Speicherfrist, die für alle Daten gilt. Vielmehr ergeben sich Fristen aus verschiedenen Gesetzen, etwa dem Handelsgesetzbuch (HGB), der Abgabenordnung (AO) oder dem Arbeitsrecht.
Hier einige Beispiele:
- Bewerbungsunterlagen: 6 Monate nach Abschluss des Auswahlverfahrens (AGG + DSGVO)
- Vertragsunterlagen: Bis zu 10 Jahre (AO, HGB)
- Gehaltsabrechnungen: 10 Jahre (AO)
- Reisekostenabrechnungen: 6 Jahre (AO)
- E-Mails mit steuerlicher Relevanz: 6 bis 10 Jahre
Tipp: Die Speicherung muss immer zweckgebunden sein. Liegt der Zweck nicht mehr vor, sind die Daten zu löschen – selbst wenn keine gesetzliche Aufbewahrungspflicht besteht.
Bestandteile eines DSGVO-konformen Löschkonzepts
Ein wirksames Löschkonzept sollte mindestens folgende Punkte beinhalten:
- Datenklassifikation: Welche Arten von personenbezogenen Daten werden verarbeitet?
- Speicherfristen festlegen: Welche gesetzlichen oder geschäftlichen Fristen gelten?
- Löschroutine definieren: In welchen Intervallen erfolgt die Überprüfung und Löschung?
- Verantwortlichkeiten festlegen: Wer ist für die Umsetzung zuständig?
- Dokumentation & Nachweisführung: Alle Schritte sollten nachweisbar sein.
Praxisbeispiele: So wird Datenschutz konkret umgesetzt
Kleinunternehmen: Legt für jede Datenkategorie (z. B. Kundendaten, Bewerbungen) eine Excel-gestützte Übersicht mit Fristen sowie Löschvermerken an.
Mittelständler: Integriert die Löschlogik direkt in das eingesetzte CRM- und HR-System.
Großunternehmen: Setzt auf automatisierte Workflows mit Erinnerungsfunktion und Audit-Trail zur Überwachung.
Typische Fehler und wie man sie vermeidet
Keine Dokumentation: Ohne Nachweis droht im Audit ein Bußgeld.
Unklare Verantwortlichkeiten: Datenschutz ist Teamsache, braucht aber klare Zuständigkeiten.
Keine Technikunterstützung: Manuelle Prozesse sind sowohl fehleranfällig als auch ineffizient.
Keine Differenzierung: Nicht alle Daten haben die gleiche Speicherfrist.
Aktuelle Zahlen: Wie steht es um Löschprozesse in der Praxis?
Eine Studie der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) aus dem Jahr 2023 zeigt:
- 48 % der befragten Unternehmen haben kein dokumentiertes Löschkonzept.
- Nur 29 % setzen automatisierte Verfahren zur Datenlöschung ein.
- 62 % der Datenschutzverstöße stehen im Zusammenhang mit zu langen Speicherfristen.
Diese Ergebnisse zeigen: Das Thema Löschkonzept wird in vielen Unternehmen unterschätzt – mit erheblichen Risiken.
Quelle: BfDI – Datenschutzbericht 2023 (PDF): https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Taetigkeitsberichte/32TB_23.pdf?__blob=publicationFile&v=5
Best Practices zur Umsetzung
- Regelmäßige Datenprüfung: Automatisierte Tools helfen beim Aufspüren veralteter Daten.
- Systeme mit Fristen-Logik nutzen: Viele HR- sowie CRM-Systeme bieten Funktionen zur Fristenverwaltung.
- Löschkonzept schulen: Mitarbeitende müssen wissen, wann und wie Daten zu löschen sind.
- Datenschutzbeauftragte einbinden: Fachliche Expertise von Anfang an nutzen.
- Anonymisierung als Alternative: Wo Löschung technisch schwierig ist, kann Anonymisierung ein Ausweg sein.
Fazit: Löschen ist Pflicht, nicht Können
Ein professionelles Löschkonzept ist kein „Nice to have“, sondern gesetzliche Pflicht. Unternehmen, die personenbezogene Daten zu lange speichern, handeln rechtswidrig – selbst wenn die Daten nie genutzt werden. Wer dagegen frühzeitig klare Fristen, Verantwortlichkeiten und Systeme etabliert, reduziert Risiken und erhöht das Vertrauen bei Kund*innen, Bewerber*innen und Mitarbeitenden.
Jetzt prüfen, wie lange Sie Daten speichern
Sie möchten ein DSGVO-konformes Löschkonzept in Ihrem Unternehmen etablieren oder überarbeiten? Sprechen Sie uns an – wir unterstützen Sie sowohl praxisnah als auch rechtssicher!
Noch mehr Praxiswissen?
Erfahren Sie in unserem Blogbeitrag, wie Buchhandlungen DSGVO-Anforderungen alltagstauglich umsetzen – von der Bonpflicht bis zur Kundendatenverwaltung.