Warum Löschfristen in der Praxis so entscheidend sind
Löschfristen spielen eine zentrale Rolle in der Datenschutz-Grundverordnung (DSGVO) und sind für kleine und mittlere Unternehmen (KMU) sowie Franchise-Systeme besonders wichtig.
Stellen Sie sich folgendes Szenario vor: Ein ehemaliger Mitarbeiter oder Kunde fordert die Löschung seiner personenbezogenen Daten. Nach Art. 17 DSGVO („Recht auf Vergessenwerden“) sind Sie verpflichtet, diesem Wunsch nachzukommen – sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
In der Praxis entstehen genau hier viele Probleme. Welche Daten müssen sofort gelöscht werden? Welche dürfen Sie noch speichern – und wie lange? Welche Fristen gelten für Bewerbungsunterlagen, Rechnungen oder Videoaufzeichnungen?
Für KMU ist diese Frage entscheidend, da sie täglich große Mengen personenbezogener Daten verarbeiten. Fehlen klare Regeln, riskieren Unternehmen nicht nur Bußgelder, sondern auch Reputationsschäden und Vertrauensverluste.
Ein durchdachtes Konzept, um die gesetzlichen Fristen für die Löschung einzuhalten, ist daher unverzichtbar.
Häufige Fehler bei Löschfristen in der Praxis
Viele Unternehmen setzen die Fristen zur Löschung nur unzureichend um.
Die häufigsten Fehler sind:
- Fehlende Dokumentation
Die genauen Löschungsdaten werden nicht im Verzeichnis der Verarbeitungstätigkeiten (VVT) hinterlegt. Ohne Nachweis drohen Sanktionen.
- Unklare Verantwortlichkeiten
Es ist nicht festgelegt, welche Abteilung (z. B. HR, IT, Buchhaltung) für die Einhaltung der Fristen zuständig ist.
- Keine automatisierten Löschroutinen
Daten werden manuell gelöscht, was in der Praxis häufig vergessen wird. Systeme sollten automatisiert löschen oder zumindest Löschhinweise ausgeben.
- Vermischung von Aufbewahrungspflichten und Löschpflichten
Daten werden zu lange gespeichert, weil gesetzliche Aufbewahrungsfristen falsch interpretiert oder pauschal verlängert werden. - „Auf Vorrat“ gespeicherte Daten
Nicht mehr benötigte Bewerbungsunterlagen, Kundenkontakte oder Videoaufzeichnungen bleiben jahrelang gespeichert – ein klarer Verstoß gegen die DSGVO.
Tipp: Ein strukturiertes Löschkonzept, das sowohl die Fristen zur Löschung, als auch die Aufbewahrungspflichten berücksichtigt, schafft hier Sicherheit.
Rechtlicher Hintergrund: DSGVO & Aufbewahrungsfristen
Die DSGVO sieht in Art. 5 Abs. 1 lit. e die sogenannte Speicherbegrenzung vor. Das bedeutet:
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
In der Praxis heißt das: Sobald der Zweck entfällt, müssen Daten gelöscht werden – es sei denn, es bestehen gesetzliche Aufbewahrungsfristen und DSGVO Löschfristen, z. B. aus dem Handelsgesetzbuch (HGB) oder der Abgabenordnung (AO).
Beispiel: Rechnungsunterlagen enthalten personenbezogene Daten, die steuerrechtlich 10 Jahre aufzubewahren sind. Erst danach dürfen sie gelöscht werden. Hier zeigt sich, dass die Fristen zur Löschung und gesetzliche Aufbewahrungspflichten immer zusammengedacht werden müssen.
Die IHK stellt hierzu entsprechende Übersichten zu den Aufbewahrungspflichten zur Verfügung.
Typische Löschfristen in Unternehmen – Praxisbeispiele
Im Folgenden finden Sie typische Datenarten, die in nahezu jedem KMU vorkommen.
Die Tabellen geben Ihnen einen Überblick über gesetzliche Vorgaben und empfohlene Fristen zur Datenlöschung.
1. Mitarbeiter- und Bewerberdaten
| Datenart | Aufbewahrungspflicht | Empfohlene Frist zur Löschung |
| Bewerbungsunterlagen | Keine gesetzliche Pflicht | 6 Monate nach Absage (AGG-Frist) |
| Personalakten | Arbeitsrechtliche Vorgaben | Nach Ende des Arbeitsverhältnisses + 3 Jahre (Verjährung) |
| Lohn- & Gehaltsabrechnungen | 10 Jahre (AO) | Nach Ablauf der Frist |
Praxisbezug:
Bewerbungsunterlagen dürfen Sie nicht unbegrenzt aufbewahren. Nach einer Absage müssen personenbezogene Daten nach 6 Monaten gelöscht werden, um sich gegen mögliche Diskriminierungsklagen abzusichern.
Personalakten hingegen dürfen Sie während des Arbeitsverhältnisses speichern, müssen aber nach dessen Ende regelmäßig geprüft und gelöscht werden.
Die in der DSGVO festgelegten Fristen zur Löschung helfen hier, klare Prozesse festzulegen.
Hinweis:
Sie können Bewerberinnen und Bewerber ausdrücklich um eine Einwilligung zur längeren Speicherung ihrer Bewerbungsunterlagen bitten, falls beispielsweise ein späterer Kontakt oder eine Berücksichtigung für zukünftige Stellen in Frage kommt.
Diese Einwilligung muss freiwillig, informiert und dokumentiert erfolgen. Achten Sie darauf, dass bei der Löschung von Bewerbungsunterlagen eine entsprechende Dokumentation der Löschung und des Löschzeitpunkts erfolgen sollte.
Nur so können Sie den Nachweis der ordnungsgemäßen Datenverarbeitung gewährleisten.
2. Kundendaten
| Datenart | Aufbewahrungspflicht | Empfohlene Frist zur Löschung |
| Bestell- und Vertragsdaten | 6–10 Jahre (HGB, AO) | Nach Ablauf der gesetzlichen Frist |
| Newsletter-Abonnements | Keine gesetzliche Pflicht | Sofort nach Widerruf der Einwilligung |
| CRM-Daten (Kundenkontakte) | Keine gesetzliche Pflicht | Nach Beendigung der Geschäftsbeziehung + 3 Jahre |
Praxisbezug:
Kundendaten sind für jedes KMU geschäftskritisch. Doch nach Vertragsende dürfen diese nicht unbegrenzt gespeichert bleiben. Newsletter-Daten müssen Sie nach einem Widerruf sofort löschen. CRM-Systeme sollten regelmäßig überprüft und bereinigt werden, um die Einhaltung der DSGVO-konformen Fristen zur Datenlöschung sicherzustellen.
Hinweis:
Die Löschung in CRM-Systemen sollte automatisiert und nach festen Regeln erfolgen. Lösch- oder Anonymisierungsroutinen prüfen regelmäßig, ob Datensätze (z.B. Kundendaten nach Vertragsende) entfernt werden müssen. Diese Vorgänge sollten dokumentiert sein, um die DSGVO einzuhalten.
Auch Backups müssen berücksichtigt werden, da dort ebenfalls personenbezogene Daten gespeichert sind.
Nach Ablauf der Fristen sollten Backups gelöscht oder so organisiert werden, dass gezielte Datenentfernung möglich ist.
Die Backup-Strategie sollte von Beginn an auf Löschanforderungen abgestimmt sein.
3. Geschäftsdokumente & Rechnungen
| Datenart | Aufbewahrungspflicht | Empfohlene Frist zur Löschung |
| Rechnungen & Buchungsbelege | 10 Jahre (AO, HGB) | Nach Ablauf der Frist |
| Verträge | Bis 10 Jahre (je nach Typ) | Nach Ablauf der Frist |
Praxisbezug:
Rechnungen sind ein klassisches Beispiel für widersprüchliche Vorgaben. Einerseits fordert die DSGVO deren Löschung nach Wegfall des Zwecks, andererseits bestehen steuerrechtliche Aufbewahrungspflichten.
Erst wenn diese Fristen abgelaufen sind, dürfen Rechnungen endgültig gelöscht werden.
Hinweis:
Bitte beachten Sie, dass alle Löschvorgänge nachvollziehbar dokumentiert werden müssen. Außerdem sind die zu archivierenden Daten so aufzubewahren, dass sie revisionssicher sind. Das bedeutet, dass sie vor nachträglichen Veränderungen geschützt und jederzeit überprüfbar sein müssen.
4. Videoüberwachung & Zutrittskontrollen
| Datenart | Aufbewahrungspflicht | Empfohlene Frist zur Löschung |
| Videoaufzeichnungen | Keine gesetzliche Pflicht | 48–72 Stunden (sofern keine Vorfälle) |
| Zutrittsprotokolle | Keine gesetzliche Pflicht | 90 Tage |
Praxisbezug:
Videoüberwachung ist im Einzelhandel oder bei Produktionsbetrieben häufig. Hier schreibt die DSGVO vor, dass Aufnahmen nach kurzer Zeit gelöscht werden müssen, wenn kein Vorfall dokumentiert wurde.
Eine dauerhafte Speicherung ohne konkreten Anlass ist unzulässig. Auch Zutrittsprotokolle müssen regelmäßig bereinigt werden, um die DSGVO Löschfristen einzuhalten.
Hinweis:
Um die Einhaltung der Löschfristen bei Videoüberwachung zu belegen, führen Sie ein Löschprotokoll für jede Kamera, das Aufzeichnungs- und Löschzeitpunkte festhält. Ergänzen Sie dies ggf. durch Nachweise wie Screenshots oder Systemprotokolle und überprüfen Sie die Dokumentation regelmäßig für behördliche Kontrollen.
Informieren Sie alle betroffenen Personen, etwa durch Hinweisschilder oder Aushänge, klar und verständlich über die Erhebung, Speicherung und Löschung ihrer Daten, zum Beispiel bei Videoüberwachung oder Zutrittsprotokollen. Geben Sie die Speicherzwecke und die Rechte der Betroffenen an. Halten Sie die Informationsweitergabe schriftlich fest, um sie bei Prüfungen durch Behörden nachweisen zu können.
Risiken bei Missachtung von Löschfristen
Unternehmen, die die durch die DSGVO vorgegebenen Fristen zur Löschung nicht beachten, laufen Gefahr, empfindliche Strafen zu kassieren:
- Bußgelder: Nach Art. 83 DSGVO bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes.
- Abmahnungen: Wettbewerber oder Verbraucherschutzverbände können Datenschutzverstöße verfolgen.
- Vertrauensverlust: Kunden achten zunehmend darauf, wie Unternehmen mit Daten umgehen. Zu lange gespeicherte Daten wirken unseriös.
Besonders gefährlich: Behörden nutzen mittlerweile teilautomatisierte Prüfverfahren, die Datenschutzverstöße schneller sichtbar machen.
Hilfestellungen für die Praxis – so setzen Sie ein DSGVO-konformes Löschkonzept um
Damit Ihr Unternehmen Löschfristen einhalten kann, empfehlen wir folgende Schritte:
1. Ermitteln und dokumentieren Sie genaue Löschzeitpunkte
- Alle Datenarten im Verzeichnis der Verarbeitungstätigkeiten (VVT) erfassen
- Gesetzliche Aufbewahrungsfristen prüfen und dokumentieren
- Löschzeitpunkte verbindlich festlegen
2. Technische Umsetzung
- Löschroutinen in IT-Systemen einrichten (z. B. automatische Löschung nach Fristablauf)
- Funktionen in CRM- oder HR-Software nutzen, um Daten mit Löschkennzeichen zu versehen
3. Verantwortlichkeiten definieren
- Benennen Sie interne Verantwortliche für Datenlöschung (IT, HR, Buchhaltung)
- Schulen Sie Mitarbeiter regelmäßig zu DSGVO Löschfristen
4. Verträge und AVV regeln
- Stellen Sie sicher, dass auch Auftragsverarbeiter (z. B. IT-Dienstleister, Cloud-Anbieter) die vorgegebenen Löschzeitpunkte einhalten
- Verankern Sie klare Regeln in Auftragsverarbeitungsverträgen
Fazit – Löschfristen als Chance für Vertrauen und Rechtssicherheit
Die Einhaltung von Löschzeitpunkten nach DSGVO ist mehr als eine gesetzliche Pflicht – sie ist ein Qualitätsmerkmal moderner Unternehmensführung.
Unternehmen, die Daten rechtzeitig löschen, zeigen Verantwortung, Transparenz und schaffen Vertrauen.
Ein klar dokumentiertes Löschkonzept schützt Sie nicht nur vor Bußgeldern und Abmahnungen, sondern verbessert auch Ihre Wettbewerbsposition. Gerade KMU und Franchise-Unternehmen profitieren von klaren Prozessen, da sie Ressourcen sparen und gleichzeitig Rechtssicherheit gewinnen.
Wer jetzt handelt, sichert sich nicht nur vor Sanktionen ab, sondern gewinnt auch das Vertrauen seiner Kunden.
Ein weiteres Thema sind die Informationspflichten rund um die gespeicherten Daten. Lesen Sie hierzu gerne unseren Blogartikel 4 wichtige Punkte zu der Informationspflicht.
Unser Service – Unterstützung durch Perfekter Datenschutz
Die Umsetzung von DSGVO Löschfristen ist komplex und betrifft nahezu alle Bereiche eines Unternehmens.
Wir von Perfekter Datenschutz unterstützen Sie praxisnah und rechtssicher:
- Erstellung individueller Löschkonzepte für KMU & Franchise-Unternehmen
- Prüfung bestehender Verarbeitungsverzeichnisse und Aufbewahrungsfristen
- Unterstützung bei Audits und Behördenprüfungen
- Stellung eines externen Datenschutzbeauftragten
Kontaktieren Sie uns für eine kostenfreie Erstberatung.
Wir zeigen Ihnen, wie Sie Ihre Datenverarbeitung rechtssicher gestalten und Bußgelder vermeiden.
