Das Spannungsfeld: Löschpflicht vs. Aufbewahrungspflicht
Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen zur zeitnahen Löschung personenbezogener Daten, sobald der Verarbeitungszweck entfallen ist. Art. 5 Abs. 1 lit. e DSGVO verankert den Grundsatz der Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Verarbeitungszwecke erforderlich ist.
Gleichzeitig bestehen jedoch zahlreiche gesetzliche Aufbewahrungspflichten – etwa aus dem Handelsrecht (§ 257 HGB), der Abgabenordnung (§ 147 AO) oder dem Bundesdatenschutzgesetz (§ 35 BDSG). Dieses Spannungsfeld zwischen Löschpflicht und Aufbewahrungspflicht stellt Unternehmen und ihre Datenschutzbeauftragten vor erhebliche Herausforderungen.
Für Anwälte, die Mandanten zur DSGVO beraten, ergeben sich komplexe Fragestellungen:
- Wann besteht eine Löschpflicht nach Art. 17 DSGVO?
- Welche Aufbewahrungspflichten haben Vorrang?
- Wie dokumentiert man die Einhaltung der Löschfristen?
- Welche technischen und organisatorischen Maßnahmen sind erforderlich?
Rechtliche Grundlagen der Löschpflicht
Art. 17 DSGVO: Recht auf Löschung
Art. 17 DSGVO gewährt betroffenen Personen das Recht auf unverzügliche Löschung ihrer personenbezogenen Daten, wenn einer der folgenden Gründe zutrifft:
- Die Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig
- Die betroffene Person widerruft ihre Einwilligung
- Die betroffene Person legt Widerspruch gegen die Verarbeitung ein
- Die Daten wurden unrechtmäßig verarbeitet
- Die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich
Art. 5 Abs. 1 lit. e DSGVO: Speicherbegrenzung
Der Grundsatz der Speicherbegrenzung besagt, dass personenbezogene Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Verarbeitungszwecke erforderlich ist. Nach Ablauf der Zweckbindung ist grundsätzlich zu löschen oder zu anonymisieren.
Ausnahmen: Aufbewahrungspflichten nach nationalem Recht
Die Löschpflicht nach DSGVO steht unter dem Vorbehalt gesetzlicher Aufbewahrungspflichten. Relevante Rechtsgrundlagen sind:
- § 257 HGB: Aufbewahrungspflichten für Handelsbücher, Inventare, Jahresabschlüsse und Handelsbriefe
- § 147 AO: Aufbewahrungspflichten für steuerrelevante Unterlagen
- § 35 BDSG: Aufbewahrungspflichten im öffentlichen Bereich
- Weitere bereichsspezifische Regelungen (z.B. § 50 BRAO für Anwälte, § 66 StBerG für Steuerberater)
Typische Löschfristen nach Datenart
Die folgende Übersicht zeigt die wichtigsten Aufbewahrungsfristen für verschiedene Dokumententypen:
Handels- und steuerrechtliche Unterlagen
| Dokumententyp | Aufbewahrungsfrist | Rechtsgrundlage |
|---|---|---|
| Buchungsbelege (Rechnungen, Quittungen) | 10 Jahre | § 147 Abs. 1 Nr. 1 AO, § 257 Abs. 1 Nr. 4 HGB |
| Jahresabschlüsse, Bilanzen | 10 Jahre | § 147 Abs. 1 Nr. 1 AO, § 257 Abs. 1 Nr. 1 HGB |
| Inventare | 10 Jahre | § 257 Abs. 1 Nr. 1 HGB |
| Handelsbriefe | 6 Jahre | § 257 Abs. 1 Nr. 2-3 HGB |
| Empfangene Handels-/Geschäftsbriefe | 6 Jahre | § 257 Abs. 1 Nr. 2 HGB |
| Kopien abgesandter Handelsbriefe | 6 Jahre | § 257 Abs. 1 Nr. 3 HGB |
| Buchführungsunterlagen | 10 Jahre | § 147 Abs. 1 Nr. 4-5 AO |
Personalakten und Bewerbungsunterlagen
| Dokumententyp | Aufbewahrungsfrist | Rechtsgrundlage |
|---|---|---|
| Personalakten nach Austritt | 3 Jahre | Verjährungsfrist § 195 BGB |
| Lohn- und Gehaltsabrechnungen | 6 Jahre | § 257 Abs. 1 Nr. 4 HGB |
| Bewerbungsunterlagen (abgelehnt) | 6 Monate | AGG-Klagefrist § 15 Abs. 4 AGG |
| Arbeitszeugnisse | 3 Jahre | Verjährungsfrist § 195 BGB |
| Sozialversicherungsnachweise | 6 Jahre | § 28f SGB IV |
| Unterlagen zur Arbeitssicherheit | 30 Jahre | Empfehlung DGUV |
IT-Systeme und digitale Daten
| Dokumententyp | Empfohlene Löschfrist | Begründung |
|---|---|---|
| Website-Logfiles | 7-14 Tage | Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO |
| Videoüberwachung | 72 Stunden | DSGVO-Grundsatz, max. bis zu 10 Tage |
| E-Mail-Verkehr (geschäftlich) | 6-10 Jahre | Je nach Inhalt § 257 HGB/§ 147 AO |
| Backup-Daten | Entsprechend Originaldaten | Keine längere Speicherung als Hauptdaten |
| Cookies (nicht-essentiell) | Max. 12 Monate | ePrivacy-Richtlinie |
Branchenspezifische Fristen
| Dokumententyp | Aufbewahrungsfrist | Rechtsgrundlage |
|---|---|---|
| Mandantenakten (Anwalt) | 5 Jahre nach Mandatsende | § 50 BRAO |
| Steuerberatungsunterlagen | 10 Jahre | § 66 StBerG |
| Notarielle Urkunden | 100 Jahre | § 50 BNotO |
| Patientenakten (Arzt) | 10 Jahre | § 630f BGB |
| Röntgenaufnahmen | 10 Jahre | § 28 Abs. 3 RöV |
Das Löschkonzept nach DSK-Standard
Die Datenschutzkonferenz (DSK) empfiehlt die Erstellung eines strukturierten Löschkonzepts nach DIN 66398. Ein solches Konzept umfasst folgende Komponenten:
1. Dateninventar erstellen
Zunächst müssen alle verarbeiteten personenbezogenen Daten erfasst werden:
- Welche Datenarten werden verarbeitet?
- In welchen Systemen werden sie gespeichert?
- Wer hat Zugriff auf die Daten?
- Gibt es Sicherungskopien oder Backups?
2. Löschregeln definieren
Für jede Datenart sind konkrete Löschregeln festzulegen:
- Löschfrist: Wann ist die Löschung durchzuführen?
- Löschereignis: Welches Ereignis löst die Frist aus (z.B. Vertragsende, Widerruf)?
- Ausnahmen: Gibt es Aufbewahrungspflichten, die Vorrang haben?
- Verantwortlichkeit: Wer ist für die Löschung zuständig?
3. Löschroutinen implementieren
Die technische Umsetzung kann erfolgen durch:
- Automatisierte Löschung: Zeitgesteuerte Löschroutinen in Datenbanken und Systemen
- Manuelle Löschung: Checklisten und Erinnerungssysteme für periodische Prüfungen
- Sperrung: Temporäre Sperrung statt Löschung während laufender Aufbewahrungsfristen
4. Dokumentationspflicht sicherstellen
Nach Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) muss die Einhaltung der Löschfristen nachweisbar sein:
- Löschprotokolle: Wann wurden welche Daten gelöscht?
- Verantwortlichkeiten: Wer hat die Löschung durchgeführt?
- Ausnahmefälle: Warum wurden bestimmte Daten nicht gelöscht?
Praxisbeispiel: Online-Shop
Ein Mandant betreibt einen Online-Shop und fragt: „Wie lange darf ich Kundendaten nach Vertragsabwicklung speichern?"
Die Antwort ist differenziert nach Datentyp:
- Rechnungen und Buchungsbelege: 10 Jahre Aufbewahrungspflicht nach § 147 AO und § 257 HGB
- Bestelldaten: 10 Jahre als Buchungsbeleg, soweit steuerrelevant
- E-Mail-Adresse für Newsletter: Bis zum Widerruf der Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
- Lieferadresse: Nach Ende der Gewährleistungsfrist (2 Jahre) plus Verjährungsfrist (3 Jahre) = 5 Jahre
- Zahlungsdaten (Kreditkarte): Sofort nach Transaktionsabschluss löschen (PCI DSS-Standard)
- IP-Adressen aus Logfiles: 7-14 Tage nach Bestellabschluss
- Kundenkonto-Daten: Bis zur Löschung des Kundenkontos durch den Nutzer
Der Justitia Löschfristen-Manager
Im Rahmen der Datenschutzberatung unterstützt Sie der Justitia Löschfristen-Manager bei der rechtssicheren Bestimmung von Aufbewahrungs- und Löschfristen. Fragen Sie einfach im Justitia-Chat:
Justitia-Prompt-Beispiel:
„Prüfe die DSGVO-Löschfristen für Bewerbungsunterlagen eines abgelehnten Bewerbers, der sich im Dezember 2025 beworben hat. Welche Frist gilt, wenn er ausdrücklich einer Aufnahme in den Talentpool zugestimmt hat?"
Der Löschfristen-Manager liefert Ihnen:
- Empfohlene Löschfrist mit Begründung (z.B. 6 Monate nach Absage)
- Rechtsgrundlage mit konkretem Paragraphen (AGG § 15 Abs. 4 – Klagefrist)
- Ausnahmen und Sonderfälle (z.B. verlängerte Speicherung bei Einwilligung)
- Dokumentationshinweise für das Verarbeitungsverzeichnis
Dieses Tool erspart Ihnen zeitaufwendige Recherchen und minimiert das Risiko fehlerhafter Löschfristen, die zu Bußgeldern führen können.
Häufig gestellte Fragen (FAQ)
Was ist der Unterschied zwischen Löschung und Sperrung?
Während die Löschung die vollständige und unwiderrufliche Entfernung personenbezogener Daten bedeutet, bezeichnet die Sperrung eine Einschränkung der Verarbeitung nach Art. 18 DSGVO. Gesperrte Daten dürfen nicht mehr aktiv genutzt werden, müssen aber aufbewahrt werden – etwa während laufender Aufbewahrungsfristen oder bei rechtlichen Auseinandersetzungen. Nach Ablauf der Sperrfrist sind die Daten zu löschen.
Wann beginnt die Aufbewahrungsfrist zu laufen?
Die meisten Aufbewahrungsfristen beginnen mit dem Schluss des Kalenderjahres, in dem die letzte Eintragung vorgenommen wurde (§ 147 Abs. 4 AO, § 257 Abs. 5 HGB). Beispiel: Eine Rechnung vom März 2026 muss bis zum 31.12.2036 aufbewahrt werden (10 Jahre ab Ende 2026). Ausnahmen gelten für Personalakten (Beginn ab Beschäftigungsende) und Bewerbungen (Beginn ab Absage).
Müssen auch Backup-Daten gelöscht werden?
Ja, grundsätzlich unterliegen auch Sicherungskopien der Löschpflicht. Allerdings akzeptiert die Datenschutzaufsicht, dass Backups nach einem regulären Rotationsprinzip erst beim nächsten Überschreibzyklus gelöscht werden. Wichtig: Aus aktuellen Backups müssen Daten bei Löschanträgen nach Art. 17 DSGVO aktiv entfernt werden, sofern dies technisch möglich ist.
Wie dokumentiere ich die Einhaltung der Löschfristen?
Die Dokumentation erfolgt auf mehreren Ebenen:
- Verarbeitungsverzeichnis nach Art. 30 DSGVO: Eintragung der Löschfristen für jede Verarbeitungstätigkeit
- Löschkonzept: Schriftliche Festlegung der Löschregeln und -routinen
- Löschprotokolle: Nachweis der tatsächlich durchgeführten Löschungen mit Datum und Umfang
- Technische Dokumentation: Konfiguration automatisierter Löschroutinen in IT-Systemen
Was droht bei Verstößen gegen Löschpflichten?
Verstöße gegen Art. 17 DSGVO (Recht auf Löschung) können mit Bußgeldern bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes geahndet werden (Art. 83 Abs. 5 DSGVO). Auch die unterlassene Umsetzung des Grundsatzes der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) ist bußgeldbewehrt. Zudem können Betroffene Schadensersatzansprüche nach Art. 82 DSGVO geltend machen.
Wie gehe ich mit widersprüchlichen Fristen um?
Bei Konflikten zwischen Löschpflicht und Aufbewahrungspflicht gilt: Aufbewahrungspflichten gehen vor. Art. 17 Abs. 3 lit. b DSGVO sieht ausdrücklich vor, dass keine Löschpflicht besteht, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Allerdings sollten die Daten während der Aufbewahrungsfrist gesperrt werden, wenn sie für den ursprünglichen Zweck nicht mehr benötigt werden.
Fazit: Strukturierte Löschkonzepte schützen vor Bußgeldern
Die Einhaltung der DSGVO-Löschfristen ist keine optionale Compliance-Maßnahme, sondern eine rechtliche Verpflichtung mit erheblichem Haftungsrisiko. Das Spannungsfeld zwischen Löschpflicht nach Art. 17 DSGVO und Aufbewahrungspflichten nach HGB, AO und weiteren Spezialgesetzen erfordert eine differenzierte Betrachtung jeder einzelnen Datenart.
Ein strukturiertes Löschkonzept nach DSK-Standard hilft, den Überblick zu behalten und die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu erfüllen. Dabei sind vier Schritte zentral: Dateninventar erstellen, Löschregeln definieren, Löschroutinen implementieren und die Dokumentation sicherstellen.
Der Justitia Löschfristen-Manager unterstützt Sie bei der rechtssicheren Bestimmung von Aufbewahrungs- und Löschfristen für über 20 Dokumententypen. Reduzieren Sie Ihre Recherchezeit und minimieren Sie Haftungsrisiken durch präzise, rechtlich fundierte Löschfristen.
Mehr Informationen und weitere KI-gestützte Rechtstools finden Sie auf justitia.legal.