Löschfrist für personenbezogene Daten und Datenschutz nach DSGVO einhalten

Gesetzliche Löschfristen bestimmen, wie lange bestimmte Daten aufbewahrt und danach gelöscht werden müssen. Diese Fristen sind in verschiedenen Gesetzen und Verordnungen festgelegt und dienen dem Schutz der Privatsphäre und der Einhaltung von Datenschutzbestimmungen.

Wichtige Punkte zu Löschfristen:

• Zweck der Löschfristen: Sie stellen sicher, dass personenbezogene Daten nicht länger als nötig gespeichert werden, um den Grundsätzen der Datensparsamkeit und Zweckbindung zu entsprechen.
• DSGVO und Löschpflicht: Die Datenschutzgrundverordnung (DSGVO) gibt ein Recht auf Löschung (auch „Vergessenwerden" genannt) persönlicher Daten, sobald der Zweck ihrer Erhebung erfüllt ist.
• Aufbewahrungsfristen vs. Löschfristen: Nicht alle Daten müssen sofort gelöscht werden. Viele Daten unterliegen Aufbewahrungsfristen, nach deren Ablauf sie gelöscht werden müssen.

Beispiele für Aufbewahrungsfristen

• Steuerrechtliche Unterlagen: 6, 10 oder 11 Jahre, je nach Art der Unterlagen.
• Handelsrechtliche Unterlagen: 6, 10 oder 20 Jahre.
• Arbeitsrechtliche Unterlagen: 5 Jahre (z.B. für Arbeitsverträge).
• Bewerbungsunterlagen: 6 Monate (nach § 15 Abs. 4 AGG und § 61b Abs. 1 ArbGG).
• Leistungsdaten der Krankenkasse: Je nach Art der Daten unterschiedlich, z.B. 10 Jahre für Angaben zur Leistungsgewährung.

Beginn der Frist

Die Löschfrist beginnt in der Regel mit Ablauf des Kalenderjahres, in dem die Leistung gewährt oder abgerechnet wurde oder der Zweck der Datenspeicherung erfüllt ist.

Rechtsgrundlagen

Die Aufbewahrungsfristen sind in verschiedenen Gesetzen und Verordnungen festgelegt, wie z.B. der AO (Abgabenordnung), dem HGB (Handelsgesetzbuch), dem BGB (Bürgerliches Gesetzbuch) und dem SGB (Sozialgesetzbuch).

Besondere Fälle

Bei Rechtsstreitigkeiten beginnt die Löschfrist erst mit einem rechtskräftigen Urteil.

Fazit

Es gibt keine einheitliche gesetzliche Löschfrist gibt, sondern dass diese je nach Art der Daten und dem zugrunde liegenden Gesetz variiert. Es ist wichtig, sich über die spezifischen Fristen für die jeweiligen Daten zu informieren und diese einzuhalten, um Datenschutzbestimmungen zu erfüllen und die Privatsphäre zu schützen

Allgemeines zum Thema Löschfristen und DSGVO

Persönliche Daten sind eine harte Währung. Mit ihnen wird Handel betrieben wie mit physischen Waren. Damit sensible Daten nicht in falsche Hände geraten, gibt es die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Beide legen einen Handlungsrahmen fest, um diese Daten zu schützen. Löschungspflichten sind ein Teil davon. In diesem Blogbeitrag erklären wir Ihnen, welche Löschfristen die DSGVO kennt, welche gesetzlichen Aufbewahrungspflichten diesen entgegenstehen und wie Sie den Datenschutz am besten einhalten.

Was sind gesetzliche Löschfristen laut DSGVO?

Die DSGVO regeln den Umgang von Unternehmen mit digital verarbeiteten, personenbezogenen Daten. Das können Kundendaten, aber auch Mitarbeiterdaten oder Bewerberdaten sein, die zu einem bestimmten Zweck gespeichert wurden und die Sie laut DSGVO bis Fristablauf zu löschen haben. Im B2C-Umfeld beziehen sich solche Daten mit Personenbezug meist auf die erfolgreiche Abwicklung eines Geschäftsvorgangs oder die Vertragsdauer einer Mitgliedschaft in einem Klub oder Vorteilsprogramm.

Keine Übersicht über Löschfristen nach DSGVO

Wichtig ist: Unternehmen dürfen persönliche Daten nur zweckgebunden sammeln, also für einen begrenzten Zeitraum. In der DSGVO heißt es sinngemäß und etwas schwammig zum Thema Löschfristen: Sobald der Zweck erfüllt ist, zu dem die persönlichen Daten erhoben wurden, sind diese Unterlagen unwiederbringlich zu vernichten. Eine Übersicht über gesetzliche Löschfristen laut DSGVO gibt es nicht. In vielen Fällen richtet sich die Dauer der Speicherung nach den geltenden Aufbewahrungsfristen für Geschäftsunterlagen, die steuerlich relevant sind.

Abgrenzung: gesetzliche Löschfristen vs Aufbewahrungspflicht

Gesetzliche Löschfristen nach Art. 17 DSGVO verpflichten Unternehmen, personenbezogene Daten wie Bewerberdaten oder Kundendaten zu löschen, sobald der Zweck der Verarbeitung entfällt, während gesetzliche Aufbewahrungsfristen genau das Gegenteil fordern: die Archivierung bestimmter Daten über Jahre hinweg, etwa für Behörden oder steuerrechtliche Zwecke.

Der Spagat zwischen Löschpflicht und Aufbewahrungspflicht verlangt eine klare Löschfristen-Übersicht, die Datenschutz, Compliance und gesetzliche Vorgaben wie die Aufbewahrung von Personalakten vereint. Nur wer die Balance zwischen Recht und Pflicht meistert, schützt sensible Daten und erfüllt zugleich alle Anforderungen an Datensicherheit und Compliance.

Grundsätze der DSGVO zur Datenlöschung

Die DSGVO gibt klare Spielregeln vor, wann personenbezogene Daten gelöscht werden müssen – und vor allem: warum. Im Zentrum stehen dabei drei Grundprinzipien:

• Artikel 5 DSGVO: Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für den Zweck der Datenverarbeitung nötig ist. Ist der Zweck erfüllt? Dann heißt es: Frist abgelaufen, Daten löschen.
• Artikel 17 DSGVO: Das „Recht auf Vergessenwerden“: Kunden, Bewerber oder Mitarbeiter können unter bestimmten Voraussetzungen verlangen, dass ihre Daten gelöscht werden. Hier wird das Gesetz konkret: Daten müssen entfernt werden, wenn sie nicht mehr gebraucht werden oder unrechtmäßig gespeichert wurden.
• Zweckbindung & Datenminimierung: Daten dürfen nur für genau festgelegte Zwecke erhoben werden. Keine Daueraufbewahrung „für alle Fälle“! Unternehmen müssen regelmäßig prüfen, ob die Aufbewahrungsfrist personenbezogener Daten noch gerechtfertigt ist, etwa bei Kundendaten, Bewerberdaten oder Personalakten.

Wer regelt gesetzliche Löschfristen?

Wie Sie sehen: Die gesetzlichen Löschfristen, die sich durch die DSGVO ergeben, regeln den Umgang mit personenbezogenen Daten nur ungenau. Und weil das so ist, lassen viele Unternehmen den nötigen Ernst im Umgang mit diesen Daten und dem damit verbundenen Löschzwang vermissen. Bedeutet: Sie bewahren Kundendaten viel zu lange auf und torpedieren damit die Grundsätze der Datensparsamkeit und Zweckbindung. Dabei haben Kunden ein Anrecht auf Löschung ihrer persönlichen Daten (Artikel 17 DSGVO), wenn der Zweck ihrer Erhebung erfüllt worden ist.

Löschfristen und Aufbewahrungspflichten kollidieren

Den aus der DSGVO hervorgehenden Löschfristen können allerdings gesetzlich festgelegte Aufbewahrungspflichten entgegenstehen. Diese ergeben sich aus dem Steuer- und Handelsrecht und sind unterschiedlich lang. Abrechnungsbelege (Aufbewahrungsfrist von 8 Jahren) oder Lieferscheine (Aufbewahrungsfrist von 6 Jahren) müssen Sie also aufbewahren, obwohl sie persönliche Daten enthalten. Eine Liste der aufbewahrungspflichtigen Dokumente stellt die IHK-NRW unter diesem Link als PDF zur Verfügung.

Praxisbeispiele: Typische Daten & ihre Aufbewahrungsfristen

Wer personenbezogene Daten löschen will, muss die gesetzlichen Löschfristen kennen, sonst drohen Bußgelder. Hier finden Sie eine kompakte Löschfristen-Übersicht typischer Datenarten aus dem Unternehmensalltag:

• Bewerberdaten: Nach einer Absage müssen Daten laut Art. 17 DSGVO und AGG spätestens nach 6 Monaten gelöscht werden. → Bewerberdaten löschen DSGVO-konform!
• Mitarbeiterakten: Die Aufbewahrungsfrist personenbezogener Daten von Mitarbeitenden richtet sich nach dem Inhalt der Unterlagen, z. B. Lohnabrechnungen bis zu 10 Jahre (HGB, AO). Wichtig für die Datenverarbeitung im Personalbereich: Aufbewahrung von Personalakten und Datenschutz gehen Hand in Hand.
• Kundendaten: Für Buchhaltungsunterlagen gilt: Rechnungsdaten von Kunden müssen 8 bis 10 Jahre aufbewahrt werden (AO, HGB). Danach greift die Löschpflicht.
• E-Mail-Korrespondenz: Auch E-Mails unterliegen Fristen! Geschäftliche Kommunikation mit Kunden oder Mitarbeitenden muss, je nach Inhalt, 6 bis 10 Jahre gespeichert bleiben (GoBD, HGB).

Wie müssen personenbezogene Daten gelöscht werden?

In der Regel ist mit dem Löschen von personenbezogenen Daten wie etwa Kunden- oder Bewerberdaten deren physikalische Vernichtung gemeint. Das bedeutet, dass diese einer natürlichen Person zuordenbaren Daten nach Ablauf der Löschfrist unwiederbringlich gelöscht oder zerstört werden müssen. Das gilt für Daten in der Cloud wie auch solche, die auf physischen Datenträgern wie DVDs und Papier gespeichert wurden.

Daten-Anonymisierung setzt Löschfristen der DSGVO außer Kraft

Eine zweite Möglichkeit bei digitalen Daten besteht darin, Datensätze so weit zu anonymisieren, dass kein Personenbezug mehr feststellbar ist. Fehlt nämlich der Personenbezug, greift auch die DSGVO mit ihren Löschfristen nicht mehr. Bei dieser Methode ist allerdings eine Menge Knowhow gefragt, weil eine Pseudonymisierung nicht genügt. Auch darf durch Zuhilfenahme weiterer Informationsquellen keine Identität rekonstruierbar sein. Es muss sich also um eine echte Anonymisierung handeln. 

Wie kann man die Löschfrist nach DSGVO einhalten?

Das A und O bei der Einhaltung von Löschfristen besteht darin, dass Sie ein DSGVO-konformes Löschkonzept erstellen, das genau Auskunft darüber gibt, wie Sie personenbezogene Daten speichern und welche Mechanismen Sie zur fristgerechten Löschung der Daten anwenden. Dazu ist es ratsam, für bestimmte Datentypen zum Beispiel in Ihrer DMS-Software Automatisierungen einzurichten, die Daten fristgerecht anhand bestimmter Parameter löschen.

Auch in Ihrem GoBD-konformen, digitalen Archiv können Sie Löschinformationen hinterlegen, die vielleicht mit Aufbewahrungsfristen einhergehen. Das gibt Ihnen die Sicherheit, dass in Ihrem Unternehmen alles datenschutzkonform abläuft, und schützt Sie vor teuren Strafzahlungen, die bei Verstößen fällig werden.

Tools & Softwarelösungen zur Einhaltung von Löschpflichten

Weil die Umsetzung gesetzlicher Löschfristen Pflicht ist, besonders bei personenbezogenen Daten von Kunden und Mitarbeitern, empfiehlt es sich, die Einhaltung mittels technischer Maßnahmen zu unterstützen. Um den Überblick über Aufbewahrungsfristen von Daten zu behalten und Löschfristen DSGVO-konform umzusetzen, braucht es smarte digitale Helfer. Hier die wichtigsten Tools im Überblick:

Dokumentenmanagement-Systeme: Mit einem modernen DMS lassen sich Dokumente zentral verwalten, versionieren und automatisiert nach definierten Aufbewahrungsfristen löschen. Ideal zur Einhaltung von Art. 17 DSGVO Löschfristen.

• GoBD-konforme Archivierungssysteme: Diese Systeme archivieren steuerrelevante Unterlagen revisionssicher und halten gleichzeitig gesetzliche Vorgaben wie die DSGVO Aufbewahrungsfristen für Kundendaten ein – ohne Medienbrüche.
• Datenschutzmanagement-Tools mit Fristenverwaltung: Diese Softwarelösungen ermöglichen eine zentrale Löschfristen-Übersicht und steuern automatisch die Löschung personenbezogener Daten nach definierten Fristen. Besonders hilfreich bei der Einhaltung der Aufbewahrungsfrist personenbezogener Daten.
• Checklisten & Integrationen zur Compliance-Sicherung: Ob als Teil eines DMS oder als eigenständiges Tool: Checklisten und Integrationen helfen, alle Löschpflichten strukturiert abzuarbeiten – und schaffen die nötige Nachvollziehbarkeit bei Audits.

Mit den richtigen Tools werden Löschfristen nicht nur eingehalten, sie werden auch endlich beherrschbar.

Mit paperless solutions gesetzliche Löschfristen einhalten

Die Lösungen von paperless solutions unterstützen Unternehmen dabei, gesetzliche Aufbewahrungs- und Löschfristen automatisiert einzuhalten:

• DMS- und Archivlösungen mit der automatisierten Berücksichtigung gesetzlicher Löschfristen bieten, beispielsweise in digitalen Personalakten oder digitalen Archiven wird das Fristenmanagement direkt im System abgebildet. Dadurch werden Dokumente nach Ablauf der Fristen zuverlässig gelöscht, ohne manuelle Fehlerquelle.
  
  
• Sie sichern rechtlich einwandfreie Aufbewahrung durch Hosting in ISO/IEC 27001‑zertifizierten Rechenzentren in Deutschland und bieten umfassenden Support, Managed Services und Beratung zu GoBD-Konzepten und Verfahrensdokumentation.
  
  
• Im Bereich Personalwesen (HR) unterstützt die digitale Personalakte nicht nur die transparente Ablage und das Vertragsmanagement, sondern erfüllt ab 2027 auch gesetzliche Vorgaben (z. B. aus der Beitragsverfahrensverordnung und § 147 AO) zur digitalen Aufbewahrung von Personalunterlagen wie Arbeitsverträgen oder Lohnabrechnungen inklusive Löschfristenautomatik. 

Rechtliche Folgen bei Missachtung der Löschpflichten

Wer gesetzliche Löschfristen ignoriert, riskiert mehr als nur eine Rüge: Die DSGVO sieht empfindliche Konsequenzen vor. Gemäß Art. 83 DSGVO drohen Unternehmen bei Verstößen gegen die Löschpflichten Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Sorgfältig abwägen, oder Datenschutzverletzungen riskieren

Aufbewahrungsfristen und Art. 17 DSGVO stehen dabei, wie bereits oben erwähnt, in einem Spannungsfeld: Während gesetzliche Aufbewahrungsfristen (z. B. aus dem Steuer- oder Handelsrecht) eine längere Speicherung erlauben, verpflichtet Art. 17 DSGVO zur Löschung personenbezogener Daten, sobald der Zweck entfällt. Unternehmen müssen hier sorgfältig abwägen, oder riskieren Datenschutzverletzungen.

Reputationsverluste und mediale Skandale drohen

Die Aufsichtsbehörden prüfen zunehmend aktiv, insbesondere in risikobehafteten Branchen wie dem Gesundheitswesen oder dem Onlinehandel. Fehlende Löschkonzepte oder veraltete Datenbanken können dabei schnell zur Abmahnung führen. Neben rechtlichen und finanziellen Risiken drohen auch Reputationsverluste und mediale Skandale, nicht selten ausgelöst durch Praxisfälle wie unberechtigte Datenspeicherung von Gesundheitsdaten oder sensiblen Kundendaten im E-Commerce.

Wer also die Aufbewahrungsfrist personenbezogener Daten nicht korrekt umsetzt und die gesetzlichen Löschfristen ignoriert, spielt mit dem Feuer – rechtlich und geschäftlich.

Fazit: personengebundene Daten automatisiert löschen

Wer als Unternehmen auf digitale Prozesse setzt und viel mit personenbezogenen Daten arbeitet, sollte die DSGVO in Verbindung mit Löschfristen genau kennen und sich auch daran halten. Mit der richtigen Software für das papierlose Büro gibt es zudem gute Möglichkeiten, diese personengebundenen Daten automatisiert zu löschen, sodass Sie keine Löschfristen mehr versäumen.