Rechtsanwaltskanzlei Bock
Werkmeisterstr. 41
47877 Willich

Home  >  News  >  Allgemein

Löschkonzept nach DSGVO

11. Mai 2026

Löschkonzept nach DSGVO

Unternehmen und Einrichtungen dürfen personenbezogene Daten nicht unbegrenzt speichern. Nach der Datenschutz-Grundverordnung gilt der Grundsatz, dass personenbezogene Daten nur so lange aufbewahrt werden dürfen, wie sie für den jeweiligen Verarbeitungszweck erforderlich sind. Entfällt der Zweck und bestehen keine gesetzlichen Aufbewahrungspflichten oder sonstigen rechtlich tragfähigen Gründe für eine weitere Speicherung, sind die Daten zu löschen, zu anonymisieren oder zumindest dem operativen Zugriff zu entziehen.

In der Praxis zeigt sich allerdings schnell, dass diese Anforderung leichter formuliert als umgesetzt ist. Eine datenschutzkonforme Löschung setzt voraus, dass Verantwortliche ihre Datenbestände, Verarbeitungszwecke, Speicherorte, Fristen und technischen Umsetzungsmöglichkeiten kennen und in ein belastbares Verfahren überführen.

Ein Löschkonzept dient genau diesem Zweck. Es schafft eine strukturierte Grundlage, um personenbezogene Daten systematisch, nachvollziehbar und rechtssicher zu löschen. Zwar nennt die DSGVO den Begriff „Löschkonzept“ nicht ausdrücklich als eigenständige Pflicht. Die Notwendigkeit eines solchen Konzepts ergibt sich jedoch aus mehreren Vorschriften der Verordnung.

Maßgeblich ist zunächst Art. 5 Abs. 1 lit. e DSGVO. Danach dürfen personenbezogene Daten nur so lange in einer Form gespeichert werden, die die Identifizierung der betroffenen Person ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist. Hinzu kommt die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO. Danach muss der Verantwortliche die Einhaltung der datenschutzrechtlichen Grundsätze nicht nur beachten, sondern auch nachweisen können. Ohne dokumentierte Löschregeln und geordnete Prozesse ist das regelmäßig kaum möglich.

Auch Art. 17 DSGVO ist in diesem Zusammenhang bedeutsam. Die Vorschrift gewährt betroffenen Personen unter bestimmten Voraussetzungen ein Recht auf Löschung. Das Thema Löschung erschöpft sich jedoch nicht in der Bearbeitung einzelner Löschverlangen. Unternehmen und Einrichtungen müssen ihre Verarbeitung vielmehr auch unabhängig von einem konkreten Antrag so organisieren, dass Daten nicht länger gespeichert werden als zulässig.

Ergänzend folgen aus Art. 24, Art. 25 und Art. 32 DSGVO organisatorische und technische Pflichten. Verantwortliche müssen geeignete Maßnahmen treffen, um eine datenschutzkonforme Verarbeitung sicherzustellen. Dazu gehört auch, Löschfristen festzulegen, Zuständigkeiten zu definieren und praktikable Verfahren für die Löschung, Anonymisierung, Einschränkung der Verarbeitung oder gesperrte Aufbewahrung vorzusehen.

In der Vergangenheit wurde bei der Entwicklung von Löschkonzepten häufig auf die DIN 66398 Bezug genommen. Sie wurde in der Praxis lange als Orientierungsrahmen für die Entwicklung und Dokumentation von Löschkonzepten herangezogen. Soweit sie nicht mehr als aktuelle Norm fortgilt oder im konkreten Zusammenhang nicht als geltende normative Grundlage herangezogen werden soll, sollte dies im Text klar benannt werden. Unabhängig davon bleibt die Pflicht zu einer regelbasierten und dokumentierten Löschung personenbezogener Daten bestehen. Sie ergibt sich unmittelbar aus der DSGVO, aus einschlägigen fachgesetzlichen Aufbewahrungspflichten und aus den allgemeinen Anforderungen an eine ordnungsgemäße Organisation der Datenverarbeitung.

Ein belastbares Löschkonzept kann deshalb nicht rein abstrakt erstellt werden. Es muss auf die tatsächlichen Geschäftsprozesse, die vorhandenen Datenkategorien, die eingesetzten Systeme und die jeweils einschlägigen gesetzlichen Rahmenbedingungen abgestimmt sein. Gerade darin liegt regelmäßig die praktische Schwierigkeit. Personenbezogene Daten befinden sich häufig nicht nur in einem einzelnen Fachsystem, sondern an zahlreichen Stellen, etwa in Fachanwendungen, E-Mail-Postfächern, Dateiablagen, CRM- oder ERP-Systemen, Archivlösungen, Ticketsystemen, Backups oder Altsystemen.

Hinzu kommt, dass unterschiedliche Datenkategorien unterschiedlichen Fristen unterliegen können und der Fristbeginn häufig erst durch ein bestimmtes Ereignis ausgelöst wird. Ein funktionsfähiges Löschkonzept muss diese Unterschiede erfassen und in handhabbare, dokumentierte Regeln übersetzen.

In der Beratungspraxis zeigt sich häufig, dass bereits die Identifikation der relevanten Datenbestände erhebliche Vorarbeiten erfordert. Wer ein Löschkonzept erstellen will, sollte seine Verarbeitungstätigkeiten daher zuvor hinreichend erfasst haben. Das Verzeichnis von Verarbeitungstätigkeiten ist hierbei regelmäßig ein zentraler Ausgangspunkt. Dort sollten die Zwecke der Verarbeitung, Kategorien betroffener Personen, Datenkategorien, Empfänger, Speicherorte und möglichst bereits erste Angaben zu Aufbewahrungsfristen beschrieben sein. Auf dieser Grundlage kann ein Löschkonzept aufbauen und die Löschlogik weiter ausdifferenzieren.

Typische Datenbestände, die in einem Löschkonzept zu betrachten sind, umfassen insbesondere Personalunterlagen, Bewerbungsunterlagen, Kundendaten, Lieferantendaten, Vertragsakten, Buchhaltungsunterlagen, steuerrelevante Dokumente, E-Mail-Kommunikation, Protokolldaten, Support- und Ticketsysteme, CRM-Datenbanken, Dateiablagen, Collaboration-Plattformen, Archivsysteme, Backups sowie branchenspezifische Fachverfahren. Im Gesundheitswesen kommen beispielsweise Patientenakten, Behandlungsdokumentationen, Termin- und Abrechnungssysteme sowie medizinische Spezialanwendungen hinzu. Gerade dort sind neben den allgemeinen datenschutzrechtlichen Anforderungen regelmäßig zusätzliche berufsrechtliche, zivilrechtliche oder spezialgesetzliche Dokumentations- und Aufbewahrungspflichten zu beachten.

Die zentrale Herausforderung eines Löschkonzepts besteht darin, Speicherfristen rechtlich belastbar und zugleich praktisch umsetzbar festzulegen. Es genügt nicht, pauschal festzuhalten, Daten würden „nach Wegfall des Zwecks gelöscht“. Vielmehr muss für jede relevante Datenkategorie geklärt werden, welcher Zweck verfolgt wird, wie lange dieser fortbesteht, ob gesetzliche Aufbewahrungspflichten eingreifen und ob ausnahmsweise darüber hinaus berechtigte Gründe für eine weitere Speicherung bestehen. Solche Gründe können etwa in der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen liegen.

Ein praktisches Problem liegt häufig in der Bestimmung des Fristauslösers. Löschfristen beginnen regelmäßig nicht schon mit der Erhebung der Daten zu laufen, sondern knüpfen typischerweise an bestimmte Ereignisse an, etwa an das Ende eines Vertragsverhältnisses, den Abschluss eines Bewerbungsverfahrens, das Ausscheiden eines Mitarbeiters, den Abschluss eines Vorgangs oder das Ende eines Kalenderjahres. Werden solche Fristauslöser im Löschkonzept nicht präzise beschrieben, bleiben die Regeln in der Praxis oft zu unbestimmt, um wirksam umgesetzt zu werden.

Hinzu kommt die technische Perspektive. Ein Löschkonzept ist nur dann belastbar, wenn die vorgesehenen Regeln in den vorhandenen Systemen tatsächlich umgesetzt werden können. Viele Organisationen verfügen über historisch gewachsene IT-Landschaften, in denen sich Löschfristen nicht ohne Weiteres automatisiert abbilden lassen. Manche Anwendungen erlauben keine differenzierte Löschung einzelner Datensätze, andere verfügen über unzureichende Archivierungsfunktionen oder speichern Informationen in verschiedenen Modulen mehrfach.

Besonders sensibel ist der Umgang mit Backups. Sicherungssysteme dienen grundsätzlich der Wiederherstellung von Daten und nicht der inhaltlichen Archivierung. Deshalb muss geregelt werden, wie mit Daten umzugehen ist, die in produktiven Systemen bereits gelöscht wurden, sich aber für einen begrenzten Zeitraum noch in Sicherungskopien befinden. Erforderlich ist insoweit ein abgestimmtes Gesamtkonzept, das technische Restriktionen berücksichtigt und zugleich sicherstellt, dass gelöschte Daten nicht dauerhaft verfügbar bleiben oder nach einer Wiederherstellung unkontrolliert in operative Systeme zurückgelangen.

Wichtig ist ferner die Abgrenzung zwischen Löschen, Anonymisieren, Einschränkung der Verarbeitung, gesperrter Aufbewahrung und Archivierung. Nicht in jedem Fall ist die sofortige physische Vernichtung von Daten die einzig sinnvolle oder rechtlich gebotene Maßnahme. Bestehen gesetzliche Aufbewahrungspflichten, dürfen Daten gerade nicht gelöscht werden; sie sind dann für die Dauer der Aufbewahrung zweckgebunden, zugriffsarm und organisatorisch abgesichert weiter vorzuhalten. Ein gutes Löschkonzept bildet diese Differenzierungen ab und vermeidet pauschale Lösungen.

Auch Ausnahmesituationen sollten geregelt werden. In vielen Unternehmen kommt es vor, dass Daten wegen laufender Gerichtsverfahren, behördlicher Prüfungen, interner Untersuchungen oder besonderer Nachweispflichten vorübergehend nicht gelöscht werden dürfen. Häufig wird insoweit von einem „Legal Hold“ oder einer Löschsperre gesprochen. Ein praxistaugliches Löschkonzept sollte daher nicht nur Regelfristen definieren, sondern auch festlegen, unter welchen Voraussetzungen Löschungen ausnahmsweise ausgesetzt werden dürfen, wer hierüber entscheidet, wie dies dokumentiert wird und wann die Ausnahme endet.

Für den Gesundheitsbereich bestehen regelmäßig zusätzliche Besonderheiten. Gesundheitseinrichtungen verarbeiten besonders sensible personenbezogene Daten und unterliegen häufig spezialgesetzlichen Dokumentationspflichten, die mit datenschutzrechtlichen Löschanforderungen in Einklang gebracht werden müssen. Zugleich bestehen dort oft komplexe Systemlandschaften mit Praxissoftware, Krankenhausinformationssystemen, Bilddatenarchiven, Laboranbindungen, Abrechnungssystemen und dezentralen Dokumentationsprozessen. Ein Löschkonzept für Arztpraxen, MVZ, Kliniken oder sonstige Einrichtungen des Gesundheitswesens muss diese Besonderheiten ausdrücklich berücksichtigen und kann in der Regel nicht ohne Weiteres aus einem allgemeinen Unternehmensstandard übernommen werden.

Ein praxistaugliches Löschkonzept sollte regelmäßig mindestens folgende Punkte enthalten:

  • Beschreibung des Anwendungsbereichs

  • Festlegung von Rollen und Verantwortlichkeiten

  • Zuordnung von Datenkategorien zu Verarbeitungszwecken

  • Herleitung von Aufbewahrungs- und Löschfristen

  • Definition von Fristauslösern

  • Regelungen zu Löschung, Anonymisierung, Einschränkung der Verarbeitung und gesperrter Aufbewahrung

  • Vorgaben für Archive, Backups, Test- und Altsysteme

  • Verfahren für Ausnahmen und Löschsperren

  • Anforderungen an die Dokumentation

  • Regelungen zur regelmäßigen Überprüfung und Aktualisierung

Ebenso sinnvoll ist es häufig, die operative Umsetzung durch Verfahrensanweisungen, Prüfroutinen oder Zuständigkeitsmatrizen zu konkretisieren.

In der Praxis scheitern Löschkonzepte oft nicht an juristischen Detailfragen, sondern an fehlender Abstimmung zwischen Fachbereichen, Datenschutz, IT und Organisation. Ein wirksames Konzept muss daher nicht nur inhaltlich tragfähig, sondern auch intern akzeptiert und praktisch umsetzbar sein. Es genügt nicht, Fristen in einer Tabelle festzulegen, wenn unklar bleibt, in welchem System sie wie umgesetzt werden und wer die Verantwortung trägt. Die Erstellung eines Löschkonzepts ist daher regelmäßig ein interdisziplinäres Projekt.

Wir unterstützen Unternehmen und Einrichtungen bei der Entwicklung, Überprüfung und Fortentwicklung von Löschkonzepten. Dabei begleiten wir Sie je nach Bedarf von der ersten Bestandsaufnahme bis zur ausformulierten Dokumentation und praktischen Umsetzung. Wir analysieren gemeinsam mit Ihnen die relevanten Verarbeitungstätigkeiten, identifizieren Datenkategorien und Speicherorte, prüfen gesetzliche Aufbewahrungspflichten, bewerten rechtlich schwierige Einzelfragen und entwickeln darauf aufbauend belastbare Löschregeln. Dabei achten wir nicht nur auf die juristische Vertretbarkeit, sondern auch darauf, dass die Regeln in Ihrer Organisation tatsächlich gelebt und technisch unterstützt werden können.

Unsere Beratung kann insbesondere folgende Leistungen umfassen:

  • Analyse bestehender Verarbeitungstätigkeiten und Datenbestände

  • Sichtung vorhandener Dokumentationen, Richtlinien und Systemlandschaften

  • Identifikation relevanter Aufbewahrungs-, Dokumentations- und Löschfristen

  • Herleitung und rechtliche Bewertung von Fristauslösern

  • Unterstützung bei schwierigen Abgrenzungsfragen, etwa zu Verjährung, Nachweisinteressen oder spezialgesetzlichen Anforderungen

  • Entwicklung eines strukturierten Löschkonzepts einschließlich Verantwortlichkeiten und Verfahrensregeln

  • Abstimmung mit IT, Fachbereichen und Datenschutzorganisation zur praktischen Umsetzung

  • Beratung zu Besonderheiten bei Archiven, Backups, Altverfahren und Testsystemen

  • Unterstützung bei branchenspezifischen Anforderungen, insbesondere im Gesundheitswesen

  • Auf Wunsch auch gutachterliche Stellungnahmen zu einzelnen Speicher- und Löschfragen

Weitere Artikel

13. Mai 2026

Studie DiRK 2026 Digitalisierung im Raum der Kirchen (auch zur Nutzung von KI)

Eine Studie, die sich mit dem Thema »Digitalisierung im Raum der Kirchen« und hier insbesondere auch mit der Frage des Einsatzes von künstlicher Intelligenz beschäftigt hatte, brachte u.a. interessante Ergebnisse im Bereich KI hervor. Für 42 Prozent der befragten Kirchenmitarbeiter und Kirchenmitarbeiterinnen ist der Einsatz von KI in ihrer Organisation »(noch) kein Thema«, 45,7 Prozent…

Zum Artikel
22. März 2024

Durchführung des CyberRisikoChecks nach DIN SPEC 27076

Gestern habe ich an der ersten Präsenz Schulungsveranstaltung des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Bonn teilgenommen. Die Cyber-Risiko-Checks mit der vom BSI den Teilnehmer, die die erforderlichen Qualifikationen haben müssen, zur Verfügung gestellten Software können jetzt losgehen. https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2024/240323_CyberRisikoCheck.html Geplant ist, dass die Prüfung online im Rahmen eines semistrukturierten Interviews durchgeführt. Semistrukturiert soll…

Zum Artikel
22. Feb. 2024

BayLDA kontrolliert die Prüfung von DSFA-Schwellwerten in Unternehmen

Unternehmen in Bayern müssen mal wieder mit einer schriftlichen Prüfung der Landasdatenschutzbehörde BayLDA rechnen. Aktuell führt die Aufsichtsbehörde eine Prüfung der korrekten Bestimmung zur DSFA-Durchführung („DSFA-Schwellwertprüfung“) bei Hochrisikoverarbeitungen in einer schriftlichen Verfahrensprüfungen durch. Nach Angaben des BayLDA werden zufällig ausgewählte Verantwortliche zu den Einträgen im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) befragt, bei denen die…

Zum Artikel