Warum Datenlöschung mehr ist als Fristen: Rechtliche Anforderungen, Aufsichtspraxis und Best Practices
Ein Löschkonzept nach der DSGVO gehört zu den zentralen, zugleich aber am häufigsten unterschätzten Anforderungen im Datenschutz. Während das allgemeine Datenschutzmanagement – etwa die Dokumentation von Verarbeitungstätigkeiten, die Verwaltung von Einwilligungen, Informationspflichten oder Auftragsverarbeitung – in vielen Organisationen vergleichsweise strukturiert adressiert wird, bleibt es häufig eine Herausforderung, wann, wie und nach welchen Kriterien personenbezogene Daten tatsächlich gelöscht werden müssen. In der Praxis zeigt sich immer wieder: Daten werden „erst einmal behalten“, konkrete Löschfristen fehlen oder vorhandene Regelungen werden technisch nicht umgesetzt. Diese Defizite sind kein theoretisches Problem. Bußgelder in sechs- und siebenstelliger Höhe wegen unzureichender Löschkonzepte verdeutlichen, dass ein fehlendes oder unwirksames Löschkonzept als gravierender Verstoß eingeordnet wird (siehe unten).
Rechtliche und regulatorische Anforderungen
Rechtlicher Ausgangspunkt der Löschpflicht ist der Grundsatz der Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO. Personenbezogene Daten dürfen nur für festgelegte und legitime Zwecke verarbeitet werden; entfällt dieser Zweck, fehlt grundsätzlich die Grundlage für eine weitere Speicherung. Eine fortgesetzte Aufbewahrung wäre weder mit dem Grundsatz der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz nach Art. 5 Abs. 1 lit. a DSGVO noch mit den berechtigten Erwartungen der betroffenen Person vereinbar. Die DSGVO kennt keine zweckfreie Vorratshaltung personenbezogener Daten.
Diese Vorgaben werden durch den Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO sowie durch Art. 17 DSGVO konkretisiert. Danach dürfen personenbezogene Daten nur so lange gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist; zugleich besteht ein durchsetzbarer Anspruch auf Löschung, wenn Daten für ihre ursprünglichen Zwecke nicht mehr notwendig sind oder unrechtmäßig verarbeitet werden. Konkrete Speicher- oder Löschfristen gibt die DSGVO nicht vor, sondern überträgt deren Festlegung auf den Verantwortlichen. Maßgeblich ist eine sachgerechte Abwägung zwischen fortbestehenden Verarbeitungszwecken und gesetzlichen oder vertraglichen Aufbewahrungspflichten, etwa aus dem Handels- und Steuerrecht (§ 257 HGB, § 147 AO) oder dem Arbeits- und Sozialrecht. Diese Pflichten stellen einen eigenständigen Verarbeitungszweck dar, heben die Löschpflicht jedoch nicht dauerhaft auf.
Entfällt der Verarbeitungszweck und besteht keine Aufbewahrungspflicht mehr, wird die weitere Speicherung rechtswidrig.
Datenschutzaufsichtsbehörden erwarten regelmäßig nachvollziehbare Löschkonzepte, also dokumentierte Löschregeln, klare Verantwortlichkeiten, technisch umsetzbare Verfahren und eine überprüfbare Kontrolle der Umsetzung als Ausdruck der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Ergänzt wird dies durch branchenspezifische Vorgaben, etwa im Finanz- oder Gesundheitswesen, sowie durch die Orientierung an anerkannten Standards.
Entscheidungen von Aufsichtsbehörden wegen fehlender Löschkonzepte
Die Praxis der Datenschutzaufsichtsbehörden zeigt, dass Fragen der Datenlöschung und der Speicherbegrenzung regelmäßig Gegenstand aufsichtsbehördlicher Prüfungen und Maßnahmen sind. Dabei geht es weniger um vereinzelte Fristüberschreitungen, sondern häufig um die grundsätzliche Organisation von Löschprozessen. Die folgenden Beispiele verdeutlichen dies anhand ausgewählter Entscheidungen aus der nationalen und europäischen Praxis.
-
Deutsche Wohnen SE (2019): Beanstandet wurde die jahrelange Speicherung sensibler Mieterdaten ohne funktionsfähiges Löschkonzept. Die Daten konnten systemseitig nicht selektiv gelöscht werden und blieben unabhängig vom Wegfall des Verarbeitungszwecks verfügbar.
Bußgeld: ursprünglich festgesetzt 14,5 Mio. EUR (später aus formellen Gründen aufgehoben).
Pressemitteilung der Berliner Beauftragten for Datenschutz und Informationsfreiheit -
Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit – Forderungsmanagement (2023): Im Rahmen einer branchenweiten Schwerpunktprüfung wurden personenbezogene Daten trotz abgelaufener Löschfristen über einen längeren Zeitraum gespeichert. Maßgeblich war, dass vorgesehene Löschregelungen praktisch nicht umgesetzt wurden.
Bußgeld: 900.000 EUR (via Pressemitteilung Hamburgische Beauftragter für Datenschutz und Informationsfreiheit) -
Agencia Española de Protección de Datos / CaixaBank (2023): Beanstandet wurde die fortgesetzte Speicherung personenbezogener Daten, obwohl der zugrunde liegende Hypothekenvertrag bereits Jahre zuvor vollständig erfüllt war. Für die weitere Speicherung bestand kein fortbestehender Zweck. Der Einwand, es handele sich lediglich um eine Archivierung, wurde nicht anerkannt.
Bußgeld: 200.000 EUR (Zusammenfassung via GDPRHub) -
Datatilsynet / Danske Bank (2022): Gegenstand des Verfahrens war die jahrelange Speicherung personenbezogener Daten in mehreren IT-Systemen, obwohl die ursprünglichen Verarbeitungszwecke entfallen waren. Beanstandet wurde insbesondere das Fehlen eines systemübergreifenden Löschkonzepts sowie unklare Verantwortlichkeiten.
Bußgeld: Empfehlung an die Staatsanwaltschaft auf Verhängung eines Bußgelds in Höhe von 10 Mio. DKK (ca. 1,3 Mio. EUR) (Pressemitteilung Datatilsynet)
Die Beispiele verdeutlichen, dass die Frage der Löschung personenbezogener Daten in der aufsichtsbehördlichen Praxis regelmäßig aufgegriffen und mit empfindlichen Bußgeldern behandelt wird.
Vorgehen und Best Practices beim Aufbau eines Löschkonzepts
Ein wirksames Löschkonzept entsteht nicht durch die isolierte Festlegung einzelner Löschfristen, sondern durch ein strukturiertes Vorgehen, das rechtliche Anforderungen, organisatorische Zuständigkeiten und technische Gegebenheiten miteinander verbindet. In der Praxis scheitern Löschkonzepte häufig nicht am fehlenden Problembewusstsein, sondern an unklaren Abhängigkeiten zwischen Daten, Prozessen und IT-Systemen. Internationale Orientierung für eine konsistente und praxistaugliche Umsetzung bietet ISO/IEC 27555, die Löschung als Bestandteil organisationsweiter Data-Governance versteht.
Transparenz über Verarbeitungstätigkeiten, Zwecke und Datencluster
Ausgangspunkt jedes Löschkonzepts ist die vollständige Erfassung der Verarbeitungstätigkeiten. Regelmäßig dient hierfür das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO als Grundlage. Entscheidend ist jedoch nicht allein das Dokument, sondern die dahinterliegende Transparenz: Welche personenbezogenen Daten werden zu welchen Zwecken, in welchen Systemen und über welche Zeiträume verarbeitet? Ein Löschkonzept muss dabei auch bestehende Datenbestände erfassen und darf sich nicht auf neu erhobene Daten beschränken.
Auf dieser Basis werden personenbezogene Daten zweckbezogen in Datencluster eingeordnet. Ein Datencluster umfasst alle Daten, die für einen gemeinsamen Verarbeitungszweck genutzt werden, unabhängig davon, in welchem IT-System sie gespeichert sind. Diese Bündelung ist Voraussetzung dafür, Löschentscheidungen konsistent, systemübergreifend und nachvollziehbar treffen zu können.
Löschregeln, Startzeitpunkte und Löschklassen
Für jedes Datencluster sind Löschregeln festzulegen. Eine Löschregel beschreibt, wann personenbezogene Daten zu löschen sind und auf welcher rechtlichen Grundlage diese Entscheidung beruht. Zentrales Element ist der Startzeitpunkt der Löschfrist, etwa das Vertragsende, der Abschluss eines Verfahrens oder der Wegfall des Verarbeitungszwecks.
Best Practice ist die Steuerung über Löschklassen. Eine Löschklasse kombiniert einen abstrakten Startzeitpunkt mit einer festen Frist und gilt typisiert für alle Daten eines Clusters. Dieser Ansatz reduziert Komplexität, erleichtert die technische Umsetzung und erhöht die Nachvollziehbarkeit gegenüber Aufsichtsbehörden. Zwingende gesetzliche Aufbewahrungspflichten – etwa aus Handels-, Steuer- oder Arbeitsrecht – sind dabei ausdrücklich zu berücksichtigen und von bloßen organisatorischen Interessen abzugrenzen.
Datenlebenszyklus und systemübergreifende Abhängigkeiten
Ein Löschkonzept muss den gesamten Datenlebenszyklus abbilden – von der Erhebung über die aktive Nutzung und Aufbewahrung bis zur Löschung oder Anonymisierung. Dabei ist sicherzustellen, dass Löschentscheidungen nicht isoliert auf einzelne Anwendungen beschränkt bleiben. In modernen IT-Landschaften werden personenbezogene Daten regelmäßig parallel in mehreren Systemen verarbeitet, etwa im führenden Fachsystem, in Dokumentenmanagement- oder Archivsystemen, in Reporting-Umgebungen oder bei externen Dienstleistern.
ISO/IEC 27555 stellt klar, dass Löschung stets systemübergreifend zu denken ist. Solange der Personenbezug in einem Kern- oder Subsystem fortbesteht, ist die Löschpflicht nicht erfüllt, auch wenn das führende System bereits bereinigt wurde. Annahmen, bestimmte Systeme seien lediglich „technisch“ oder „passiv“, reichen datenschutzrechtlich nicht aus.
Umsetzungsregeln, Backups und Verantwortlichkeiten
Neben den Löschregeln sind Umsetzungsregeln festzulegen. Diese beschreiben, wie die Löschung technisch erfolgt, etwa fristgesteuert oder ereignisgesteuert, automatisiert oder manuell, durch vollständige Löschung oder – soweit rechtlich zulässig – durch Anonymisierung. Sperrungen sind als Ausnahmefälle zu definieren und dürfen nicht dazu führen, dass personenbezogene Daten dauerhaft der Löschung entzogen werden.
Besondere Aufmerksamkeit erfordern Backups. Diese dienen ausschließlich der Wiederherstellung und nicht der Archivierung. Das Löschkonzept muss sicherstellen, dass gelöschte Daten nicht unkontrolliert aus Sicherungskopien wieder in produktive Systeme gelangen.
Schließlich sind klare Verantwortlichkeiten und Kontrollmechanismen festzulegen. Ein Löschkonzept ist nur dann wirksam, wenn eindeutig geregelt ist, wer Löschungen auslöst, wer ihre Durchführung überwacht und wie Abweichungen dokumentiert und korrigiert werden.
Löschkonzepte im Zusammenspiel von Verantwortlichen und Auftragsverarbeitern
Besondere praktische Bedeutung hat das Löschkonzept im Verhältnis zwischen Verantwortlichen und Auftragsverarbeitern, zum Beispiel bei cloudbasierten SaaS-Lösungen. Auch bei ausgelagerter Verarbeitung bleibt der Verantwortliche für die Einhaltung der datenschutzrechtlichen Grundsätze, einschließlich der Speicherbegrenzung, verantwortlich. Produkt oder Dienstleistung des Auftragsverarbeiters sollten daher so ausgestaltet sein, dass der Verantwortliche seine Aufbewahrungs- und Löschpflichten wirksam erfüllen kann.
Ein Löschkonzept muss berücksichtigen, wie Löschpflichten in der Auftragsverarbeitung praktisch umgesetzt werden können. Der Verantwortliche bestimmt Zwecke, Startzeitpunkte und Löschfristen. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nach Art. 28 DSGVO ausschließlich auf dokumentierte Weisung. Daraus ergibt, dass der Auftragsverarbeiter sein Produkt oder seinen Service so gestaltet, dass Löschweisungen technisch und organisatorisch umsetzbar sind, sowohl während der Vertragslaufzeit als auch nach deren Ende.
In der Praxis reichen standardisierte Löschfunktionen vieler SaaS-Produkte hierfür nicht immer aus. Es empfiehlt sich daher, dass der Auftragsverarbeiter typische Löschanforderungen des Kunden als Verantwortlichen antizipiert und transparent beschreibt, wie diese technisch und organisatorisch umgesetzt werden. Ratsam ist daher ein eigenes Löschkonzept, das auch den Umgang mit Backups und die Dokumentation der Durchführung adressiert.
Schließlich ist das Ende der Auftragsverarbeitung mitzudenken. Art. 28 Abs. 3 lit. g DSGVO sieht vor, dass personenbezogene Daten nach Abschluss der Verarbeitung zu löschen oder zurückzugeben sind. Ohne klare Regelungen und überprüfbare Verfahren besteht das Risiko fortbestehender Datenbestände beim Auftragsverarbeiter.
Fazit
Ein Löschkonzept ist kein formales Anhängsel der DSGVO, sondern ein zentraler Bestandteil datenschutzkonformer Datenverarbeitung. Die Grundsätze der Zweckbindung und Speicherbegrenzung verlangen, dass personenbezogene Daten nach Wegfall des Verarbeitungszwecks und Ablauf bestehender Aufbewahrungspflichten gelöscht oder – sofern zulässig – anonymisiert werden. Diese Anforderungen sind nicht abstrakt, sondern praktisch umzusetzen und nachvollziehbar zu dokumentieren.
Die Aufsichtspraxis zeigt, dass Defizite bei der Löschung regelmäßig aufgegriffen und sanktioniert werden, insbesondere wenn personenbezogene Daten über längere Zeiträume ohne tragfähige Zweckbindung gespeichert bleiben. Ein belastbares Löschkonzept setzt daher Transparenz über Datenflüsse, klar definierte Löschregeln, systemübergreifende Umsetzung und eindeutige Verantwortlichkeiten voraus. Internationale Standards wie ISO/IEC 27555 bieten hierfür eine geeignete Orientierung.
Gerade im Kontext datengetriebener Anwendungen und des Einsatzes von KI gewinnt die strukturierte Steuerung des Datenlebenszyklus weiter an Bedeutung. Ein durchdachtes Löschkonzept schafft hier die notwendige rechtliche Klarheit und bildet die Grundlage für eine verantwortungsvolle und nachhaltige Nutzung von Daten.
Wir unterstützen Unternehmen/Organisationen bei der Konzeption und Umsetzung von Löschkonzepten. Diese Leistungen können individuell projektbasiert im Rahmen der Datenschutzberatung oder im Rahmen der Wahrnehmung der Rolle des externen Datenschutzbeauftragten erfolgen. Kontaktieren Sie uns gerne bei Fragen.
Photo by Marija Zaric on Unsplash
