Geht es um Speicherung und Löschung personenbezogener Daten, können verschiedene Aspekte des Datenschutzrechts sowie andere Gesetze sich (scheinbar) widersprechen. Insbesondere sind Dokumentations- und Aufbewahrungspflichten mit der Speicherbegrenzung als Pflicht zur Löschung abzuwägen. Um dabei im Unternehmen den Überblick zu behalten und in allen Abteilungen datenschutzkonform zu arbeiten, ist ein Löschkonzept die beste Lösung.
Das Dilemma: Speicherbegrenzung und Aufbewahrungspflichten im Widerspruch
Die EU-Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen zur umfassenden Dokumentation von Verarbeitungsvorgängen. Zudem enthält sie zahlreiche Informationspflichten gegenüber Betroffenen. Dadurch könnten sich Verantwortliche zu übertriebener Datensammlung aufgefordert sehen und zu viele personenbezogene Daten dauerhaft speichern. Die in anderen Gesetzen geforderten Aufbewahrungspflichten können hierzu noch verstärkend beitragen.
Das Ergebnis eines solchen Eifers kann jedoch zu einem Verstoß gegen die DSGVO führen. Denn neben dem Verfügbarkeitserfordernis für anvertraute personenbezogene Daten eines Betroffenen, legen die Datenschutzgrundsätze in Art. 5 Abs. 1e DSGVO ausdrücklich fest, dass Verantwortliche Speicherbegrenzung betreiben müssen. Damit ist gemeint, dass Betroffenendaten nur insoweit verarbeitet werden dürfen (unter Verarbeitung fällt auch die bloße Speicherung von personenbezogenen Daten), wie es für den Zweck der Erhebung weiterhin erforderlich ist.
Rechtsgrundlage und Zweck der Verarbeitung als Rahmenfaktoren
Die gegensätzlich erscheinenden Intentionen zwischen einerseits Aufrechterhaltung der Verfügbarkeit personenbezogener Daten und andererseits Speicherbegrenzung verwirren zunächst. Sie können aber anhand des Verarbeitungszwecks klar abgegrenzt werden:
Speicherbegrenzung, sprich Löschung von personenbezogenen Daten ist dann erforderlich, wenn die Rechtsgrundlage der Verarbeitung wegfällt. Beispielsweise ist die Beendigung eines Auftragsverhältnisses, das die datenschutzrechtliche Erlaubnis zur Verarbeitung von Login-Daten eines Mitarbeiters darstellte, Anlass diese Informationen zu entfernen. Mit Wegfall der Rechtsgrundlage fällt ebenfalls der ursprüngliche Zweck der Verarbeitung weg, in unserem Beispiel die Durchführung des Auftragsverhältnisses.
Andererseits muss darauf geachtet werden, dass die Löschung keine gesetzlichen Aufbewahrungsfristen, wie z. B. die zur Aufbewahrung von Buchungsbelegen, verletzt. Der Verantwortliche sollte sich klarmachen, dass innerbetriebliche Informationen ohne Personenbezug datenschutzrechtlich grundsätzlich zu vernachlässigen sind. Allerdings unterliegen Ihrem Unternehmen zugehörige Mitarbeiter, Kundenarbeitnehmer und selbstverständlich Privatkunden dem Datenschutz. Sind also bspw. auf einer Rechnung Vor- und Nachname eines Mitarbeiters eingetragen, können diese als personenbezogene Daten gewertet und müssen entsprechend geschützt werden.
Weil vielerlei personenbezogene Daten verschiedenster Stakeholder verarbeitet werden, kann ein Unternehmen ohne systematisches Vorgehen fast unmöglich den Dschungel allgemeiner gesetzlicher Aufbewahrungsfristen und datenschutzrechtlicher Speicherbegrenzung durchschauen. Deshalb sollten Unternehmen Vorkehrungen treffen, um Bußgeldrisiken zu vermeiden.
Im Rahmen der sogenannten Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO sind Unternehmen zudem verpflichtet die Einhaltung der Löschpflichten nicht nur umzusetzen, sondern auch dokumentiert nachweisen zu können.
Das Löschkonzept als datenschutzkonforme Lösung
Ein systematisches Vorgehen zur Entfernung von personenbezogenen Daten kann durch ein Löschkonzept erreicht werden. Letzteres kann sich auf die rechtmäßige Entfernung von personenbezogenen Daten beschränken oder auch Datenbestände ohne Personenbezug umfassen. Eine gute Orientierung bietet die DIN 66398.
Bei der Erstellung eines Löschkonzeptes werden zunächst vom Verantwortlichen Kategorien von Daten festgelegt, denen Daten nach Erhebungszwecken, gesetzlichen Datenbehandlungspflichten, Betroffenen und Teilprozessen zugeordnet werden. Zudem wird der jeweiligen Datenkategorie eine vorbestimmte Löschklasse zugewiesen, die den Startzeitpunkt der Verarbeitung und die entsprechende Löschfrist festhält. Mithilfe dieser Zuweisung etabliert der Verantwortliche Löschregeln, um die Einhaltung der Datenschutzgrundsätze sicherzustellen.
Implementierung eines Löschkonzeptes im Unternehmen
Mit Aufstellung von Löschregeln ist das Löschkonzept allerdings noch nicht abschließend im Unternehmen implementiert. Folgende Punkte sind zusätzlich erforderlich:
- Verantwortlichkeiten sollten von der Geschäftsführung mithilfe des Datenschutzbeauftragten eindeutig festgelegt werden.
- Mitarbeiter benötigen Schulungen zur Einordnung von Daten.
- Die Zuordnung zu bestimmten Datenkategorien sowie die Ausführung der Löschungen sollten technisch erzwungen werden.
- Unternehmensprozesse, Zwecke, Datenbestände und Gesetzgebung befinden sich im ständigen Wandel, was regelmäßige Aktualisierungen der Datenarten und Löschklassen erfordert.
- Einzelne Workflows für die Löschung aus Systemen und Anwendungen mit definierten Verantwortlichkeiten dienen der tatsächlichen Durchführung
Achtung: Gelöscht ist nicht gleich gelöscht!
Neben der Frage, welche Daten wann gelöscht werden müssen, haben Verantwortliche sich auch damit auseinandersetzen, wie entfernungsbedürftige Daten zu löschen sind.
Um die Identifizierbarkeit von Betroffenen gänzlich ausschließen zu können, gilt es zu beachten, dass der Begriff „Löschen“ im allgemeinen Sprachgebrauch eher unpräzise verwendet wird. Tatsächlich wird die Entfernung von Daten in automatisierten Systemen auf verschiedene Weisen vollzogen.
Beispiel: Das Betriebssystem Windows markiert standardmäßig lediglich einfach gelöschte Dateien als freien Speicherplatz. Tatsächlich kann Datenrettungssoftware diese Elemente wiederherstellen, weil die Daten fortleben, sofern sie nicht durch neue Daten überschrieben werden. Demnach bleiben Betroffene identifizierbar und ein datenschutzrechtlicher Verstoß lauert.
Das bedeutet allerdings nicht, dass Löschen digitaler Inhalte unmöglich ist. Beispielsweise kann man durch das physische Überschreiben von Datenobjekten oder professionelle Entsorgung der Datenträger Abhilfe schaffen. Das Gebot zur professionellen bzw. datenvernichtenden Entsorgung gilt gleichermaßen bei analogen Dokumenten (siehe unsere Checkliste zur datenschutzkonformen Aktenvernichtung).
Wichtige Entwicklungen zum Löschen personenbezogener Daten
Gesetzliche Änderungen
Senken der Aufbewahrungsfrist für Buchungsbelege (HGB/AO) per Bürokratieentlastungsgesetz IV ab 2025
Seit dem 1. Januar 2025 wurde die gesetzliche Aufbewahrungsfrist für Buchungsbelege von zehn auf acht Jahre verkürzt (§ 147 Abs. 3 AO, § 257 Abs. 4 HGB), sofern die bisher geltende Frist zu diesem Zeitpunkt noch nicht abgelaufen ist. Eine Rückkehr zur früheren Regelung ist derzeit nicht in Sicht.
Aktivitäten der Aufsichtsbehörden
Bußgeld von EUR 900.000 (Hamburger Datenschutzbehörde, November 2024)
Ein Inkasso-Dienstleister wurde in Hamburg mit einem Bußgeld von 900.000 Euro belegt, weil er mehrere Jahre lang (teilweise bis zu fünf Jahre) sensible Schuldnerdaten aufbewahrte, obwohl die gesetzlichen Löschfristen längst abgelaufen waren.
CEF 2025 – Koordinierte Prüfaktion zum Recht auf Löschung (Art. 17 DSGVO)
Der Europäische Datenschutzausschuss (EDSA) führt seit 5. März 2025 eine europaweite Prüfaktion zum Recht auf Löschung gemäß Art. 17 DSGVO durch. Die Aufsichtsbehörden in Deutschland (einschließlich der BfDI) beteiligen sich an der EU-weiten CEF-Prüfung 2025 zum Recht auf Löschung. Mit standardisierten Fragebögen wird geprüft, ob Unternehmen Löschanfragen zuverlässig, dokumentiert und technisch umgesetzt haben.
Aktuelle Gerichtsurteile
OLG Dresden, Urteil vom 15. Oktober2024
Verantwortliche müssen die tatsächliche Löschung durch einen Auftragsverarbeiter aktiv überwachen und eine schriftliche Bestätigung über deren Durchführung der Löschung einholen – bloße mündliche Zusagen oder Versprechen reichen nicht (Az.: 4 U 422/24).
VG Bremen, Urteil vom 17.Dezember 2024
Ein Betroffener muss detailliert nachweisen können, wann, wie, von wem und in welchem Umfang Daten gelöscht wurden, inklusive Angaben zu Speichermedium, Dateiname, Umfang und Backups – vage Aussagen genügen nicht (Az.: 4 K 2298/23).
AG München, Facebook-Urteil vom 13. Februar 2025
Das AG stellte klar, dass ein Löschanspruch entfallen kann, wenn die Daten weiterhin rechtmäßig für andere Zwecke verarbeitet werden oder eine nachträgliche Einwilligung vorliegt (Az.: 122 C 11829/24).
OLG Stuttgart, Urteil vom 4. April 2025
Bei massenhafter Datenverarbeitung sind pauschale Regellöschfristen (standardisierte Löschfristen) statt individueller Einzelfallprüfungen erlaubt (Az.: U 141/24).
OLG Köln, Urteil vom 10. April 2025
Die Langzeitspeicherung von Einträgen über beglichene Schulden bei Auskunfteien verstößt gegen EU‑Datenschutzrecht, wenn sie über das angemessene Maß hinausgeht (Az.: 15 U 249/24).
OVG Berlin‑Brandenburg, Urteil vom 13. Mai 2025
Das OVG fordert, dass Videoaufnahmen aus öffentlichen Verkehrsmitteln nicht zwingend nach Art. 15 DSGVO herausgegeben werden müssen, wenn ein datenschutzkonformes Konzept – z. B. Löschung nach 48 Stunden – vorliegt (Az.: 12 B 14/23).
Fazit: Nur Löschen mit System ist datenschutzkonform
Ein wirksames, dokumentiertes Löschkonzept bleibt essenziell – nicht nur zur Einhaltung der DSGVO, sondern auch im Fokus aktueller Aufsichtsprüfungen wie der CEF-Initiative (2025). Um erhöhten Strafen zu entgehen und Betroffenen ihr Grundrecht auf informationelle Selbstbestimmung wirksam einzuräumen, sollten Unternehmen eine systematische Vorgehensweise zur Löschung von Daten etablieren, diese im Zuge der Geschäftsprozesse leben und regelmäßig anpassen. Ein Löschkonzept ist dafür der ideale Ausgangspunkt.
Vor dem Hintergrund der neuen Entwicklungen ist es unerlässlich, Löschprozesse nicht nur rechtlich sauber zu planen, sondern auch technisch durchzusetzen, nachweisbar zu dokumentieren und regelmäßig zu aktualisieren – um Bußgelder, Reputationsschäden und Rechtsnachteile konsequent zu vermeiden.