Zweckbindung, Speicherbegrenzung und praktische Umsetzung der Datenlöschung in Unternehmen
Ein Löschkonzept DSGVO ist kein bloßes Compliance-Dokument, sondern ein zentraler Bestandteil rechtmäßiger Datenverarbeitung. In der Praxis zeigt sich jedoch, dass Löschpflichten häufig hinter anderen Datenschutzthemen zurückstehen. Daten werden über Jahre gespeichert, ohne dass klar ist, ob der ursprüngliche Zweck noch besteht oder Löschfristen technisch umgesetzt werden. Die zunehmende Aufsichtspraxis zeigt, dass diese Defizite erhebliche rechtliche und wirtschaftliche Risiken bergen.
Rechtlicher Rahmen der Datenlöschung
Die Pflicht zur Löschung personenbezogener Daten ergibt sich aus dem Zusammenspiel der Datenschutzgrundsätze Zweckbindung, Speicherbegrenzung und Rechtmäßigkeit nach Art. 5 DSGVO. Personenbezogene Daten dürfen nur solange gespeichert werden, wie ein konkreter Verarbeitungszweck besteht oder eine gesetzliche Aufbewahrungspflicht greift. Entfällt der Zweck und laufen Aufbewahrungsfristen ab, fehlt es an einer Rechtsgrundlage für die weitere Speicherung.
Art. 17 DSGVO konkretisiert diese Grundsätze, indem er der betroffenen Person einen durchsetzbaren Anspruch auf Löschung einräumt. Löschung ist damit nicht nur organisationsintern relevant, sondern kann auch gegenüber dem Verantwortlichen geltend gemacht werden.
Merksatz: Kein Zweck, keine Pflicht – keine Speicherung.
Aufsichtspraxis: Löschpflichten im Fokus
Datenschutzaufsichtsbehörden prüfen Löschpflichten und Speicherbegrenzung regelmäßig als eigenständigen Schwerpunkt. Beanstandet werden vor allem fehlende oder nicht umsetzbare Löschkonzepte, dauerhaft gespeicherte Altdaten sowie unklare Verantwortlichkeiten.
Deutsche Wohnen SE (2019): Speicherung sensibler Mieterdaten ohne funktionsfähiges Löschkonzept; selektive Löschung systemseitig nicht möglich.
Bußgeld: ursprünglich 14,5 Mio. EUR (später aufgehoben).Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (2023): Speicherung personenbezogener Daten im Forderungsmanagement trotz abgelaufener Löschfristen.
Bußgeld: 900.000 EUR.Agencia Española de Protección de Datos (2023): Fortgesetzte Speicherung von Daten aus beendeten Vertragsverhältnissen ohne tragfähigen Zweck.
Bußgeld: 200.000 EUR.
Die Beispiele verdeutlichen, dass ein fehlendes oder unwirksames Löschkonzept regelmäßig als eigenständiger DSGVO-Verstoß gewertet wird.
Kernelemente eines wirksamen Löschkonzepts
Ein praxistaugliches Löschkonzept beginnt mit Transparenz über Verarbeitungstätigkeiten. Auf Basis des Verzeichnisses nach Art. 30 DSGVO ist zu klären, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden, in welchen Systemen sie liegen und wie lange diese Zwecke fortbestehen. Ein Löschkonzept muss dabei auch bestehende Datenbestände erfassen und darf sich nicht auf neu erhobene Daten beschränken.
Bewährt hat sich eine zweckbezogene Bündelung von Daten in Clustern. Ein Datencluster umfasst alle Daten, die für einen gemeinsamen Verarbeitungszweck genutzt werden – unabhängig davon, in welchem IT-System sie gespeichert sind. Löschentscheidungen werden so konsistent entlang des jeweiligen Zwecks getroffen und systemübergreifend umgesetzt.
Für jedes Datencluster sind festzulegen:
der maßgebliche Startzeitpunkt der Löschfrist,
die anzuwendende Frist unter Berücksichtigung gesetzlicher Aufbewahrungspflichten,
Verantwortlichkeiten und Umsetzungswege.
Orientierung bietet hierbei ISO/IEC 27555, die Löschung als Bestandteil einer ganzheitlichen Data- und Privacy-Governance versteht. Die Norm beschreibt bewährte Strukturen zur Steuerung des Datenlebenszyklus, insbesondere zur Zweckbindung, zur Festlegung von Löschregeln sowie zur systemübergreifenden Umsetzung und Dokumentation von Löschentscheidungen. Auch wenn ISO/IEC 27555 rechtlich nicht verbindlich ist, wird sie zunehmend als Best-Practice-Referenz für belastbare Löschkonzepte herangezogen.
Löschkonzepte im Zusammenspiel von Verantwortlichen und Auftragsverarbeitern
Auch bei ausgelagerter Verarbeitung bleibt der Verantwortliche für die Einhaltung der Löschpflichten verantwortlich. Produkt oder Dienstleistung des Auftragsverarbeiters – insbesondere bei cloudbasierten SaaS-Lösungen – sollten daher so ausgestaltet sein, dass Löschweisungen technisch und organisatorisch umsetzbar sind.
Der Verantwortliche definiert Zwecke, Startzeitpunkte und Löschfristen, der Auftragsverarbeiter verarbeitet personenbezogene Daten nach Art. 28 DSGVO ausschließlich auf dokumentierte Weisung. Der Auftragsverarbeiter sollte typische DSGVO-Löschanforderungen berücksichtigen und transparent beschreiben, wie diese umgesetzt werden. Sinnvoll ist hierfür ein eigenes, Löschkonzept, das den Umgang mit Backups und die Dokumentation der Durchführung regelt.
Fazit
Ein Löschkonzept ist kein Nebenprodukt des Datenschutzmanagements, sondern dessen konsequente Fortsetzung. Wer Zwecke, Fristen und Verantwortlichkeiten nicht sauber definiert und technisch umsetzt, riskiert aufsichtsrechtliche Maßnahmen und den Verlust der Kontrolle über eigene Datenbestände. Ein kompaktes, klar strukturiertes Löschkonzept DSGVO, orientiert an rechtlichen Vorgaben und anerkannten Best Practices wie ISO/IEC 27555, schafft Rechtssicherheit, Transparenz und organisatorische Klarheit.
Eine ausführlichere Fassung dieses Artikels finden Sie unter Legal Bytes - Wie erstelle ich ein Löschkonzept?