Speicher- und Löschkonzept

So setzen Sie Ihre Datenschutzpflichten richtig um

Personenbezogene Daten dürfen nicht unbegrenzt gespeichert werden – die DSGVO verlangt klare Regelungen zu Speicherfristen und Löschprozessen. Ein durchdachtes Speicher- und Löschkonzept schafft Transparenz, reduziert Haftungsrisiken und schützt vor Bußgeldern. Der Beitrag zeigt typische Löschfristen und wie sich Löschroutinen praxisnah umsetzen lassen. Denn wer strukturiert löscht, behält den Überblick und stärkt das Vertrauen von Kunden und Mitarbeitenden.

Wer personenbezogene Daten verarbeitet, muss wissen, wann und wie lange sie gespeichert und wann sie wieder gelöscht werden müssen. Die DSGVO verpflichtet Unternehmen dazu, sowohl Speicherfristen als auch Löschprozesse nachvollziehbar zu dokumentieren und umzusetzen. Ein durchdachtes Speicher- und Löschkonzept schafft hier Klarheit und vermeidet Bußgelder sowie Schadenersatzpflichten. 

Warum ein Löschkonzept?

Grundsätzlich können Speicher- und Löschpflichten entweder direkt im Verarbeitungsverzeichnis oder in einem gesonderten Löschkonzept geregelt werden.
Letzteres ist in der Praxis meist sinnvoller, da es Doppelungen in den Verfahrensbeschreibungen vermeidet und das Thema übersichtlich zentralisiert.

Ein Löschkonzept beschreibt:

• die unterschiedlichen Speicherfristen je nach Zweck,

• die Ableitung von Fristen nach dem Prinzip der Verhältnismäßigkeit,

• die Beachtung der Datenschutzgrundsätze nach Art. 5 DSGVO,

• sowie die Ausnahmen zur schnelleren Löschung nach Art. 17 DSGVO.

Woher kommen Löschpflichten?

Die maßgeblichen Fristen ergeben sich aus:

• gesetzlichen Vorgaben (z. B. Steuerrecht, Handelsrecht, Arbeitsrecht),

• internen Regelungen zu einzelnen Verfahren im Verarbeitungsverzeichnis (VVZ),

• branchenspezifischen Vorgaben, etwa im Gesundheits- oder Sicherheitsbereich

• Eigenen Festlegungen im Einzelfall.

Viele Unternehmen führen die wichtigsten Fristen als Anlage zum Verarbeitungsverzeichnis.
Ihr Datenschutzbeauftragter kann Sie bei der Ermittlung und Dokumentation dieser Fristen unterstützen.

Typische Fristen und Beispiele

Da sich nicht jede Frist automatisiert umsetzen lässt, empfiehlt sich eine grobe Typisierung:

• kurze Fristen: unter 2 Jahren (z. B. Bewerbungen, Protokolldaten)

• mittlere Fristen: 2–8 Jahre (z. B. Verträge, Personalakten)

• lange Fristen: 8–15 Jahre (z. B. steuerrelevante Unterlagen)

Beispiele:

• 6, 8, 10 Jahre: Handelsbriefe, Buchungsbelege und Bilanzen nach Steuerrecht

• 3–6 Monate: abgelehnte Bewerbungen

• 48–72 Stunden: Videoüberwachung

Fristen beginnen in der Regel nach Beendigung des jeweiligen Vorgangs – etwa bei Verträgen mit der letzten Zahlung oder dem Auszug aus einem Gebäude. 

Schritt-für-Schritt-Umsetzung in der Praxis

Es empfiehlt sich, in der Personalabteilung anzufangen und dann nach und nach alle Unternehmensbereiche anzuschließen.

1. E-Mail-Postfach für Bewerbungen
   Ein separates Postfach einrichten, das Mails älter als sechs Monate automatisch löscht.

2. Erste Archivbereinigung
   Bestehende Akten und digitale Ordner mit Löschfristen kennzeichnen, dann geordnet löschen und ein Löschprotokoll erstellen.

3. Einheitliche Ordnerstruktur
   Neue Ordner so anlegen, dass bereits bei der Erstellung eine einheitliche Speicherfrist gilt.

4. Löschroutine etablieren
   Im ersten Quartal alle jährlich zu löschenden Daten entfernen und protokollieren, im zweiten Quartal überprüft der Datenschutzbeauftragte die Protokolle.
   So entsteht eine regelmäßige Löschtradition – und gelebte Datenschutzpraxis.

5. E-Mail-Postfächer für geschäftliche Korrespondenz
   Mitarbeiter, die Verträge verhandeln oder abschließen, unterliegen den handelsrechtlichen Aufbewahrungspflichten – diese Mails sind mindestens sechs Jahre zu sichern.

Sonder- und Ausnahmefälle

Für bestimmte Daten gelten Sonderregeln:

• Gesundheitsdaten oder Meldestellen-Informationen: besondere Speicherfristen nach Fachgesetzen.

• Unfallmeldungen: in der Regel 5–6 Jahre, bei schweren Unfällen längere Aufbewahrung bis zu 30 Jahre.

• BEM-Verfahren: individuelle Risiko-Nutzen-Abwägung erforderlich.

• Rechtsstreit oder Haftungsrisiko: Daten dürfen bis zum rechtskräftigen Abschluss des Falls aufbewahrt werden.

Technische und organisatorische Umsetzung

Damit Löschprozesse funktionieren, müssen klare Zuständigkeiten definiert werden:

• Wer löscht,

• wann,

• wie und

• wo wird das dokumentiert.

Hilfreich sind Löschkalender, Löschprotokolle und automatisierte Erinnerungen.
Standardisierte Verfahren können sich an folgenden Regelwerken orientieren:

• DIN 66398: Leitlinie zur Entwicklung eines Löschkonzepts

• DIN 66399-2: Vernichtung von Datenträgern

„Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen“, PS 980, des Institut für Wirtschaftsprüfer (IDW)

Fazit

Ein funktionierendes Speicher- und Löschkonzept ist Pflicht und gleichzeitig gelebter Datenschutz in der Praxis. Wer Fristen kennt, Prozesse dokumentiert und Zuständigkeiten klar regelt, spart Zeit, reduziert Haftungsrisiken und stärkt das Vertrauen von Mitarbeitern und Kunden.

Oder kurz gesagt: Wer löscht, behält den Überblick.

Das könnte Sie auch interessieren

• Das Verhältnismäßigkeitsprinzip im Datenschutz

• Technisch-Organisatorische Maßnahmen – TOM Teil 1

• Technisch-Organisatorische Maßnahmen – TOM Teil 2

Autor: Thomas Hofmann, Data Privacy Legal Consultant, 13.03.2026