Zum Hauptinhalt springen
Digitalisierung & KI Recht & Gesetz

DSGVO-konformes Löschkonzept erstellen: Darauf müssen KMU achten

Lesezeit
6 Min.
DSGVO-konformes Datenlöschkonzept erstellen

Artikel anhören

Kleine und mittlere Unternehmen (KMU) müssen personenbezogene Daten datenschutzkonform löschen, sobald der Zweck der Speicherung entfällt. Eine zentrale Voraussetzung dafür ist ein DSGVO-konformes Löschkonzept. Hier ist eine Schritt-für-Schritt-Anleitung mit praxisnahen Empfehlungen.

Inhaltsverzeichnis

Warum brauchen KMU ein DSGVO-konformes Löschkonzept?

Gemäß Artikel 17 DSGVO sind Unternehmen dazu verpflichtet, personenbezogene Daten zu löschen, sobald diese nicht mehr benötigt werden, beispielsweise wenn Fristen abgelaufen sind oder Betroffene ihr Recht auf Löschung geltend machen. Ein DSGVO konformes Löschkonzept hilft dir dabei, alle Löschvorgänge strukturiert, lückenlos und überprüfbar zu gestalten. So vermeidest du Bußgelder und schaffst Rechtssicherheit.

In sieben Schritten zum DSGVO-konformen Löschkonzept

1. Zuständigkeiten festlegen

Definiere, wer das Löschkonzept erstellt, umsetzt und kontrolliert. Benenne Verantwortliche und lege nachvollziehbare Stellvertretungen fest, damit Anfragen und Löschungen fristgerecht bearbeitet werden.​
 

2. Datenarten erfassen und systematisch auflisten

Führe eine Bestandsaufnahme durch:​

  • Welche personenbezogenen Daten werden im Unternehmen verarbeitet?
  • Wo – also in welchen Systemen, Cloud-Diensten, Listen oder Archiven – liegen diese Daten?
  • Gliedere nach Kategorien wie Kundendaten, Mitarbeiterdaten, Bewerberdaten, Newsletterlisten, Backup-Ordner etc.​

3. Rechtsgrundlagen und Löschfristen bestimmen

Leg für jede Datenart fest:​

  • Auf welcher Rechtsgrundlage erfolgt die Verarbeitung (z. B. Vertrag, Einwilligung, gesetzliche Pflicht)?
  • Wie lange müssen oder dürfen die Daten aufbewahrt werden (z. B. handels- oder steuerrechtliche Fristen, interne Notwendigkeit)?
  • Wann beginnt die Aufbewahrungsfrist und ab wann dürfen die Daten gelöscht werden?​

4. Konkrete Löschregeln erstellen

Leite aus den Fristen und Verwendungen klare Löschregeln ab, zum Beispiel:

  • Wann genau ist was zu löschen?
  • Welche Ereignisse lösen die Löschung aus (Ende des Vertragsverhältnisses, Ablauf einer Bewerbungsfrist usw.)?

Berücksichtige auch Backups und technische Protokolle. Gegebenenfalls gelten für verschiedene Datenarten unterschiedliche Regeln.​

5. Technische und organisatorische Umsetzung planen

Leg fest:

  • In welchen Systemen wird wann automatisch gelöscht?
  • Wo ist manuell zu löschen?
  • Wie werden Papierunterlagen und Alt-Datenträger – zum Beispiel nach DIN 66399 – sicher vernichtet?
  • Gibt es Prozesse für die Prüfung und Umsetzung von Betroffenenanfragen zur Löschung?​

6. Nachweisfähigkeit und Dokumentation sicherstellen

Führe ein Löschprotokoll, damit du belegen kannst:

  • Welche Datenarten wurden wann und durch wen gelöscht?
  • Welcher Auslöser führte zur Löschung (Routine, Betroffenenanfrage, Ablauf einer Frist)?
  • Wie würden die Daten gelöscht oder vernichtet?

Diese Dokumentation ist wichtig für interne Prüfungen und Anfragen von Aufsichtsbehörden.​

7. Löschkonzept in den Alltag integrieren und regelmäßig überprüfen

  • Schule dein Team regelmäßig zu Pflichten und Abläufen.
  • Überprüfe und aktualisiere dein Löschkonzept mindestens einmal jährlich.
  • Kontrolliere, ob die Regeln tatsächlich umgesetzt werden, und passe sie bei neuen Systemen oder Prozessen an.​

Beispiel für eine Löschfristentabelle

Datenart

Löschfrist

Rechtsgrundlage

Fristbeginn

Kundendaten (Vertrag)

10 Jahre

§ 257 HGB / § 147 AO

Vertragsende

E-Mail-Korrespondenz
(mit Bezug auf Geschäftsvorgänge)

6 Jahre

§ 257 HGB

Ende des Geschäftsvorgangs

Rechnungen, Buchhaltungsdaten

10 Jahre

§ 147 AO

Ende des Geschäftsjahres

Bewerberdaten

6 Monate

§ 15 AGG + DSGVO

Abschluss Bewerbungsverfahren

SEPA-Lastschriftmandate

3 Jahre

BGB + DSGVO

Mandatsende

Personalakten
(ehemalige Mitarbeitende)

10 Jahre

§ 147 AO / DSGVO

Ausscheiden

Newsletter-Abonnements

Sofort nach Widerruf

DSGVO

Widerruf der Einwilligung

Sonstige personenbezogene Kontaktdaten

2 Jahre

DSGVO

letzter Kontakt

DSGVO-konformes Löschkonzept erstellen: Empfehlungen und Praxistipps

  • Am besten startest du zunächst mit wenigen, dafür aber klar definierten Regeln und setzt gleichzeitig auf pragmatische Lösungen, die gut zu deinem Unternehmensalltag passen.
  • Außerdem lohnt es sich, Checklisten, Tabellen (s. o.) sowie bei Bedarf digitale Tools oder Vorlagen zu nutzen, damit dein DSGVO-konformes Löschkonzept übersichtlich, strukturiert und nachvollziehbar bleibt.
  • Achte darüber hinaus besonders darauf, dass auch alte Datenbestände systematisch erfasst und bewertet werden, da diese in der Praxis häufig übersehen werden. Wenn Unsicherheiten bestehen oder Fragen auftreten, ziehe am besten frühzeitig Datenschutzexpertinnen oder -experten hinzu, um auf Nummer sicher zu gehen.
  • Ebenso ist es wichtig, dass externe Dienstleister in das Konzept eingebunden werden und dass ihre Löschpflichten vertraglich klar geregelt sind.

Mit einer solchen praxisnahen und strukturierten Vorgehensweise können KMU ein wirksames und DSGVO-konformes Löschkonzept aufbauen. Dieses entspricht nicht nur den gesetzlichen Anforderungen, sondern hält auch internen Audits sowie behördlichen Prüfungen stand.

Mit einem DMS alle Dokumente und Löschfristen im Blick behalten

Mehr erfahren

Dokumentenmanagementsystem (DMS)

Bildquelle: Shanewaz – stock.adobe.com (generiert mit KI)

Schlagwörter

Archivierung Debitorenmanagement Dokumentenmanagement Lagerverwaltung Warenwirtschaft Warenwirtschaftssystem Digitale Personalakte Mittelstand Finanzbuchhaltung DMS Dokumentenmanagementsystem Lohnabrechnung Personalmanagement Onlineshop Digitalisierung ERP-Software E-Rechnung E-Rechnungspflicht Fertigung Produktion GoBD Personalsoftware Verfahrensdokumentation Rechnungseingangsverarbeitung Personalentwicklung KI Zeiterfassung
Zurück

ERP-News direkt ins Postfach - jetzt Newsletter abonnieren!

Zum Newsletter

Weitere Artikel

Aufbewahrungspflichten für Unternehmen - Aufbewahrungsfristen für Rechnungen, Lieferscheine & Co.
Buchhaltung & Finanzen

Aufbewahrung von Geschäftsunterlagen: Welche Fristen und Pflichten gelten?

9 Min.

Unternehmen müssen geschäftliche Unterlagen aufbewahren. Doch wie ist das eigentlich konkret geregelt? Welche…
DMS-Software und Datenschutz - 6 Tipps
DMS & Archivierung

DMS-Software und Datenschutz: 6 Tipps zum richtigen Einsatz

12 Min.

Der Einsatz von DMS-Software verbessert nicht nur das Dokumentenmanagement, sondern erleichtert auch die Einhaltung…
Datenschutz in der Finanzbuchhaltung - darauf ist zu achten
Buchhaltung & Finanzen

Datenschutz in der Finanzbuchhaltung: Was fordert die DSGVO?

11 Min.

Die europäische Datenschutz-Grundverordnung (DSGVO) regelt auch den Umgang mit personenbezogenen Daten in der…
Dokumentenmanagement - 4 häufige Irrtümer
DMS & Archivierung

Vier Irrtümer beim Dokumentenmanagement

8 Min.

Immer mehr Unternehmen nutzen digitale Lösungen für das Dokumentenmanagement. Allerdings gibt es oft Missverständnisse in…
DSGVO
Recht & Gesetz

DSGVO: So sichern KMU jetzt ihre Daten und erfüllen die Vorschriften

4 Min.

Die Datenschutz-Grundverordnung (DSGVO) gilt seit dem 25. Mai 2018 in der gesamten Europäischen Union. Viele kleine und…
DSGVO
Unternehmensführung Recht & Gesetz

Datenschutzexperte: „Die DSGVO erfordert die Mitwirkung der Unternehmen“

9 Min.

Zahlreiche kleine und mittlere Unternehmen werden es wohl nicht schaffen, bis zum 25. Mai 2018 alle Vorgaben der…