kostenlos starten

Löschkonzept DSGVO: Praxis-Leitfaden für rechtskonforme Datenlöschung

Ein Löschkonzept ist keine bürokratische Pflichtübung — es ist das Fundament eines rechtskonformen Datenschutzmanagementsystems. Die DSGVO verpflichtet Unternehmen, personenbezogene Daten nicht länger aufzubewahren als erforderlich. Wer kein funktionierendes Löschkonzept hat, riskiert Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.

Dieser Praxis-Leitfaden erklärt, was ein DSGVO-konformes Löschkonzept enthält, welche gesetzlichen Fristen gelten und wie Sie ein Löschkonzept Schritt für Schritt aufbauen — mit konkreten Beispielen für typische Unternehmensdaten.

Rechtsgrundlage: Was sagt die DSGVO zur Datenlöschung?

Die Pflicht zur Datenlöschung ergibt sich aus zwei zentralen Vorschriften der DSGVO:

Art. 5 Abs. 1 lit. e DSGVO — Speicherbegrenzung: Personenbezogene Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.“ Das ist der Grundsatz der Speicherbegrenzung — einer der sieben Datenschutzgrundsätze der DSGVO.

Art. 17 DSGVO — Recht auf Löschung: Betroffene Personen haben das Recht, die Löschung ihrer Daten zu verlangen. Verantwortliche müssen personenbezogene Daten unverzüglich löschen, wenn der ursprüngliche Zweck entfallen ist, die Einwilligung widerrufen wurde oder keine andere Rechtsgrundlage mehr greift.

Das Bundesverwaltungsgericht hat in seinem Urteil vom 27. März 2019 (Az. 6 C 7/18) klargestellt, dass die Löschpflicht nicht auf Anfrage beschränkt ist: Unternehmen müssen Daten eigenständig löschen, sobald der Verarbeitungszweck entfallen ist — unabhängig davon, ob eine betroffene Person dies verlangt.

Das OVG Niedersachsen hat in einem weiteren Grundsatzurteil (Az. 14 LC 60/21) entschieden, dass ein fehlendes Löschkonzept als systematischer Datenschutzverstoß gewertet werden kann, der die gesamte Verarbeitungstätigkeit in Frage stellt.

Was ist ein Löschkonzept?

Ein Löschkonzept (auch: Löschfristenkonzept) ist ein strukturiertes Dokument, das für alle Kategorien personenbezogener Daten im Unternehmen folgende Informationen festlegt:

  • Datenkategorie: Welche Art von Daten wird verarbeitet? (z. B. Kundendaten, Bewerberdaten, Mitarbeiterdaten)
  • Rechtsgrundlage der Verarbeitung: Art. 6 Abs. 1 DSGVO (Einwilligung, Vertrag, berechtigtes Interesse etc.)
  • Aufbewahrungsfrist: Wie lange müssen / dürfen die Daten gespeichert werden?
  • Rechtsgrundlage der Frist: Gesetzliche Aufbewahrungspflicht (HGB, AO, etc.) oder eigener Zweckentfall
  • Löschmaßnahme: Wie werden die Daten gelöscht? (vollständige Löschung, Anonymisierung, Archivierung)
  • Verantwortlicher Prozess: Wer führt die Löschung durch?

Das Löschkonzept ist Teil des Verarbeitungsverzeichnisses nach Art. 30 DSGVO. Beide Dokumente sollten aufeinander abgestimmt sein: Das VVT listet die Verarbeitungstätigkeiten, das Löschkonzept regelt deren Ende. Mehr dazu im Artikel Löschfristen im Verarbeitungsverzeichnis.

Gesetzliche Aufbewahrungsfristen: Was darf nicht sofort gelöscht werden?

Die DSGVO verbietet unnötig lange Datenspeicherung — aber andere Gesetze schreiben Mindestaufbewahrungsfristen vor. Diese gesetzlichen Aufbewahrungspflichten schaffen eine Rechtsgrundlage nach Art. 17 Abs. 3 DSGVO, die die Löschpflicht temporär außer Kraft setzt.

Die wichtigsten gesetzlichen Fristen für Unternehmen:

Datenkategorie Frist Rechtsgrundlage
Buchungsbelege, Rechnungen, Jahresabschlüsse 10 Jahre § 257 HGB, § 147 AO
Handelsbriefe (Angebote, Verträge, Bestellungen) 6 Jahre § 257 HGB
Lohn- und Gehaltsabrechnungen 10 Jahre § 147 AO
Arbeitszeitnachweise 2 Jahre § 16 MiLoG
Bewerbungsunterlagen (Abgelehnter) 6 Monate (nach AGG) § 15 Abs. 4 AGG
Kundendaten (nach Vertragsende) 3 Jahre (Verjährung) § 195 BGB

Eine vollständige Übersicht über die geltenden Fristen finden Sie im Artikel Aufbewahrungsfristen nach DSGVO.

Schritt-für-Schritt: Löschkonzept erstellen

Schritt 1: Datenkategorien inventarisieren

Beginnen Sie mit einer vollständigen Erfassung aller personenbezogenen Daten in Ihrem Unternehmen. Nutzen Sie dafür Ihr Verarbeitungsverzeichnis als Ausgangsbasis. Typische Kategorien: Kundendaten, Lieferantendaten, Mitarbeiterdaten, Bewerberdaten, Newsletter-Abonnenten, Website-Besucher.

Schritt 2: Verarbeitungszweck und Rechtsgrundlage bestimmen

Für jede Datenkategorie: Was ist der Zweck der Verarbeitung? Welche Rechtsgrundlage nach Art. 6 DSGVO liegt vor? Wenn der Zweck entfällt, entfällt auch die Rechtsgrundlage — und damit entsteht die Löschpflicht.

Schritt 3: Gesetzliche Aufbewahrungspflichten prüfen

Gibt es eine gesetzliche Pflicht, die Daten länger aufzubewahren? Steuerrecht (AO), Handelsrecht (HGB), Arbeitsrecht (MiLoG, AGG), berufsrechtliche Pflichten? Diese Fristen haben Vorrang vor dem Löschgebot der DSGVO.

Schritt 4: Löschfrist festlegen

Die Löschfrist ist das Minimum aus: Ende des Verarbeitungszwecks + gesetzliche Aufbewahrungsfrist. Praxis-Beispiel: Rechnungen an Kunden — Verarbeitungszweck endet mit Zahlungseingang, gesetzliche Frist 10 Jahre (§ 257 HGB) — Löschung nach 10 Jahren nach Rechnungsdatum.

Schritt 5: Löschmethode festlegen

Nicht jede Löschung ist eine Dateivernichtung. Mögliche Löschmethoden nach dem Stand der Technik (Art. 32 DSGVO):

  • Vollständige Löschung: Datensatz wird aus allen Systemen entfernt (inkl. Backups nach Backup-Zyklus)
  • Anonymisierung: Alle Identifizierungsmerkmale werden entfernt — anonymisierte Daten fallen nicht mehr unter die DSGVO
  • Archivierung: Daten werden in ein Archiv mit eingeschränktem Zugriff verschoben (nur für gesetzliche Aufbewahrungspflichten)

Schritt 6: Prozess etablieren und dokumentieren

Das beste Löschkonzept nützt nichts ohne Umsetzungsprozess. Legen Sie fest: Wer löst die Löschung aus? Manuell oder automatisch? In welchem System? Wer kontrolliert die Umsetzung? Und wie wird die Löschung dokumentiert?

Löschkonzept und Betroffenenrechte

Das Löschkonzept hat eine enge Verbindung zu den Betroffenenrechten der DSGVO. Wenn eine betroffene Person ihr Recht auf Löschung nach Art. 17 DSGVO ausübt, muss das Unternehmen reagieren — und das Löschkonzept zeigt den Weg. Mehr zu den Betroffenenrechten im Kontext der Datenlöschung finden Sie im Artikel Betroffenenrechte nach DSGVO — Recht auf Löschung.

Artikel 17 Abs. 3 DSGVO nennt die Ausnahmen: Freiheit der Meinungsäußerung, Erfüllung rechtlicher Verpflichtungen, Geltendmachung von Rechtsansprüchen. Auch hier hilft das Löschkonzept: Es dokumentiert, welche Ausnahmen für welche Datenkategorien gelten.

Praxis-Beispiele für typische Unternehmensdaten

Kundendaten nach Vertragsende

Situation: Kunde beendet Vertrag. Welche Daten dürfen wie lange gespeichert bleiben?

  • Rechnungen: 10 Jahre (§ 257 HGB)
  • Vertragskorrespondenz: 6 Jahre (§ 257 HGB)
  • Marketing-Einwilligung: Sofort löschen wenn widerrufen, sonst bis Ende der Einwilligungszweck-Erfüllung
  • CRM-Einträge ohne Rechtsgrundlage: Sofort nach Zweckentfall löschen

Bewerberdaten (nicht eingestellt)

Situation: Bewerbung abgelehnt. Fristen nach AGG: 6 Monate nach Ablehnung (§ 15 Abs. 4 AGG, Verjährung des Diskriminierungsanspruchs). Empfehlung: Automatische Löschroutine 6 Monate nach Ablehnungsschreiben.

Mitarbeiterdaten nach Beendigung des Arbeitsverhältnisses

Komplexester Fall: Lohn/Gehalt (10 Jahre AO), Arbeitszeugnisse (im Zweifelsfall dauerhaft archivieren), allgemeine Personaldaten (3 Jahre Verjährung nach § 195 BGB nach Beendigung). Das Arbeitsgericht Frankfurt hat in einem Urteil (Az. 8 Ca 2301/20) bestätigt, dass Arbeitgeber Gesundheitsdaten von Mitarbeitern nach Beendigung des Arbeitsverhältnisses ohne Aufbewahrungsgrund unverzüglich löschen müssen.

Häufige Fehler beim Löschkonzept

  • Pauschale Fristen ohne Einzelfallprüfung: „Wir löschen alles nach 10 Jahren“ ist kein rechtskonformes Löschkonzept. Jede Datenkategorie braucht eine eigene Fristenermittlung.
  • Löschkonzept ohne Prozess: Ein Dokument ohne Umsetzungsroutine erfüllt die DSGVO-Anforderungen nicht. Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) verlangt den Nachweis der tatsächlichen Umsetzung.
  • Backups vergessen: Gelöschte Daten in aktiven Produktivsystemen müssen auch nach Backup-Rotation aus Backups verschwinden. Hier empfiehlt sich ein Backup-Zyklus-Konzept.
  • Keine Dokumentation der Löschung: Die Aufsichtsbehörde kann im Rahmen einer Prüfung den Nachweis verlangen, dass Daten tatsächlich gelöscht wurden. Löschprotokolle sind Pflicht.

Löschkonzept und Recht auf Löschung nach Art. 17 DSGVO: Was müssen Sie wissen?

Wenn eine betroffene Person die Löschung verlangt, gelten enge Fristen. Art. 12 Abs. 3 DSGVO schreibt vor, dass Unternehmen ohne unangemessene Verzögerung, spätestens aber innerhalb eines Monats reagieren müssen. Das Löschkonzept unterstützt Sie dabei: Es zeigt, ob eine Löschpflicht besteht oder ob eine Ausnahme nach Art. 17 Abs. 3 DSGVO greift.

Details zu Ihrem Recht auf Datenlöschung als betroffene Person und zur Umsetzungspflicht als Unternehmen finden Sie im Artikel Recht auf Datenlöschung nach Art. 17 DSGVO. Wenn Sie wissen möchten, ab wann konkret eine Löschpflicht entsteht, hilft der Artikel Wann müssen Unternehmen Daten löschen?

Datenlöschung automatisieren und rechtssicher dokumentieren — das ermöglicht Datenlöschung automatisieren mit PLANIT PRIMA. Das System unterstützt Sie bei der Erstellung, Verwaltung und Umsetzung Ihres Löschkonzepts.

Löschprotokoll: Nachweis der tatsächlichen Löschung

Art. 5 Abs. 2 DSGVO verpflichtet Unternehmen zur Rechenschaft — sie müssen nicht nur konform handeln, sondern dies auch nachweisen können. Ein Löschprotokoll ist der Nachweis, dass Daten tatsächlich gelöscht wurden. Es sollte mindestens enthalten:

  • Datum der Löschung: Wann wurden die Daten gelöscht?
  • Datenkategorie: Welche Datenkategorie wurde gelöscht?
  • Löschmethode: Wie wurden die Daten gelöscht (vollständige Löschung, Anonymisierung, Archivierung)?
  • Verantwortliche Person: Wer hat die Löschung durchgeführt oder veranlasst?
  • Auslöser: Warum wurde gelöscht? (Zweckentfall, Ablauf der Aufbewahrungsfrist, Löschantrag nach Art. 17 DSGVO)

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in seiner Orientierungshilfe zu Löschkonzepten (2021) betont, dass Aufsichtsbehörden bei Prüfungen konkrete Nachweise für die Umsetzung von Löschkonzepten einfordern können. Ein fehlendes Löschprotokoll ist ein Indiz dafür, dass das Löschkonzept nur auf dem Papier existiert.

Technische Umsetzung: Löschung in verschiedenen Systemen

Theoretische Löschfristen bringen nichts, wenn die technische Umsetzung fehlt. Die wichtigsten Systeme und ihre Besonderheiten:

  • CRM-Systeme: Viele CRM-Tools haben keine nativen Löschfunktionen. Prüfen Sie, ob Ihr CRM automatische Löschroutinen unterstützt oder ob eine manuelle Löschung notwendig ist.
  • E-Mail-Server: E-Mail-Archive unterliegen den gleichen Löschpflichten wie andere Systeme. Automatische Löschregeln nach Ablauf definierter Fristen sind Best Practice.
  • Cloud-Dienste: Bei Auftragsverarbeitern (Art. 28 DSGVO) muss der AVV eine Klausel zur Löschung auf Anweisung enthalten. Nach Vertragsende muss der Auftragsverarbeiter alle Daten löschen oder zurückgeben.
  • Backup-Systeme: Backups folgen dem regulären Backup-Zyklus. Wichtig: Für die Dauer der Backup-Aufbewahrung gelten die DSGVO-Regeln — Backups sind keine „Grauzone“ für die Speicherbegrenzung.

Häufige Fragen

Ist ein Löschkonzept gesetzlich vorgeschrieben?

Die DSGVO schreibt kein „Löschkonzept“ als eigenständiges Dokument vor, aber die Grundsätze der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) und Rechenschaftspflicht (Art. 5 Abs. 2) sowie das Recht auf Löschung (Art. 17) machen ein systematisches Löschkonzept faktisch unerlässlich. Ohne Löschkonzept können Sie bei einer Prüfung nicht nachweisen, dass Sie rechtskonform handeln.

Was ist der Unterschied zwischen Löschfristen und Aufbewahrungsfristen?

Aufbewahrungsfristen sind gesetzliche Mindestfristen — Daten dürfen bis zum Ablauf der Frist nicht gelöscht werden (z. B. 10 Jahre für Buchungsbelege nach § 257 HGB). Löschfristen sind die Zeitpunkte, zu denen Daten spätestens gelöscht werden müssen. Die Löschfrist ergibt sich als Summe aus Aufbewahrungsfrist und eventuell laufender Geschäftstätigkeit.

Müssen auch Backups nach dem Löschkonzept bereinigt werden?

Ja. Art. 5 Abs. 1 lit. e DSGVO gilt für alle Speicherorte, also auch für Backups. In der Praxis wird das über Backup-Zyklen gelöst: Nach einer definierten Anzahl von Backup-Generationen sind auch die Daten aus dem Backup entfernt. Die genaue Frist hängt vom Backup-Konzept ab.

Was passiert bei einem Verstoß gegen das Löschgebot?

Verstöße gegen Art. 5 oder Art. 17 DSGVO können gemäß Art. 83 Abs. 5 DSGVO mit bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden. Zusätzlich können Betroffene Schadensersatz nach Art. 82 DSGVO geltend machen.

Gilt das Löschkonzept auch für E-Mails?

Ja. Auch E-Mails enthalten personenbezogene Daten und unterliegen den DSGVO-Grundsätzen. Viele Unternehmen unterschätzen das. Eine E-Mail-Löschpolicy mit automatischer Löschung nach definierten Fristen (unter Berücksichtigung gesetzlicher Aufbewahrungsfristen für Handelsbriefe) ist gute Praxis.

Weitere Beiträge

Betroffenenanfrage DSGVO: Fristen, Prozess und Pflichten für Unternehmen

Erhält Ihr Unternehmen eine Betroffenenanfrage nach der DSGVO, zählt jede Stunde. Art. 12 Abs.

Warum ChatGPT falsche juristische Antworten gibt – und wie man das verhindert

Das Problem betrifft nicht nur ChatGPT, sondern alle großen Sprachmodelle wie Claude oder Microsoft

Verjährung bei Datenschutzverletzungen: Fristen nach BGB und DSGVO

Unter Verjährung bei Datenschutzverletzungen versteht man den Zeitraum, nach dessen Ablauf Ansprüche aus einer

DSGVO und „Blacklists“: Welche Dienste kritisch sein können und was Unternehmen beachten sollten 

Viele Unternehmen stellen sich eine zentrale Frage: Gibt es eine offizielle Liste mit Tools oder

blog DSGVO Auskunftsersuchen Rechtsmissbrauch

EuGH-Urteil C-526/24 – DSGVO-Hopping rechtssicher abwehren

Zusammenfassung für Eilige Der Europäische Gerichtshof (EuGH) hat am 19. März 2026 im Urteil

Haftung von Datenschutzbeauftragten nach DSGVO und BDSG

Was Datenschutzbeauftragte und Unternehmen wissen müssen Datenschutzbeauftragte (DSB) tragen eine zentrale Verantwortung im Unternehmen:

Anonymisierung – Die Datenschutz Super Kraft

Die Verarbeitung personenbezogener Daten löst hohe regulatorische Anforderungen und damit verbundenen Risiken für betroffene

Zukunft der Datenschutz-Software: Vom Datengrab zum Compliance-Workflow

Eine zunehmende Zahl an Unternehmen setzt auf Datenschutz-Software und wiegt sich in der vermeintlichen

Akteneinsicht 2.0: Wie Software zur Dokumentenaufbereitung die öffentliche Verwaltung vom „Schwärzungs-Burnout“ befreit 

Moderne Verwaltung steht unter Dauerstrom. Zwischen Digitalisierungsdruck und dem Ruf nach maximaler Transparenz klafft

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
// PRIMA-Tour

Changelog

Downloads

Datenschutz-Management-Software

DSGVO Audit

DSGVO Audit Bericht

DSGVO Audit Software
DSGVO-Software
DSGVO-Tool

 

Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024