Löschfristen DSGVO: Wichtige Regeln, Rechtsgrundlagen und Best Practices für Unternehmen

Löschfristen definieren, wie lange personenbezogene Daten gespeichert werden dürfen, bevor sie gelöscht oder anonymisiert werden müssen.

Die Basis dafür ist das oberste datenschutzrechtliche Gebot der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO:

Daten dürfen nur so lange gespeichert werden, wie sie für die spezifischen, festgelegten und legitimen Zwecke notwendig sind.

Die Kernregel: Ist der Zweck der Verarbeitung entfallen, muss gelöscht werden. Die Dauer ist somit nicht durch ein Gesetz, sondern durch den Zweck der Speicherung definiert.

Die Einhaltung von Löschfristen ist weit mehr als nur eine Formalität. Sie ist ein zentraler Pfeiler der Sicherheit und Compliance.

• Rechtliche Anforderung: Bei Nichteinhaltung drohen Bußgelder nach Art. 83 der DSGVO.
• Sicherheitsrisiko: Je länger Daten existieren, desto größer ist die Angriffsfläche im Falle eines Hacks (Datenpanne).
• Effizienteres Datenmanagement: Weniger "Datenmüll", klarere Prozesse und geringere Speicherkosten.
• Vertrauensbildung: Transparenz gegenüber Kundinnen und Kunden sowie Mitarbeitenden.
• Nachweis der Accountability: Unternehmen müssen beweisen können, warum Daten gespeichert werden – und wann sie gelöscht werden.

Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss Löschfristen definieren und implementieren – unabhängig von Größe oder Branche.

Betroffene Bereiche sind unter anderem:

• HR und Bewerbermanagement (AGG, DSGVO)
• Marketing und CRM
• Vertrieb und Kundenservice
• IT-Logs und Security Monitoring
• Buchhaltung und Finanzen (Handels- und Steuerrecht)
• Lieferketten- und Dienstleistermanagement

Keine Organisation ist ausgenommen. Entscheidend ist nicht das Gesetz, sondern das Vorhandensein personenbezogener Daten.

Obwohl die DSGVO keine festen Fristen vorgibt, ergeben sich Zeiträume oft aus anderen Gesetzen (z. B. Steuerrecht) oder gängigen Industriestandards.

Hinweis: Dies sind gängige Standards und keine exakten gesetzlichen Vorgaben. Die Frist muss stets individuell begründet werden.

Ein funktionierendes Löschkonzept reduziert nicht nur dein Risiko, sondern optimiert auch deine Arbeitsprozesse.

1. Erstelle ein Lösch- und Aufbewahrungskonzept

Dokumentiere alle Datenkategorien, die jeweiligen Rechtsgrundlagen und die daraus abgeleiteten Aufbewahrungs- und Löschfristen.

2. Klassifiziere deine Daten (Mapping)

Ordne jeder Datenkategorie einen Zweck und eine entsprechende Löschregel zu. Übernimm diese Information direkt aus deinem VVT (Verarbeitungsverzeichnis).

3. Automatisiere Löschprozesse

Verringere manuelle Fehler und gewährleiste eine konsistente Umsetzung. Manuelle Löschung ist in großen Systemen kaum noch beherrschbar.

4. Integriere Löschregeln systemübergreifend

Stelle sicher, dass CRM, HR-Tools, Buchhaltungssysteme und SaaS-Plattformen die definierten Löschzyklen technisch unterstützen.

5. Definiere klare Verantwortlichkeiten

Weise die Verantwortung für die Datenlöschung, die Überprüfung der Fristen und die Dokumentation den jeweiligen Fachbereichen zu (Data Ownership).

6. Führe regelmäßige Audits durch

Überprüfe die Einhaltung der Löschfristen und die Funktionalität der Löschprozesse mindestens einmal jährlich.

7. Informiere Betroffene

Transparenz ist zwingend erforderlich (Art. 13/14) und stärkt das Vertrauen in dein Unternehmen.

Das Fehlen oder die mangelhafte Umsetzung eines Löschkonzepts wird bei Audits oder Sicherheitsvorfällen schwer geahndet.

Was passiert bei Verstößen?

• Bußgelder gemäß Art. 83 der DSGVO (bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes).
• Reputationsschaden und Vertrauensverlust bei Kunden.
• Haftungsrisiken für die Geschäftsführung (gerade mit Blick auf die strenger werdende NIS2-Richtlinie).
• Mangel bei Audits: Das Fehlen eines dokumentierten Löschkonzepts gilt als direkter Mangel im Asset-Management (ISO 27001) und in der Governance.
• Erhöhtes Risiko bei Data Breaches: Wer mehr Daten als nötig speichert, riskiert im Schadensfall höhere Strafen.

Löschfristen sind somit nicht nur eine reine Datenschutzanforderung, sondern ein unverzichtbarer Teil deiner Governance, IT-Sicherheit und Compliance-Strategie.

Löschfristen sind eine zentrale Komponente der DSGVO und einer der Bereiche, in denen Unternehmen oft Mängel aufweisen. Ein klares Löschkonzept, definierte Fristen und automatisierte Prozesse helfen dir, Daten nur so lange zu speichern, wie es wirklich notwendig ist. Das reduziert Risiken, stärkt die Compliance und verbessert deine gesamte Datensicherheitsstrategie.

Gerade weil Löschfristen viele Systeme, Teams und Prozesse betreffen, kann es extrem hilfreich sein, alles an einem zentralen Ort zu verwalten: von der Löschregel über die Dokumentation bis hin zu den Datenschutz-Workflows und Sicherheitsanforderungen. Eine Lösung, die diese Aufgaben bündelt und automatisiert, macht dein Unternehmen nicht nur audit-sicherer, sondern spart auch wertvolle Zeit im Betriebsalltag.

Müssen Löschfristen bewiesen werden?

Ja. Sie müssen die von dir gewählte Aufbewahrungsfrist jederzeit anhand des Zwecks oder einer gesetzlichen Aufbewahrungspflicht begründen können (Rechenschaftspflicht).

Sind durch Gesetz feste Aufbewahrungsfristen definiert?

Nicht durch die DSGVO. Einige nationale Gesetze (z. B. HGB, AO) definieren Fristen, aber die DSGVO erfordert zusätzlich eine zweckgebundene Begründung.

Was passiert, wenn ein Betroffener die Löschung verlangt?

Du musst die Daten löschen (Art. 17), es sei denn, andere Gesetze (z. B. Steuerrecht) erfordern zwingend eine weitere Speicherung. Dann muss der Zweck auf diese gesetzliche Pflicht umgestellt werden.

Sind Backups von der Löschpflicht ausgenommen?

Nein. Auch Backups benötigen kontrollierte Löschkonzepte. Aus operativen Gründen darf die Löschung dort jedoch in anderen Intervallen als im Live-System erfolgen.