Löschkonzept DSGVO erstellen – Schritt-für-Schritt-Anleitung

Inhalt in Kürze

• Ein Löschkonzept regelt verbindlich, wann und wie personenbezogene Daten in Ihrem Unternehmen gelöscht werden – und ist bei jeder Behördenprüfung eines der ersten angeforderten Dokumente.
• Die DSGVO verlangt in Art. 17 das Recht auf Löschung. Gleichzeitig existieren gesetzliche Aufbewahrungspflichten aus Steuer- und Handelsrecht. Ihr Löschkonzept bringt beides in Einklang.
• Die DIN 66398 liefert den bewährten Rahmen für die Erstellung – mit Datenarten, Löschklassen, Löschregeln und Umsetzungsregeln.
• Ohne Löschkonzept verstoßen Sie gegen den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) – und riskieren Bußgelder.

Personenbezogene Daten sammeln sich in jedem Unternehmen an. Kundendaten im CRM, Bewerbungsunterlagen im Postfach, Lohnabrechnungen in der Buchhaltung. Doch wann dürfen – und wann müssen – diese Daten gelöscht werden?

Genau das regelt ein Löschkonzept. Und genau das fehlt in den meisten KMU.

Die Datenschutz-Grundverordnung verlangt, dass personenbezogene Daten gelöscht werden, sobald der Zweck der Verarbeitung entfällt (Art. 17 DSGVO). Gleichzeitig schreiben Steuer- und Handelsrecht vor, bestimmte Unterlagen jahrelang aufzubewahren. Dieses Spannungsfeld lösen Sie nur mit einem dokumentierten Löschkonzept.

Dieser Artikel zeigt Ihnen, wie Sie ein Löschkonzept nach DSGVO erstellen – praxistauglich, orientiert an der DIN 66398 und ohne juristischen Überbau. Wer Speicherbegrenzung und Löschpflichten im Zusammenhang mit den anderen Grundsätzen des Datenschutzes nach Art. 5 DSGVO verstehen will, findet im Datenschutz-Leitfaden für Unternehmen den vollständigen Rahmen. Was die DSGVO konkret von KMU verlangt — Art. 5 Speicherbegrenzung, Art. 17 Recht auf Löschung, Bußgelder bis 20 Mio. € — fasst unser DSGVO-Leitfaden zusammen.

Was ist ein Löschkonzept nach DSGVO?

Ein Löschkonzept ist ein dokumentiertes Regelwerk, das festlegt:

• Welche personenbezogenen Daten Ihr Unternehmen verarbeitet
• Wie lange diese Daten gespeichert werden dürfen
• Wann und wie sie gelöscht werden
• Wer für die Löschung verantwortlich ist

Das Löschkonzept ist ein zentraler Baustein Ihres Datenschutzkonzepts und eng mit dem Verarbeitungsverzeichnis verknüpft. Ohne Verarbeitungsverzeichnis wissen Sie nicht, welche Daten Sie überhaupt haben. Ohne Löschkonzept wissen Sie nicht, wann Sie sie löschen müssen.

Es kam wirklich häufig vor, dass es dann ein Aha-Erlebnis war. Die Geschäftsleitung sagte: Das war mir so gar nicht bewusst. Ich dachte, Datenschutz ist dafür da, um mich zu ärgern.

Nils OehmichenDatenschutzberater bei frag.hugo

Die DIN 66398 als Leitlinie

Die DIN 66398 (mittlerweile abgelöst durch DIN EN ISO/IEC 27555, inhaltlich aber weiterhin gültig) beschreibt einen strukturierten Ansatz zur Entwicklung eines Löschkonzepts. Sie gliedert den Prozess in vier Ebenen:

1. Datenarten – Welche Kategorien personenbezogener Daten existieren?
2. Löschklassen – Welche Datenarten haben die gleiche Aufbewahrungsfrist?
3. Löschregeln – Wann beginnt und endet die Frist?
4. Umsetzungsregeln – Wie wird in jedem System technisch gelöscht?

Dieser Ansatz ist bewährt und wird auch vom BfDI (Bundesbeauftragter für den Datenschutz) empfohlen.

Löschkonzept erstellen in 5 Schritten

1. Dateninventur durchführen. Listen Sie alle personenbezogenen Daten auf, die Ihr Unternehmen verarbeitet. Nutzen Sie Ihr Verarbeitungsverzeichnis als Ausgangspunkt. Erfassen Sie für jede Datenart: Kategorie (z. B. Kundendaten, Bewerberdaten, Mitarbeiterdaten), Speicherort (CRM, E-Mail, Aktenordner, Cloud), Verarbeitungszweck und Rechtsgrundlage.
2. Aufbewahrungsfristen ermitteln. Prüfen Sie für jede Datenart, ob gesetzliche Aufbewahrungspflichten bestehen. Steuerrecht, Handelsrecht, Sozialversicherungsrecht und branchenspezifische Vorschriften geben unterschiedliche Fristen vor. Dokumentieren Sie die Rechtsgrundlage jeder Frist.
3. Löschklassen bilden. Fassen Sie Datenarten mit gleicher Aufbewahrungsfrist zu Löschklassen zusammen – das vereinfacht die Umsetzung erheblich. Beispiel: Alle steuerlich relevanten Buchungsbelege gehören in die Löschklasse "10 Jahre nach Ende des Kalenderjahres".
4. Löschregeln und Zuständigkeiten definieren. Legen Sie fest, wann die Aufbewahrungsfrist beginnt (Startdatum), wann sie endet (Löschdatum) und wer im Unternehmen die Löschung durchführt. Definieren Sie auch, wie Sie die Löschung dokumentieren – denn Sie müssen nachweisen können, dass Sie gelöscht haben.
5. Technische Umsetzung sicherstellen. Prüfen Sie für jedes System, ob eine automatische Löschung konfiguriert werden kann. Wo das nicht möglich ist, richten Sie manuelle Prozesse mit festen Terminen ein (z. B. quartalsweise Löschläufe). Testen Sie die Löschung – auch in Backups und Archiven.

Die wichtigsten Aufbewahrungsfristen im Überblick

Die folgende Tabelle zeigt die gängigsten Aufbewahrungsfristen, die Sie in Ihrem Löschkonzept berücksichtigen müssen:

*Hinweis: Durch das Bürokratieentlastungsgesetz IV wurde die Aufbewahrungsfrist für Buchungsbelege ab 2025 auf 8 Jahre verkürzt. Für bestimmte Branchen (z. B. Finanzdienstleister) gilt die Verkürzung erst ab 2026.

Häufige Fehler beim Löschkonzept

Fehler 1: Löschkonzept nur auf Papier. Viele Unternehmen dokumentieren Löschfristen, setzen sie aber technisch nicht um. Ein Löschkonzept ohne gelebte Löschprozesse ist bei einer Prüfung wertlos.

Fehler 2: Backups vergessen. Daten werden im Produktivsystem gelöscht, existieren aber weiterhin in Backups. Klären Sie, wie Sie mit Daten in Sicherungskopien umgehen – und dokumentieren Sie die Vorgehensweise.

Fehler 3: Kein Startdatum definiert. Eine Aufbewahrungsfrist von “6 Jahren” ist nutzlos, wenn Sie nicht festlegen, ab wann die Frist läuft. Der Fristbeginn muss für jede Datenart eindeutig bestimmt sein.

Fehler 4: Papierdaten ignoriert. Das Löschkonzept gilt nicht nur für digitale Daten. Personalakten, Bewerbungsmappen und ausgedruckte Verträge müssen ebenfalls vernichtet werden – datenschutzkonform mit Aktenvernichter (mindestens Sicherheitsstufe P-4 nach DIN 66399).

Löschkonzept prüfen: Ist Ihr Unternehmen vorbereitet?

Testen Sie Ihren aktuellen Stand mit unserem kostenlosen Datenschutz-Check. In wenigen Minuten erfahren Sie, wo Ihr Unternehmen steht – auch beim Thema Löschkonzept.

Sie sollten mindestens die folgenden Fragen mit “Ja” beantworten können:

• Haben Sie ein dokumentiertes Verarbeitungsverzeichnis als Grundlage?
• Sind Aufbewahrungsfristen für alle Datenarten festgelegt und begründet?
• Gibt es einen verantwortlichen Ansprechpartner für die Löschung?
• Werden Löschläufe regelmäßig durchgeführt und dokumentiert?
• Sind auch Papierdaten und Backups berücksichtigt?

Wenn Sie bei einer oder mehreren Fragen unsicher sind, sollten Sie handeln. Ein externer Datenschutzbeauftragter kann Sie bei der Erstellung und Pflege Ihres Löschkonzepts unterstützen. Einen umfassenden Überblick über alle DSGVO-Pflichten finden Sie in unserer DSGVO-Checkliste 2026.

Löschkonzept für Hamburger Unternehmen

Bei Prüfungen durch den HmbBfDI ist das Löschkonzept regelmäßig eines der ersten Dokumente, das angefordert wird. Hamburger Unternehmen, die hier nichts vorlegen können, geraten schnell in Erklärungsnot. Besonders betroffen sind Branchen mit langen Kundenbeziehungen — etwa Immobilienverwaltungen, Kanzleien oder Gesundheitsdienstleister an der Elbe, bei denen sich über Jahre große Datenbestände ansammeln. Wir erstellen Löschkonzepte nach DIN 66398 für Unternehmen in Hamburg und der Metropolregion. Sprechen Sie uns als externen Datenschutzbeauftragten an, wenn Sie Ihr Löschkonzept aufsetzen oder aktualisieren wollen.

Häufige Fragen (FAQ)

Ist ein Löschkonzept nach DSGVO Pflicht?

Ja. Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) verpflichtet jedes Unternehmen, personenbezogene Daten zu löschen, sobald der Verarbeitungszweck entfällt. Ein dokumentiertes Löschkonzept ist der Nachweis, dass Sie diese Pflicht systematisch umsetzen.

Welche Aufbewahrungsfristen muss ich im Löschkonzept berücksichtigen?

Die wichtigsten Fristen stammen aus dem Steuer- und Handelsrecht: 10 Jahre für Buchungsbelege und Jahresabschlüsse (§ 147 AO), 6 Jahre für Geschäftsbriefe (§ 257 HGB). Bewerbungsunterlagen sollten spätestens 6 Monate nach Absage gelöscht werden.

Was ist die DIN 66398 und brauche ich sie?

Die DIN 66398 ist ein Leitfaden zur Erstellung von Löschkonzepten. Sie strukturiert den Prozess in Datenarten, Löschklassen, Löschregeln und Umsetzungsregeln. Für KMU ist sie eine hilfreiche Orientierung, aber keine gesetzliche Pflicht.

Was passiert, wenn mein Unternehmen kein Löschkonzept hat?

Ohne Löschkonzept verstoßen Sie gegen die Rechenschaftspflicht der DSGVO. Aufsichtsbehörden haben bereits Bußgelder in Millionenhöhe verhängt – etwa 14,5 Millionen Euro gegen eine Berliner Wohnungsbaugesellschaft wegen fehlender Löschfristen.

Wie oft muss ich mein Löschkonzept überprüfen?

Mindestens einmal jährlich sowie bei jeder wesentlichen Änderung Ihrer Datenverarbeitung, etwa wenn neue Software eingeführt oder neue Datenkategorien erhoben werden.

Lesetipp: Wer das große Bild verstehen will — DSGVO, BDSG, die sieben Grundsätze, Bußgelder bis 20 Mio. €, Pflichten für KMU — findet in unserem Datenschutz-Leitfaden für Unternehmen den Überblick.

Lesetipp: Wer das Gesetz selbst verstehen will — Art. 5, Bußgelder, Pflichten — findet in unserem DSGVO-Leitfaden den Überblick.