Zurück

Datenlöschung

DSGVO Basiswissen

Datenlöschung Warum es kein Nice-to-have ist: DSGVO-Pflicht, typische Ausreden, echte Risiken – wie Unternehmen Löschung richtig umsetzen.

Inhaltsverzeichnis
Inhaltsverzeichnis

Zurück

Datenlöschung. Ja! Das ist ernst gemeint!

Montagmorgen, 08:17 Uhr. Irgendwo in Ihrem Unternehmen klickt jemand in einem System auf einen Datensatz, der eigentlich längst hätte verschwinden sollen: ein abgelehnter Bewerber von 2016, eine Kundin, die seit Jahren nicht mehr gekauft hat, ein altes Support-Ticket mit Ausweiskopie „zur Identifikation“, ein Foto aus der Zutrittskontrolle, das niemand mehr braucht. Und dann kommt dieser Satz, der in Datenschutzprojekten ungefähr so beliebt ist wie „Wir machen das seit 20 Jahren so“:

„Das System kann leider nicht löschen.“

Man hört ihn oft. Nur hilft er ungefähr so viel wie „Mein Auto kann leider nicht bremsen“ – es erklärt das Problem, löst es aber nicht. Und weil wir alle in Systemen leben, die sich Daten merken wie Elefanten auf Koffein, lohnt sich ein nüchterner Blick darauf, warum Datenlöschung kein nettes Extra, sondern ein Muss ist. Ernst gemeint. Wirklich.

Warum Löschen kein „Datenschutz-Spleen“ ist

Die DSGVO hat einen sehr unromantischen Grundsatz: Personenbezogene Daten dürfen nicht auf Vorrat gehortet werden. Sie sollen nur so lange gespeichert werden, wie es für einen klaren Zweck notwendig ist. Danach gilt: weg damit – oder zumindest so verändern, dass niemand mehr auf eine Person schließen kann.

Das ist keine Bürokraten-Laune. Dahinter steckt eine sehr menschliche Idee: Alte Daten werden mit der Zeit gefährlich – nicht, weil Daten böse sind, sondern weil Menschen, Prozesse und Systeme nie perfekt sind. Je mehr personenbezogene Daten Sie herumliegen haben, desto größer ist die Wahrscheinlichkeit, dass sie falsch verwendet werden, falsch interpretiert werden oder in falsche Hände geraten.

Für Betroffene ist „ewige Aufbewahrung“ nicht neutral. Sie kann ganz konkret schaden:

  • Ein längst erledigtes Gesundheitsdetail aus einem Ticket taucht Jahre später wieder auf und beeinflusst Entscheidungen.
  • Ein alter Vermerk „schwierig“ im CRM klebt wie ein Post-it an der Person – obwohl die Situation längst anders ist.
  • Ein Datenleck trifft nicht nur „Datensätze“, sondern Menschen: Identitätsdiebstahl, Betrug, peinliche Offenbarungen, Diskriminierung.

Und selbst wenn nichts passiert: Die bloße Möglichkeit, dass Jahre später noch alles auffindbar ist, verändert das Machtverhältnis. Wer Daten hat, hat Optionen. Wer keine Daten hat, kann auch keinen Unsinn damit anstellen. Das ist manchmal der beste Sicherheitsplan.

„Wir brauchen das vielleicht noch“ – der Klassiker unter den Missverständnissen

Die häufigste Begründung für Nicht-Löschen ist nicht Bosheit, sondern vage Hoffnung: Man könnte es ja irgendwann noch brauchen. Das Problem: „Vielleicht“ ist kein Speicherzweck. Die DSGVO verlangt einen konkreten Zweck – und eine klare Antwort darauf, wann dieser Zweck erreicht ist.

Typische Missverständnisse, die in der Praxis immer wieder auftauchen:

1) „Speicherplatz ist billig, also speichern wir alles.“
Ja, Speicher ist billig. Datenschutzverstöße, Incident-Management, Aufräumprojekte und Vertrauensverlust sind es nicht.

2) „Wir löschen doch, wenn jemand es verlangt.“
Das ist wie Zähneputzen nur dann, wenn der Zahnarzt anruft. Betroffenenrechte (z. B. das Recht auf Löschung) sind wichtig – aber sie ersetzen kein internes Löschkonzept. Sie sind eher der Feueralarm, nicht die Brandschutzordnung.

3) „In Backups kann man sowieso nicht löschen.“
Backups sind keine Ausrede, sondern ein Design-Thema. Man muss Löschungen so organisieren, dass sie im laufenden Betrieb wirksam sind und sich in einem angemessenen Zyklus auch in Sicherungen „auslaufen“ – mit klaren Aufbewahrungszeiten, Zugriffsbeschränkungen und Wiederherstellungsprozessen, die gelöschte Daten nicht einfach fröhlich wieder auferstehen lassen.

4) „Das System kann das nicht.“
Dazu gleich mehr – aber vorweg: Das ist kein juristischer Joker, sondern ein Beschaffungsfehler.

„Das System kann nicht löschen“ ist keine Entschuldigung

Wenn Ihr System keine Löschfunktion hat, bedeutet das nicht „dann dürfen wir nicht löschen“. Es bedeutet: Dann ist das System für den Zweck, in dem personenbezogene Daten anfallen, nur eingeschränkt geeignet – oder Sie müssen ergänzende Maßnahmen schaffen, die zur Löschung führen.

Die DSGVO denkt nämlich nicht in „Software kann’s nicht“, sondern in Verantwortung: Wer über Zwecke und Mittel der Verarbeitung entscheidet, muss sicherstellen, dass die Grundsätze eingehalten werden. Dazu gehört auch, dass Datenschutz in die Gestaltung von Prozessen und IT einfließt – nicht erst, wenn es knallt.

Praktisch heißt das: Wenn Sie ein System einkaufen oder entwickeln, müssen Lösch- und Aufbewahrungsfunktionen Teil der Anforderungen sein. Nicht als „nice to have“, sondern als Pflichtpunkt. Und wenn das System schon da ist?

Dann gibt es – je nach Architektur – typische Wege, die man sauber gestalten kann:

  • Konfigurierbare Löschroutinen im System (optimal).
  • Automatisierte Löschläufe über Schnittstellen/Batch-Prozesse.
  • Datenbankseitige Löschung oder Anonymisierung, wenn das System selbst keine Oberfläche bietet (mit Vorsicht: konsistent, dokumentiert, getestet).
  • Pseudonymisierung/Anonymisierung statt Aufbewahrung personenbezogener Details, wenn Sie statistische Auswertungen brauchen.
  • Trennung von Identitätsdaten und Sachverhalten (z. B. Ticket-Inhalt bleibt anonym, Zuordnung zur Person wird gelöscht).
  • Vertragliche Nachbesserung beim Hersteller bzw. Wechselplanung, wenn es dauerhaft nicht lösbar ist.

Wichtig ist: „Kann nicht löschen“ ist kein Endpunkt, sondern ein Risikohinweis. Spätestens hier gehört das Thema in Management-Entscheidungen, Einkauf, IT-Governance – und nicht als Randnotiz in einem Word-Dokument.

Löschprozesse sind nicht nur Technik – sie sind Organisation

Viele Unternehmen glauben, Datenlöschung sei ein Button: „Löschen“ drücken, fertig. In der Realität ist es eher ein Zusammenspiel aus Landkarte, Regeln und Routine.

Sie brauchen mindestens drei Dinge:

Erstens: Wissen, wo Daten liegen.
Nicht nur im großen Kernsystem, sondern auch in Schatten-Ökosystemen: Export-Excel, E-Mail-Postfächer, Collaboration-Tools, Ticketsystem, Chatverläufe, Protokolle, lokale Laufwerke. Daten lieben Zweitwohnungen.

Zweitens: Regeln, wann gelöscht wird.
Das ist das Löschkonzept: Welche Datenkategorie, welcher Zweck, welche Frist, welcher Startpunkt, welche Ausnahme. Ohne diese Logik wird Löschung zur Bauchentscheidung – und Bauchentscheidungen skalieren schlecht.

Drittens: Einen Prozess, der es wirklich tut.
Also Verantwortlichkeiten, Automatisierung, Kontrollen, Nachweisbarkeit. Löschung darf nicht vom guten Willen einer einzelnen Person abhängen, die gerade Zeit hat.

Und ja: Das ist Aufwand. Aber es ist der richtige Aufwand – weil er später sehr viel größeren Aufwand verhindert.

Auf welcher Basis legt man Löschfristen fest?

Löschfristen sind kein Ratespiel und auch keine Einheitsgröße. Sie ergeben sich aus einer Mischung aus rechtlichen Pflichten, berechtigten Interessen, operativen Notwendigkeiten – und dem Grundsatz, nicht länger zu speichern als nötig. In der Praxis funktioniert es gut, wenn Sie Fristen entlang von Datenarten und Zwecken definieren.

Hier sind realistische, belastbare Grundlagen, aus denen Unternehmen Löschfristen ableiten (und begründen) können:

1) Gesetzliche Aufbewahrungspflichten

Für bestimmte Unterlagen gibt es handels- und steuerrechtliche Pflichten zur Aufbewahrung (je nach Land und Dokumenttyp unterschiedlich, oft mehrere Jahre). Typische Beispiele: Rechnungen, Buchungsbelege, Geschäftsbriefe. Das bedeutet nicht „alles rund um den Kunden zehn Jahre speichern“, sondern: genau die Unterlagen, die unter die Pflicht fallen, und idealerweise getrennt von „nice to have“-Daten im CRM.

2) Vertragliche Erforderlichkeit und Abwicklung

Daten, die Sie brauchen, um einen Vertrag zu erfüllen, dürfen für diese Zeit gespeichert werden. Aber sobald der Vertrag beendet und abgewickelt ist, stellt sich die Frage: Was brauche ich noch wirklich? Kontaktdaten für Rückfragen? Gewährleistung? Zahlungsabgleich? Oder nur noch eine anonymisierte Statistik?

3) Verjährungs- und Haftungsfristen

Viele Löschfristen orientieren sich daran, wie lange Ansprüche geltend gemacht werden können (z. B. aus Vertrag, Schadenersatz, Produkthaftung). Das ist ein klassischer Grund, um bestimmte Korrespondenz oder Nachweise noch aufzubewahren – aber auch hier gilt: zielgerichtet, nicht pauschal.

4) Branchen- und Spezialrecht

In manchen Bereichen gibt es zusätzliche Vorgaben (z. B. Gesundheitswesen, Finanzdienstleistungen, Telekommunikation, Arbeitssicherheit). Wenn Sie in regulierten Branchen sind, sollten Löschfristen nicht „irgendwer im Projekt“ festlegen, sondern gemeinsam mit Fachbereich und Compliance – gern mit externer Expertise, wenn es knifflig wird.

5) Zweckbindung im Alltag: „Wie lange brauche ich das wirklich?“

Nicht alles ist Gesetz. Vieles ist Prozesslogik. Beispiele, die sich in Unternehmen gut begründen lassen:

  • Bewerberdaten: Für das Auswahlverfahren – und danach nur so lange, wie man sich gegen mögliche Vorwürfe/Ansprüche wehren muss oder wenn es eine echte Einwilligung für einen Talentpool gibt (die man auch wieder widerrufen können muss).
  • Support-Tickets: Inhalt und Verlauf solange nötig für Nachvollziehbarkeit und Qualitätszwecke – aber Ausweiskopien oder besonders sensible Details gehören oft nicht dauerhaft hinein. Hier hilft Datenminimierung: gar nicht erst speichern, was man später mühsam löschen müsste.
  • Marketing-Leads: Wenn über einen längeren Zeitraum keinerlei Reaktion kommt, ist „wir melden uns vielleicht in drei Jahren“ selten ein überzeugender Zweck. Besser: klare Reaktivierungslogik und dann Löschung oder Anonymisierung.
  • Videoüberwachung: Sehr kurze Aufbewahrung ist häufig angemessen, weil der Zweck (Sicherheitsvorfall erkennen) zeitnah eintritt oder nicht eintritt. Dauerarchivierung „für alle Fälle“ ist hier besonders heikel.
  • Logdaten: Technische Logs sind wichtig für Sicherheit und Fehleranalyse. Aber auch sie brauchen Fristen, Rollen- und Zugriffskonzepte – und eine Trennung zwischen notwendigen Sicherheitslogs und „wir loggen mal alles, man weiß ja nie“.

Der Trick ist: Startpunkt definieren. Beginnt die Frist mit Vertragsende? Mit Ticketabschluss? Mit Ende des Bewerbungsprozesses? Mit letzter Aktivität? Ohne Startpunkt ist jede Frist nur eine Zahl.

Wo Unternehmen in der Praxis scheitern – und wie man es besser macht

Das Scheitern hat selten nur eine Ursache. Es ist meist ein Cocktail aus drei Zutaten:

Technik ohne Löschlogik. Systeme werden eingeführt, Daten fließen, niemand hat den „letzten Meter“ geplant: Wie kommen Daten wieder raus?

Fachbereiche ohne Entscheidung. „Wir“ finden Löschfristen schwierig, also lässt man sie offen. Ergebnis: unendliche Speicherfristen.

IT ohne Priorisierung. Löschfunktionen konkurrieren mit Features, die mehr Applaus bringen. Datenschutz ist selten der lauteste Kunde – bis die Aufsichtsbehörde oder der Incident das Mikrofon übernimmt.

Besser wird es, wenn man Löschung als Teil von Datenqualität und Risikomanagement versteht. Ein gutes Löschkonzept ist nicht nur DSGVO-Compliance, sondern auch: weniger Ballast, bessere Prozesse, weniger Datenchaos.

Und wenn Sie mit Dienstleistern arbeiten (Cloud-Tools, SaaS, externe Rechenzentren): Dann gehört Löschung auch in Verträge und Auftragsverarbeitung. Wer löscht was, wann, wie wird das nachgewiesen, was passiert mit Subunternehmern? „Die machen das schon“ ist kein Konzept – es ist ein Hoffnungsschimmer.

Datenschutz ist Entscheidungsfindung, nicht Papiergymnastik

Ein Löschkonzept ist keine Excel-Tabelle, die man einmal erstellt und dann stolz abheftet. Es ist eine Reihe von Entscheidungen: Welche Daten brauchen wir wirklich? Wie lange? Wer darf Ausnahmen genehmigen? Wie stellen wir sicher, dass Löschung nicht versehentlich verhindert wird (z. B. durch endlose „Aufbewahren“-Flags)?

Gerade in größeren Organisationen hilft es, Löschung als Governance-Thema zu verankern: mit Verantwortlichkeiten, einem technischen Standard und regelmäßigen Reviews. In KMU hilft oft schon ein pragmatischer Schritt: die wichtigsten Systeme priorisieren (HR, CRM, Ticketing, Finance), dort Fristen definieren und automatisieren – und erst dann in die zweite Reihe gehen.

Und ja: Bei komplexen Konstellationen (Spezialrecht, mehrere Länder, große Systemlandschaften, historische Altbestände) ist es sinnvoll, erfahrene Datenschutzbeauftragte oder Berater:innen einzubinden. Nicht weil Datenschutz „mystisch“ wäre, sondern weil man sich sehr viel Lehrgeld spart, wenn jemand die typischen Fallen kennt – und die Sprache zwischen Fachbereich, IT und Recht übersetzen kann.

Fazit: Daten löschen heißt Verantwortung ernst nehmen

Datenlöschung ist kein symbolischer Akt und kein „wenn wir Zeit haben“. Sie ist der Beweis, dass Sie die Kontrolle über Ihre Datenverarbeitung wirklich haben – nicht nur über das Sammeln, sondern auch über das Beenden.

Oder anders gesagt: Daten sind wie Gäste. Man kann sie willkommen heißen, man kann sie gut bewirten – aber irgendwann ist auch mal Schluss. Dann räumt man auf, macht die Tür zu und freut sich, dass die Wohnung wieder einem selbst gehört.

Wer dagegen alles für immer speichert, lebt irgendwann in einem digitalen Dachboden voller Kisten, deren Inhalt niemand mehr kennt – bis jemand stolpert, eine Kiste aufplatzt und man plötzlich erklären muss, warum da seit 2016 noch der alte Bewerberbrief liegt.

Datenlöschung. Ja. Das ist ernst gemeint. Und mit einem guten Konzept fühlt es sich nicht nach Verzicht an, sondern nach Ordnung. Und Ordnung, das wissen wir alle, ist die unterschätzteste Form von Freiheit.

Sie benötigen Unterstützung?

Wir von legalweb.io unterstützen Unternehmen bei der Einhaltung datenschutzrechtlicher Vorgaben und der Umsetzung rechtskonformer Lösungen. Darüber hinaus bieten wir Expertise zu aktuellen Themen wie NIS2IT-Sicherheitsanforderungen und organisatorischen Datenschutzmaßnahmen.

In einem kostenlosen Erstgespräch klären wir Ihre konkrete Situation und zeigen die nächsten Schritte auf.

Kostenloses Erstgespräch vereinbaren

Ähnliche Beiträge

Datenschutzbeauftragte (DPO)

Datenschutzbeauftragter nach DSGVO: Wann ein DPO Pflicht ist, warum er kein Verhinderer ist und wie Unternehmen von Erfahrung, Risikomanagement und Praxisnähe profitieren.

Datenschutzverletzung

Datenschutzverletzung nach DSGVO: Wann besteht Meldepflicht, wann müssen Betroffene informiert werden und welche Rolle spielen TOM und Incident-Prozesse?

Vereinbarung zur Auftragsverarbeitung (AVV)

Auftragsverarbeitung nach DSGVO: Warum eine AVV mehr sein muss als ein PDF und wo typische Fallstricke für Unternehmen lauern.

Datenschutzinformation

Datenschutzinformation nach DSGVO: Warum Transparenz mehr ist als Cookies – und was Unternehmen Betroffenen wirklich erklären müssen.

legalweb

.io

Themen
Consent Manager
DSGVO-konforme Website
Externe Datenschutzbeauftragte für Unternehmen
AGB Generator
Microlearning/ Mitarbeiterschulung
Google Consent Mode
IAB TCF Framework
legal web

Support

Impressum

AGB

Datenschutz

Bayerhamerstraße 14, 5020 Salzburg - Österreich | [email protected]