Löschkonzept mit Löschfristen für personenbezogene Daten erstellen

Personenbezogene Daten aus Bewerbungen, Kundenverträgen oder Newslettern landen in vielen Unternehmen in Datenbanken – und bleiben dort oft weit länger gespeichert, als es die DSGVO erlaubt.
Kurz erklärt: Ein Löschkonzept legt für jede Kategorie personenbezogener Daten fest, wann diese gelöscht werden müssen, sobald der Verarbeitungszweck entfällt und keine gesetzliche Aufbewahrungspflicht mehr besteht. Grundlage sind Art. 17 DSGVO und der Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO. Ohne dokumentierte Löschfristen drohen Bußgelder bis 20 Mio. € oder 4 % des Jahresumsatzes.
Was ist ein Löschkonzept?
Ein Löschkonzept ist ein internes Dokument, das für jede im Unternehmen verarbeitete Datenkategorie – etwa Kundendaten, Bewerberdaten oder Protokolldaten – eine konkrete Löschfrist sowie die zuständige Person und den technischen Ablauf der Löschung festlegt. Es setzt den Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e DSGVO in der betrieblichen Praxis um und macht das Recht auf Löschung nach Art. 17 DSGVO für Betroffene tatsächlich durchsetzbar. Ausgangspunkt ist in der Regel das Verzeichnis von Verarbeitungstätigkeiten, aus dem sich Datenkategorien und Speicherorte ableiten lassen. Betroffen sind dabei nicht nur die Kerndatenbanken der Fachabteilungen, sondern auch E-Mail-Postfächer, Cloud-Ablagen und Papierakten, in denen dieselben Kategorien personenbezogener Daten liegen können.
Warum ist ein Löschkonzept Pflicht?
Ein Löschkonzept ist Pflicht, weil personenbezogene Daten nach der DSGVO nur so lange gespeichert werden dürfen, wie sie für den ursprünglichen Zweck benötigt werden. Entfällt der Zweck und besteht keine gesetzliche Aufbewahrungspflicht mehr, müssen die Daten gelöscht werden – ohne festgelegte Fristen und Routinen geschieht das in der Praxis kaum systematisch. Ein fehlendes Löschkonzept zählt zu den häufigsten Beanstandungen bei Datenschutzprüfungen und kann mit Bußgeldern bis 20 Mio. € oder 4 % des Jahresumsatzes geahndet werden. Wer im Rahmen eines Company Audit seine Compliance-Pflichten prüfen lässt, stößt daher fast immer auch auf das Thema Löschkonzept.
Wie erstellen Sie ein Löschkonzept in 5 Schritten?
Ein Löschkonzept entsteht in fünf aufeinander aufbauenden Schritten, die sich am Verzeichnis von Verarbeitungstätigkeiten orientieren. Statt für jede Datenkategorie einzeln eine Frist zu erfinden, orientieren sich viele Unternehmen an vorgegebenen Löschklassen mit Regelfristen, die anschließend auf die eigenen Datenkategorien übertragen werden. Eine bewährte Struktur für Löschklassen und Fristen liefert die Norm DIN 66398, die sich in der Praxis vielfach durchgesetzt hat:
- Datenkategorien und Speicherorte aus dem Verzeichnis der Verarbeitungstätigkeiten übernehmen.
- Je Kategorie die Löschfrist bestimmen (Zweckwegfall abzüglich gesetzlicher Aufbewahrungsfristen).
- Technische und organisatorische Löschroutinen festlegen (auch für Backups und Archive).
- Verantwortlichkeiten und Löschzyklen dokumentieren.
- Löschungen regelmäßig durchführen und nachweisbar protokollieren.
Was hat Vorrang: Löschung oder Aufbewahrungspflicht?
Steuerliche Aufbewahrungspflichten haben Vorrang vor der Löschung – personenbezogene Daten dürfen erst nach Ablauf der jeweiligen gesetzlichen Frist gelöscht werden, auch wenn der ursprüngliche Verarbeitungszweck bereits entfallen ist. In der Löschfrist je Datenkategorie muss diese Reihenfolge daher fest verankert sein: Der Zweckwegfall wird um die einschlägige Aufbewahrungsfrist verlängert, bevor die eigentliche Löschung ausgelöst wird. Das gilt gleichermaßen für Backups und Archive, die häufig übersehen werden, obwohl dort dieselben Fristen gelten.
Wie oft müssen Sie das Löschkonzept prüfen?
Das Löschkonzept sollte jährlich geprüft werden, um neue Datenkategorien, geänderte Aufbewahrungsfristen oder veränderte Speicherorte zeitnah zu erfassen. Eine feste jährliche Prüfroutine stellt sicher, dass Löschfristen, Zuständigkeiten und die tatsächlich durchgeführten Löschungen weiterhin zum Verzeichnis der Verarbeitungstätigkeiten passen und im Ernstfall nachweisbar dokumentiert sind. Zusätzlich zur jährlichen Prüfung empfiehlt es sich, das Löschkonzept anlassbezogen zu aktualisieren, etwa wenn ein neues IT-System eingeführt wird oder sich eine gesetzliche Aufbewahrungsfrist ändert.
Was droht ohne Löschkonzept?
Ohne Löschkonzept riskieren Unternehmen Bußgelder bis 20 Mio. € oder 4 % des Jahresumsatzes, da ein fehlendes oder lückenhaftes Löschkonzept ein häufiger Prüfungsbefund von Aufsichtsbehörden ist. Zusätzlich können Betroffene ihr Recht auf Löschung nach Art. 17 DSGVO nicht verlässlich durchgesetzt bekommen, wenn keine dokumentierten Fristen und Zuständigkeiten existieren.
Häufige Fragen
Wer ist für das Löschkonzept verantwortlich?
Verantwortlich ist das Unternehmen als datenschutzrechtlich Verantwortlicher; die Umsetzung wird üblicherweise dokumentierten Zuständigkeiten je Datenkategorie zugewiesen, die im Löschkonzept selbst festgehalten werden.
Gilt das Löschkonzept auch für Backups?
Ja, die technischen und organisatorischen Löschroutinen müssen ausdrücklich auch Backups und Archive umfassen, da personenbezogene Daten dort nicht länger vorgehalten werden dürfen als im produktiven System.
Was ist DIN 66398?
DIN 66398 ist eine Norm, die eine bewährte Struktur für Löschklassen und Löschfristen liefert und häufig als Vorlage für die Erstellung eines betrieblichen Löschkonzepts genutzt wird.
Dürfen Daten sofort nach Zweckwegfall gelöscht werden?
Nur, wenn keine gesetzliche Aufbewahrungspflicht mehr besteht. Steuerliche Aufbewahrungsfristen gehen der Löschung vor, sodass Daten erst nach deren Ablauf tatsächlich gelöscht werden dürfen.
Wie oft sollten Löschungen dokumentiert werden?
Löschungen sollten regelmäßig durchgeführt und jeweils nachweisbar protokolliert werden, damit die Einhaltung der festgelegten Löschfristen im Rahmen von Prüfungen belegt werden kann.
Quelle: Art. 17 DSGVO, Art. 5 Abs. 1 lit. e DSGVO. Dieser Beitrag ist eine allgemeine Information und ersetzt keine Rechtsberatung im Einzelfall. Stand: Juli 2026.
Beitrag teilen
Bleiben Sie auf dem Laufenden
Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.
Ähnliche Beiträge
Weitere Artikel, die Sie interessieren könnten.
Zusammenfassende Meldung, OSS und Intrastat bei EU-Handel
ZM bis 25. des Folgemonats, OSS quartalsweise, Intrastat ab Schwellenwert: EU-Meldepflichten kompakt erklärt.
Verzeichnis von Verarbeitungstätigkeiten (VVT) führen
Fast jedes Unternehmen mit Kundendaten muss ein VVT nach Art. 30 DSGVO führen – sonst drohen Bußgelder bis 10 Mio. Euro.
Verpackungen im LUCID-Register anmelden und Mengen melden
Verpackte Ware verkaufen? Dann ist die Registrierung im Verpackungsregister LUCID vor Verkaufsbeginn Pflicht – ohne Bagatellgrenze.
Bereit für Ihr KI-Kompetenz-Zertifikat?
Sichern Sie sich das anerkannte KI-Zertifikat – flexibel, online und EU-AI-Act-konform.