DSGVO & Löschfristen: Jetzt handeln❗️Was Unternehmen 2025 tun müssen

1. Warum das Thema gerade jetzt wichtig ist

Das Recht auf Löschung nach Artikel 17 DSGVO – auch bekannt als „Recht auf Vergessenwerden“ – zählt zu den am häufigsten geltend gemachten Rechten von betroffenen Personen. Es ist zugleich einer der häufigsten Auslöser für Beschwerden bei Datenschutzaufsichtsbehörden.

Aktuell kündigt sich mit der sogenannten CEF-Aktion eine koordinierte Prüfung durch europäische Datenschutzbehörden an. Dabei soll unter anderem kontrolliert werden, ob Unternehmen die Löschpflichten gemäß DSGVO wirksam umsetzen.

➡ Unternehmen sollten diese Entwicklung ernst nehmen und ihre Löschprozesse jetzt auf den Prüfstand stellen.

Wer noch kein dokumentiertes Löschkonzept hat oder dieses nicht konsequent umsetzt, riskiert empfindliche Bußgelder nach Artikel 83 DSGVO.

2. Rechtliche Grundlage: Was verlangt die DSGVO konkret?

Die Datenschutz-Grundverordnung macht in mehreren Artikeln deutlich, dass die Speicherung personenbezogener Daten zeitlich begrenzt und zweckgebunden sein muss.

◾️Artikel 5 Abs. 1 lit. e DSGVO – Speicherbegrenzung

„Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.“

◾️Artikel 17 DSGVO – Recht auf Löschung

Betroffene Personen haben das Recht, die unverzügliche Löschung ihrer Daten zu verlangen, insbesondere wenn:

• der Verarbeitungszweck entfällt,

• die Einwilligung widerrufen wird,

• oder die Verarbeitung unrechtmäßig war.

◾️ Artikel 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten

Dieses muss auch die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien enthalten.

◾️Artikel 32 DSGVO – Technische und organisatorische Maßnahmen

Unternehmen müssen Systeme einrichten, die Löschfristen technisch umsetzen und gegen unbefugte Zugriffe sichern.

 

3. Warum sind Löschfristen für Unternehmen so entscheidend?

Datenschutz & Compliance

Ein klares Löschkonzept reduziert das Risiko von Datenschutzverletzungen und ist ein zentraler Baustein zur Einhaltung der DSGVO.

✅ Rechtssicherheit

Gespeicherte Daten ohne rechtliche Grundlage stellen ein erhebliches Bußgeldrisiko dar – bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes.

✅ Vertrauen

Kunden, Mitarbeitende und Partner erwarten, dass ihre Daten verantwortungsvoll und nicht „auf Vorrat“ gespeichert werden.

4. Welche Arten von Löschfristen gibt es?

1️⃣ Gesetzliche Aufbewahrungsfristen (Vorrangig)

Beispiele:

• Rechnungs- & Buchungsunterlagen: 10 Jahre nach § 147 AO

• Handelsbriefe: 6 Jahre nach § 257 HGB

• Arbeitsrechtliche Ansprüche: regelmäßig 3 Jahre (Verjährungsfrist nach § 195 BGB)

➡ Während dieser Fristen müssen Daten gespeichert bleiben, auch wenn ein Löschverlangen vorliegt. Erst danach ist eine Löschung zulässig.

2️⃣ Zweckgebundene Verarbeitungsfristen

Gemäß Artikel 5 Abs. 1 lit. b und e DSGVO dürfen personenbezogene Daten nur so lange gespeichert werden, wie dies für den konkreten Verarbeitungszweck erforderlich ist.

Beispiel:

• Bewerbungsunterlagen: i.d.R. 6 Monate nach Absage

• Newsletter-Daten: bis zum Widerruf der Einwilligung

3️⃣ Fristen bei berechtigtem Interesse (Artikel 17 Abs. 3 DSGVO)

Ein Löschverlangen kann zurückgewiesen werden, wenn die Daten noch benötigt werden zur:

• Geltendmachung oder Verteidigung rechtlicher Ansprüche

• Erfüllung gesetzlicher Pflichten

➡ Diese Ausnahmen müssen dokumentiert und begründet werden.

5. Wie legt man Löschfristen korrekt fest? – Schritt-für-Schritt-Anleitung

🧩 1. Datenarten & Speicherorte identifizieren

• Welche personenbezogenen Daten werden im Unternehmen verarbeitet?

• In welchen Systemen liegen sie (ERP, CRM, E-Mail, Papierakten)?

🧩 2. Verarbeitungszweck und Rechtsgrundlage definieren

• Warum werden die Daten erhoben?

• Welche Rechtsgrundlage liegt vor (z. B. Vertrag, Einwilligung, berechtigtes Interesse)?

🧩 3. Gesetzliche Fristen prüfen und notieren

• Welche Aufbewahrungspflichten gelten je nach Datenart?

• Gibt es branchenspezifische Vorschriften (z. B. GoBD, Berufsordnungen)?

🧩 4. Löschfristen festlegen und dokumentieren

• Für jede Datenkategorie eine klare Frist festlegen

• Diese Frist im Verzeichnis nach Artikel 30 DSGVO dokumentieren

🧩 5. Verantwortlichkeiten definieren

• Wer ist zuständig für die Überwachung, Durchführung und Dokumentation der Löschungen?

• Welche Systeme müssen angepasst werden?

6. Umsetzung in der Praxis: Was gehört in ein gutes Löschkonzept?

Ein Löschkonzept beschreibt detailliert:

• welche Daten wann gelöscht werden,

• wie dies technisch erfolgt (automatisch/manuell),

• und wer dafür verantwortlich ist.

Es sollte folgende Elemente enthalten:

✅ Datenklassifikation (nach Verarbeitungszweck und Sensibilität)

✅ Aufbewahrungsfristen und Löschzeitpunkte

✅ Technische Löschmechanismen (z. B. in CRM, ERP, Mailserver)

✅ Prozess zur Bearbeitung von Löschanfragen

✅ Dokumentationspflichten und Protokollierung

7. Aktuelle Entwicklungen 2025: Was ändert sich?

📌 CEF-Aktion des EDSA

Die europäischen Aufsichtsbehörden koordinieren aktuell eine Prüfung der Löschpraxis in Unternehmen. Ziel ist es, die tatsächliche Umsetzung von Art. 17 DSGVO zu evaluieren – insbesondere in Bezug auf:

• Automatisierung

• Dokumentation

• Nachweispflicht

📌 Cloud und KI im Visier

Die kommenden Jahre bringen neue Herausforderungen:

• Der EU AI Act (geplant für 2025) verpflichtet zu Transparenz auch bei Datenlöschung in KI-Systemen.

• Der EU Data Act (ab September 2025) regelt die Weitergabe und Löschung von Industriedaten – insbesondere für Cloud-Dienste.

➡ Unternehmen müssen ihre Löschprozesse künftig auch bei Software-as-a-Service-Anbietern (SaaS) und KI-Anwendungen im Griff haben.

Fazit: Wer jetzt nicht handelt, riskiert Datenschutzverstöße

Ein funktionierendes Löschkonzept ist keine optionale Maßnahme, sondern gesetzlich verpflichtend. Unternehmen, die jetzt aktiv werden, profitieren mehrfach:

🔻 Reduzierung von Bußgeldrisiken

 🔻Mehr Rechtssicherheit und Transparenz

 🔻Stärkung des Datenschutzbewusstseins im Unternehmen