Skip to content
Innopulse Consulting
Navigate
EnglishDeutsch
Get in touch
Contact
info@innopulse.io+41 79 508 28 06
Gotthardstrasse 30, 6300 Zug
Datenschutz & DSGVO

Löschkonzept und Aufbewahrungsfristen nach DSGVO erstellen

Wie ein praxistaugliches Löschkonzept nach DSGVO aufgebaut ist: Löschklassen, Aufbewahrungsfristen, technische Umsetzung und das Spannungsfeld mit gesetzlichen Pflichten.

Leutrim Miftaraj
Leutrim Miftaraj
Gründer & CEO
·3 min read
In this article
  1. Warum löschen so schwerfällt
  2. Der Aufbau: Löschklassen
  3. Das Startereignis ist entscheidend
  4. Gesetzliche Aufbewahrung versus Löschpflicht
  5. Die technische Umsetzung
  6. Anonymisieren statt Löschen
  7. Fazit
  8. Verantwortlichkeiten und regelmässige Überprüfung

Die Speicherbegrenzung ist einer der sieben Grundsätze der DSGVO und zugleich der am häufigsten verletzte. Daten werden gesammelt, aber selten gelöscht — sie sammeln sich in Datenbanken, Backups, Postfächern und Tabellen an, lange nachdem ihr Zweck erfüllt ist. Ein Löschkonzept ist das Instrument, das diesem Wildwuchs Struktur gibt. Es beantwortet für jede Datenkategorie systematisch die Frage: Wie lange dürfen und müssen wir das aufbewahren, und was passiert danach?

Warum löschen so schwerfällt

Drei Gründe machen das Löschen schwer. Erstens die Angst, etwas zu löschen, das man noch brauchen könnte — eine verständliche, aber datenschutzwidrige Haltung. Zweitens die technische Verteilung: Dieselben personenbezogenen Daten liegen oft an mehreren Orten, und ein Löschvorgang muss alle erreichen. Drittens das Spannungsfeld mit gesetzlichen Aufbewahrungspflichten: Manche Daten müssen sogar aufbewahrt werden, etwa Rechnungen für zehn Jahre. Ein gutes Löschkonzept löst alle drei, indem es Löschen nicht als Ausnahme, sondern als geplanten Regelprozess behandelt.

Der Aufbau: Löschklassen

Das bewährte Modell — etwa angelehnt an die DIN 66398 — arbeitet mit Löschklassen. Statt für jeden einzelnen Datensatz eine Frist zu definieren, gruppieren Sie Daten nach Zweck und gesetzlichem Rahmen in eine überschaubare Zahl von Klassen, jeweils mit einer Standard-Aufbewahrungsfrist und einem definierten Startereignis für die Frist. Beispiele: Geschäftskorrespondenz mit Vertragsbezug, Frist zehn Jahre ab Ende des Geschäftsjahres; Bewerberdaten ohne Einstellung, sechs Monate ab Absage; Server-Logs, 14 Tage; Newsletter-Daten, bis zum Widerruf. Jede Datenkategorie Ihres Verzeichnisses von Verarbeitungstätigkeiten wird genau einer Löschklasse zugeordnet.

Das Startereignis ist entscheidend

Der häufigste Fehler ist eine Frist ohne klares Startereignis. «Drei Jahre» ist wertlos, wenn niemand definiert, ab wann die drei Jahre laufen. Definieren Sie für jede Löschklasse das auslösende Ereignis präzise: Ende des Vertragsverhältnisses, letzter Kontakt, Ablauf des Geschäftsjahres, Widerruf der Einwilligung. Erst das Startereignis macht die Frist berechenbar und automatisierbar. Ohne es bleibt jedes Löschkonzept Theorie.

Gesetzliche Aufbewahrung versus Löschpflicht

Das Spannungsfeld zwischen Löschen-Müssen und Aufbewahren-Müssen lösen Sie nicht durch Kompromiss, sondern durch Differenzierung. Daten, die einer gesetzlichen Aufbewahrungspflicht unterliegen (Handels- und Steuerrecht), werden für die vorgeschriebene Dauer aufbewahrt — aber idealerweise in den Aufbewahrungsstatus überführt, also für die operative Nutzung gesperrt und nur für den gesetzlichen Zweck zugänglich. Nach Ablauf der Pflicht werden sie gelöscht. Diese Trennung zwischen «operativ verfügbar» und «nur aufbewahrt» ist der Schlüssel: Sie erfüllen die Aufbewahrungspflicht, ohne die Daten weiter aktiv zu nutzen.

Die technische Umsetzung

Ein Löschkonzept auf Papier, das niemand umsetzt, ist wertlos. Verankern Sie die Löschung technisch: automatisierte Löschjobs, die anhand der Löschklasse und des Startereignisses fällige Daten erkennen und entfernen oder anonymisieren. Vergessen Sie die Nebenschauplätze nicht — Backups, Logs, Caches, Exporte und Drittsysteme. Bei Backups ist die gängige Lösung, dass aus Backups wiederhergestellte Daten unmittelbar wieder den Löschregeln unterworfen werden, statt das Backup selbst zu durchforsten. Dokumentieren Sie diesen Mechanismus, damit er einer Prüfung standhält.

Anonymisieren statt Löschen

Eine oft übersehene Option: Wo Sie Daten für Statistik oder Analyse weiter nutzen möchten, ist die Anonymisierung eine zulässige Alternative zur Löschung — sofern sie irreversibel ist und ein Rückschluss auf die Person ausgeschlossen bleibt. Echte Anonymisierung ist anspruchsvoller, als viele denken; eine blosse Pseudonymisierung genügt nicht, weil die Daten dann weiterhin personenbezogen bleiben. Wo Anonymisierung gelingt, erlaubt sie, den analytischen Wert der Daten zu erhalten und gleichzeitig die Speicherbegrenzung zu erfüllen.

Fazit

Ein Löschkonzept verwandelt einen abstrakten Grundsatz in einen steuerbaren Prozess. Bauen Sie es über überschaubare Löschklassen mit klaren Startereignissen, trennen Sie operative Nutzung von gesetzlicher Aufbewahrung, setzen Sie die Löschung technisch und automatisiert um und ziehen Sie Anonymisierung dort in Betracht, wo der analytische Wert es rechtfertigt. Beginnen Sie mit Ihrem Verzeichnis von Verarbeitungstätigkeiten als Ausgangspunkt — jede dort gelistete Kategorie braucht eine Löschklasse. Wer das einmal aufsetzt, macht aus der Speicherbegrenzung von einer Dauerbaustelle einen Hintergrundprozess.

Verantwortlichkeiten und regelmässige Überprüfung

Ein Löschkonzept braucht einen Verantwortlichen und einen Rhythmus, sonst veraltet es. Benennen Sie eine Person, die das Konzept pflegt, neue Verarbeitungstätigkeiten in Löschklassen einordnet und die automatisierten Löschjobs überwacht. Überprüfen Sie das Konzept mindestens jährlich und immer dann, wenn eine neue Datenkategorie hinzukommt oder sich eine gesetzliche Frist ändert. Ein Löschkonzept ist kein einmaliges Projekt, sondern ein lebender Teil Ihres Datenschutzmanagements — eng verzahnt mit dem Verzeichnis von Verarbeitungstätigkeiten, das die Datenkategorien liefert, die überhaupt zu löschen sind.

Dokumentieren Sie schliesslich nicht nur das Konzept, sondern auch die durchgeführten Löschungen. Im Streitfall oder bei einer Prüfung müssen Sie belegen können, dass Sie tatsächlich gelöscht haben — nicht nur, dass Sie es vorhatten. Ein einfaches Lösch-Protokoll, das festhält, welche Datenkategorie wann auf welcher Grundlage entfernt wurde, schliesst diese Nachweislücke. Es ist die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO in ihrer konkretesten Form: nicht nur regelkonform handeln, sondern es auch zeigen können.

Beginnen Sie pragmatisch, nicht perfektionistisch. Ein Löschkonzept, das fünf gut durchdachte Löschklassen umfasst und tatsächlich angewendet wird, ist unendlich viel wertvoller als ein theoretisch vollständiges, das niemand umsetzt. Starten Sie mit den Datenkategorien mit dem grössten Volumen oder dem höchsten Risiko, ordnen Sie ihnen eine Löschklasse zu und automatisieren Sie die Löschung. Erweitern Sie das Konzept dann schrittweise auf die übrigen Kategorien. Diese inkrementelle Vorgehensweise bringt Sie schneller zu einem real wirksamen Zustand als der Versuch, von Anfang an alles abzudecken.

About the author
Leutrim Miftaraj
Leutrim Miftaraj
Gründer & CEO · Innopulse Consulting

Gründer und leitender Ingenieur von Innopulse Consulting. MSc Innovation Management (FFHS). Autor von „Identity Over Discipline".

Topics
LöschkonzeptAufbewahrungsfristen DSGVODatenlöschungSpeicherbegrenzung
Keep reading

Related insights.

Datenschutz & DSGVO

DSGVO-Verarbeitungsverzeichnis: Der Leitfaden zu Artikel 30

Was in Ihr Verarbeitungsverzeichnis gehört, wer ausgenommen ist und die Pflegedisziplin, die Papier-Compliance von operativer Compliance trennt.

Leutrim·8 min
Datenschutz & DSGVO

Datenschutz für Startups: Die pragmatische Aufbau-Checkliste

Datenschutz ohne Konzern-Budget. Die minimal-tragfähige Compliance für ein DACH-Startup: VVT, AVVs, Datenschutzerklärung, technische Massnahmen, in der richtigen Reihenfolge.

Doruntina·5 min
Datenschutz & DSGVO

Betroffenenrechte im SaaS operativ umsetzen: Auskunft, Löschung, Export

Die DSGVO-Rechte sind nur so gut wie ihre Umsetzung. Auskunft, Löschung und Datenübertragbarkeit als Self-Service bauen — innerhalb der 30-Tage-Frist, automatisiert.

Leutrim·5 min
Working on something similar?

Let's talk.

If this article maps to a problem you're actively working on, send us a short description — we'll respond with a practical next step.

Get in touch