Direkt zum Artikeltext springen

Löschkonzept DSGVO erstellen – Schritt-für-Schritt-Anleitung

Inhalt in Kürze

  • Ein Löschkonzept regelt verbindlich, wann und wie personenbezogene Daten in Ihrem Unternehmen gelöscht werden – und ist bei jeder Behördenprüfung eines der ersten angeforderten Dokumente.
  • Die DSGVO verlangt in Art. 17 das Recht auf Löschung. Gleichzeitig existieren gesetzliche Aufbewahrungspflichten aus Steuer- und Handelsrecht. Ihr Löschkonzept bringt beides in Einklang.
  • Die DIN 66398 liefert den bewährten Rahmen für die Erstellung – mit Datenarten, Löschklassen, Löschregeln und Umsetzungsregeln.
  • Ohne Löschkonzept verstoßen Sie gegen den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) – und riskieren Bußgelder.

Personenbezogene Daten sammeln sich in jedem Unternehmen an. Kundendaten im CRM, Bewerbungsunterlagen im Postfach, Lohnabrechnungen in der Buchhaltung. Doch wann dürfen – und wann müssen – diese Daten gelöscht werden?

Genau das regelt ein Löschkonzept. Und genau das fehlt in den meisten KMU.

Die Datenschutz-Grundverordnung verlangt, dass personenbezogene Daten gelöscht werden, sobald der Zweck der Verarbeitung entfällt (Art. 17 DSGVO). Gleichzeitig schreiben Steuer- und Handelsrecht vor, bestimmte Unterlagen jahrelang aufzubewahren. Dieses Spannungsfeld lösen Sie nur mit einem dokumentierten Löschkonzept.

Dieser Artikel zeigt Ihnen, wie Sie ein Löschkonzept nach DSGVO erstellen – praxistauglich, orientiert an der DIN 66398 und ohne juristischen Überbau.

Ohne Löschkonzept drohen Bußgelder

Die deutschen Aufsichtsbehörden haben bereits mehrfach Bußgelder wegen fehlender Löschkonzepte verhängt. Eine Berliner Wohnungsbaugesellschaft zahlte 14,5 Millionen Euro, weil sie Mieterdaten ohne Löschfristen speicherte. Auch für KMU gilt: Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) ist keine Empfehlung, sondern Pflicht.

Was ist ein Löschkonzept nach DSGVO?

Ein Löschkonzept ist ein dokumentiertes Regelwerk, das festlegt:

  • Welche personenbezogenen Daten Ihr Unternehmen verarbeitet
  • Wie lange diese Daten gespeichert werden dürfen
  • Wann und wie sie gelöscht werden
  • Wer für die Löschung verantwortlich ist

Das Löschkonzept ist ein zentraler Baustein Ihres Datenschutzkonzepts und eng mit dem Verarbeitungsverzeichnis verknüpft. Ohne Verarbeitungsverzeichnis wissen Sie nicht, welche Daten Sie überhaupt haben. Ohne Löschkonzept wissen Sie nicht, wann Sie sie löschen müssen.

Es kam wirklich häufig vor, dass es dann ein Aha-Erlebnis war. Die Geschäftsleitung sagte: Das war mir so gar nicht bewusst. Ich dachte, Datenschutz ist dafür da, um mich zu ärgern.

Nils OehmichenNils OehmichenDatenschutzberater bei frag.hugo

Die DIN 66398 als Leitlinie

Die DIN 66398 (mittlerweile abgelöst durch DIN EN ISO/IEC 27555, inhaltlich aber weiterhin gültig) beschreibt einen strukturierten Ansatz zur Entwicklung eines Löschkonzepts. Sie gliedert den Prozess in vier Ebenen:

  1. Datenarten – Welche Kategorien personenbezogener Daten existieren?
  2. Löschklassen – Welche Datenarten haben die gleiche Aufbewahrungsfrist?
  3. Löschregeln – Wann beginnt und endet die Frist?
  4. Umsetzungsregeln – Wie wird in jedem System technisch gelöscht?

Dieser Ansatz ist bewährt und wird auch vom BfDI (Bundesbeauftragter für den Datenschutz) empfohlen.

Löschkonzept erstellen in 5 Schritten

  1. Dateninventur durchführen. Listen Sie alle personenbezogenen Daten auf, die Ihr Unternehmen verarbeitet. Nutzen Sie Ihr Verarbeitungsverzeichnis als Ausgangspunkt. Erfassen Sie für jede Datenart: Kategorie (z. B. Kundendaten, Bewerberdaten, Mitarbeiterdaten), Speicherort (CRM, E-Mail, Aktenordner, Cloud), Verarbeitungszweck und Rechtsgrundlage.
  2. Aufbewahrungsfristen ermitteln. Prüfen Sie für jede Datenart, ob gesetzliche Aufbewahrungspflichten bestehen. Steuerrecht, Handelsrecht, Sozialversicherungsrecht und branchenspezifische Vorschriften geben unterschiedliche Fristen vor. Dokumentieren Sie die Rechtsgrundlage jeder Frist.
  3. Löschklassen bilden. Fassen Sie Datenarten mit gleicher Aufbewahrungsfrist zu Löschklassen zusammen – das vereinfacht die Umsetzung erheblich. Beispiel: Alle steuerlich relevanten Buchungsbelege gehören in die Löschklasse "10 Jahre nach Ende des Kalenderjahres".
  4. Löschregeln und Zuständigkeiten definieren. Legen Sie fest, wann die Aufbewahrungsfrist beginnt (Startdatum), wann sie endet (Löschdatum) und wer im Unternehmen die Löschung durchführt. Definieren Sie auch, wie Sie die Löschung dokumentieren – denn Sie müssen nachweisen können, dass Sie gelöscht haben.
  5. Technische Umsetzung sicherstellen. Prüfen Sie für jedes System, ob eine automatische Löschung konfiguriert werden kann. Wo das nicht möglich ist, richten Sie manuelle Prozesse mit festen Terminen ein (z. B. quartalsweise Löschläufe). Testen Sie die Löschung – auch in Backups und Archiven.

Die wichtigsten Aufbewahrungsfristen im Überblick

Die folgende Tabelle zeigt die gängigsten Aufbewahrungsfristen, die Sie in Ihrem Löschkonzept berücksichtigen müssen:

Datenart Frist Rechtsgrundlage Fristbeginn
Buchungsbelege, Rechnungen 10 Jahre* § 147 AO, § 257 HGB Ende des Kalenderjahres
Jahresabschlüsse, Bilanzen 10 Jahre § 147 AO, § 257 HGB Ende des Kalenderjahres
Handelsbriefe 6 Jahre § 257 HGB Ende des Kalenderjahres
Geschäftsbriefe 6 Jahre § 257 HGB Ende des Kalenderjahres
Bewerbungsunterlagen (Absage) 6 Monate AGG (§ 15 Abs. 4) Absagedatum
Lohn- und Gehaltsabrechnungen 6 Jahre § 41 EStG Ende des Kalenderjahres
Arbeitsverträge (nach Austritt) 3 Jahre § 195 BGB (Verjährung) Ende des Austrittsjahres
Arbeitszeitnachweise 2 Jahre § 16 Abs. 2 ArbZG Ende des Aufzeichnungszeitraums
Videoüberwachungsaufnahmen 72 Stunden DSGVO Art. 6, § 4 BDSG Aufnahmedatum
Kundendaten (nach Vertragsende) 3 Jahre § 195 BGB (Verjährung) Ende des Vertragsjahres
Einwilligungen Während der Verarbeitung Art. 7 DSGVO Widerruf

*Hinweis: Durch das Bürokratieentlastungsgesetz IV wurde die Aufbewahrungsfrist für Buchungsbelege ab 2025 auf 8 Jahre verkürzt. Für bestimmte Branchen (z. B. Finanzdienstleister) gilt die Verkürzung erst ab 2026.

Häufige Fehler beim Löschkonzept

Fehler 1: Löschkonzept nur auf Papier. Viele Unternehmen dokumentieren Löschfristen, setzen sie aber technisch nicht um. Ein Löschkonzept ohne gelebte Löschprozesse ist bei einer Prüfung wertlos.

Fehler 2: Backups vergessen. Daten werden im Produktivsystem gelöscht, existieren aber weiterhin in Backups. Klären Sie, wie Sie mit Daten in Sicherungskopien umgehen – und dokumentieren Sie die Vorgehensweise.

Fehler 3: Kein Startdatum definiert. Eine Aufbewahrungsfrist von "6 Jahren" ist nutzlos, wenn Sie nicht festlegen, ab wann die Frist läuft. Der Fristbeginn muss für jede Datenart eindeutig bestimmt sein.

Fehler 4: Papierdaten ignoriert. Das Löschkonzept gilt nicht nur für digitale Daten. Personalakten, Bewerbungsmappen und ausgedruckte Verträge müssen ebenfalls vernichtet werden – datenschutzkonform mit Aktenvernichter (mindestens Sicherheitsstufe P-4 nach DIN 66399).

Löschkonzept prüfen: Ist Ihr Unternehmen vorbereitet?

Testen Sie Ihren aktuellen Stand mit unserem kostenlosen Datenschutz-Check. In wenigen Minuten erfahren Sie, wo Ihr Unternehmen steht – auch beim Thema Löschkonzept.

Sie sollten mindestens die folgenden Fragen mit "Ja" beantworten können:

  • Haben Sie ein dokumentiertes Verarbeitungsverzeichnis als Grundlage?
  • Sind Aufbewahrungsfristen für alle Datenarten festgelegt und begründet?
  • Gibt es einen verantwortlichen Ansprechpartner für die Löschung?
  • Werden Löschläufe regelmäßig durchgeführt und dokumentiert?
  • Sind auch Papierdaten und Backups berücksichtigt?

Wenn Sie bei einer oder mehreren Fragen unsicher sind, sollten Sie handeln. Ein externer Datenschutzbeauftragter kann Sie bei der Erstellung und Pflege Ihres Löschkonzepts unterstützen. Einen umfassenden Überblick über alle DSGVO-Pflichten finden Sie in unserer DSGVO-Checkliste 2026.

Auf den Punkt: Ein Löschkonzept nach DSGVO muss nicht kompliziert sein. Starten Sie mit Ihrem Verarbeitungsverzeichnis, ermitteln Sie die Aufbewahrungsfristen, bilden Sie Löschklassen und setzen Sie regelmäßige Löschläufe um. Die DIN 66398 gibt Ihnen dafür eine klare Struktur. Entscheidend ist nicht die Perfektion auf dem Papier – sondern dass Sie tatsächlich löschen.

Löschkonzept erstellen lassen?

Wir erstellen Ihr Löschkonzept nach DIN 66398 – praxistauglich und auditfest.

Kostenloses Erstgespräch buchen →

Artikel teilen

Weiterlesen

Ähnliche Artikel

Jens Hagel

Jens Hagel

Mitgründer & IT-Unternehmer

Jens führt seit Dezember 2004 die hagel IT-Services GmbH in Hamburg, heute 35+ Mitarbeitende. Mitgründer von frag.hugo Informationssicherheit und der SYNAPSE KI-Agentur. Mehrfach als „Deutschlands beste IT-Dienstleister" (statista / brand eins) ausgezeichnet.

21 Jahre IT-Unternehmer statista / brand eins Award Microsoft Partner WatchGuard Gold
Nächster Schritt

Haben Sie Fragen?

Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.

Lieber erstmal schreiben? Kontaktformular