DSGVO-konformes Löschkonzept erstellen: Darauf müssen KMU achten
Kleine und mittlere Unternehmen (KMU) müssen personenbezogene Daten datenschutzkonform löschen, sobald der Zweck der Speicherung entfällt. Eine zentrale Voraussetzung dafür ist ein DSGVO-konformes Löschkonzept. Hier ist eine Schritt-für-Schritt-Anleitung mit praxisnahen Empfehlungen.
Warum braucht ein KMU ein DSGVO-konformes Löschkonzept?
Gemäß Artikel 17 DSGVO sind Unternehmen dazu verpflichtet, personenbezogene Daten zu löschen, sobald diese nicht mehr benötigt werden, beispielsweise wenn Fristen abgelaufen sind oder Betroffene ihr Recht auf Löschung geltend machen. Ein DSGVO konformes Löschkonzept hilft dir dabei, alle Löschvorgänge strukturiert, lückenlos und überprüfbar zu gestalten. So vermeidest du Bußgelder und schaffst Rechtssicherheit.
In 7 Schritten zum DSGVO-konformen Löschkonzept
1. Zuständigkeiten festlegen
Definiere, wer das Löschkonzept erstellt, umsetzt und kontrolliert. Benenne Verantwortliche und lege nachvollziehbare Stellvertretungen fest, damit Anfragen und Löschungen fristgerecht bearbeitet werden.
2. Datenarten erfassen und systematisch auflisten
Führe eine Bestandsaufnahme durch:
- Welche personenbezogenen Daten werden im Unternehmen verarbeitet?
- Wo – also in welchen Systemen, Cloud-Diensten, Listen oder Archiven – liegen diese Daten?
- Gliedere nach Kategorien wie Kundendaten, Mitarbeiterdaten, Bewerberdaten, Newsletterlisten, Backup-Ordner etc.
3. Rechtsgrundlagen und Löschfristen bestimmen
Leg für jede Datenart fest:
- Auf welcher Rechtsgrundlage erfolgt die Verarbeitung (z. B. Vertrag, Einwilligung, gesetzliche Pflicht)?
- Wie lange müssen oder dürfen die Daten aufbewahrt werden (z. B. handels- oder steuerrechtliche Fristen, interne Notwendigkeit)?
- Wann beginnt die Aufbewahrungsfrist und ab wann dürfen die Daten gelöscht werden?
4. Konkrete Löschregeln erstellen
Leite aus den Fristen und Verwendungen klare Löschregeln ab, zum Beispiel:
- Wann genau ist was zu löschen?
- Welche Ereignisse lösen die Löschung aus (Ende des Vertragsverhältnisses, Ablauf einer Bewerbungsfrist usw.)?
Berücksichtige auch Backups und technische Protokolle. Gegebenenfalls gelten für verschiedene Datenarten unterschiedliche Regeln.
5. Technische und organisatorische Umsetzung planen
Leg fest:
- In welchen Systemen wird wann automatisch gelöscht?
- Wo ist manuell zu löschen?
- Wie werden Papierunterlagen und Alt-Datenträger – zum Beispiel nach DIN 66399 – sicher vernichtet?
- Gibt es Prozesse für die Prüfung und Umsetzung von Betroffenenanfragen zur Löschung?
6. Nachweisfähigkeit und Dokumentation sicherstellen
Führe ein Löschprotokoll, damit du belegen kannst:
- Welche Datenarten wurden wann und durch wen gelöscht?
- Welcher Auslöser führte zur Löschung (Routine, Betroffenenanfrage, Ablauf einer Frist)?
- Wie würden die Daten gelöscht oder vernichtet?
Diese Dokumentation ist wichtig für interne Prüfungen und Anfragen von Aufsichtsbehörden.
7. Löschkonzept in den Alltag integrieren und regelmäßig überprüfen
- Schule dein Team regelmäßig zu Pflichten und Abläufen.
- Überprüfe und aktualisiere dein Löschkonzept mindestens einmal jährlich.
- Kontrolliere, ob die Regeln tatsächlich umgesetzt werden, und passe sie bei neuen Systemen oder Prozessen an.
Beispiel für eine Löschfristentabelle
| Datenart | Löschfrist | Rechtsgrundlage | Fristbeginn | Bemerkung |
|---|---|---|---|---|
| Kundendaten (Vertrag) | 10 Jahre | § 257 HGB / § 147 AO | Vertragsende | Handels-/steuerrechtlich |
| E-Mail-Korrespondenz (mit Bezug auf Geschäftsvorgänge) | 6 Jahre | § 257 HGB | Ende des Geschäftsvorgangs | Handelsrecht |
| Rechnungen, Buchhaltungsdaten | 10 Jahre | § 147 AO | Ende des Geschäftsjahres | Steuerrecht |
| Bewerberdaten | 6 Monate | § 15 AGG + DSGVO | Abschluss Bewerbungsverfahren | Nach Absage |
| SEPA-Lastschriftmandate | 3 Jahre | BGB + DSGVO | Mandatsende | Vertragsrecht |
| Personalakten (ehemalige Mitarbeiter) | 10 Jahre | § 147 AO / DSGVO | Ausscheiden | Steuer-/Sozialversicherungen |
| Newsletter-Abonnements | Sofort nach Widerruf | DSGVO | Widerruf der Einwilligung | Löschpflicht |
| Sonstige personenbezogene Kontaktdaten | 2 Jahre | DSGVO | letzter Kontakt | Wenn kein laufendes Verhältnis |
DSGVO-konformes Löschkonzept erstellen: Empfehlungen und Praxistipps
- Am besten startest du zunächst mit wenigen, dafür aber klar definierten Regeln und setzt gleichzeitig auf pragmatische Lösungen, die gut zu deinem Unternehmensalltag passen.
- Außerdem lohnt es sich, Checklisten, Tabellen (s. o.) sowie bei Bedarf digitale Tools oder Vorlagen zu nutzen, damit dein DSGVO-konformes Löschkonzept übersichtlich, strukturiert und nachvollziehbar bleibt.
- Achte darüber hinaus besonders darauf, dass auch alte Datenbestände systematisch erfasst und bewertet werden, da diese in der Praxis häufig übersehen werden. Wenn Unsicherheiten bestehen oder Fragen auftreten, ziehe am besten frühzeitig Datenschutzexpertinnen oder -experten hinzu, um auf Nummer sicher zu gehen.
- Ebenso ist es wichtig, dass externe Dienstleister in das Konzept eingebunden werden und dass ihre Löschpflichten vertraglich klar geregelt sind.
Mit einer solchen praxisnahen und strukturierten Vorgehensweise kannst du als KMU ein wirksames und DSGVO-konformes Löschkonzept aufbauen. Dieses entspricht nicht nur den gesetzlichen Anforderungen, sondern hält auch internen Audits sowie behördlichen Prüfungen problemlos stand.
Weitere Artikel:
>> Aufbewahrung von Geschäftsunterlagen – Fristen und Pflichten
>> DMS-Software und Datenschutz: 6 Tipps zum richtigen Einsatz
>> Datenschutz in der Finanzbuchhaltung: Was ist DSGVO-konform?
HS - Hamburger Software
Song_about_summer-stock.adobe.com
