Löschkonzept: Warum Löschfristen im Unternehmen definiert sein müssen

Im digitalen Zeitalter stehen Unternehmen vor der Herausforderung, immer größere Mengen personenbezogener Daten zu verarbeiten. Dabei ist klar: Die Speicherung solcher Daten darf nicht unbegrenzt erfolgen. Nach der Datenschutz-Grundverordnung (DSGVO) dürfen personenbezogene Daten nur so lange aufbewahrt werden, wie es für den festgelegten Zweck erforderlich ist. 

Ein durchdachtes Löschkonzept unterstützt Unternehmen dabei, diese gesetzliche Vorgabe systematisch umzusetzen. Es schafft klare rechtliche und organisatorische Rahmenbedingungen für den Umgang mit Löschfristen und -prozessen. Dieser Beitrag zeigt, warum ein Löschkonzept heute unverzichtbar ist – und wie Unternehmen es praxisgerecht und professionell einführen können. 

Was ist ein Löschkonzept? 

Ein Löschkonzept ist ein strukturiertes Regelwerk, das festlegt, wann und wie personenbezogene Daten im Unternehmen gelöscht werden müssen. Ziel ist dabei, die Einhaltung gesetzlicher Vorgaben sicherzustellen und unnötige Datenspeicherung zu vermeiden. Dabei müssen die folgenden Bestandteile erfasst werden: 

• Datenarten: Welche personenbezogenen Daten werden verarbeitet? 

• Löschfristen: Wie lange dürfen diese Daten aufbewahrt werden? 

• Löschroutinen: Wie erfolgt die Löschung technisch und organisatorisch? 

Ein effektives Löschkonzept berücksichtigt sowohl gesetzliche Aufbewahrungspflichten als auch interne betriebliche Prozesse. 

Gesetzliche Grundlagen: DSGVO und das Recht auf Vergessenwerden 

In der DSGVO ist in Artikel 17 das sogenannte „Recht auf Vergessenwerden“ verankert. Personen haben demnach das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen – etwa wenn diese für den ursprünglichen Zweck nicht mehr benötigt werden oder eine erteilte Einwilligung widerrufen wurde. Ergänzend dazu verpflichtet Artikel 5 Absatz 1 Buchstabe e DSGVO zur Speicherbegrenzung: Personenbezogene Daten dürfen demnach  nur so lange gespeichert werden, wie es für die vorgesehenen Verarbeitungszwecke erforderlich ist. 

Verstöße gegen diese Grundsätze gelten als schwerwiegende Datenschutzverletzungen und können mit erheblichen Bußgeldern geahndet werden. Die DSGVO sieht hierfür Sanktionen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist.  

Welche Daten müssen gelöscht werden – und wann? 

Nicht alle Daten dürfen gleich lang gespeichert werden. Typische Beispiele für löschpflichtige Daten sind: 

• Kundendaten: Dürfen nach Vertragsbeendigung meist 6-10 Jahre gespeichert werden (z. B. § 147 AO ). 

• Mitarbeiterdaten: Müssen nach Austritt des Mitarbeiters je nach Zweck nach 3 bis 10 Jahren gelöscht werden. 

• Bewerberdaten: Dürfen ohne ausdrückliche Einwilligung nur 6 Monate gespeichert werden. 

Hier ist es wichtig, gesetzliche Aufbewahrungsfristen (z. B. Handels- und Steuerrecht) von freiwilligen Speicherzwecken zu unterscheiden. 

Wie erstellt man ein Löschkonzept? – Schritt für Schritt Anleitung 

Ein funktionierendes Löschkonzept lässt sich in mehreren Schritten umsetzen: 

1. Datenarten: Welche personenbezogenen Daten werden wo verarbeitet? 

1. Festlegung von Löschfristen: Welche gesetzlichen und internen Speicherfristen gelten? 

1. Verantwortlichkeiten klären: Wer ist für die Löschung zuständig (z. B. Datenschutzbeauftragter, IT)? 

1. Löschprozesse einrichten: Wie erfolgt die Löschung technisch (z. B. Skripte, Software)? 

1. Dokumentation und Nachweisfähigkeit: Wie wird die Löschung dokumentiert und auditiert? 

1. Ein Muster findet mn unter anderem hier: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/AccessForAll/2023/2021_Loeschkonzept-BfDI.html  

Technische und organisatorische Maßnahmen (TOMs) für die Umsetzung 

Löschprozesse dürfen nicht dem Zufall überlassen bleiben. Unternehmen benötigen technische und organisatorische Maßnahmen (TOMs), um die Umsetzung zu gewährleisten wie beispielsweise: 

• Zugriffsrechte: Nur autorisierte Personen dürfen Daten löschen oder darauf zugreifen. 

• Automatisierte Workflows: Löschungen sollten automatisiert erfolgen, wo immer möglich. 

• Datenklassifizierung: Daten sollten je nach Sensibilität und Löschfrist kategorisiert werden. 

• Regelmäßige Audits: Überprüfen Sie regelmäßig, ob das Löschkonzept eingehalten wird. 

Herausforderungen in der Praxis: Häufige Fehler und wie man sie vermeidet 

Viele Unternehmen stehen vor praktischen Problemen: 

• Alt-Systeme: Legacy-Systeme haben keine integrierten Löschfunktionen. 

• Fehlende Zuständigkeiten: Oft ist unklar, wer die Verantwortung trägt. 

• Mangelnde Automatisierung: Manuelle Prozesse sind fehleranfällig und ineffizient. 

Stellen Sie auf ein modernes Datenmanagement-Systeme um, schulen Sie Ihre Mitarbeitenden und binden Sie den Datenschutzbeauftragten frühzeitig ein. Legen Sie klare Verantwortlichkeiten fest und führen Sie automatisierte Prozesse ein. 

Vorteile eines funktionierenden Löschkonzepts für Unternehmen 

Ein professionell entwickeltes und umgesetztes Löschkonzept bietet Unternehmen eine Vielzahl konkreter Vorteile. Es schafft Rechtssicherheit, indem es hilft, gesetzliche Anforderungen zuverlässig zu erfüllen und so das Risiko von Abmahnungen oder Bußgeldern deutlich zu reduzieren. Gleichzeitig stärkt ein transparenter und verantwortungsvoller Umgang mit personenbezogenen Daten das Vertrauen von Kunden und Geschäftspartnern. 

Darüber hinaus trägt ein Löschkonzept zur Kostenoptimierung bei, denn durch die regelmäßige Entfernung nicht mehr benötigter Daten sinkt der Speicherbedarf, und IT-Systeme können effizienter betrieben werden. Nicht zuletzt erhöht ein gut dokumentierter Löschprozess die Auditfestigkeit – relevante Nachweise für Datenschutzprüfungen sind jederzeit verfügbar und belegen die DSGVO-Konformität des Unternehmens. 

Fazit: Jetzt aktiv werden – statt später Bußgelder riskieren 

Das Thema Datenlöschung ist kein "Nice-to-have", sondern eine gesetzliche Pflicht. Unternehmen, die Löschkonzepte ignorieren, riskieren hohe Strafen und Imageschäden. Jetzt ist die Zeit, aktiv zu werden: 

• Entwickeln oder überarbeiten Sie Ihr Löschkonzept 

• Schulen Sie Ihre Mitarbeitenden 

• Integrieren Sie Löschprozesse in Ihr Datenschutzmanagement 

So schaffen Sie die Grundlage für nachhaltige und rechtssichere Datenverarbeitung. 

Quellen: 

1. Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) 
   Offizielle Website mit Informationen zu Datenschutz und Informationsfreiheit in Deutschland. 
     https://www.bfdi.bund.de/ 
2. Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) 
   Informationen und Muster zum Thema Datenlöschung gemäß DSGVO. 
     https://www.lda.bayern.de/de/thema_loeschung.html 
3. Datenschutzkonferenz (DSK): Orientierungshilfe zur Datenschutz-Folgenabschätzung 
   Leitfaden zur Durchführung von Datenschutz-Folgenabschätzungen bei risikobehafteten Datenverarbeitungen. 
     https://www.datenschutzkonferenz-online.de/media/oh/20240506_DSK_Orientierungshilfe_KI_und_Datenschutz.pdf 
4. Bitkom Leitfaden: „Löschkonzepte nach DSGVO richtig umsetzen“ 
   Praxisleitfaden zur Umsetzung von Löschkonzepten in Unternehmen. 
     https://www.bitkom.org/Bitkom/Publikationen/Loeschkonzepte-nach-DSGVO-richtig-umsetzen 
5. ISiCO Datenschutz: Löschkonzepte nach der DSGVO – Leitfaden 
   Artikel über die Bedeutung und Umsetzung von Löschkonzepten gemäß DSGVO. 
     https://www.isico-datenschutz.de/blog/loeschkonzept-dsgvo