Datenschutz

Löschkonzept nach DSGVO: Aufbewahrungsfristen, Löschregeln und Umsetzung

15 Min. Lesezeit
TL;DR
  • Die DSGVO verlangt über den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) und das Recht auf Löschung (Art. 17), dass personenbezogene Daten gelöscht werden, sobald der Zweck entfällt.
  • Aufbewahrungsfristen aus HGB, AO, ArbZG und weiteren Gesetzen definieren den frühestmöglichen Löschzeitpunkt, nicht den spätestmöglichen.
  • Löschklassen gruppieren Datenarten mit gleicher Frist und gleicher Löschregel, sodass die operative Umsetzung handhabbar bleibt.
  • Jede Löschung muss protokolliert werden: Was wurde gelöscht, wann, durch wen und auf welcher Rechtsgrundlage.
  • Ein pragmatisches Löschkonzept für 100 Mitarbeiter lässt sich mit 8 bis 12 Löschklassen und einem quartalsweisen Prüfzyklus abbilden.

Warum ein Löschkonzept Pflicht ist

Personenbezogene Daten dürfen nicht ewig gespeichert werden. Das klingt wie eine Selbstverständlichkeit, ist in der Praxis aber einer der am häufigsten vernachlässigten Datenschutzgrundsätze. Viele Unternehmen sammeln Daten über Jahre hinweg, ohne jemals systematisch zu prüfen, ob die Speicherung noch gerechtfertigt ist. Die DSGVO sieht das anders.

Art. 5 Abs. 1 lit. e DSGVO formuliert den Grundsatz der Speicherbegrenzung: Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Sobald der Verarbeitungszweck entfällt und keine gesetzliche Aufbewahrungspflicht mehr besteht, müssen die Daten gelöscht werden.

Art. 17 DSGVO ergänzt diesen Grundsatz um das Recht auf Löschung, oft auch als „Recht auf Vergessenwerden" bezeichnet. Betroffenenrechte wie Auskunft, Löschung und Datenportabilität können die Löschung ihrer Daten verlangen, wenn einer der in Art. 17 Abs. 1 genannten Gründe vorliegt. Der häufigste Fall: Die Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig.

Ein Löschkonzept ist das Werkzeug, mit dem du diese Anforderungen systematisch umsetzt. Es definiert, welche Daten du hast, wie lange du sie aufbewahren darfst oder musst, wann und wie sie gelöscht werden und wer dafür verantwortlich ist. Ohne ein solches Konzept bleibt die Umsetzung der Speicherbegrenzung dem Zufall überlassen, und genau das ist das Problem, das Aufsichtsbehörden regelmäßig beanstanden.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat mehrfach betont, dass ein dokumentiertes Löschkonzept Bestandteil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ist. Du musst nicht nur löschen, sondern auch nachweisen können, dass du löschst. Auch der Datenschutzbeauftragte überwacht die Einhaltung und berät bei der Umsetzung. Das Fehlen eines Löschkonzepts ist daher nicht nur ein organisatorisches Defizit, sondern ein Compliance-Verstoß, der mit Bußgeldern geahndet werden kann.

Die Aufbewahrungsfristen im Überblick

Bevor du löschen kannst, musst du wissen, wie lange du speichern darfst oder sogar musst. Denn neben dem Grundsatz der Speicherbegrenzung gibt es zahlreiche gesetzliche Aufbewahrungspflichten, die der Löschung entgegenstehen. Diese Pflichten gehen dem Löschanspruch vor: Solange eine gesetzliche Aufbewahrungsfrist läuft, darfst du die betroffenen Daten nicht löschen, auch wenn die betroffene Person dies verlangt.

Die wichtigsten Aufbewahrungsfristen im deutschen Recht:

Handelsrechtliche Aufbewahrungspflichten (HGB)

Nach § 257 HGB müssen Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Lageberichte und Konzernberichte 10 Jahre aufbewahrt werden. Handels- und Geschäftsbriefe sowie Buchungsbelege unterliegen einer Frist von 6 Jahren. Die Frist beginnt jeweils mit dem Schluss des Kalenderjahres, in dem die letzte Eintragung gemacht, der Abschluss aufgestellt oder der Geschäftsbrief empfangen bzw. abgesandt wurde.

In der Praxis bedeutet das: Eine Rechnung vom 15. März 2026 muss bis zum 31. Dezember 2036 aufbewahrt werden. Erst ab dem 1. Januar 2037 darf sie gelöscht werden.

Steuerrechtliche Aufbewahrungspflichten (AO)

§ 147 AO enthält nahezu identische Fristen wie das HGB: 10 Jahre für Bücher und Aufzeichnungen, Buchungsbelege, Jahresabschlüsse und Inventare, 6 Jahre für empfangene und abgesandte Handelsbriefe und sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind. Wichtig: Bei einer laufenden Betriebsprüfung oder einem Rechtsstreit verlängern sich die Fristen, bis das Verfahren abgeschlossen ist. Diese sogenannte Ablaufhemmung nach § 171 AO musst du im Löschkonzept berücksichtigen.

Arbeitsrechtliche Aufbewahrungspflichten

Das Arbeitszeitgesetz (ArbZG) schreibt in § 16 Abs. 2 vor, dass Aufzeichnungen über die werktägliche Arbeitszeit 2 Jahre aufzubewahren sind. Lohnabrechnungsunterlagen und Beitragsabrechnungen zur Sozialversicherung fallen unter die steuerrechtliche 6-Jahres-Frist, sofern sie für die Besteuerung relevant sind.

Bewerbungsunterlagen abgelehnter Bewerber sollten in der Regel 6 Monate nach Abschluss des Bewerbungsverfahrens gelöscht werden. Diese Frist ergibt sich aus der Klagefrist des Allgemeinen Gleichbehandlungsgesetzes (AGG), die 2 Monate nach Zugang der Ablehnung beträgt, zuzüglich einer angemessenen Bearbeitungszeit für die Geltendmachung und gerichtliche Durchsetzung.

Weitere relevante Fristen

Die Aufbewahrungspflichten erstrecken sich über viele Rechtsgebiete. Einige weitere wichtige Fristen:

  • Betriebsverfassungsgesetz (BetrVG): Wahlunterlagen für Betriebsratswahlen müssen für die Dauer der Wahlperiode aufbewahrt werden, in der Praxis also 4 Jahre.
  • Produkthaftungsgesetz: Dokumentationspflichten zu Produkten gelten 10 Jahre ab Inverkehrbringen des Produkts.
  • Baurecht: Bauakten und statische Berechnungen müssen je nach Landesbauordnung zwischen 5 und 30 Jahren aufbewahrt werden.
  • Medizinrecht: Ärztliche Aufzeichnungen müssen nach § 10 der Musterberufsordnung 10 Jahre nach Abschluss der Behandlung aufbewahrt werden.
  • Geldwäschegesetz (GwG): Aufzeichnungen nach § 8 GwG sind 5 Jahre nach Ende der Geschäftsbeziehung aufzubewahren.

Die Aufbewahrungsfrist definiert den frühestmöglichen Löschzeitpunkt, nicht den spätestmöglichen. Sobald die Frist abgelaufen ist und kein anderer Rechtsgrund die weitere Speicherung rechtfertigt, muss die Löschung erfolgen. Das ist der entscheidende Punkt, den viele Unternehmen übersehen: Die Frist ist keine Erlaubnis zur unbegrenzten Speicherung, sondern eine zeitlich befristete Ausnahme vom Löschgrundsatz.

Löschklassen und Löschregeln definieren

Ein Löschkonzept, das jede einzelne Datenkategorie separat behandelt, wird in der Praxis scheitern. Kein Unternehmen kann hunderte verschiedener Löschfristen individuell überwachen. Die Lösung besteht darin, Datenarten mit vergleichbaren Aufbewahrungsfristen und Löschanforderungen zu Löschklassen zusammenzufassen.

Was ist eine Löschklasse?

Eine Löschklasse gruppiert Datenarten, die denselben Aufbewahrungszeitraum und dieselbe Löschregel haben. Für jede Löschklasse definierst du:

  • Bezeichnung: Ein sprechender Name, der die Klasse identifiziert (z. B. „Buchungsbelege", „Bewerberdaten", „Arbeitszeiten").
  • Enthaltene Datenarten: Welche konkreten Daten gehören zu dieser Klasse?
  • Rechtsgrundlage der Aufbewahrung: Welches Gesetz schreibt die Aufbewahrung vor?
  • Aufbewahrungsfrist: Wie lange müssen die Daten mindestens aufbewahrt werden?
  • Fristbeginn: Ab wann läuft die Frist (Ende des Kalenderjahres, Ende der Geschäftsbeziehung, Abschluss des Vorgangs)?
  • Löschregel: Was genau passiert nach Ablauf der Frist?
  • Verantwortlich: Welche Person oder Rolle ist für die Durchführung der Löschung zuständig?

Beispielhafte Löschklassen für ein mittelständisches Unternehmen

Löschklasse 1: Buchführungsbelege (10 Jahre) Enthält Rechnungen, Kontoauszüge, Buchungsbelege, Jahresabschlüsse. Rechtsgrundlage: § 257 HGB, § 147 AO. Fristbeginn: Ende des Kalenderjahres, in dem der Beleg erstellt oder empfangen wurde. Löschregel: Vollständige Löschung aller digitalen Kopien und Vernichtung physischer Dokumente nach DIN 66399.

Löschklasse 2: Geschäftskorrespondenz (6 Jahre) Enthält Handels- und Geschäftsbriefe, Angebote, Auftragsbestätigungen, allgemeinen Geschäftsverkehr. Rechtsgrundlage: § 257 HGB, § 147 AO. Fristbeginn: Ende des Kalenderjahres, in dem der Brief versendet oder empfangen wurde.

Löschklasse 3: Personalunterlagen nach Austritt (3 Jahre + variabel) Enthält Arbeitsverträge, Zeugnisse, Abmahnungen, Gehaltsunterlagen. Rechtsgrundlage: Verjährungsfristen nach BGB, steuerrechtliche Aufbewahrungspflichten. Fristbeginn: Ende des Kalenderjahres, in dem das Arbeitsverhältnis endete. Löschregel: Nach Ablauf der jeweils längsten einschlägigen Frist vollständige Löschung.

Löschklasse 4: Bewerberdaten (6 Monate) Enthält Bewerbungsunterlagen, Gesprächsnotizen, Testergebnisse abgelehnter Bewerber. Rechtsgrundlage: § 15 AGG (Klagefrist), § 26 BDSG. Fristbeginn: Zugang der Ablehnung. Löschregel: Vollständige Löschung aller Unterlagen und Gesprächsnotizen.

Löschklasse 5: Arbeitszeiterfassung (2 Jahre) Enthält Stundenzettel, elektronische Zeiterfassungsdaten, Überstundennachweise. Rechtsgrundlage: § 16 Abs. 2 ArbZG. Fristbeginn: Datum der Aufzeichnung.

Löschklasse 6: Vertragsdaten nach Vertragsende (3 Jahre regulär, 10 Jahre steuerrelevant) Enthält Kundenverträge, Lieferantenverträge, Dienstleistungsvereinbarungen. Rechtsgrundlage: Verjährungsfristen BGB, HGB, AO. Fristbeginn: Ende des Kalenderjahres, in dem der Vertrag beendet wurde.

Löschklasse 7: Protokolldaten und Logfiles (6 Monate) Enthält Zugriffsprotokolle, Firewall-Logs, Server-Logs mit personenbezogenen Daten. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Fehleranalyse und Angriffserkennung). Fristbeginn: Erstellung des Logeintrags.

Löschklasse 8: Newsletter-Abonnenten (bis Widerruf) Enthält E-Mail-Adressen und Einwilligungsnachweise für Newsletter. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Löschregel: Löschung nach Widerruf der Einwilligung. Einwilligungsnachweise selbst müssen länger aufbewahrt werden (Nachweispflicht).

Löschregeln formulieren

Jede Löschklasse braucht eine klare Löschregel, die beschreibt, was nach Ablauf der Frist konkret geschieht. Eine Löschregel beantwortet vier Fragen:

  1. Was wird gelöscht? (Welche Daten, in welchen Systemen, in welchen Formaten?)
  2. Wann wird gelöscht? (Nach Ablauf welcher Frist, zu welchem Prüfzeitpunkt?)
  3. Wie wird gelöscht? (Technisches Verfahren: Löschen, Überschreiben, Anonymisieren, Vernichten?)
  4. Wer führt die Löschung durch und wer gibt sie frei?

Eine Löschregel für die Löschklasse „Bewerberdaten" könnte so aussehen: „6 Monate nach Zugang der Absage werden alle Bewerbungsunterlagen, Gesprächsprotokolle und Testergebnisse des Bewerbers aus dem Bewerbermanagement-System, aus E-Mail-Postfächern der beteiligten Führungskräfte und aus lokalen Ablageorten gelöscht. Die HR-Abteilung führt die Löschung durch. Die Löschung wird im Löschprotokoll dokumentiert."

Löschroutinen und Verantwortlichkeiten

Ein Löschkonzept, das nur auf dem Papier existiert, ist wertlos. Die Umsetzung erfordert klare Zuständigkeiten und feste Routinen, die in den operativen Alltag eingebettet sind.

Rollen im Löschprozess

Dateneigentümer (Data Owner): Die Fachabteilung, die die Daten erhebt und nutzt, ist in der Regel auch für die Löschung verantwortlich. Der Vertrieb ist Eigentümer der Kundendaten, die HR-Abteilung ist Eigentümer der Personalakten, die Buchhaltung ist Eigentümer der Buchungsbelege. Der Dateneigentümer entscheidet, ob die Aufbewahrungsfrist abgelaufen ist und ob ein Löschhindernis besteht.

IT-Abteilung: Führt die technische Löschung durch oder stellt die Werkzeuge dafür bereit. Die IT stellt sicher, dass die Löschung vollständig erfolgt, also nicht nur in der Primärdatenbank, sondern auch in Backups, Replikaten, Archiven und Testsystemen.

Datenschutzbeauftragter: Überwacht die Einhaltung des Löschkonzepts, berät bei Zweifelsfällen und prüft die Löschprotokolle. Der DSB hat keine operative Löschverantwortung, sondern eine Kontrollfunktion.

Geschäftsleitung: Gibt das Löschkonzept frei und stellt die notwendigen Ressourcen bereit. Die Geschäftsleitung trägt die Gesamtverantwortung für die Einhaltung der DSGVO.

Prüfzyklen festlegen

Löschungen sollten nicht anlassbezogen, sondern regelmäßig und systematisch durchgeführt werden. Bewährt hat sich ein quartalsweiser Prüfzyklus: Jedes Quartal prüft der Dateneigentümer, ob Daten seiner Löschklassen die Aufbewahrungsfrist überschritten haben, und veranlasst die Löschung.

Für Datenarten mit kurzen Fristen (z. B. Logfiles mit 6 Monaten Aufbewahrungsfrist) kann ein monatlicher oder sogar wöchentlicher Zyklus sinnvoll sein, idealerweise automatisiert. Für Datenarten mit langen Fristen (z. B. Buchungsbelege mit 10 Jahren) reicht ein jährlicher Prüflauf.

Der Prüfzyklus sollte im Unternehmenskalender verankert sein, mit festen Terminen und klaren Fristen. Wenn die Prüfung nur dann stattfindet, wenn jemand daran denkt, wird sie irgendwann vergessen.

Technische Umsetzung: automatisiert vs. manuell

Die technische Umsetzung der Löschung hängt stark davon ab, welche Systeme du einsetzt und wie die Daten dort gespeichert sind. Grundsätzlich gibt es drei Ansätze, die in der Praxis meist kombiniert werden.

Automatisierte Löschung

Viele Systeme bieten die Möglichkeit, Aufbewahrungsfristen zu konfigurieren und Daten nach Ablauf automatisch zu löschen. E-Mail-Server können alte E-Mails nach einer definierten Zeitspanne archivieren oder löschen. Logmanagement-Systeme wie Elasticsearch oder Graylog unterstützen Retention Policies. CRM-Systeme können Kundendaten nach Ende der Geschäftsbeziehung und Ablauf der Frist automatisch anonymisieren.

Die automatisierte Löschung ist der Goldstandard, weil sie menschliche Fehler minimiert und konsistent arbeitet. Allerdings setzt sie voraus, dass die Systeme die notwendigen Funktionen bereitstellen und korrekt konfiguriert sind.

Semi-automatisierte Löschung

Viele Unternehmen nutzen einen Mittelweg: Ein System generiert regelmäßig Löschlisten, also Übersichten über Datensätze, deren Aufbewahrungsfrist abgelaufen ist. Ein Mitarbeiter prüft die Liste, bestätigt, dass keine Löschhindernisse bestehen (z. B. laufende Rechtsstreitigkeiten oder Betriebsprüfungen), und gibt die Löschung frei. Anschließend erfolgt die Löschung automatisch.

Dieser Ansatz verbindet die Effizienz der Automatisierung mit der Sicherheit einer manuellen Prüfung. Er eignet sich besonders für Datenarten, bei denen Löschhindernisse häufiger vorkommen, etwa Vertragsdaten oder steuerrelevante Unterlagen.

Manuelle Löschung

Für Daten, die in unstrukturierten Ablageorten liegen (Netzlaufwerke, lokale Festplatten, physische Ordner), bleibt oft nur die manuelle Löschung. Der Dateneigentümer durchsucht die Ablage, identifiziert löschreife Daten und löscht sie. Physische Dokumente werden nach DIN 66399 vernichtet, wobei die Sicherheitsstufe von der Vertraulichkeit der Daten abhängt – Hinweise dazu findest du auch im Artikel zur sicheren Entsorgung von Hardware und Dokumenten.

Die manuelle Löschung ist fehleranfällig und aufwändig. Deshalb solltest du versuchen, Daten so weit wie möglich in strukturierten Systemen zu halten, die eine automatisierte oder semi-automatisierte Löschung ermöglichen.

Besondere Herausforderung: Backups

Backups sind ein notorisches Problem im Löschkonzept. Wenn du einen Datensatz in der Produktivdatenbank löschst, ist er in der Regel noch in einem oder mehreren Backups vorhanden. Diese Backups haben ihren eigenen Lebenszyklus: Tägliche Backups werden vielleicht 30 Tage aufbewahrt, wöchentliche 3 Monate, monatliche 1 Jahr.

Die gängige Praxis ist, dass Löschungen in Backups nicht einzeln nachvollzogen werden, weil das technisch extrem aufwändig wäre. Stattdessen wird akzeptiert, dass gelöschte Daten noch in Backups vorhanden sein können, bis das Backup turnusmäßig überschrieben oder gelöscht wird. Die Backup-Richtlinie sollte daher mit dem Löschkonzept abgestimmt sein. Diese Vorgehensweise muss im Löschkonzept dokumentiert und gegenüber der Aufsichtsbehörde nachvollziehbar begründet werden.

Wichtig dabei: Die Backup-Aufbewahrungsfristen sollten so kurz wie möglich gehalten werden. Ein Backup, das 7 Jahre aufbewahrt wird, konterkariert jedes Löschkonzept.

Protokollierung der Löschung

Jede Löschung muss nachweisbar sein. Das klingt paradox, denn du sollst beweisen, dass Daten nicht mehr existieren. Aber genau das verlangt die Rechenschaftspflicht der DSGVO: Du musst dokumentieren, dass du gelöscht hast.

Pflichtangaben im Löschprotokoll

Ein Löschprotokoll sollte mindestens folgende Angaben enthalten:

  • Datum der Löschung: Wann wurde gelöscht?
  • Löschklasse und Datenart: Welche Daten wurden gelöscht?
  • Anzahl der gelöschten Datensätze: Wie viele Datensätze waren betroffen?
  • Betroffene Systeme: In welchen Systemen wurde gelöscht?
  • Löschverfahren: Wie wurde gelöscht (automatisiert, manuell, Vernichtung)?
  • Verantwortliche Person: Wer hat die Löschung durchgeführt oder freigegeben?
  • Rechtsgrundlage der Löschung: Warum wurde gelöscht (Fristablauf, Widerruf, Löschantrag)?
  • Löschhindernisse: Falls Daten nicht gelöscht wurden: Warum nicht?

Was das Löschprotokoll nicht enthalten darf

Das Löschprotokoll darf keine Informationen enthalten, die Rückschlüsse auf die gelöschten Daten ermöglichen. Du dokumentierst „42 Bewerberdatensätze aus dem Jahr 2025 gelöscht", nicht die Namen der Bewerber. Sonst hättest du die personenbezogenen Daten nicht wirklich gelöscht, sondern nur verschoben.

Aufbewahrung der Löschprotokolle

Die Löschprotokolle selbst müssen aufbewahrt werden, um bei einer Aufsichtsbeschwerde oder einem Audit den Nachweis führen zu können. Eine Aufbewahrungsdauer von 3 Jahren ist praxisüblich und orientiert sich an den allgemeinen Verjährungsfristen.

Praxisbeispiel: Löschkonzept für ein 100-Mitarbeiter-Unternehmen

Schauen wir uns an, wie ein pragmatisches Löschkonzept für ein mittelständisches Unternehmen mit 100 Mitarbeitern aussehen könnte. Das Unternehmen ist ein IT-Dienstleister mit Sitz in Deutschland, es hat Kunden im B2B-Bereich, eine eigene Buchhaltung und nutzt eine übliche IT-Landschaft mit ERP-System, CRM, E-Mail, Fileserver und einer Bewerbermanagement-Software.

Schritt 1: Dateninventar erstellen

Der erste Schritt ist die Bestandsaufnahme aller personenbezogenen Daten. Dafür nutzt du idealerweise dein bestehendes Verarbeitungsverzeichnis nach Art. 30 DSGVO als Grundlage. Jede Verarbeitungstätigkeit enthält bereits Angaben zu den verarbeiteten Datenkategorien und den Löschfristen.

Das Unternehmen identifiziert folgende wesentliche Datenbestände:

  • Kundenstammdaten und Vertragsdaten (CRM und ERP)
  • Rechnungen und Buchungsbelege (ERP und Datev)
  • Geschäftskorrespondenz (E-Mail und Fileserver)
  • Personalakten und Gehaltsabrechnungen (HR-System und Fileserver)
  • Bewerbungsunterlagen (Bewerbermanagement-Software und E-Mail)
  • Arbeitszeiterfassung (Zeiterfassungssystem)
  • Zugriffsprotokolle und Server-Logs (SIEM und Logserver)
  • Website-Analyse (Matomo, selbst gehostet)
  • Newsletter-Abonnenten (E-Mail-Marketing-Tool)

Schritt 2: Löschklassen zuordnen

Aus der Bestandsaufnahme ergeben sich 9 Löschklassen, die den oben beschriebenen Mustern folgen. Das Unternehmen dokumentiert für jede Klasse die Aufbewahrungsfrist, den Fristbeginn, die betroffenen Systeme und die verantwortliche Abteilung.

Löschklasse Frist Systeme Verantwortlich
Buchungsbelege 10 Jahre ab Jahresende ERP, Datev Buchhaltung
Geschäftskorrespondenz 6 Jahre ab Jahresende E-Mail, Fileserver Fachabteilung
Kundenvertragsdaten 3 Jahre nach Vertragsende (steuerrelevant: 10 Jahre) CRM, ERP Vertrieb
Personalakten 3 Jahre nach Austritt (steuerrelevant: 6-10 Jahre) HR-System, Fileserver HR
Bewerberdaten 6 Monate nach Absage Bewerbungstool, E-Mail HR
Arbeitszeiterfassung 2 Jahre Zeiterfassung HR
Logfiles 6 Monate SIEM, Logserver IT
Website-Analyse 14 Monate Matomo Marketing
Newsletter Bis Widerruf E-Mail-Marketing Marketing

Schritt 3: Löschverfahren und Automatisierung festlegen

Für jede Löschklasse wird entschieden, ob die Löschung automatisiert, semi-automatisiert oder manuell erfolgt.

Automatisiert: Logfiles (Retention Policy im SIEM), Website-Analyse (Matomo-Einstellung), Bewerberdaten (automatische Löschung im Bewerbungstool nach 180 Tagen). Die IT-Abteilung konfiguriert die Systeme entsprechend und prüft die Konfiguration jährlich.

Semi-automatisiert: Buchungsbelege (jährliche Löschliste aus dem ERP, Freigabe durch Buchhaltungsleitung), Geschäftskorrespondenz (Archivierungspolicy im E-Mail-System, jährliche Prüfung des Fileservers), Kundenvertragsdaten (quartalsweise Löschliste aus dem CRM).

Manuell: Personalakten (halbjährliche Prüfung durch HR), E-Mail-Postfächer der Führungskräfte bezüglich Bewerberdaten (quartalsweise Erinnerung durch HR).

Schritt 4: Prüfzyklus und Kalender

Das Unternehmen richtet folgende feste Termine ein:

  • Monatlich: Automatisierte Löschung von Logfiles und Website-Daten wird auf korrekte Funktion geprüft (Stichprobe durch IT).
  • Quartalsweise: HR prüft Bewerberdaten in E-Mail-Postfächern. Vertrieb prüft Löschliste aus dem CRM. IT prüft Logfile-Retention.
  • Halbjährlich: HR prüft Personalakten ausgetretener Mitarbeiter.
  • Jährlich: Buchhaltung prüft Löschliste für Buchungsbelege und Geschäftskorrespondenz. IT prüft Fileserver auf veraltete Daten. DSB führt Stichprobenprüfung über alle Löschklassen durch.

Schritt 5: Protokollierung einrichten

Das Unternehmen führt ein zentrales Löschprotokoll, in dem alle durchgeführten Löschungen dokumentiert werden. Die automatisierten Löschungen werden über Systemprotokolle nachgewiesen (z. B. Logeinträge der Retention Policy). Manuelle und semi-automatisierte Löschungen werden in einem einfachen Formular erfasst, das Datum, Löschklasse, Anzahl der Datensätze, Systeme und verantwortliche Person enthält.

Das Löschprotokoll wird im ISMS abgelegt und ist für den DSB sowie die Geschäftsleitung jederzeit einsehbar.

Häufige Fehler und wie du sie vermeidest

Fehler 1: Löschkonzept erstellen und dann vergessen. Ein Löschkonzept ist kein einmaliges Projekt. Wenn sich die Systemlandschaft ändert, ein neues Tool eingeführt oder ein Prozess umgestellt wird, muss das Löschkonzept angepasst werden. Plane eine jährliche Überprüfung ein.

Fehler 2: Fristen falsch berechnen. Der häufigste Rechenfehler: Die Aufbewahrungsfrist beginnt nicht am Tag der Dokumenterstellung, sondern in der Regel am Ende des Kalenderjahres. Eine Rechnung vom Januar 2026 hat eine 10-Jahres-Frist, die am 31.12.2026 beginnt und am 31.12.2036 endet.

Fehler 3: Backups ignorieren. Daten existieren selten nur an einem Ort. Prüfe, ob gelöschte Daten noch in Backups, Replikaten, Archiven, Testsystemen oder lokalen Kopien vorhanden sind, und dokumentiere, wie du damit umgehst.

Fehler 4: Löschhindernisse nicht prüfen. Bevor du löschst, musst du prüfen, ob ein Löschhindernis besteht. Laufende Rechtsstreitigkeiten, Betriebsprüfungen oder offene Auskunftsersuchen können die Löschung aufschieben. Diese Prüfung muss Teil des Löschprozesses sein.

Fehler 5: Physische Daten vergessen. Nicht alle personenbezogenen Daten sind digital. Papierakten, Ausdrucke, Notizen und Visitenkarten unterliegen denselben Löschpflichten. Physische Dokumente müssen nach DIN 66399 vernichtet werden, ein einfacher Papierkorb reicht nicht aus.

Fehler 6: Löschung und Anonymisierung verwechseln. Anonymisierung ist keine Löschung, kann aber in bestimmten Fällen eine Alternative sein. Anonymisierte Daten unterliegen nicht mehr der DSGVO, weil sie keinen Personenbezug mehr haben. Allerdings muss die Anonymisierung irreversibel sein. Pseudonymisierung reicht nicht, weil pseudonymisierte Daten mit dem passenden Schlüssel wieder zugeordnet werden können.

Löschkonzept und Verarbeitungsverzeichnis verknüpfen

Das Löschkonzept und das Verarbeitungsverzeichnis nach Art. 30 DSGVO sind eng miteinander verbunden. Das Verarbeitungsverzeichnis enthält bereits Angaben zu den Löschfristen pro Verarbeitungstätigkeit. Das Löschkonzept konkretisiert diese Fristen und ergänzt sie um die operative Umsetzung.

In der Praxis empfiehlt es sich, das Löschkonzept als Ergänzung zum Verarbeitungsverzeichnis zu führen. Jede Verarbeitungstätigkeit im VVA verweist auf die zugehörige Löschklasse im Löschkonzept. So vermeidest du Redundanzen und stellst sicher, dass beide Dokumente konsistent bleiben.

Wenn du eine neue Verarbeitungstätigkeit im VVA anlegst, prüfst du gleichzeitig, ob sie einer bestehenden Löschklasse zugeordnet werden kann oder ob eine neue Klasse erforderlich ist. Dieser Prozess stellt sicher, dass das Löschkonzept mit der Realität Schritt hält.

Nächste Schritte

Fang pragmatisch an. Du brauchst kein perfektes Löschkonzept am ersten Tag, aber du brauchst eines, das funktioniert und das du kontinuierlich verbesserst. In ISMS Lite lassen sich Löschklassen, Aufbewahrungsfristen und Löschnachweise zentral dokumentieren, sodass du bei einer Prüfung alles griffbereit hast. Nimm dein Verarbeitungsverzeichnis als Ausgangspunkt, gruppiere die Verarbeitungstätigkeiten nach Aufbewahrungsfristen, definiere Löschklassen und richte die ersten automatisierten Löschroutinen ein. Dann baue den Prozess Schritt für Schritt aus, quartalsweise prüfen, jährlich überarbeiten, bei Änderungen aktualisieren.

Das Löschkonzept ist kein bürokratisches Monster. Mit 8 bis 12 Löschklassen, klaren Verantwortlichkeiten und einem festen Prüfkalender deckst du die Anforderungen der DSGVO ab und kannst bei einer Prüfung durch die Aufsichtsbehörde oder bei einem internen Audit nachweisen, dass du die Speicherbegrenzung nicht nur als Grundsatz akzeptiert, sondern auch operativ umgesetzt hast.

Weiterführende Artikel

Die DSGVO verlangt nicht, dass du jede Aufbewahrungsfrist auswendig kennst. Sie verlangt, dass du einen systematischen Prozess hast, um die richtigen Fristen zu ermitteln, die Löschung zu planen und die Durchführung nachzuweisen. Ein sauberes Löschkonzept ist genau dieser Prozess.

Datenschutz DSGVO Löschkonzept Aufbewahrungsfristen Compliance Dokumentation Art. 17 Speicherbegrenzung

Löschfristen zentral verwalten

ISMS Lite unterstützt dich bei der Dokumentation von Aufbewahrungsfristen, Löschklassen und Löschnachweisen. Alles an einem Ort, auditfähig und nachvollziehbar.

Jetzt installieren