Diese Daten müssen weg. Löschen, aber richtig!

Daten richtig löschen: DSGVO-konforme Vernichtung personenbezogener Daten

Im Laufe der Jahre sammeln sich in den IT-Systemen, Datenbanken, Archiven und Aktenschränken eines Unternehmens enorme Mengen personenbezogener Daten an. Kundenstammdaten aus langjährigen Geschäftsbeziehungen, Personalakten ehemaliger Mitarbeiter, Bewerbungsunterlagen abgelehnter Kandidaten, umfangreiche Geschäftskorrespondenz, Vertrags- und Protokollunterlagen und vieles mehr bilden einen stetig wachsenden Datenbestand. Dieser Datenbestand kostet nicht nur Speicherplatz und Verwaltungsaufwand, sondern stellt auch ein erhebliches und mit der Zeit wachsendes Datenschutzrisiko dar. Denn die DSGVO schreibt in Artikel 17 unmissverständlich vor, dass personenbezogene Daten gelöscht werden müssen, sobald der ursprüngliche Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten der Löschung entgegenstehen. In diesem umfassenden Leitfaden erfahren Sie, wie Sie im Jahr 2026 personenbezogene Daten in Ihrem Unternehmen rechtssicher, vollständig und nachweisbar löschen.

Wann besteht eine Löschpflicht nach der DSGVO?

Das Recht auf Löschung, häufig auch als Recht auf Vergessenwerden bezeichnet, ist in Art. 17 DSGVO verankert und gehört zu den zentralen Betroffenenrechten der Datenschutz-Grundverordnung. Unternehmen sind zur unverzüglichen Löschung personenbezogener Daten verpflichtet, wenn die Daten für die Zwecke, für die sie ursprünglich erhoben oder anderweitig verarbeitet wurden, nicht mehr notwendig sind. Ebenso besteht eine Löschpflicht, wenn die betroffene Person ihre zuvor erteilte Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die weitere Verarbeitung fehlt. Weitere Löschgründe sind ein wirksamer Widerspruch der betroffenen Person nach Art. 21 DSGVO, eine von Anfang an unrechtmäßige Verarbeitung ohne gültige Rechtsgrundlage oder eine gesetzliche Löschpflicht, die sich aus dem Unionsrecht oder dem nationalen Recht eines Mitgliedstaates ergibt. Besonders wichtig und in der Praxis häufig übersehen: Die Löschung muss vom Unternehmen vorausschauend und selbstständig durchgeführt werden. Es genügt nicht, abzuwarten, bis eine betroffene Person einen Löschantrag stellt. Vielmehr muss das Unternehmen von sich aus in regelmäßigen Abständen systematisch prüfen, welche gespeicherten Daten noch benötigt werden und welche zu löschen sind. Dafür ist ein durchdachtes und dokumentiertes Löschkonzept wichtig.

Gesetzliche Aufbewahrungsfristen: Wann Löschen verboten ist

Bevor personenbezogene Daten gelöscht werden, müssen Unternehmen zwingend und sorgfältig prüfen, ob gesetzliche Aufbewahrungspflichten einer sofortigen Löschung entgegenstehen. Die wichtigsten Aufbewahrungsfristen in Deutschland im Überblick: Zehn Jahre beträgt die Aufbewahrungsfrist für Buchungsbelege, Jahresabschlüsse, Eröffnungsbilanzen, Inventare, Konzernabschlüsse und Steuererklärungen gemäß Paragraph 147 der Abgabenordnung und Paragraph 257 des Handelsgesetzbuches. Sechs Jahre lang müssen empfangene und versendete Handels- und Geschäftsbriefe aufbewahrt werden, einschließlich geschäftlicher E-Mails, nach Paragraph 147 der Abgabenordnung. Fünf Jahre beträgt die Aufbewahrungsfrist für die Dokumentation von Erste-Hilfe-Leistungen und Arbeitsunfällen nach DGUV Vorschrift 1. Drei Jahre sollten Unterlagen aufbewahrt werden, die im Zusammenhang mit möglichen Schadensersatzansprüchen stehen, entsprechend der regelmäßigen Verjährungsfrist nach Paragraph 195 BGB. Und sechs Monate ist die empfohlene Aufbewahrungsdauer für Bewerbungsunterlagen abgelehnter Bewerber wegen der Klagefrist nach dem Allgemeinen Gleichbehandlungsgesetz. Während der laufenden Aufbewahrungsfrist dürfen die betreffenden Daten nicht gelöscht werden. Ihre Verarbeitung zu anderen Zwecken als der Aufbewahrungspflicht muss jedoch nach Art. 18 DSGVO eingeschränkt werden. Nach dem Ablauf der jeweiligen Aufbewahrungsfrist wird die Löschung hingegen verpflichtend und muss zeitnah durchgeführt werden. Ein professionell geführtes Verarbeitungsverzeichnis ist dabei ein wichtiges Instrument, um den Überblick über alle Datenbestände und die zugehörigen Lösch- und Aufbewahrungsfristen zu behalten.

Wo überall verstecken sich personenbezogene Daten?

Eine vollständige und datenschutzkonforme Löschung personenbezogener Daten erfordert eine gründliche und systematische Inventur sämtlicher Speicherorte im Unternehmen. Erfahrungsgemäß befinden sich personenbezogene Daten an deutlich mehr Orten als zunächst vermutet. Im digitalen Bereich sind typische Speicherorte die ERP- und CRM-Systeme des Unternehmens, sämtliche E-Mail-Postfächer und E-Mail-Archive, Dateiserver und Netzlaufwerke, Cloud-Speicherdienste und Software-as-a-Service-Anwendungen, relationale Datenbanken und Data-Warehouse-Systeme, Backup-Systeme und Disaster-Recovery-Lösungen, mobile Datenträger wie USB-Sticks und externe Festplatten, Diensthandys und Tablets, Drucker-Warteschlangen und Scanner-Speicher sowie temporäre Dateien und Browser-Caches auf Arbeitsplatzrechnern. Im physischen Bereich kommen Aktenschränke und Hängeordner, Archivräume und Kellermagazine, Visitenkartensammlungen und Adresslisten, handschriftliche Notizblöcke und Tischkalender, ausgedruckte Tabellen und Auswertungen sowie Whiteboard-Fotografien und Flipchart-Protokolle als potenzielle Fundorte personenbezogener Daten in Betracht.

Sichere Löschmethoden für digitale Daten

Das einfache Löschen einer Datei über den Papierkorb des Betriebssystems reicht für eine DSGVO-konforme Löschung bei Weitem nicht aus. Die gelöschte Datei wird lediglich aus dem Dateisystem-Index entfernt, die eigentlichen Daten bleiben physisch auf dem Datenträger erhalten und können mit frei verfügbaren Datenrettungstools problemlos wiederhergestellt werden. Für eine tatsächlich sichere und unwiderrufliche Löschung stehen verschiedene erprobte Methoden zur Verfügung. Software-basiertes Überschreiben nutzt spezialisierte Programme, die den gesamten Speicherbereich der zu löschenden Daten systematisch mit Zufallsmustern oder definierten Bitfolgen überschreiben. Für herkömmliche Magnetfestplatten ist nach aktuellem Stand der Technik bereits ein einmaliges vollständiges Überschreiben ausreichend, um eine Wiederherstellung mit vertretbarem Aufwand auszuschließen. Der herstellerseitige Befehl ATA Secure Erase löst eine interne Löschfunktion des Datenträgers aus, die sämtliche gespeicherten Daten unwiederbringlich entfernt, und ist besonders für Solid-State-Drives empfehlenswert. Die kryptografische Löschung, auch Crypto Erase genannt, eignet sich hervorragend für vollständig verschlüsselte Datenträger. Hier genügt die sichere und nachweisbare Vernichtung des verwendeten Verschlüsselungsschlüssels, um alle gespeicherten Daten effektiv und dauerhaft unzugänglich zu machen. Die physische Vernichtung durch professionelles Schreddern, magnetisches Degaussing oder kontrollierte thermische Zerstörung des Datenträgers bietet die höchstmögliche Sicherheit und ist insbesondere bei ausgemusterten oder defekten Datenträgern die Methode der Wahl.

Papierunterlagen nach DIN 66399 vernichten

Für die datenschutzkonforme Vernichtung von Papierunterlagen mit personenbezogenen Daten ist die DIN 66399 der maßgebliche Standard. Diese Norm definiert insgesamt sieben Sicherheitsstufen für unterschiedliche Schutzbedarfe. Für personenbezogene Daten mit normalem Schutzbedarf wird mindestens die Sicherheitsstufe P-4 empfohlen, bei der die maximale Partikelgröße 160 Quadratmillimeter beträgt. Für besonders sensible Daten wie Gesundheitsdaten, Finanzdaten oder vertrauliche Geschäftsgeheimnisse ist eine höhere Stufe von P-5 oder darüber angemessen. Unternehmen ohne eigenen Aktenvernichter der erforderlichen Sicherheitsstufe sollten einen nach DIN 66399 zertifizierten Aktenvernichtungsdienstleister beauftragen, der nach der ordnungsgemäßen Vernichtung ein rechtsgültiges Vernichtungszertifikat mit Angabe des Vernichtungsdatums, des Vernichtungsverfahrens und der angewandten Sicherheitsstufe ausstellt.

Das Löschkonzept als Pflichtdokument

Ein professionelles und schriftlich dokumentiertes Löschkonzept ist die wichtige Grundlage für ein systematisches und datenschutzkonformes Datenmanagement. Es sollte ein vollständiges Dateninventar aller im Unternehmen durchgeführten Verarbeitungstätigkeiten und der dabei verarbeiteten Datenkategorien enthalten. Für jede Datenkategorie müssen die einschlägigen gesetzlichen oder betrieblich festgelegten Aufbewahrungsfristen zugeordnet werden. Konkrete und praktisch umsetzbare Löschregeln legen fest, wann, wie und durch wen welche Daten gelöscht werden. Die Zuständigkeiten für die Durchführung der Löschung und für die anschließende Kontrolle müssen namentlich oder funktional benannt sein. Ein standardisiertes Dokumentationsverfahren stellt den revisionssicheren Nachweis der erfolgten Löschung sicher. Und ein fester Turnus für die regelmäßige Überprüfung und Aktualisierung des Löschkonzepts gewährleistet, dass das Dokument laufend den aktuellen rechtlichen und betrieblichen Anforderungen entspricht.

Dokumentation: Nachweisen, dass gelöscht wurde

Die Pflicht zur lückenlosen Dokumentation der durchgeführten Datenlöschung ergibt sich unmittelbar aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Unternehmen müssen gegenüber der Datenschutzaufsichtsbehörde jederzeit nachweisen können, dass sie personenbezogene Daten ordnungsgemäß und fristgerecht gelöscht haben. Ein vollständiges Löschprotokoll sollte die Art und Kategorie der gelöschten Daten, den genauen Zeitpunkt der durchgeführten Löschung, das verwendete Löschverfahren mit Angabe der Sicherheitsstufe, den Namen oder die Funktion der durchführenden Person sowie die ausdrückliche Bestätigung der vollständigen Löschung an sämtlichen bekannten Speicherorten einschließlich aller Backup-Systeme umfassen. Ein externer Datenschutzbeauftragter unterstützt Sie professionell und praxisnah bei der Erstellung eines umfassenden Löschkonzepts, bei der Auswahl geeigneter Löschmethoden und bei der regelmäßigen Überprüfung und Anpassung Ihrer betrieblichen Löschprozesse an die sich stetig weiterentwickelnden rechtlichen Anforderungen.

Besondere Herausforderungen bei der Datenlöschung in der Praxis

Die datenschutzkonforme Löschung personenbezogener Daten stellt Unternehmen in der Praxis vor eine Reihe spezifischer Herausforderungen, die häufig unterschätzt werden. Eine der größten Schwierigkeiten betrifft die Löschung in Backup-Systemen. Viele Unternehmen erstellen regelmäßige Datensicherungen, die personenbezogene Daten enthalten. Diese Backups können über Wochen, Monate oder sogar Jahre aufbewahrt werden und sind technisch oft so gestaltet, dass einzelne Datensätze nicht gezielt gelöscht werden können, ohne das gesamte Backup zu beschädigen. Hier empfiehlt sich ein Konzept der kontrolliert gestaffelten Löschung, bei dem ältere Backups nach einem definierten Zeitraum vollständig überschrieben oder vernichtet werden. Eine weitere Herausforderung stellen Cloud-Dienste und Software-as-a-Service-Anwendungen dar. Bei diesen externen Diensten hat das Unternehmen oft nur eingeschränkte Kontrolle über die tatsächliche physische Löschung der Daten. Der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO sollte daher klare und überprüfbare Regelungen zur Datenlöschung bei Vertragsbeendigung enthalten, einschließlich einer Bestätigung des Anbieters über die vollständige und unwiderrufliche Löschung aller personenbezogenen Daten. Auch die Löschung in historisch gewachsenen Legacy-Systemen, die über viele Jahre im Einsatz waren und deren Datenstrukturen nicht für eine selektive Löschung konzipiert wurden, kann erheblichen technischen Aufwand erfordern. In solchen Fällen kann eine Anonymisierung oder Pseudonymisierung der betroffenen Datensätze eine datenschutzkonforme Alternative zur technisch unmöglichen vollständigen Löschung darstellen, sofern die anonymisierten Daten keine Rückschlüsse auf die betroffene Person mehr zulassen.