Löschfristen DSGVO — Aufbewahrungsfristen und Löschkonzept für Unternehmen

Die Löschfristen nach DSGVO gehören zu den anspruchsvollsten Themen im Datenschutz. Unternehmen stehen vor der Herausforderung, personenbezogene Daten einerseits fristgerecht zu löschen und andererseits gesetzliche Aufbewahrungspflichten einzuhalten. Ein strukturiertes Löschkonzept ist daher unverzichtbar — nicht nur zur Erfüllung der DSGVO-Anforderungen, sondern auch zum Schutz vor empfindlichen Bußgeldern.

In diesem vollständigen Leitfaden erfahren Sie alles über die gesetzlichen Aufbewahrungsfristen, das Recht auf Löschung nach Art. 17 DSGVO, die Erstellung eines praxistauglichen Löschkonzepts und die korrekte Datenträgervernichtung nach DIN 66399. Als erfahrene Datenschutzberater unterstützt die DATUREX GmbH Unternehmen in Dresden und ganz Sachsen bei der Umsetzung rechtssicherer Löschprozesse.

Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)

Die DSGVO verankert in Art. 5 Abs. 1 lit. e den Grundsatz der Speicherbegrenzung als einen der zentralen Datenschutzgrundsätze. Danach dürfen personenbezogene Daten nur so lange in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

Zweckbindung als Ausgangspunkt

Jede Verarbeitung personenbezogener Daten muss an einen bestimmten, eindeutigen und legitimen Zweck gebunden sein (Art. 5 Abs. 1 lit. b DSGVO). Sobald dieser Zweck entfällt — beispielsweise nach Abschluss eines Vertragsverhältnisses — entfällt grundsätzlich auch die Rechtsgrundlage für die weitere Speicherung. Die Daten sind dann zu löschen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Zweckänderung und Weiterverarbeitung

Eine Weiterverarbeitung für andere Zwecke ist nur zulässig, wenn der neue Zweck mit dem ursprünglichen Erhebungszweck vereinbar ist (Art. 6 Abs. 4 DSGVO). Bei der Prüfung der Vereinbarkeit sind unter anderem zu berücksichtigen:

• Die Verbindung zwischen den Zwecken der Erhebung und der Weiterverarbeitung
• Der Zusammenhang, in dem die Daten erhoben wurden
• Die Art der Daten — insbesondere bei besonderen Kategorien nach Art. 9 DSGVO
• Mögliche Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen
• Das Vorhandensein geeigneter Garantien wie Verschlüsselung oder Pseudonymisierung

In der Praxis bedeutet dies: Unternehmen müssen für jede Datenkategorie dokumentieren, welcher Zweck die Speicherung rechtfertigt, und wann dieser Zweck erfüllt ist. Das Verarbeitungsverzeichnis nach Art. 30 DSGVO bildet hierfür die zentrale Grundlage.

Recht auf Löschung — Art. 17 DSGVO

Das Recht auf Löschung (auch als „Recht auf Vergessenwerden“ bekannt) gibt betroffenen Personen unter bestimmten Voraussetzungen einen Anspruch auf unverzügliche Löschung ihrer personenbezogenen Daten. Art. 17 DSGVO ist damit eines der wichtigsten Betroffenenrechte.

Die 6 Löschgründe nach Art. 17 Abs. 1 DSGVO

Der Verantwortliche ist zur unverzüglichen Löschung verpflichtet, wenn einer der folgenden Gründe vorliegt:

1. Zweckfortfall: Die Daten sind für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr notwendig.
2. Widerruf der Einwilligung: Die betroffene Person widerruft ihre Einwilligung nach Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO und es fehlt an einer anderweitigen Rechtsgrundlage.
3. Widerspruch: Die betroffene Person legt Widerspruch nach Art. 21 Abs. 1 DSGVO ein und es liegen keine vorrangigen berechtigten Gründe vor — oder es wird Widerspruch gegen Direktwerbung nach Art. 21 Abs. 2 eingelegt.
4. Unrechtmäßige Verarbeitung: Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
5. Rechtliche Verpflichtung: Die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht des Mitgliedstaats erforderlich.
6. Kinderdaten: Die Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben (Einwilligung eines Kindes).

Ausnahmen vom Löschungsanspruch

Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist:

• Zur Ausübung des Rechts auf freie Meinungsäußerung und Information
• Zur Erfüllung einer rechtlichen Verpflichtung (z. B. handels- und steuerrechtliche Aufbewahrungspflichten)
• Aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
• Für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke
• Zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

Fristen für die Beantwortung von Löschanfragen

Stellt eine betroffene Person einen Löschantrag, muss der Verantwortliche gemäß Art. 12 Abs. 3 DSGVO innerhalb eines Monats reagieren. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl der Anträge erforderlich ist. In diesem Fall muss die betroffene Person innerhalb des ersten Monats über die Verlängerung und deren Gründe informiert werden.

Wird dem Löschantrag nicht entsprochen, ist die betroffene Person unverzüglich, spätestens innerhalb eines Monats über die Gründe der Ablehnung und ihr Recht auf Beschwerde bei einer Aufsichtsbehörde zu informieren. Die Aufgaben des Datenschutzbeauftragten umfassen auch die korrekte Bearbeitung solcher Betroffenenanfragen.

Gesetzliche Aufbewahrungsfristen im Überblick

Die größte Herausforderung bei der Umsetzung von Löschfristen nach DSGVO liegt im Spannungsfeld zwischen Löschpflicht und gesetzlichen Aufbewahrungspflichten. Zahlreiche Gesetze verpflichten Unternehmen, bestimmte Daten über definierte Zeiträume aufzubewahren. Erst nach Ablauf dieser Fristen greift die Löschpflicht.

Rechtsgebiet / Datenart	Aufbewahrungsfrist	Rechtsgrundlage
Buchungsbelege, Jahresabschlüsse, Bilanzen	10 Jahre	§ 257 HGB, § 147 AO
Handelsbriefe (empfangen/gesendet)	6 Jahre	§ 257 HGB, § 147 AO
Steuerlich relevante Unterlagen	6–10 Jahre	§ 147 AO
Rechnungen (Eingangs- und Ausgangsrechnungen)	10 Jahre	§ 14b UStG
Personalakten (nach Austritt)	3–10 Jahre	§ 195 BGB, § 257 HGB
Bewerbungsunterlagen (nach Absage)	6 Monate	§ 15 Abs. 4 AGG
Lohnunterlagen, Beitragsnachweise	5 Jahre (ab Fälligkeit)	§ 28f SGB IV
Sozialversicherungsmeldungen	5 Jahre	§ 28f SGB IV
Arbeitszeitnachweise	2 Jahre	§ 16 Abs. 2 ArbZG
Produkthaftungsunterlagen	10 Jahre	§ 1 ProdHaftG
Patientenakten (allgemein)	10 Jahre	§ 630f Abs. 3 BGB
Röntgenaufnahmen	10 Jahre	§ 85 StrlSchG
Medizinische Dokumentation (Bluttransfusion)	30 Jahre	§ 14 TFG
Bauunterlagen, Gewährleistung	5 Jahre	§ 634a BGB
Verkehrsdaten (Telekommunikation)	6 Monate (max.)	§ 176 TKG
Videoüberwachungsaufnahmen	max. 72 Stunden (empfohlen)	Empfehlung DSK, Art. 6 DSGVO
Verarbeitungsverzeichnis	Dauerhaft (solange Verarbeitung)	Art. 30 DSGVO
Einwilligungsnachweise	3 Jahre (nach Widerruf)	§ 195 BGB (Verjährung)

Wichtig: Die Aufbewahrungsfristen beginnen in der Regel erst am Ende des Kalenderjahres, in dem das fristauslösende Ereignis eingetreten ist. Bei steuerlichen Aufbewahrungsfristen nach § 147 AO beginnt die Frist beispielsweise mit dem Schluss des Kalenderjahres, in dem die letzte Eintragung gemacht wurde. Die korrekte Dokumentation im Verarbeitungsverzeichnis ist hierfür wichtig.

Löschkonzept erstellen — Schritt für Schritt

Ein Löschkonzept nach DSGVO beschreibt die systematische Vorgehensweise eines Unternehmens zur fristgerechten Löschung personenbezogener Daten. Die DIN-Norm 66398 bietet hierfür einen anerkannten Rahmen. Im Folgenden stellen wir die sechs wesentlichen Schritte vor.

Schritt 1: Dateninventur durchführen

Ausgangspunkt jedes Löschkonzepts ist eine vollständige Bestandsaufnahme aller personenbezogenen Daten im Unternehmen. Das nach Art. 30 DSGVO ohnehin verpflichtende Verarbeitungsverzeichnis bildet hierfür die ideale Grundlage. Für jede Verarbeitungstätigkeit sollten folgende Informationen erfasst werden:

• Welche Datenkategorien werden verarbeitet? (z. B. Kontaktdaten, Vertragsdaten, Bewerbungsdaten)
• Welche Personengruppen sind betroffen? (Kunden, Mitarbeiter, Bewerber, Lieferanten)
• Auf welcher Rechtsgrundlage erfolgt die Verarbeitung?
• In welchen IT-Systemen und Ablageorten werden die Daten gespeichert?
• Welche Aufbewahrungsfristen gelten und wann beginnen diese?

Schritt 2: Löschregeln je Datenkategorie definieren

Für jede identifizierte Datenkategorie werden Löschregeln festgelegt. Diese bestimmen, wann und unter welchen Bedingungen Daten zu löschen sind. Dabei ist zwischen verschiedenen Szenarien zu unterscheiden:

• Regellöschung: Automatische Löschung nach Ablauf der Aufbewahrungsfrist
• Ereignisgesteuerte Löschung: Löschung bei Eintritt eines bestimmten Ereignisses (z. B. Vertragsende, Widerruf der Einwilligung)
• Anlassbezogene Löschung: Löschung auf Antrag der betroffenen Person nach Art. 17 DSGVO

Schritt 3: Löschfristen-Matrix erstellen

Die Löschfristen-Matrix verbindet Datenkategorien, Rechtsgrundlagen, Aufbewahrungsfristen und Löschzeitpunkte in einer übersichtlichen Darstellung. Für die effektive Umsetzung empfehlen wir folgendes Schema:

Datenkategorie	Fristauslöser	Frist	Löschzeitpunkt
Bewerbungsdaten	Absage	6 Monate	Monatsende + 6 Mon.
Kundenstammdaten	Vertragsende	10 Jahre	Jahresende + 10 Jahre
Rechnungen	Rechnungsdatum	10 Jahre	Jahresende + 10 Jahre
Newsletter-Daten	Abmeldung	Unverzüglich	Sofort (max. 30 Tage)
Videoaufnahmen	Aufnahmedatum	72 Stunden	Automatisch

Schritt 4: Löschmechanismen implementieren

Die definierten Löschregeln müssen technisch umgesetzt werden. Dabei unterscheidet man zwischen automatisierten und manuellen Löschmechanismen:

• Automatisierte Löschung: Konfiguration von Lösch-Routinen in ERP-, CRM- und HR-Systemen. Viele moderne Softwarelösungen bieten Retention-Policy-Funktionen, die Daten nach definierten Fristen automatisch löschen oder zur Löschung markieren.
• Halbautomatische Löschung: Regelmäßige Reports über fristfällige Daten mit manueller Freigabe der Löschung durch einen Verantwortlichen. Dies empfiehlt sich bei komplexen Datenbeständen.
• Manuelle Löschung: Bei physischen Unterlagen und Datenträgern (Akten, USB-Sticks, Festplatten) ist eine manuelle Löschung bzw. Vernichtung erforderlich. Die technischen und organisatorischen Maßnahmen (TOM) müssen dies berücksichtigen.

Schritt 5: Löschprotokolle führen

Jeder Löschvorgang sollte nachweisbar dokumentiert werden. Das Löschprotokoll enthält mindestens:

• Datum und Uhrzeit der Löschung
• Art der gelöschten Daten (Datenkategorie, nicht die Daten selbst!)
• Löschgrund (Fristablauf, Betroffenenanfrage, Zweckfortfall)
• Löschmethode (logische Löschung, physische Vernichtung, Anonymisierung)
• Name der verantwortlichen Person
• Bestätigung der vollständigen Löschung in allen Systemen und Backups

Achtung: Das Löschprotokoll darf selbst keine personenbezogenen Daten enthalten! Es dokumentiert lediglich, dass eine Löschung stattgefunden hat — nicht, welche konkreten Personen betroffen waren.

Schritt 6: Regelmäßige Überprüfung

Das Löschkonzept ist ein lebendes Dokument, das regelmäßig — mindestens jährlich — überprüft und aktualisiert werden muss. Im Rahmen eines Datenschutz-Audits sollten folgende Aspekte geprüft werden:

• Werden alle Löschfristen tatsächlich eingehalten?
• Sind neue Verarbeitungstätigkeiten hinzugekommen, die im Löschkonzept fehlen?
• Haben sich gesetzliche Aufbewahrungsfristen geändert?
• Funktionieren die automatisierten Löschmechanismen korrekt?
• Gibt es Datenbestände, die keiner Löschregel zugeordnet sind?

DIN 66399 — Datenlöschung und Datenträgervernichtung

Die DIN 66399 ist die maßgebliche Norm für die sichere Vernichtung von Datenträgern in Deutschland. Sie definiert drei Schutzklassen und sieben Sicherheitsstufen, die bestimmen, wie gründlich Datenträger zu vernichten sind.

Die 3 Schutzklassen

• Schutzklasse 1 — Normaler Schutzbedarf: Interne Daten, deren unrechtmäßige Verarbeitung den Betroffenen in seiner gesellschaftlichen Stellung oder seinen wirtschaftlichen Verhältnissen beeinträchtigen kann. Beispiele: allgemeine Korrespondenz, Produktunterlagen.
• Schutzklasse 2 — Hoher Schutzbedarf: Vertrauliche Daten, deren unrechtmäßige Verarbeitung den Betroffenen in seiner gesellschaftlichen Stellung oder seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen kann. Beispiele: Personalakten, Finanzdaten, Beschäftigtendaten.
• Schutzklasse 3 — Sehr hoher Schutzbedarf: Streng vertrauliche Daten, deren unrechtmäßige Verarbeitung eine Gefahr für Leib und Leben oder die persönliche Freiheit des Betroffenen darstellen kann. Beispiele: Zeugenschutzprogramme, Gesundheitsdaten besonderer Kategorien.

Die 7 Sicherheitsstufen

Die Sicherheitsstufen definieren die Partikelgröße nach der Vernichtung und damit den Aufwand, der zur Wiederherstellung der Daten erforderlich wäre:

• Stufe 1: Allgemeine Daten — Reproduktion mit einfachem Aufwand (Streifenschnitt ≤ 12 mm)
• Stufe 2: Interne Daten — Reproduktion mit besonderem Aufwand (Streifenschnitt ≤ 6 mm)
• Stufe 3: Sensible Daten — Reproduktion mit erheblichem Aufwand (Partikelschnitt ≤ 320 mm²)
• Stufe 4: Besonders sensible Daten — Reproduktion mit außergewöhnlichem Aufwand (Partikelschnitt ≤ 160 mm²)
• Stufe 5: Geheimzuhaltende Daten — Reproduktion mit nicht definierbarem Aufwand (Partikelschnitt ≤ 30 mm²)
• Stufe 6: Geheime Hochsicherheitsdaten — Reproduktion technisch nicht möglich (Partikelschnitt ≤ 10 mm²)
• Stufe 7: Top-Secret-Daten — Reproduktion ausgeschlossen (Partikelschnitt ≤ 5 mm²)

Empfehlung: Für die meisten Unternehmen ist Sicherheitsstufe 3 (Schutzklasse 1) oder Sicherheitsstufe 4 (Schutzklasse 2) ausreichend. Personenbezogene Daten sollten mindestens mit Sicherheitsstufe 3 vernichtet werden.

Physische vs. logische Löschung

Bei der Datenlöschung ist zwischen zwei grundsätzlichen Methoden zu unterscheiden:

• Logische Löschung: Die Daten werden als gelöscht markiert und der Speicherplatz zum Überschreiben freigegeben. Die Daten sind jedoch mit speziellen Tools potenziell wiederherstellbar. Für Schutzklasse 1 kann dies ausreichend sein, wenn eine mehrfache Überschreibung erfolgt.
• Physische Vernichtung: Der Datenträger wird physisch zerstört (Schreddern, Degaussing, Einschmelzen). Dies ist die sicherste Methode und für Schutzklasse 2 und 3 in der Regel erforderlich.

Zertifizierte Entsorgungsdienstleister

Bei der Beauftragung externer Dienstleister zur Datenträgervernichtung ist darauf zu achten, dass diese nach DIN 66399 zertifiziert sind. Zudem ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen. Der Dienstleister sollte ein Compliance Management System vorweisen können und eine lückenlose Transportkette sowie Vernichtungsnachweise garantieren.

Löschfristen in der Praxis — Typische Szenarien

Die Theorie der Löschfristen DSGVO ist das eine — die praktische Umsetzung das andere. Nachfolgend beleuchten wir die häufigsten Praxisszenarien und geben konkrete Handlungsempfehlungen.

Kundendaten nach Vertragsende

Nach Beendigung eines Vertragsverhältnisses entfällt die Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Dennoch sind die Daten nicht sofort zu löschen, denn: Rechnungen und Buchungsbelege unterliegen der 10-jährigen handels- und steuerrechtlichen Aufbewahrungsfrist. Die Frist beginnt am Ende des Kalenderjahres, in dem die letzte Buchung erfolgte. Allgemeine Korrespondenz (Handelsbriefe) ist 6 Jahre aufzubewahren. Erst nach Ablauf der längsten Frist sind sämtliche Kundendaten vollständig zu löschen.

Bewerbungsunterlagen nach Absage

Bewerbungsunterlagen dürfen nach einer Absage noch maximal 6 Monate aufbewahrt werden. Diese Frist ergibt sich aus § 15 Abs. 4 AGG (Allgemeines Gleichbehandlungsgesetz), wonach Ansprüche wegen Diskriminierung innerhalb von zwei Monaten geltend gemacht werden müssen. Die zusätzlichen vier Monate dienen der Sicherheit für den Fall einer gerichtlichen Geltendmachung. Mehr zum Thema erfahren Sie in unserem Leitfaden zum Beschäftigtendatenschutz.

Newsletter-Abmeldung

Bei einer Newsletter-Abmeldung ist die E-Mail-Adresse unverzüglich aus dem Verteiler zu entfernen. Die Einwilligungsdokumentation (Consent-Nachweis) sollte jedoch noch 3 Jahre aufbewahrt werden, um den Nachweis der rechtmäßigen Verarbeitung im Streitfall führen zu können (Verjährungsfrist nach § 195 BGB). Dabei ist die E-Mail-Adresse zu pseudonymisieren oder zu hashen.

Mitarbeiterdaten nach Austritt

Die Löschung von Beschäftigtendaten nach dem Austritt ist komplex, da verschiedene Fristen parallel laufen:

• Lohnunterlagen, Beitragsnachweise: 5 Jahre (§ 28f SGB IV)
• Lohnsteuerbescheinigungen: 6 Jahre (§ 147 AO)
• Arbeitszeugnisse (Kopie): 3 Jahre (Verjährung des Zeugnisanspruchs)
• Lohnkonten: 6 Jahre (§ 41 EStG)
• Unfallmeldungen: 5 Jahre (DGUV)
• Arbeitsmedizinische Vorsorgeunterlagen: Bis zu 40 Jahre bei Gefahrstoffexposition (§ 3 ArbMedVV)

Website-Analysedaten und Cookies

Für Website-Analysedaten wie Cookies gelten besondere Regeln. Die Datenschutzkonferenz (DSK) empfiehlt eine maximale Speicherdauer von 24 Monaten für Analyse-Cookies. IP-Adressen sollten nach spätestens 7 Tagen anonymisiert werden. Server-Logfiles sind nach 7–30 Tagen zu löschen, sofern keine Sicherheitsvorfälle vorliegen. Eine robuste Backup-Strategie muss auch die Löschung von Backups berücksichtigen.

Videoüberwachungsaufnahmen

Die Datenschutzkonferenz empfiehlt, Videoaufnahmen grundsätzlich nach maximal 72 Stunden automatisch zu löschen. Eine längere Speicherung ist nur zulässig, wenn ein konkreter Anlass vorliegt (z. B. ein aufgezeichneter Vorfall, der zur Beweissicherung aufbewahrt werden muss). Die Speicherdauer muss im Verarbeitungsverzeichnis dokumentiert und gegenüber betroffenen Personen transparent gemacht werden.

Bußgelder bei Verstößen gegen Löschpflichten

Verstöße gegen die Löschpflichten der DSGVO können empfindliche Bußgelder nach sich ziehen. Art. 83 Abs. 5 DSGVO sieht Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor — je nachdem, welcher Betrag höher ist.

Aktuelle Bußgeld-Fälle

Die Aufsichtsbehörden in Deutschland und Europa haben in den vergangenen Jahren mehrfach hohe Bußgelder wegen Verstößen gegen Löschpflichten verhängt:

• Deutsche Wohnen SE (2019): 14,5 Millionen Euro — das Unternehmen hatte ein Archivsystem verwendet, das keine Möglichkeit zur Löschung nicht mehr erforderlicher Mieterdaten vorsah.
• H&M (2020): 35,3 Millionen Euro — in der Hamburger Niederlassung wurden umfangreiche Mitarbeiterdaten über private Umstände gespeichert, ohne Löschkonzept und ohne Rechtsgrundlage.
• Clearview AI (2022): Mehrere europäische Behörden verhängten Bußgelder in Millionenhöhe wegen der unrechtmäßigen Speicherung biometrischer Daten ohne Löschfristen.
• Meta/Facebook (2023): 1,2 Milliarden Euro — unter anderem wegen mangelhafter Einhaltung von Löschpflichten bei Datenübermittlungen in die USA.

Aufsichtsbehörden-Praxis

Die deutschen Aufsichtsbehörden legen zunehmend Wert auf nachweisbare Löschkonzepte. Bei Kontrollen und Datenschutzprüfungen wird regelmäßig abgefragt:

• Existiert ein dokumentiertes Löschkonzept?
• Sind die Löschfristen korrekt und vollständig?
• Werden Löschvorgänge protokolliert?
• Funktionieren die technischen Löschmechanismen nachweisbar?
• Wird das Löschkonzept regelmäßig aktualisiert?

Ein fehlendes oder unzureichendes Löschkonzept wird von den Aufsichtsbehörden als organisatorisches Versagen gewertet und kann die Höhe eines Bußgeldes erheblich beeinflussen. Im Rahmen einer Datenschutz-Abmahnung oder Aufsichtsbehörden-Anfrage ist ein lückenloses Löschkonzept wichtig.

Häufig gestellte Fragen zu Löschfristen

Wie lange dürfen personenbezogene Daten nach DSGVO gespeichert werden?

Die DSGVO nennt keine festen Speicherdauern. Personenbezogene Daten dürfen nach Art. 5 Abs. 1 lit. e DSGVO nur so lange gespeichert werden, wie es für den jeweiligen Verarbeitungszweck erforderlich ist. Zusätzlich gelten gesetzliche Aufbewahrungsfristen — beispielsweise 10 Jahre für Buchungsbelege nach § 257 HGB oder 6 Monate für Bewerbungsunterlagen nach dem AGG.

Was ist ein Löschkonzept und braucht mein Unternehmen eines?

Ein Löschkonzept dokumentiert systematisch, welche Daten wann, wie und von wem gelöscht werden. Grundsätzlich ist jedes Unternehmen, das personenbezogene Daten verarbeitet, nach dem Grundsatz der Speicherbegrenzung (Art. 5 DSGVO) und der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) verpflichtet, die fristgerechte Löschung sicherzustellen und nachzuweisen. Ein dokumentiertes Löschkonzept ist dafür die Best Practice.

Müssen Daten auch aus Backups gelöscht werden?

Grundsätzlich ja. Die Löschpflicht erstreckt sich auf alle Kopien der Daten — einschließlich Backups. In der Praxis ist dies oft technisch schwierig. Die Aufsichtsbehörden akzeptieren in der Regel, dass Daten in Backups erst bei der regulären Backup-Rotation gelöscht werden, sofern die Daten bei einer Wiederherstellung zeitnah identifiziert und gelöscht werden. Diese Vorgehensweise muss im Löschkonzept dokumentiert sein.

Was ist der Unterschied zwischen Löschen und Anonymisieren?

Bei der Löschung werden die Daten unwiederbringlich vernichtet. Bei der Anonymisierung werden die Daten so verändert, dass ein Personenbezug auch mit zusätzlichem Wissen nicht mehr hergestellt werden kann. Anonymisierte Daten sind keine personenbezogenen Daten mehr und unterliegen nicht der DSGVO. Die Anonymisierung kann daher eine Alternative zur Löschung sein — etwa wenn Daten für statistische Auswertungen weiterverwendet werden sollen.

Welche Sicherheitsstufe nach DIN 66399 benötige ich?

Für die meisten Unternehmen ist Sicherheitsstufe 3 (Schutzklasse 1) oder 4 (Schutzklasse 2) ausreichend. Personenbezogene Daten normaler Sensibilität sollten mindestens mit Stufe 3 vernichtet werden. Für besondere Kategorien personenbezogener Daten (Gesundheitsdaten, biometrische Daten) empfiehlt sich mindestens Stufe 4 oder höher.

Wann beginnt die Aufbewahrungsfrist zu laufen?

Die handels- und steuerrechtlichen Aufbewahrungsfristen beginnen in der Regel am Ende des Kalenderjahres, in dem das fristauslösende Ereignis eingetreten ist. Bei einem Vertrag, der am 15. März 2025 endet, beginnt die 10-jährige Aufbewahrungsfrist für Buchungsbelege am 31. Dezember 2025 und endet am 31. Dezember 2035. Die arbeitsrechtliche 6-Monats-Frist für Bewerbungsunterlagen läuft dagegen ab dem Zugang der Absage.

DATUREX — Löschkonzept und Datenschutz-Beratung

Die Erstellung eines rechtssicheren Löschkonzepts ist eine komplexe Aufgabe, die fundiertes Wissen über Datenschutzrecht, Steuerrecht, Arbeitsrecht und IT-Sicherheit erfordert. Als erfahrene Datenschutzberater unterstützt die DATUREX GmbH Unternehmen in Dresden und ganz Sachsen bei allen Aspekten der DSGVO-konformen Datenlöschung:

• Bestandsaufnahme: Systematische Erfassung aller Datenverarbeitungen und Speicherorte
• Löschkonzept-Erstellung: Entwicklung eines individuellen Löschkonzepts nach DIN 66398
• Fristenmanagement: Definition und Dokumentation aller relevanten Aufbewahrungs- und Löschfristen
• Technische Umsetzung: Beratung bei der Implementierung automatisierter Löschmechanismen
• Schulungen: Sensibilisierung Ihrer Mitarbeiter für den korrekten Umgang mit Löschpflichten
• Audits: Regelmäßige Überprüfung der Einhaltung des Löschkonzepts