Ein strukturiertes Löschkonzept ist Pflicht für DSGVO-Compliance. Mit professioneller Datenschutzberatung setzen Sie personenbezogene Daten rechtskonform um, halten Aufbewahrungsfristen ein und vermeiden Bußgelder.
Datensparsamkeit und informationelle Selbstbestimmung bilden das Fundament der DSGVO. Personenbezogene Daten dürfen nicht unbegrenzt gespeichert werden – sie müssen zu definierten Zeitpunkten gelöscht werden. Ein Löschkonzept strukturiert diesen Prozess und gehört zu den technisch-organisatorischen Maßnahmen (TOM), die jedes Unternehmen implementieren muss.
Kein universelles Muster existiert: Löschkonzepte müssen unternehmensabhängig gestaltet werden. Die DIN 66398 (heute DIN EN ISO/IEC 27555:2025-09) bietet dabei eine bewährte Leitlinie. Unternehmen, die personenbezogene Daten verarbeiten, sind nach Art. 30 DSGVO verpflichtet, Löschfristen für einzelne Datenkategorien zu definieren.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenDie DSGVO definiert drei Hauptszenarien für Datenlöschung:
Achtung: Sobald es sich um Daten handelt, die für behördliche Prüfzwecke aufbewahrt werden müssen, dürfen Sie diese nicht früher löschen. Aufbewahrungspflichten haben Vorrang vor Löschpflichten.
Betroffene Personen haben nach Art. 17 DSGVO umfassende Rechte über ihre Daten. Sie können erfahren, welche Informationen vorliegen (Auskunftsrecht), die weitere Nutzung untersagen oder fehlerhafte Daten korrigieren lassen. Das „Recht auf Vergessenwerden“ erstreckt sich auch auf Daten bei Dritten – beispielsweise in Suchmaschinen, Social-Media-Plattformen oder Bewertungsportalen.
Unternehmen müssen auf Löschanträge innerhalb eines Monats reagieren. Bei Ablehnung ist eine rechtssichere Begründung erforderlich, etwa wegen bestehender Aufbewahrungsfristen oder berechtigter Interessen. Alle Betroffenenrechte müssen systematisch dokumentiert und nachvollziehbar umgesetzt werden.
Gelöschte Daten müssen „dauerhaft und irreversibel unkenntlich“ gemacht werden. Die bloße Verschiebung in den Papierkorb oder das Umbenennen von Dateien genügt nicht. Die Löschung muss so erfolgen, dass eine Wiederherstellung technisch unmöglich ist.
Löschung nach Datenhaltungsform:
Nicht alle Daten dürfen sofort gelöscht werden. Verschiedene Rechtsgrundlagen fordern Mindestaufbewahrungsfristen:
10-Jahres-Fristen (§ 147 AO, § 257 HGB):
6-Jahres-Fristen (§ 257 HGB):
Die Fristen beginnen am 1. Januar des Jahres nach Dokumentenerstellung. Branchen- und rechtsgebietsspezifische Variationen müssen berücksichtigt werden – etwa im Gesundheitswesen (30 Jahre für Patientenakten) oder bei Personalakten (3 Jahre nach Beschäftigungsende).
Dokumenttyp | Frist | Rechtsgrundlage |
|---|---|---|
Handelsbriefe | 6 Jahre | § 257 HGB |
Geschäftsbriefe | 6 Jahre | § 257 HGB |
Verträge | 6 Jahre | § 257 HGB |
Rechnungen | 10 Jahre | § 147 AO |
Buchungsbelege | 10 Jahre | § 147 AO |
Jahresabschlüsse | 10 Jahre | § 257 HGB |
Die DIN 66398 (heute DIN EN ISO/IEC 27555:2025-09) hat sich als Leitlinie für Löschkonzepte etabliert. Sie wurde am Beispiel von fünf Musterkunden entwickelt – darunter Toll Collect – und bietet einen strukturierten Ansatz zur Kategorisierung von Daten.
Die Norm empfiehlt, Daten nach Kategorien oder Datenarten mit definierten Aufbewahrungsdauern zu ordnen. Dieser Ansatz bildet die Grundlage für Löschklassen und Löschregeln, die die praktische Umsetzung erleichtern.
Die DIN-Norm ist keine rechtliche Pflicht, wird aber von Datenschutzbehörden als Best Practice anerkannt. Unternehmen, die sich an der Norm orientieren, können im Ernstfall nachweisen, dass sie angemessene technisch-organisatorische Maßnahmen ergriffen haben.
Viele Unternehmen verwechseln diese drei zentralen Begriffe. Eine klare Differenzierung ist essentiell:
Löschfristen definieren den Zeitraum, nach dem Daten gelöscht werden müssen. Sie ergeben sich aus gesetzlichen Vorgaben (z.B. 10 Jahre für Rechnungen) oder werden vom Unternehmen standardisiert festgelegt (z.B. 6 Monate für Bewerberdaten).
Löschklassen fassen Daten mit gleichem Zweck, Startzeitpunkt und gleicher Löschfrist zusammen. Der Startzeitpunkt kann bei Erhebung oder am Ende eines Vorgangs ansetzen. Beispiel: Alle Bewerberdaten bilden eine Löschklasse „Recruiting“.
Löschregeln sind konkrete Anweisungen pro Löschklasse. Sie definieren den Startzeitpunkt und die Frist. Beispiel: „Bewerberdaten werden 6 Monate nach Ablehnung gelöscht“ oder „Kundendaten werden 3 Jahre nach letztem Kontakt gelöscht“.
Praxisbeispiel:
Ein DSGVO-konformes Löschkonzept erfordert systematisches Vorgehen. Diese 11 Schritte strukturieren den Prozess:
Setzen Sie Ihre DSGVO-Löschpflichten rechtssicher um – mit der strukturierten Vorlage nach DIN 66398 inkl. Checkliste, praxiserprobten Löschklassen-Mustern für alle Unternehmensbereiche und konkreten Fristen, kostenlos als Download.
Die DSGVO verlangt nicht nur die Löschung, sondern auch deren Nachweis. Jeder Löschvorgang muss dokumentiert werden. Ein systematisches Datenschutzaudit prüft die Vollständigkeit und Korrektheit dieser Dokumentation.
Erforderliche Dokumentationselemente:
Bei Nutzeranforderungen zusätzlich:
Zeitrahmen: Der gesamte Prozess – von Antragseingang bis zur Löschung und Benachrichtigung – muss innerhalb eines Monats abgeschlossen sein.
Die praktische Umsetzung eines Löschkonzepts erfordert geeignete Werkzeuge. Moderne Datenschutz-Management-Software wie der Compliance Hub unterstützt mit „Privacy by Design“ und „Privacy by Default“.
Anforderungen an Löschkonzept-Software:
Excel vs. Spezialsoftware:
Kleine Unternehmen können mit strukturierten Excel-Tabellen starten. Ab mittlerer Unternehmensgröße oder bei komplexen Datenströmen sind spezialisierte Lösungen effizienter. Sie verhindern manuelle Fehler und gewährleisten Fristeneinhaltung.
Ältere IT-Systeme: Viele Legacy-Systeme bieten keine automatisierten Löschfunktionen. Hier sind Workarounds erforderlich – etwa Export, manuelle Löschung und Re-Import. Dokumentieren Sie diese Prozesse im Löschkonzept.
Beispiel 1: Bewerberdaten
Ein mittelständisches Unternehmen erhält jährlich 500 Bewerbungen. Die Löschklasse „Recruiting – Abgelehnte Bewerber“ umfasst Lebensläufe, Anschreiben und Zeugnisse. Löschregel: Löschung 6 Monate nach Versand der Absage. Startzeitpunkt: Datum der Absage-E-Mail. Technische Umsetzung: Automatische Löschung aus dem Bewerbermanagement-System, manuelle Vernichtung papierbasierter Unterlagen nach DIN 66399.
Beispiel 2: Kundendaten im E-Commerce
Ein Online-Shop speichert Bestellhistorie, Lieferadressen und Zahlungsdaten. Die Löschklasse „Kunden – Inaktiv“ umfasst alle Kunden ohne Bestellung in den letzten 3 Jahren. Löschregel: Löschung 3 Jahre nach letzter Bestellung. Ausnahme: Rechnungsdaten unterliegen 10-jähriger Aufbewahrungspflicht (§ 147 AO) und werden separat archiviert. Nach Ablauf der 10 Jahre erfolgt auch hier die Löschung. Bei sensiblen Verarbeitungen ist zudem eine Datenschutz-Folgenabschätzung erforderlich.
Verstöße gegen DSGVO-Aufbewahrungspflichten können empfindliche Bußgelder nach sich ziehen. Die Bundesbeauftragte für Datenschutz und Informationsfreiheit und andere Datenschutzbehörden können Strafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängen – je nachdem, welcher Betrag höher ist.
Das prominenteste Beispiel: Die Deutsche Wohnen SE wurde 2019 zu 14,5 Millionen Euro Bußgeld verurteilt, weil sie personenbezogene Daten von Mietern ohne Rechtsgrundlage gespeichert hatte. Das Unternehmen verfügte über kein funktionierendes Löschkonzept.
Neben Bußgeldern drohen Schadensersatzforderungen betroffener Personen (Art. 82 DSGVO) und Reputationsschäden. Ein strukturiertes Löschkonzept ist daher nicht nur rechtliche Pflicht, sondern auch wirtschaftlich sinnvoll.
Ein strukturiertes Löschkonzept ist unverzichtbar für DSGVO-Compliance. Es schützt vor Bußgeldern, erfüllt die Rechenschaftspflicht und stärkt das Vertrauen von Kunden und Geschäftspartnern.
Die DIN 66398 bietet einen bewährten Rahmen. Der 11-Punkte-Prozess strukturiert die Umsetzung. Moderne Software-Lösungen automatisieren Löschfristen und Protokollierung.
Beginnen Sie mit der Bestandsaufnahme Ihrer Daten. Definieren Sie Löschklassen und Löschregeln. Dokumentieren Sie jeden Schritt. Bei Unsicherheiten ziehen Sie einen externen Datenschutzbeauftragten hinzu – die Investition amortisiert sich durch vermiedene Bußgelder und reduzierte Compliance-Risiken.
Eine umfassende Beratung zu allen Themen rund um die DSGVO aus einer Hand, damit Sie gesetzliche Anforderungen effizient umsetzen und Ihre Daten sicher verwalten können.
Jedes Unternehmen, das personenbezogene Daten verarbeitet, benötigt ein Löschkonzept. Die Pflicht ergibt sich aus Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung) und Art. 30 DSGVO (Verarbeitungsverzeichnis mit Löschfristen).
Die Kosten variieren je nach Unternehmensgröße und Komplexität. Kleine Unternehmen können mit 1.000-3.000 Euro rechnen, mittelständische Unternehmen mit 3.000-10.000 Euro. Große Konzerne mit komplexen IT-Landschaften investieren oft fünfstellige Beträge.
Die Erstellung dauert typischerweise 4-12 Wochen. Die Planungsphase erfordert Zuarbeit aus allen Abteilungen. Je besser das Verarbeitungsverzeichnis gepflegt ist, desto schneller geht die Umsetzung.
Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes sind möglich. Die Höhe hängt von der Schwere des Verstoßes, der Unternehmensgröße und dem Grad des Verschuldens ab.
Nein. Aufbewahrungspflichten (z.B. 10 Jahre für Rechnungen) haben Vorrang vor Löschpflichten. Auch berechtigte Interessen können eine weitere Speicherung rechtfertigen – etwa bei laufenden Gerichtsverfahren.
Mindestens jährlich sollte das Löschkonzept überprüft werden. Bei neuen Verarbeitungstätigkeiten, Systemänderungen oder Gesetzesänderungen ist eine sofortige Anpassung erforderlich.
Ja. Auftragsverarbeiter müssen Löschpflichten im Auftragsverarbeitungsvertrag (AVV) regeln und nachweisen, dass sie Daten nach Vertragsende löschen oder zurückgeben.
Löschung bedeutet irreversible Vernichtung. Anonymisierung entfernt den Personenbezug, sodass keine Rückschlüsse auf Personen möglich sind. Anonymisierte Daten fallen nicht mehr unter die DSGVO und können unbegrenzt gespeichert werden.
Professioneller Datenschutz zum Budget-Preis mit Software, Schulungen, Audits & Vorlagen inklusive
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zum Datenschutz und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen