Die Löschfristen nach DSGVO in Übersicht: Warum sind sie wichtig?

Im digitalen Zeitalter werden Daten gesammelt, um Informationen gewinnbringend zu nutzen: Anbieter optimieren Angebote, Verbraucher profitieren von maßgeschneiderten Produkten. Doch diese Datenflut birgt auch Risiken für die Rechte der betroffenen Personen und die Datensicherheit.

Um solche Risiken einzudämmen, regelt die DSGVO unter anderem Löschfristen, die Unternehmen verpflichten, personenbezogene Daten nach festgelegten Zeiträumen zu löschen. Erfahren Sie in diesem Beitrag, wann personenbezogene Daten gelöscht werden müssen, was die Standardlöschfristen sind und wann Daten als gelöscht gelten.

 

Warum müssen personenbezogene Daten geschützt werden?

Der Schutz personenbezogener Daten ist notwendig, um die Privatsphäre der betroffenen Personen zu wahren und eine unzulässige Nutzung oder nachteilige Auswirkungen auf die Betroffenen zu verhindern. Um den Datenschutz auf europäischer Ebene zu harmonisieren und einen europäischen Standard zu schaffen, wurde die EU-Datenschutzgrundverordnung (DSGVO) entwickelt.

Die DSGVO (GDPR, General Data Protection Regulation) trat am 27. April 2016 in Kraft, eine zweijährige Übergangsfrist endete am 25. Mai 2018. Die Datenschutzgesetze dienen dazu, die personenbezogenen Daten der Einwohner der Europäischen Union zu schützen. Unabhängig, wo ein Unternehmen seinen Geschäftssitz hat, gilt: Unternehmen, die geschäftliche Beziehungen auf dem europäischen Kontinent unterhalten oder Daten von Internetbenutzern sammeln, müssen die DSGVO befolgen.

Wann müssen personenbezogene Daten gelöscht werden?

In Artikel 17 der DSGVO ist das Recht auf Löschung klar geregelt. Personenbezogene Daten müssen gelöscht werden, wenn:

  • der Zweck, für den sie erhoben oder verarbeitet wurden, nicht mehr notwendig ist
  • die Einwilligung zur Speicherung der Daten widerrufen wird und es an einer anderweitigen Rechtsgrundlage fehlt
  • Widerspruch gegen die Verarbeitung einlegt wird und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen
  • die personenbezogenen Daten unrechtmäßig verarbeitet wurden
  • die Löschung der Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist
  • Daten eines Kindes erhoben wurden

Werden die Löschvorgaben nicht eingehalten und der Kundendatensatz nicht gelöscht, kann es zu Sanktionen kommen. So drohen für einen Datenschutzverstoß Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes: Je nachdem, welcher Betrag höher ist.

 

DataGuard Newsletter

Bleiben Sie compliant dank Expertenwissen zum Datenschutz

Erhalten Sie Ratschläge von Experten zu den neuesten Datenschutztrends und -vorschriften – bequem per E-Mail.

Abonnieren Sie für Datenschutztipps
 

 

Welche Ausnahmen gibt es bei der Löschung personenbezogener Daten?

Es gibt jedoch aus Ausnahmen. Denn personenbezogene Daten dürfen nicht gelöscht werden, soweit die Verarbeitung erforderlich ist

  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information
  • zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde
  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3
  • für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

 

Was ist ein Löschkonzept?

Der wichtigste Fall, der der Löschung von Daten entgegensteht, sind rechtliche Aufbewahrungsfristen, z. B. für Patientendaten oder aus steuerlichen Gründen. Um Daten zum richtigen Zeitpunkt zu löschen, ist es für Unternehmen unerlässlich, ein Löschkonzept zu entwickeln. So stellen Sie mithilfe von Löschmechanismen sicher, dass Ihre Daten weder zu kurz noch zu lang aufbewahrt werden.

Bei der Löschung der Daten gelten Dokumentationspflichten. Die entsprechenden Nachweise müssen auf Verlangen durch den Verantwortlichen vorgelegt werden. Werden Daten zu früh gelöscht, liegt ebenfalls ein Datenschutzverstoß vor.

Mehr Informationen zum Thema finden Sie in unserem Artikel  Datenschutz Löschkonzept: Tipps zur Umsetzung des DSGVO-Löschkonzepts.

 

Was sind Standardlöschfristen?

In der Praxis müssen unzählige verschiedene Löschfristen angewendet werden. Für das Löschen personenbezogener Daten kann kein Automatismus entwickelt werden: Es ist schlicht nicht vorhersehbar ist, wie lange die Geschäftsbeziehung zu einem Kunden besteht. Bei den Löschfristen für Rechnungen, Steuererklärungen, oder Vertragsunterlagen sieht es deutlich einfacher aus. Hier gibt das Gesetz genau vor, wann die Unterlagen vernichtet werden dürfen.

In diesen Fällen macht es sehr wohl Sinn, Löschkonzepte einzuführen, um die administrativen Prozesse zu vereinfachen und übersichtlicher zu gestalten. Geeignete Fristen orientieren sich an den unterschiedlichen gesetzlichen Vorgaben (§ 147 AO und § 257 HGB), wie z. B.:

  • keine Aufbewahrungspflicht: unmittelbare Löschung
  • 4 Jahre: dreijährige Verjährungsfrist gemäß § 195 BGB zzgl. 1 Jahr Sicherheitsreserve
  • 6 Jahre: fünfjährige Aufbewahrungsfrist für gewerbliche Vermietung zzgl. 1 Jahr Sicherheitsreserve
  • 7 Jahre: sechsjährige steuerliche Aufbewahrungsfrist zzgl. 1 Jahr Sicherheitsreserve
  • 11 Jahre: zehnjährige steuerliche Aufbewahrungsfrist zzgl. 1 Jahr Sicherheitsreserve

In der DIN 66398 sind die Leitlinien zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten zusammengefasst. 

 

Wann gelten Daten als gelöscht?

Die normale Löschfunktion des Betriebssystems reicht nicht aus, um gespeicherte Informationen sicher zu entfernen. Denn auf der Festplatte bleiben Informationsfragmente weiterhin erhalten. Ein Wiederherstellungsprogramm kann diese Dateien in der Regel problemlos wiederherstellen. Damit Informationen nachhaltig gelöscht werden, müssen die Informationen überschrieben werden: Denn dann wird auf dem Speicherort eine neue Information hinterlegt, was die Wiederherstellung unmöglich macht. Bei der Löschung ist es wichtig, alle Datenspiegelungen (Backups o. Ä.) miteinzubeziehen.

Wie halten Sie die Vorgaben der DSGVO verlässlich ein?

Die DSGVO stellt viele Anforderungen an Organisationen, die personenbezogene Daten erfassen und verarbeiten, doch die Einhaltung der Vorschriften muss nicht kompliziert sein. Mit Automatisierung, auf die Sie sich verlassen können, und der Unterstützung von Experten schaffen Sie effiziente Arbeitsabläufe in Ihrem Unternehmen und erfüllen mühelos die DSGVO-Vorgaben.

Nutzen Sie eine KI-gestützte Plattform, die Compliance-Prozesse automatisiert und Ihr Team entlastet – weniger manuelle Arbeit bei verbesserter Sicherheit.

Über den Autor

DataGuard Datenschutz-Experten DataGuard Datenschutz-Experten
DataGuard Datenschutz-Experten

Tauchen Sie ein in die Welt der Datensicherheit und DSGVO – mit Tipps und Meinungen unserer zertifizierten Datenschutzbeauftragten in Deutschland, UK und Österreich. Unsere Experten kommen aus den unterschiedlichsten Bereichen wie Wirtschaft, Recht, Technik oder Marketing und teilen mit Ihnen die neuesten Nachrichten sowie Lösungen zu aktuellen Herausforderungen, Urteilen und Rechtsentscheidungen. Ihr Ziel? Ihnen das Wissen und die Werkzeuge an die Hand zu geben, damit Sie die richtigen Entscheidungen treffen, Ihr Unternehmen absichern, Vertrauen aufbauen und Ihren Umsatz steigern können – in Einklang mit geltenden Datenschutzgesetzen. Diese Qualifizierungen unserer Datenschutzberater stehen für Qualität und Vertrauen: Zertifizierter Datenschutzbeauftragter (TÜV), Certified Information Privacy Professional/Europe (IAPP), Certified Information Privacy Manager (IAPP) Information Security, Certified Information Privacy Technologist (IAPP), Certified Practitioner in Data Protection (BCS), Fellow of Information Privacy (IAPP), Certified EU General Data Protection Regulation Practitioner (IBITGQ), Data Protection Officer & Europrivacy Auditor, Practitionier Certificate in Data Protection, PC.dp. (GDPR)

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren

Privacy
InfoSec
Consent Management
General enquiry
Whistleblowing
Compliance
0-25
26-250
251-500
501-2000
2001-10000
>10000