Löschkonzept: Wie lange dürfen Sie Daten wirklich behalten?
 |
| Löschkonzept: Wie lange dürfen Sie Daten wirklich behalten? |
„Wir behalten einfach alles – man weiß ja nie." Dieser Satz fällt in der Datenschutzberatung erschreckend häufig. Er klingt vorsichtig, ist aber aus datenschutzrechtlicher Sicht eines der größten Risiken, das ein Unternehmen eingehen kann. Denn die EU-DSGVO verlangt das Gegenteil: Daten dürfen nur so lange gespeichert werden, wie es einen klaren Zweck dafür gibt.
Der Grundsatz der Speicherbegrenzung nach EU-DSGVO
Artikel 5 Abs. 1 lit. e der EU-DSGVO legt den sogenannten Grundsatz der Speicherbegrenzung fest. Personenbezogene Daten dürfen demnach nur in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, und zwar nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist.
Das klingt abstrakt, hat aber sehr konkrete Konsequenzen: Wer Bewerberdaten nach Abschluss des Bewerbungsprozesses nicht löscht, wer alte Kundendaten aus abgeschlossenen Projekten dauerhaft im System behält oder wer E-Mail-Verläufe ohne Grund jahrzehntelang archiviert, verstößt gegen diesen Grundsatz – unabhängig davon, ob diese Daten jemals missbraucht werden.
Aufbewahrungsfristen vs. Löschpflichten: Was gilt wann?
Hier liegt die häufigste Verwechslung in der Praxis: Aufbewahrungsfristen und Löschpflichten sind keine Gegensätze – sie greifen ineinander.
Aufbewahrungsfristen entstehen aus gesetzlichen Vorgaben, etwa aus der Abgabenordnung (10 Jahre für steuerrelevante Unterlagen), dem Handelsgesetzbuch (6 Jahre für Handelsbriefe) oder berufsrechtlichen Regelungen. Diese Fristen erlauben das Aufbewahren – sie sind aber gleichzeitig auch eine Obergrenze. Nach Ablauf der Frist entsteht in der Regel eine aktive Löschpflicht.
Ein Dokument, für das keine gesetzliche Aufbewahrungsfrist gilt, muss gelöscht werden, sobald der ursprüngliche Verarbeitungszweck entfallen ist. Nicht irgendwann. Zeitnah.
Einen guten Überblick darüber, welche Daten Ihr Unternehmen überhaupt verarbeitet und welche Fristen dafür relevant sind, bietet das Verarbeitungsverzeichnis nach Art. 30 EU-DSGVO – mehr dazu in unserem Artikel: Verarbeitungsverzeichnis nach Art. 30 EU-DSGVO: Warum die Behörde es zuerst sehen will.
Der typische Fehler: „Wir behalten einfach alles"
In der Praxis begegnet uns dieser Ansatz regelmäßig – und er entsteht meist nicht aus böser Absicht, sondern aus Unsicherheit. Wenn nicht klar ist, welche Daten wie lange aufbewahrt werden dürfen, erscheint das Behalten sicherer als das Löschen.
Das Gegenteil ist der Fall. Je mehr Daten ein Unternehmen vorhält, desto größer ist die potenzielle Angriffsfläche bei einem Datenschutzvorfall, desto umfangreicher sind Auskunftspflichten gegenüber betroffenen Personen und desto schwieriger wird die Nachweispflicht gegenüber Aufsichtsbehörden. Datensparsamkeit schützt – nicht nur rechtlich, sondern auch operativ.
Eine einfache Heuristik für den Einstieg
Wer noch kein formales Löschkonzept hat, kann mit folgenden drei Fragen starten:
- Warum haben wir diesen Datensatz? – Gibt es einen dokumentierten Verarbeitungszweck?
- Wie lange brauchen wir ihn? – Gibt es eine gesetzliche Frist oder endet der Zweck früher?
- Was passiert danach? – Ist ein konkreter Löschprozess definiert und verantwortlich zugewiesen?
Wenn auch nur eine dieser Fragen nicht beantwortet werden kann, besteht Handlungsbedarf. Diese drei Fragen sind kein Ersatz für ein vollständiges Löschkonzept – aber sie helfen, die größten Risiken schnell zu identifizieren.
Das Löschkonzept wird in Phase A geprüft
Im Rahmen unserer Datenschutz-Erstberatung – der sogenannten Phase A – gehört die Prüfung des Löschkonzepts zu den Standardthemen. Wir schauen gemeinsam mit Ihnen, welche Datenkategorien Ihr Unternehmen verarbeitet, welche Fristen gelten und ob ein nachvollziehbarer Löschprozess existiert.
Das Löschkonzept ist dabei kein isoliertes Dokument. Es ist eng verknüpft mit dem Verarbeitungsverzeichnis, mit Auftragsverarbeitungsverträgen und mit den technischen und organisatorischen Maßnahmen Ihres Unternehmens. Wie AVV und Datenschutzprozesse zusammenhängen, beschreiben wir ausführlich in unserem Artikel: Auftragsverarbeitung (AVV): Der Vertrag, den fast jeder falsch macht.
Jetzt handeln: Löschkonzept aufbauen – bevor die Behörde fragt
Ein fehlendes oder unvollständiges Löschkonzept gehört zu den häufigsten Feststellungen bei Datenschutzprüfungen. Wer jetzt handelt, ist vorbereitet – und schützt gleichzeitig sein Unternehmen vor unnötigen Risiken.
