Löschkonzept DSGVO — Vorlage, Fristen & Anleitung

Was ist ein Löschkonzept?

Ein Löschkonzept ist ein dokumentiertes Regelwerk, das festlegt, wann und wie personenbezogene Daten in einem Unternehmen zu löschen oder zu sperren sind. Es bildet die organisatorische Grundlage für den rechtssicheren Umgang mit Daten über deren gesamten Lebenszyklus — von der Erhebung bis zur endgültigen Vernichtung.

Nach der Datenschutz-Grundverordnung (DSGVO) dürfen personenbezogene Daten nicht unbegrenzt gespeichert werden. Der Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO schreibt vor, dass Daten nur so lange in einer Form gespeichert werden dürfen, die die Identifizierung der betroffenen Personen ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

Ein Löschkonzept übersetzt diesen abstrakten Grundsatz in konkrete, betriebliche Handlungsanweisungen. Es definiert Datenkategorien, ordnet ihnen Aufbewahrungsfristen zu und legt Verfahren für die datenschutzkonforme Löschung fest. Damit ist es ein unverzichtbares Element jedes ernsthaften Datenschutzprogramms im Unternehmen.

Das Löschkonzept ist kein einmaliges Dokument, sondern ein lebendiges Regelwerk, das regelmäßig überprüft und aktualisiert werden muss — etwa wenn neue Verarbeitungstätigkeiten hinzukommen, sich gesetzliche Fristen ändern oder technische Systeme ausgetauscht werden.

Warum ist ein Löschkonzept Pflicht?

Die Verpflichtung zur Erstellung eines Löschkonzepts ergibt sich unmittelbar aus der DSGVO und dem Bundesdatenschutzgesetz (BDSG). Entgegen einer verbreiteten Annahme schreibt die DSGVO kein explizit benanntes „Löschkonzept“ vor — sie fordert jedoch die Einhaltung von Prinzipien, die ohne ein solches Konzept praktisch nicht erfüllbar sind.

Art. 17 DSGVO — Recht auf Löschung

Art. 17 DSGVO gewährt betroffenen Personen das Recht auf Löschung (auch „Recht auf Vergessenwerden“ genannt). Unternehmen müssen personenbezogene Daten löschen, wenn:

• die Daten für den ursprünglichen Zweck nicht mehr notwendig sind,
• die betroffene Person ihre Einwilligung widerruft und keine andere Rechtsgrundlage besteht,
• die betroffene Person Widerspruch einlegt und keine vorrangigen berechtigten Gründe vorliegen,
• die Daten unrechtmäßig verarbeitet wurden,
• eine Löschung aufgrund einer rechtlichen Verpflichtung erforderlich ist.

Ohne ein Löschkonzept können Unternehmen auf Löschanträge nicht fristgerecht (innerhalb eines Monats gemäß Art. 12 Abs. 3 DSGVO) reagieren.

Art. 5 Abs. 1 lit. e DSGVO — Speicherbegrenzung

Dieser Grundsatz verbietet eine unbefristete Datenspeicherung. Unternehmen müssen nachweisen können, dass sie Daten nur so lange aufbewahren, wie es der jeweilige Verarbeitungszweck erfordert. Das Löschkonzept liefert diesen Nachweis.

Art. 5 Abs. 2 DSGVO — Rechenschaftspflicht

Verantwortliche müssen die Einhaltung aller Datenschutzgrundsätze nicht nur gewährleisten, sondern auch nachweisen können. Aufsichtsbehörden können jederzeit Auskunft über bestehende Löschprozesse verlangen. Ein dokumentiertes Löschkonzept ist der beste Nachweis dieser Compliance.

§ 17 BDSG — Bundesdatenschutzgesetz

Das BDSG konkretisiert für den deutschen Rechtsraum zusätzliche Anforderungen an die Datenlöschung. Unternehmen, die keine angemessenen Löschprozesse nachweisen können, riskieren Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.

Aufbewahrungsfristen im Überblick

Ein häufiges Missverständnis: Datenlöschung bedeutet nicht sofortige Vernichtung nach Zweckerfüllung. Zahlreiche gesetzliche Regelungen verpflichten Unternehmen zur Aufbewahrung bestimmter Daten über definierte Zeiträume. Das Löschkonzept muss diese Fristen kennen und berücksichtigen.

Datenkategorie	Aufbewahrungsfrist	Rechtsgrundlage
Buchführungsunterlagen, Jahresabschlüsse	10 Jahre	§ 257 HGB, § 147 AO
Handelsbriefe (empfangen)	6 Jahre	§ 257 HGB
Handelsbriefe (abgesandt)	6 Jahre	§ 257 HGB
Buchungsbelege	10 Jahre	§ 147 AO
Lohn- und Gehaltsunterlagen	6 Jahre	§ 257 HGB
Steuerrelevante Unterlagen	10 Jahre	§ 147 AO
Personalakten (nach Ausscheiden)	3 Jahre	§ 195 BGB (Verjährung)
Bewerbungsunterlagen (abgelehnt)	6 Monate	§ 15 AGG
Videoüberwachungsaufnahmen	72 Stunden (max.)	§ 4 BDSG
Vertragsunterlagen	10 Jahre	§ 147 AO, § 257 HGB
E-Mails mit Geschäftsrelevanz	6–10 Jahre	§ 257 HGB, § 147 AO
Kundendaten (nach Vertragsende)	Bis Verjährung	§ 195 ff. BGB

Hinweis: Die tatsächliche Aufbewahrungsfrist richtet sich nach dem spätesten Ablauf aller anwendbaren Fristen. Im Zweifel gilt: Die längste gesetzliche Pflichtfrist hat Vorrang vor dem datenschutzrechtlichen Löschgebot.

Löschkonzept erstellen: Schritt-für-Schritt-Anleitung

Die Erstellung eines praxistauglichen Löschkonzepts folgt einem strukturierten Prozess. Nachfolgend die wichtigsten Schritte:

Schritt 1: Datenerhebung und Bestandsaufnahme

Zunächst müssen alle Verarbeitungstätigkeiten erfasst werden, bei denen personenbezogene Daten anfallen. Grundlage hierfür ist das Verarbeitungsverzeichnis nach Art. 30 DSGVO. Ohne eine vollständige Liste aller Datenverarbeitungen kann kein wirksames Löschkonzept erstellt werden.

Schritt 2: Datenkategorien bilden

Ähnliche Datenarten werden zu Kategorien zusammengefasst (z. B. Kundendaten, Mitarbeiterdaten, Bewerberdaten, Lieferantendaten, Websitebesucher). Pro Kategorie werden anschließend einheitliche Löschregeln definiert.

Schritt 3: Rechtsgrundlagen und Zwecke prüfen

Für jede Datenkategorie wird geprüft, auf welcher Rechtsgrundlage die Verarbeitung erfolgt (Art. 6 DSGVO) und welchem Zweck sie dient. Fällt der Zweck weg oder erlischt die Rechtsgrundlage, beginnt die Löschfrist zu laufen.

Schritt 4: Aufbewahrungsfristen festlegen

Auf Basis der gesetzlichen Mindestaufbewahrungsfristen (HGB, AO, BDSG, bereichsspezifische Gesetze) und des Grundsatzes der Speicherbegrenzung werden für jede Kategorie konkrete Fristen definiert. Die Frist beginnt in der Regel mit dem Ende der Verarbeitung oder dem Ablauf des Geschäftsjahres.

Schritt 5: Löschverfahren festlegen

Für jede Datenkategorie wird festgelegt, wie die Löschung technisch erfolgt: physische Vernichtung von Datenträgern, Überschreiben digitaler Daten, Anonymisierung oder Pseudonymisierung. Die gewählten Maßnahmen müssen den Technischen und Organisatorischen Maßnahmen (TOM) entsprechen.

Schritt 6: Verantwortlichkeiten zuweisen

Das Löschkonzept legt fest, wer für die Durchführung der Löschung zuständig ist. Dies können Abteilungsleiter, IT-Verantwortliche oder externe Dienstleister sein. Ohne klare Verantwortlichkeiten bleibt das Konzept ein Papiertiger.

Schritt 7: Löschkonzept dokumentieren und regelmäßig aktualisieren

Das fertige Konzept wird schriftlich dokumentiert, intern kommuniziert und bei Bedarf an geänderte Bedingungen angepasst. Empfehlenswert ist eine jährliche Überprüfung sowie anlassbezogene Aktualisierungen bei neuen Systemen oder geänderten Rechtslagen.

Löschfristen definieren — Kategorien und Beispiele

Die Praxis zeigt: Nicht alle Datenkategorien sind gleich komplex. Einige Bereiche erfordern besondere Aufmerksamkeit:

Mitarbeiterdaten

Personalakten sind nach Ausscheiden eines Mitarbeiters grundsätzlich zu löschen, sobald alle arbeitsrechtlichen Ansprüche verjährt sind. Die reguläre Verjährungsfrist beträgt 3 Jahre (§ 195 BGB), bei bestimmten Schadensersatzansprüchen bis zu 10 Jahre. Lohnunterlagen mit steuerlicher Relevanz sind 6 Jahre aufzubewahren.

Kundendaten

Nach Vertragsende beginnt die Löschfrist zu laufen. Rechnungen und vertragsrelevante Unterlagen unterliegen jedoch der 10-jährigen steuerrechtlichen Aufbewahrungspflicht. Reine Kommunikationsdaten ohne Geschäftsrelevanz können früher gelöscht werden.

Bewerberdaten

Abgelehnte Bewerbungen dürfen maximal 6 Monate aufbewahrt werden (Schutz vor AGG-Klagen). Mit schriftlicher Einwilligung des Bewerbers ist eine längere Speicherung im Bewerberpool möglich.

Website-Nutzungsdaten

IP-Adressen, Logfiles und Tracking-Daten sind nach Ablauf ihrer Zweckbindung zu löschen. Bei reinen Sicherheits-Logfiles gelten häufig 7–14 Tage als angemessen, bei Analysedaten kommt es auf das eingesetzte Tool und die Einwilligung an.

Videoüberwachung

Aufnahmen aus Videoüberwachungsanlagen sind gemäß § 4 BDSG in der Regel nach 72 Stunden zu löschen, sofern keine konkreten Vorfälle dokumentiert werden müssen.

Technische Umsetzung der Datenlöschung

Ein Löschkonzept ist nur so gut wie seine technische Umsetzung. Die häufigsten Methoden der datenschutzkonformen Datenlöschung sind:

Sicheres Überschreiben

Digitale Daten auf Festplatten und SSDs werden mit spezieller Software mehrfach überschrieben, sodass eine Wiederherstellung nicht mehr möglich ist. Bekannte Standards sind DoD 5220.22-M und das BSI-Verfahren.

Physische Vernichtung von Datenträgern

Bei Datenträgern, die ausgemustert werden, empfiehlt sich die physische Vernichtung durch zertifizierte Dienstleister (DIN 66399). Dies gilt für Festplatten, USB-Sticks, Ausdrucke und optische Medien. Die Vernichtung muss dokumentiert werden.

Anonymisierung und Pseudonymisierung

Wenn Daten weiterhin für statistische oder analytische Zwecke benötigt werden, kann eine vollständige Anonymisierung als Alternative zur Löschung dienen — vorausgesetzt, eine Re-Identifizierung ist tatsächlich ausgeschlossen. Pseudonymisierte Daten gelten weiterhin als personenbezogen und dürfen nicht anstelle einer echten Löschung eingesetzt werden.

Automatisierte Löschprozesse

Moderne CRM-, ERP- und HR-Systeme bieten Funktionen zur automatisierten Datenlöschung. Diese sollten so konfiguriert werden, dass Löschfristen systemseitig hinterlegt und automatisch ausgeführt werden. Eine manuelle Protokollierung bleibt dennoch empfehlenswert.

Löschkonzept und Verarbeitungsverzeichnis

Löschkonzept und Verarbeitungsverzeichnis sind eng miteinander verzahnt. Das Verarbeitungsverzeichnis liefert die Grunddaten: Welche Daten werden zu welchem Zweck verarbeitet, auf welcher Rechtsgrundlage und wie lange? Das Löschkonzept übersetzt diese Angaben in operative Anweisungen.

In der Praxis empfiehlt sich eine integrierte Darstellung: Das Verarbeitungsverzeichnis enthält eine Spalte mit der geplanten Löschfrist, die direkt aus dem Löschkonzept gespeist wird. So entsteht ein konsistentes, widerspruchsfreies Regelwerk.

Beide Dokumente sind zentrale Bestandteile eines Datenschutz-Audits. Aufsichtsbehörden prüfen im Rahmen von Kontrollen regelmäßig, ob das Verarbeitungsverzeichnis vollständig ist und ob das Löschkonzept die dort genannten Fristen tatsächlich umsetzt.

Die Aufgaben des Datenschutzbeauftragten umfassen ausdrücklich die Überwachung der Einhaltung von Löschpflichten. Der externe DSB prüft in regelmäßigen Abständen, ob Löschfristen eingehalten werden und ob das Konzept aktuell ist.

Häufige Fehler beim Löschkonzept

Viele Unternehmen scheitern bei der praktischen Umsetzung. Die häufigsten Fehlerquellen:

1. Kein oder nur theoretisches Löschkonzept

Das Konzept existiert als Dokument, wird aber nie tatsächlich umgesetzt. Löschfristen laufen ab, ohne dass Daten gelöscht werden. Aufsichtsbehörden können dies bei Prüfungen aufdecken.

2. Fehlende Abstimmung mit der IT

Das Löschkonzept wird von der Rechts- oder Datenschutzabteilung erstellt, ohne die IT einzubeziehen. Technische Umsetzbarkeit bleibt ungeklärt — bestimmte Daten können aus technischen Gründen nicht einfach gelöscht werden (z. B. in verknüpften Datenbanken).

3. Keine Berücksichtigung von Backup-Daten

Personenbezogene Daten, die in Backups gespeichert sind, werden oft vergessen. Auch Backups unterliegen den Löschpflichten — was bedeutet, dass entweder Backups bereinigt oder gezielt überschrieben werden müssen.

4. Zu kurze oder zu lange Fristen

Fristen werden geschätzt statt rechtskonform ermittelt. Zu kurze Fristen verletzen gesetzliche Aufbewahrungspflichten; zu lange Fristen verstoßen gegen den Grundsatz der Speicherbegrenzung.

5. Keine Dokumentation der Löschvorgänge

Löschungen werden durchgeführt, aber nicht dokumentiert. Im Streitfall oder bei Behördenanfragen kann die tatsächliche Durchführung nicht nachgewiesen werden.

6. Veraltetes Konzept

Das Löschkonzept wird einmalig erstellt und danach nie aktualisiert. Neue Systeme, geänderte Prozesse oder neue gesetzliche Anforderungen bleiben unberücksichtigt.

FAQ: Häufige Fragen zum Löschkonzept

Ist ein Löschkonzept für Unternehmen verpflichtend?

Ja. Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss die Grundsätze der Speicherbegrenzung und der Rechenschaftspflicht erfüllen. Für kleine Unternehmen ohne Pflicht zur Bestellung eines Datenschutzbeauftragten gilt dies ebenso — ein vereinfachtes Löschkonzept reicht hier in der Regel aus.

Gibt es eine Muster-Vorlage für ein Löschkonzept?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie die Datenschutzkonferenz (DSK) stellen Orientierungshilfen bereit. Eine universelle Vorlage existiert nicht, da das Konzept laufend unternehmensspezifisch angepasst werden muss. Ein erfahrener Datenschutzbeauftragter erstellt ein individuelles Löschkonzept auf Basis Ihrer Verarbeitungstätigkeiten.

Was ist der Unterschied zwischen Löschen und Sperren?

Löschen bedeutet die endgültige und unwiederbringliche Vernichtung der Daten. Sperren bedeutet, dass Daten nicht mehr aktiv genutzt werden dürfen, aber aus technischen oder rechtlichen Gründen noch vorhanden sind (z. B. wegen laufender Aufbewahrungspflichten). Nach Ablauf der Aufbewahrungsfrist müssen gesperrte Daten endgültig gelöscht werden.

Wie oft muss das Löschkonzept aktualisiert werden?

Mindestens einmal jährlich sollte eine Überprüfung stattfinden. Außerdem ist eine anlassbezogene Aktualisierung erforderlich, wenn neue Verarbeitungstätigkeiten hinzukommen, bestehende Systeme geändert werden oder sich die Rechtslage ändert.

Was passiert, wenn ein Unternehmen kein Löschkonzept hat?

Aufsichtsbehörden können bei festgestellten Verstößen Bußgelder verhängen (bis zu 20 Mio. Euro bzw. 4 % des Jahresumsatzes). Außerdem drohen zivilrechtliche Schadensersatzansprüche betroffener Personen nach Art. 82 DSGVO sowie Reputationsschäden. In der Praxis mahnen Behörden zunächst ab und setzen Fristen zur Nachbesserung.

Löschkonzept professionell umsetzen — wir helfen Ihnen

Die Erstellung und Pflege eines rechtssicheren Löschkonzepts erfordert Fachkenntnis in Datenschutzrecht, IT-Infrastruktur und betrieblichen Prozessen. Als erfahrener externer Datenschutzbeauftragter in Dresden und Sachsen unterstützen wir Sie bei:

• der vollständigen Bestandsaufnahme Ihrer Datenverarbeitungen,
• der rechtssicheren Festlegung aller relevanten Lösch- und Aufbewahrungsfristen,
• der Integration des Löschkonzepts in Ihr Verarbeitungsverzeichnis,
• der technischen Beratung zur Umsetzung automatisierter Löschprozesse,
• der regelmäßigen Überprüfung und Aktualisierung im Rahmen unseres Datenschutz-Audits,
• der Schulung Ihrer Mitarbeiter zu Löschpflichten und -verfahren.

Nutzen Sie unser kostenloses Erstgespräch und erfahren Sie, wie wir Ihr Datenschutzmanagement im Unternehmen auf ein rechtssicheres Fundament stellen können.