Posts mit dem Label EU-DSGVO werden angezeigt. Alle Posts anzeigen
Posts mit dem Label EU-DSGVO werden angezeigt. Alle Posts anzeigen

Dienstag, 30. Juni 2026

Löschkonzept: Wie lange dürfen Sie Daten wirklich behalten?

Löschkonzept: Wie lange dürfen Sie Daten wirklich behalten?

Löschkonzept: Wie lange dürfen Sie Daten wirklich behalten?


„Wir behalten einfach alles – man weiß ja nie." Dieser Satz fällt in der Datenschutzberatung erschreckend häufig. Er klingt vorsichtig, ist aber aus datenschutzrechtlicher Sicht eines der größten Risiken, das ein Unternehmen eingehen kann. Denn die EU-DSGVO verlangt das Gegenteil: Daten dürfen nur so lange gespeichert werden, wie es einen klaren Zweck dafür gibt.

Der Grundsatz der Speicherbegrenzung nach EU-DSGVO

Artikel 5 Abs. 1 lit. e der EU-DSGVO legt den sogenannten Grundsatz der Speicherbegrenzung fest. Personenbezogene Daten dürfen demnach nur in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, und zwar nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist.

Das klingt abstrakt, hat aber sehr konkrete Konsequenzen: Wer Bewerberdaten nach Abschluss des Bewerbungsprozesses nicht löscht, wer alte Kundendaten aus abgeschlossenen Projekten dauerhaft im System behält oder wer E-Mail-Verläufe ohne Grund jahrzehntelang archiviert, verstößt gegen diesen Grundsatz – unabhängig davon, ob diese Daten jemals missbraucht werden.

Aufbewahrungsfristen vs. Löschpflichten: Was gilt wann?

Hier liegt die häufigste Verwechslung in der Praxis: Aufbewahrungsfristen und Löschpflichten sind keine Gegensätze – sie greifen ineinander.

Aufbewahrungsfristen entstehen aus gesetzlichen Vorgaben, etwa aus der Abgabenordnung (10 Jahre für steuerrelevante Unterlagen), dem Handelsgesetzbuch (6 Jahre für Handelsbriefe) oder berufsrechtlichen Regelungen. Diese Fristen erlauben das Aufbewahren – sie sind aber gleichzeitig auch eine Obergrenze. Nach Ablauf der Frist entsteht in der Regel eine aktive Löschpflicht.

Ein Dokument, für das keine gesetzliche Aufbewahrungsfrist gilt, muss gelöscht werden, sobald der ursprüngliche Verarbeitungszweck entfallen ist. Nicht irgendwann. Zeitnah.

Einen guten Überblick darüber, welche Daten Ihr Unternehmen überhaupt verarbeitet und welche Fristen dafür relevant sind, bietet das Verarbeitungsverzeichnis nach Art. 30 EU-DSGVO – mehr dazu in unserem Artikel: Verarbeitungsverzeichnis nach Art. 30 EU-DSGVO: Warum die Behörde es zuerst sehen will.

Der typische Fehler: „Wir behalten einfach alles"

In der Praxis begegnet uns dieser Ansatz regelmäßig – und er entsteht meist nicht aus böser Absicht, sondern aus Unsicherheit. Wenn nicht klar ist, welche Daten wie lange aufbewahrt werden dürfen, erscheint das Behalten sicherer als das Löschen.

Das Gegenteil ist der Fall. Je mehr Daten ein Unternehmen vorhält, desto größer ist die potenzielle Angriffsfläche bei einem Datenschutzvorfall, desto umfangreicher sind Auskunftspflichten gegenüber betroffenen Personen und desto schwieriger wird die Nachweispflicht gegenüber Aufsichtsbehörden. Datensparsamkeit schützt – nicht nur rechtlich, sondern auch operativ.

Eine einfache Heuristik für den Einstieg

Wer noch kein formales Löschkonzept hat, kann mit folgenden drei Fragen starten:

  • Warum haben wir diesen Datensatz? – Gibt es einen dokumentierten Verarbeitungszweck?
  • Wie lange brauchen wir ihn? – Gibt es eine gesetzliche Frist oder endet der Zweck früher?
  • Was passiert danach? – Ist ein konkreter Löschprozess definiert und verantwortlich zugewiesen?

Wenn auch nur eine dieser Fragen nicht beantwortet werden kann, besteht Handlungsbedarf. Diese drei Fragen sind kein Ersatz für ein vollständiges Löschkonzept – aber sie helfen, die größten Risiken schnell zu identifizieren.

Das Löschkonzept wird in Phase A geprüft

Im Rahmen unserer Datenschutz-Erstberatung – der sogenannten Phase A – gehört die Prüfung des Löschkonzepts zu den Standardthemen. Wir schauen gemeinsam mit Ihnen, welche Datenkategorien Ihr Unternehmen verarbeitet, welche Fristen gelten und ob ein nachvollziehbarer Löschprozess existiert.

Das Löschkonzept ist dabei kein isoliertes Dokument. Es ist eng verknüpft mit dem Verarbeitungsverzeichnis, mit Auftragsverarbeitungsverträgen und mit den technischen und organisatorischen Maßnahmen Ihres Unternehmens. Wie AVV und Datenschutzprozesse zusammenhängen, beschreiben wir ausführlich in unserem Artikel: Auftragsverarbeitung (AVV): Der Vertrag, den fast jeder falsch macht.

Jetzt handeln: Löschkonzept aufbauen – bevor die Behörde fragt

Ein fehlendes oder unvollständiges Löschkonzept gehört zu den häufigsten Feststellungen bei Datenschutzprüfungen. Wer jetzt handelt, ist vorbereitet – und schützt gleichzeitig sein Unternehmen vor unnötigen Risiken.

→ Jetzt Erstberatung anfragen

Dienstag, 2. Juni 2026

Heimliche Überwachung per Newsletter: Wie Tracking-Pixel E-Mail-Empfänger ausspähen können

Heimliche Überwachung per Newsletter: Wie Tracking-Pixel E-Mail-Empfänger ausspähen können

Online-Tracking findet nicht nur auf Webseiten statt. Auch Newsletter und Werbe-E-Mails können genutzt werden, um das Verhalten von Empfängerinnen und Empfängern nachzuverfolgen. Viele denken dabei nur an angeklickte Links. Tatsächlich kann das Tracking aber schon beim Öffnen einer E-Mail beginnen.


Genau deshalb warnen Datenschutzaufsichtsbehörden vor heimlichem Tracking in Newslettern. Für Unternehmen ist das ein klares Datenschutzthema. Für Mitarbeitende und private Nutzer ist es ein Awareness-Thema: Nicht jede E-Mail ist nur eine Nachricht. Manche E-Mails beobachten mit.

Newsletter können mehr erfassen als nur Klicks – unsichtbare Tracking-Pixel können bereits beim Öffnen einer E-Mail Daten übertragen.

Dienstag, 26. Mai 2026

Vorsicht bei Prompt-Eingaben: Warum KI-Nutzung im Unternehmen klare Regeln braucht

Vorsicht bei Prompt-Eingaben: Warum KI-Nutzung im Unternehmen klare Regeln braucht

Künstliche Intelligenz ist längst im Arbeitsalltag angekommen. Texte werden zusammengefasst, Ideen entwickelt, E-Mails formuliert, Dokumente geprüft oder Informationen recherchiert. Das kann enorm hilfreich sein. Aber es kann auch gefährlich werden, wenn Mitarbeitende unüberlegt Daten in KI-Systeme eingeben.

Der wichtigste Grundsatz lautet deshalb: Erst denken, dann eingeben. Denn ein guter Prompt verbessert zwar die Antwort. Eine falsche oder ungeprüfte Eingabe kann aber Datenschutz, Vertraulichkeit und Informationssicherheit gefährden.

Prompt-Eingaben wirken harmlos – können aber vertrauliche Daten offenlegen.


KI kann im Arbeitsalltag helfen – aber nur, wenn klar ist, welche Daten eingegeben werden dürfen und welche nicht.

Dienstag, 12. Mai 2026

Personensuche mit Fotos: Warum Bilder, Gesichtserkennung und Metadaten zum Datenschutzrisiko werden

Personensuche mit Fotos: Warum Bilder, Gesichtserkennung und Metadaten zum Datenschutzrisiko werden

Auf dem eigenen Smartphone ist es praktisch: Die Foto-App erkennt Gesichter und filtert aus Tausenden Bildern genau die Personen heraus, die man sucht. Für private Erinnerungen ist das bequem. In anderen Zusammenhängen kann dieselbe Technik aber schnell zum Datenschutz- und Sicherheitsrisiko werden.

Denn Fotos zeigen nicht nur Menschen. Sie können auch Aufenthaltsorte, Gewohnheiten, Beziehungen, Arbeitsumgebungen und technische Zusatzinformationen verraten. Genau deshalb sollten Unternehmen und Mitarbeitende bewusster mit Bildern umgehen.


Fotos können mehr verraten als den sichtbaren Bildinhalt – Gesichtserkennung und Metadaten machen sie zum Datenschutz- und Sicherheitsrisiko.


Fotos sind mehr als Momentaufnahmen: Gesichtserkennung und Metadaten können zusätzliche Informationen über Personen und Orte preisgeben.

Dienstag, 5. Mai 2026

Cyberbetrug hat viele Gesichter: Warum Phishing nicht nur per E-Mail passiert

Cyberbetrug hat viele Gesichter: Warum Phishing nicht nur per E-Mail passiert

Beim Stichwort Cyberbetrug denken viele zuerst an Phishing-Mails oder gefälschte Online-Shops. Doch diese Sicht greift zu kurz. Internetkriminelle nutzen längst alle verfügbaren Kommunikationskanäle, um an Daten zu gelangen oder ihre Opfer zu schädigen.

Das bedeutet: Die Gefahr kommt nicht nur per E-Mail – sondern auch per Brief, Telefon, SMS oder sogar über QR-Codes.

Cyberbetrug nutzt heute alle Kommunikationskanäle – wer nur auf E-Mails achtet, übersieht einen Großteil der Angriffe


Cyberbetrug erfolgt heute über alle Kommunikationskanäle – nicht nur per E-Mail.

Dienstag, 17. März 2026

KI-Stimmen erzeugen: Was bei Datenschutz, Voice Cloning und Persönlichkeitsrecht gilt

KI-Stimmen erzeugen: Was bei Datenschutz, Voice Cloning und Persönlichkeitsrecht gilt

Eine Stimme per KI zu erzeugen, ist heute schnell erledigt. Für private Spielereien wirkt das harmlos. Im Unternehmenskontext kann dieselbe Technik jedoch zum echten Risiko werden: für Datenschutz, für das allgemeine Persönlichkeitsrecht und für die Security Awareness im Unternehmen.


KI-generierte Stimme bei einem betrügerischen Anruf als Risiko für Datenschutz und Awareness im Unternehmen

Genau darin liegt das Problem. Dieselbe Technologie, mit der sich ein kreativer Geburtstagsgruß oder ein professioneller Werbespot erzeugen lässt, kann auch für Täuschung, Identitätsmissbrauch und Social Engineering eingesetzt werden.


Dienstag, 24. Februar 2026

Führerscheinkontrolle durch den Arbeitgeber

Führerscheinkontrolle durch den Arbeitgeber

Sie sollen ein Firmenfahrzeug benutzen, um einen Arbeitsauftrag zu erledigen. Als Sie den Autoschlüssel in Empfang nehmen wollen, heißt es plötzlich „Ihren Führerschein bitte!“. Lesen Sie, warum das so ist und welche Spielregeln für den Umgang mit Ihren Daten gelten.

 

Führerscheinkontrolle 

Dienstag, 17. Februar 2026

IT-Vorfall: Was tun im Ernstfall?

IT-Vorfall: Was tun im Ernstfall?

Die Mehrheit der IT-Nutzerinnen und -Nutzer ist sich unsicher, wie man bei einem IT-Notfall richtig reagiert, wie der Cybersicherheitsmonitor 2025 des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der Polizei zeigt. Unsicherheit bei einem IT-Vorfall erhöht aber die Datenrisiken. 

Was tun im Ersntfall?

Dienstag, 10. Februar 2026

Clean Desk Policy: Warum Datenschutz bereits an der Schreibtischkante beginnt

Clean Desk Policy: Warum Datenschutz bereits an der Schreibtischkante beginnt

Warum ein aufgeräumter Arbeitsplatz die beste Firewall ist: Erfahren Sie, wie eine Clean Desk Policy die Informationssicherheit stärkt und Compliance-Risiken gemäß Art. 32 EU-DSGVO effektiv minimiert.
 

Clean Desk Policy

Dienstag, 20. Januar 2026

KI-Systeme & Datenschutz – Anforderungen an Governance und Datenkontrolle

KI-Systeme & Datenschutz – Anforderungen an Governance und Datenkontrolle

Die Nutzung von Künstlicher Intelligenz (KI) wächst rasant in Unternehmen – von Chatbots über automatisierte Auswertungssysteme bis zu Entscheidungs-Engines. Doch die EU-DSGVO trifft hier klare Vorgaben: Sobald KI personenbezogene Daten verarbeitet, müssen Datenschutz-Grundsätze wie Rechtmäßigkeit, Transparenz und Datenminimierung eingehalten werden. In diesem Beitrag beleuchten wir, welche Anforderungen sich daraus ergeben, welche Praxisregeln gelten und wie Datenschutz- und IT-Sicherheitsteams effektiv zusammenarbeiten können.


KI-Systeme & Datenschutz  

Mittwoch, 29. Januar 2025

EU-DSGVO 2025: Die 3 größten Irrtümer im Datenschutz – und warum sie gefährlich sind!

EU-DSGVO 2025: Die 3 größten Irrtümer im Datenschutz – und warum sie gefährlich sind!

Wir sind EU-DSGVO-konform – oder etwa nicht?


Bild: Risiken und Schwierigkeiten bei der Arbeit

Donnerstag, 5. Dezember 2024

EU-DSGVO – Schadensersatz nun auch bei bloßem Kontrollverlust

EU-DSGVO – Schadensersatz nun auch bei bloßem Kontrollverlust

Am 18.11.2024 hat der Bundesgerichtshof (BGH) ein wegweisendes Urteil zum EU – DSGVO – Schadensersatz gesprochen. 

Facebook & EU-DSGVO

Demnach können Facebook – Nutzer, die Betroffene der sog. Scraping – Fälle waren, allein wegen des Kontrollverlustes ein Schmerzensgeld verlangen.

Donnerstag, 5. September 2024

Die KI - Verordnung

Die KI - Verordnung

Künstliche Intelligenz (KI) spielt eine immer größere Rolle in der Wirtschaft, und auch kleine und mittlere Unternehmen (KMUs) stehen zunehmend vor der Herausforderung, diese Technologie sinnvoll und sicher zu nutzen.


 



          

KI- Verordnung 


Mit der neuen KI-Verordnung der EU treten erstmals umfassende Regelungen in Kraft, die den Einsatz von KI-Systemen europaweit standardisieren. Dieser Artikel bietet einen Überblick über die grundlegenden Bestimmungen der Verordnung, die Pflichten für Unternehmen und die spezifischen Anforderungen für verschiedene Arten von KI-Systemen.



 

Montag, 22. Januar 2024

Bilder und Datenschutz

Bilder und Datenschutz

Spezielle Regelungen zum Umgang mit Bildern von Personen enthält die EU-DSGVO zwar nicht. 

Regelung zu Bilder im Datenschutz



Dennoch bietet sie Lösungen für die wesentlichen Fragen rund um dieses Thema.

Dienstag, 20. September 2022

Datenschutz-Audits

Datenschutz-Audits 

Datenschutz-Audits sind zunehmend ein Thema. Sie verlaufen erfolgreich, wenn alle beteiligten Stellen im Unternehmen konstruktiv mitwirken.


Warum Datenschutz-Audits?

Dienstag, 24. Mai 2022

Vier Jahre EU-DSGVO - Datenschutz muss Sinn machen

Vier Jahre EU-DSGVO - Datenschutz muss Sinn machen

Datenschutz - Gibt es bereits Licht im Dunkel?

Wie weit sind wir seit 2018 gekommen?

Die Europäische Datenschutz-Grundverordnung (kurz: EU-DSGVO) feiert am 25.05.2022 bereits ihr viertes Jubiläum. Für uns als Datenschutz-Team ging die Zeit vorbei wie im Flug. Wir haben viel geschafft. Unser Team ist auf 8 Mitarbeiter angewachsen. 5 davon kennen sich neben Datenschutz auch mit Informationssicherheit aus. Aber ist weiterhin noch viel zu tun.

Vier Jahre EU-DSGVO - Datenschutz muss Sinn machen - Das yourIT-Datenschutz-Team bietet Einblicke
Vier Jahre EU-DSGVO - Datenschutz muss Sinn machen - Das yourIT-Datenschutz-Team bietet Einblicke


Dienstag, 10. Mai 2022

Auskunftsanspruch für Kontoauszüge?

Auskunftsanspruch für Kontoauszüge? 

Das Recht auf Auskunft ist vielleicht das wichtigste Recht in der Datenschutz-Grundverordnung (EU-DSGVO). 

Recht auf Auskunft

Aber auch dieses Recht hat Grenzen. Am Beispiel von Kontoauszügen lässt sich das sehr schön zeigen. 

Sonntag, 26. September 2021

Geldbußen nach der EU-DSGVO

Der Begriff „Geldbuße“ klingt so, als ginge es um ein paar Euro. Bei den Geldbußen nach der Datenschutz-Grundverordnung (EU-DSGVO) sieht das allerdings etwas anders aus. Und auch sonst weisen sie einige Besonderheiten auf, die man kennen sollte.

Geldbußen in maßloser Höhe?

„Irrsinn“ war ein Begriff, den man anfangs häufig hören konnte, wenn es um die mögliche Höhe von Geldbußen nach der EU-DSGVO ging. Und tatsächlich: Eine maximale Höhe von 20 Millionen Euro bzw. 4% des gesamten weltweit erzielten Konzern-Jahresumsatzes des vorangegangenen Geschäftsjahrs ist eine echte Ansage.

Bußgelder nach EU-DSGVO
Geldbußen nach EU-DSGVO

Doch wie so oft im Leben sollte man auch hier genauer hinsehen, um was es eigentlich geht...

Samstag, 28. August 2021

Die zwei Seiten des Auskunftsanspruchs

Alle haben Anspruch auf Auskunft über ihre personenbezogenen Daten. Das sieht die EU-DSGVO so vor. Der Bundesgerichtshof legt den Anspruch sehr weit aus. Das ist schön, wenn man selbst Auskunft haben möchte. Es kann aber viel Arbeit machen, wenn man im Unternehmen eine Auskunft vorbereiten muss.


Auskunftsanspruch