Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Sicherheit & Datenschutz 02.06.2026 · 11 min Lesezeit

Datensicheres Löschkonzept nach DSGVO erstellen

Mit einem DSGVO-Löschkonzept legst du fest, welche personenbezogenen Daten wann und wie gelöscht werden. Diese Anleitung führt dich Schritt für Schritt durch Datenarten, Löschklassen, Löschfristen und den Nachweis – inklusive Vorlagen und Backup-Regeln für den Mittelstand.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Infografik zu einem datensicheren Löschkonzept nach DSGVO, mit Datenarten, Löschfristen, Verantwortlichkeiten, Speicherorten, Backups und dokumentierter Löschung personenbezogener Daten.

Ein DSGVO-Löschkonzept ist das organisatorische Steuerungsinstrument, mit dem du nachweisbar regelst, welche personenbezogenen Daten dein Unternehmen wann, von wem und auf welchem Weg löscht. Es erfüllt die Speicherbegrenzung aus Art. 5 Abs. 1 lit. e DSGVO, das Recht auf Löschung nach Art. 17 DSGVO und die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Diese Anleitung richtet sich an IT-Verantwortliche, Datenschutzbeauftragte und Geschäftsführung im Mittelstand. Du bekommst ein klares 6-Schritte-Vorgehen, fertige Tabellen-Vorlagen und konkrete Fristenwerte. Es geht ausschließlich um das organisatorische Konzept, nicht um das technisch sichere Löschen von Datenträgern.

Kurzfassung: Datenarten aus dem Verzeichnis nach Art. 30 DSGVO ableiten, zu Löschklassen mit gleicher Frist und gleichem Startzeitpunkt bündeln, je Klasse eine Löschregel (Regellöschfrist + Startzeitpunkt) festlegen, Umsetzung samt Backups/Archiven und Verantwortlichen bestimmen und jede Löschung lückenlos protokollieren. Methodik nach DIN 66398 bzw. dem Nachfolger DIN EN ISO/IEC 27555:2025-09. Mindestens jährlich prüfen.

Voraussetzungen

  1. Ein aktuelles Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO als Datengrundlage – darin stehen Zwecke, Datenkategorien und Empfänger.
  2. Überblick über alle Speicherorte: Fachanwendungen, Datenbanken, Dateiablagen, E-Mail-Postfächer, Cloud-Dienste, Backups und Archive.
  3. Eingebundener Datenschutzbeauftragter (intern oder extern) und Rückendeckung der Geschäftsführung für verbindliche Vorgaben.
  4. Kenntnis der relevanten Aufbewahrungspflichten aus HGB, AO, EStG, AGG und ggf. SGB.
  5. Liste der Auftragsverarbeiter nach Art. 28 DSGVO (Cloud, externe Dienstleister), deren Löschverpflichtungen vertraglich greifen müssen.

Wenn dein Verzeichnis nach Art. 30 noch lückenhaft ist, ergänze es zuerst. Es bildet die Basis, ohne die du keine vollständige Liste der Datenarten erhältst.

Hintergrund: Was ein Löschkonzept leisten muss

Die DSGVO nennt bewusst keine festen Löschfristen. Stattdessen verlangt sie, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den Zweck erforderlich ist (Art. 5 Abs. 1 lit. e). Sobald der Zweck entfällt und keine Aufbewahrungspflicht mehr besteht, sind die Daten unverzüglich zu löschen. Dein Löschkonzept übersetzt diesen Grundsatz in konkrete, prüfbare Regeln.

Der methodische Standard dafür war lange die DIN 66398:2016 (Leitlinie zur Entwicklung eines Löschkonzepts). Sie wurde im September 2025 zurückgezogen und durch die international harmonisierte DIN EN ISO/IEC 27555:2025-09 ersetzt. Inhaltlich bleibt das Vorgehen identisch: Datenarten bilden, zu Löschklassen bündeln, Löschregeln definieren, Umsetzung und Verantwortliche festlegen, alles dokumentieren. Du kannst dich also weiterhin an der bekannten Bausteinlogik orientieren, solltest in Dokumenten aber den aktuellen Norm-Verweis nutzen.

Warum sich der Aufwand lohnt: Verstöße gegen die Grundsätze nach Art. 5 sind nach Art. 83 Abs. 5 lit. a DSGVO mit bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes bußgeldbewehrt – je nachdem, welcher Wert höher ist. Ein gepflegtes Löschkonzept ist damit auch handfeste Risikovorsorge.

Schritt 1: Datenarten aus dem Verzeichnis ableiten

Eine Datenart ist eine Gruppe von Datenobjekten mit einheitlichem Verarbeitungszweck. Gehe dein Verzeichnis nach Art. 30 DSGVO durch und liste jede Datenart einzeln auf. Denk dabei nicht nur an die führende Fachanwendung, sondern an alle Orte, an denen dieselben Daten liegen.

Typische Datenarten im Mittelstand:

  1. Buchhaltungsdaten und Buchungsbelege (Rechnungen, Kontoauszüge)
  2. Bücher, Inventare, Bilanzen, Jahresabschlüsse
  3. Handels- und Geschäftsbriefe (inklusive geschäftlicher E-Mails)
  4. Kunden- und Vertragsstammdaten
  5. Beschäftigtendaten und Lohnkonten
  6. Bewerberdaten
  7. Newsletter- und Marketing-Einwilligungen
  8. Logfiles, Zugriffsprotokolle und Support-Tickets

Achte besonders auf Schattendaten: Exporte, lokale Kopien auf Notebooks, E-Mail-Postfächer, Test- und Entwicklungssysteme. Diese werden oft vergessen, gehören aber genauso in die Liste der Datenarten und später in die Löschregeln.

Schritt 2: Datenarten zu Löschklassen bündeln

Eine Löschklasse fasst alle Datenarten zusammen, die dieselbe Löschfrist und denselben Startzeitpunkt haben. Statt für jede einzelne Datenart eine eigene Regel zu pflegen, verwaltest du nur eine überschaubare Zahl von Klassen. Das hält das Konzept wartbar.

Eine bewährte Klassen-Struktur für den Mittelstand:

  1. Klasse A – 10 Jahre, ab Jahresende: Bücher, Inventare, Bilanzen, Jahresabschlüsse.
  2. Klasse B – 8 Jahre, ab Jahresende: Buchungsbelege und Rechnungen (seit 2025 verkürzt).
  3. Klasse C – 6 Jahre, ab Jahresende: Handels- und Geschäftsbriefe, geschäftliche E-Mails, Lohnkonten.
  4. Klasse D – 3 Jahre, ab Vertragsende/letztem Kontakt: Kunden- und Vertragsdaten ohne eigene Aufbewahrungspflicht.
  5. Klasse E – 6 Monate, ab Absage: Bewerberdaten erfolgloser Bewerbungen.
  6. Klasse F – kurzfristig: Logfiles, technische Protokolle (nach internem Bedarf, z. B. 30–90 Tage).

Die genauen Werte leitest du in Schritt 3 her. Wichtig ist hier nur die Logik: gleiche Frist plus gleicher Startzeitpunkt ergibt eine Klasse.

Schritt 3: Löschfristen je Datenkategorie herleiten

Jetzt wägst du für jede Klasse ab. Die Löschregel besteht immer aus zwei Teilen: der Regellöschfrist (Zeitraum bis zur Löschung) und dem Startzeitpunkt (Ereignis, ab dem die Frist läuft). Gehe je Datenart drei Fragen durch:

  1. Ist der ursprüngliche Verarbeitungszweck entfallen?
  2. Besteht eine gesetzliche Aufbewahrungspflicht (HGB, AO, EStG, SGB)?
  3. Bestehen laufende oder zu erwartende Rechtsstreitigkeiten (Verjährung nach §§ 195, 199 BGB)?

Die maßgebliche Löschfrist ist die längste anwendbare Aufbewahrungspflicht. Danach ist unverzüglich zu löschen. Wichtig: Eine Aufbewahrungspflicht ist eine Erlaubnis und Pflicht zum Behalten – sie wird nach Ablauf zur Löschpflicht. Pauschales Aufheben über die Frist hinaus ist DSGVO-widrig.

Konkrete Fristenwerte (Stand 2025/2026)

DatenartFristStartzeitpunktRechtsgrundlage

Bücher, Inventare, Bilanzen, Jahresabschlüsse

10 Jahre

Schluss des Kalenderjahrs der letzten Eintragung

§ 147 Abs. 1 Nr. 1, 4, 4a AO; § 257 Abs. 1 Nr. 1, 4 HGB

Buchungsbelege, Rechnungen

8 Jahre

Schluss des Kalenderjahrs der Entstehung

§ 147 Abs. 3 S. 1 AO; § 257 Abs. 4 HGB; § 14b Abs. 1 UStG

Handels- und Geschäftsbriefe (inkl. E-Mails)

6 Jahre

Schluss des Kalenderjahrs

§ 147 Abs. 1 Nr. 2, 3 AO; § 257 Abs. 1 Nr. 2, 3 HGB

Lohnkonten, Lohnabrechnungen

6 Jahre

Schluss des Kalenderjahrs

§ 41 Abs. 1 S. 9 EStG

Kunden-/Vertragsdaten ohne Aufbewahrungspflicht

ca. 3 Jahre

Vertragsende / letzter Kontakt

Art. 5 Abs. 1 lit. e DSGVO; § 195 BGB

Bewerberdaten (erfolglose Bewerbung)

6 Monate

Abschluss des Verfahrens / Absage

§ 26 BDSG i.V.m. § 15 Abs. 4 AGG

Zwei Punkte werden in der Praxis häufig falsch gemacht: Erstens wurde die Frist für Buchungsbelege und Rechnungen zum 01.01.2025 von 10 auf 8 Jahre verkürzt (Viertes Bürokratieentlastungsgesetz); die Verkürzung gilt für alle am 31.12.2024 noch nicht abgelaufenen Fristen. Zweitens werden bei Bewerbern die 6 Monate aus der 3-Monats-Klagefrist nach § 15 Abs. 4 AGG plus Puffer abgeleitet – nicht beliebig länger.

Startzeitpunkt richtig bestimmen

Der Startzeitpunkt ist genauso wichtig wie die Frist. Lege ihn je Klasse eindeutig fest:

BereichStartzeitpunkt

Buchhaltung / Belege

Schluss des Kalenderjahrs der Entstehung bzw. letzten Eintragung

Vertragsdaten

Vertragsende bzw. letzter Kontakt

Bewerber

Abschluss des Bewerbungsverfahrens / Absage

Beschäftigte

Ende des Beschäftigungsverhältnisses

Schritt 4: Umsetzungsvorgaben festlegen (inkl. Backups)

Jetzt wird aus der Regel ein umsetzbarer Vorgang. Lege für jede Löschklasse fest, in welchem System gelöscht wird, ob das automatisiert oder manuell geschieht und wie Backups und Archive behandelt werden.

Automatisiert vs. manuell: Wo die Fachanwendung Löschroutinen oder Aufbewahrungsregeln bietet, nutze sie – das ist zuverlässiger als manuelle Erinnerungen. Für Daten ohne automatische Löschung definierst du einen festen Turnus (z. B. jährliche manuelle Prüfung) mit klarer Zuständigkeit.

Backups und Archive sind der kritischste Punkt. Wenn du einen Datensatz produktiv löschst, lebt er im Backup weiter und kehrt bei einer Wiederherstellung zurück. Backups haben typischerweise eigene Aufbewahrungszeiten von 3 bis 12 Monaten. Damit die Löschpflicht trotzdem erfüllt ist, brauchst du ein Löschregister und folgende organisatorische Regel:

Backup-Restore-Regel
--------------------
1. Lösche den Datensatz im produktiven System.
2. Trage Datensatz-ID + Löschdatum ins Löschregister ein.
3. Nach JEDER Wiederherstellung aus einem Backup:
   a) Gleiche die wiederhergestellten Daten mit dem Löschregister ab.
   b) Lösche die zwischenzeitlich gelöschten Datensätze umgehend erneut.
   c) Protokolliere diesen Nachlöschvorgang.

Ist eine gezielte Einzellöschung im Backup technisch unmöglich, dokumentiere das und nutze das Backup ausschließlich für die Notfall-Wiederherstellung (sogenannte faktische Sperre). Vergiss die Auftragsverarbeiter nach Art. 28 DSGVO nicht: Cloud-Dienste und externe Dienstleister müssen deine Löschvorgaben vertraglich und technisch mit umsetzen.

Vorlage: Löschklassen-Tabelle

Diese Struktur ist das Herzstück deines Konzepts. Pflege sie als zentrale Tabelle:

DatenartLöschklasseRechtsgrundlage / AufbewahrungRegellöschfristStartzeitpunktSystem/Speicherort (inkl. Backup/Archiv)LöschmethodeVerantwortlichLetzte Prüfung

Buchungsbeleg

B

§ 147 AO / 8 J.

8 Jahre

Jahresende

ERP, Beleg-Archiv, Backup

automatisiert

Buchhaltung

2026-01

Vertragsdaten

D

Art. 5 DSGVO / 3 J.

3 Jahre

Vertragsende

CRM, Backup

manuell (jährl.)

Vertrieb

2026-01

Bewerberdaten

E

§ 26 BDSG / 6 Mon.

6 Monate

Absage

Recruiting-Tool, Postfach

manuell

HR

2026-01

Schritt 5: Verantwortlichkeiten festlegen

Eine Regel ohne benannte Zuständigkeit wird nicht ausgeführt. Weise jeder Umsetzungsvorgabe eine verantwortliche Rolle zu – nicht eine Person namentlich, sondern eine Funktion (z. B. Buchhaltung, HR, IT-Administration). So bleibt das Konzept auch bei Personalwechsel gültig.

  1. Fachabteilung: kennt Zweck und Inhalt der Daten, entscheidet über fachliche Löschfreigabe.
  2. IT-Administration: setzt automatisierte Löschungen technisch um und steuert Backups/Restores.
  3. Datenschutzbeauftragter: prüft Konzept und Fristen, berät bei Zweifelsfällen, kontrolliert stichprobenhaft.
  4. Geschäftsführung: trägt die Gesamtverantwortung und gibt das Konzept verbindlich frei.

Halte zusätzlich fest, wer Löschungen freigibt und wer sie kontrolliert. Dieses Vier-Augen-Prinzip schützt vor versehentlichem Löschen noch benötigter Daten.

Schritt 6: Löschungen protokollieren und nachweisen

Korrekt zu löschen reicht nicht – du musst es auch nachweisen können. Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verlangt, dass du jede Löschung dokumentierst. Protokolliere mindestens: was gelöscht wurde, wann, durch wen, warum (Rechtsgrundlage bzw. abgelaufene Frist) und wie (Methode/System).

Vorlage: Löschprotokoll

Datum/UhrzeitDatenart / Datensatz-IDBetroffene Person (bei Art. 17)Rechtsgrundlage / abgelaufene FristLöschmethode / SystemBackup berücksichtigtDurchgeführt vonFreigabe/Kontrolle

2026-01-15 09:20

Buchungsbelege 2017

§ 147 AO, 8 J. abgelaufen

ERP-Löschlauf

ja (Register)

Buchhaltung

DSB

2026-02-03 14:05

Kunde-ID 48213

Antrag Art. 17

Zweck entfallen

CRM manuell

ja (Register)

Vertrieb

Teamleitung

Bei Anträgen auf Löschung nach Art. 17 DSGVO (Recht auf Vergessenwerden) nutzt du dasselbe Protokoll und ergänzt die betroffene Person. So weist du gegenüber der Aufsichtsbehörde und gegenüber Betroffenen lückenlos nach, dass du dem Antrag nachgekommen bist.

Schritt 7: Review-Zyklus etablieren

Ein Löschkonzept ist kein einmaliges Dokument. Prüfe und versioniere es mindestens jährlich sowie bei jeder relevanten Rechtsänderung. Die Fristverkürzung für Buchungsbelege zum 01.01.2025 und die Ablösung der DIN 66398 durch die ISO 27555 im September 2025 zeigen, wie schnell sich Grundlagen verschieben.

  1. Neue Datenarten und Systeme erfassen (z. B. neu eingeführte Cloud-Tools).
  2. Fristenkatalog gegen aktuelle Gesetzeslage abgleichen.
  3. Stichproben: Wurden fällige Löschungen tatsächlich ausgeführt und protokolliert?
  4. Norm-Verweis und Versionsnummer im Dokument aktualisieren.

Typische Fehler

  1. Backups vergessen: Produktiv gelöschte Daten kehren beim Restore zurück. Ohne Löschregister und Nachlöschung ist die Löschpflicht nicht erfüllt.
  2. Pauschal 10 Jahre aufheben: Wer alles vorsorglich behält, verstößt gegen die Speicherbegrenzung. Und die 10-Jahre-Frist für Buchungsbelege gilt seit 2025 nicht mehr – jetzt sind es 8 Jahre.
  3. Lückenhafte Protokollierung: Ohne Nachweis ist die Rechenschaftspflicht nicht erfüllt, selbst wenn korrekt gelöscht wurde.
  4. Auftragsverarbeiter ignoriert: Löschvorgaben müssen auch bei Cloud und externen Dienstleistern greifen – vertraglich und technisch durchsetzbar.
  5. Norm falsch zitiert: Die DIN 66398 ist seit September 2025 zurückgezogen. Aktuell ist DIN EN ISO/IEC 27555:2025-09; die Methodik ist identisch.
  6. Norm als Fristenquelle missverstanden: DIN/ISO liefern nur die Methodik. Die konkreten Fristen musst du je Datenart selbst herleiten.
  7. Schattendaten übersehen: Exporte, E-Mail-Postfächer, lokale Kopien, Logfiles und Testsysteme gehören in Datenarten und Löschregeln.
  8. Themen verwechselt: Das organisatorische Löschkonzept ist nicht das technisch sichere Löschen von Datenträgern – beides getrennt behandeln.

Häufige Fragen

Schreibt die DSGVO konkrete Löschfristen vor?

Nein. Die DSGVO nennt keine festen Fristen. Sie verlangt nur, dass Daten nicht länger als für den Zweck erforderlich gespeichert werden (Art. 5 Abs. 1 lit. e). Die konkreten Fristen leitest du selbst ab – über die Abwägung zwischen Erforderlichkeit und gesetzlicher Aufbewahrungspflicht aus HGB, AO, EStG und Co.

Gilt die DIN 66398 noch?

Die DIN 66398:2016 wurde im September 2025 zurückgezogen und durch die DIN EN ISO/IEC 27555:2025-09 ersetzt. Das Vorgehen – Datenarten, Löschklassen, Löschregeln, Umsetzungsvorgaben, Verantwortlichkeiten – bleibt inhaltlich gleich. In neuen Dokumenten solltest du auf die ISO 27555 verweisen.

Wie gehe ich mit Daten in Backups um?

Lösche zuerst produktiv und führe ein Löschregister. Nach jeder Wiederherstellung aus einem Backup gleichst du die Daten mit dem Register ab und löschst die zwischenzeitlich entfernten Datensätze erneut. Ist eine Einzellöschung im Backup technisch unmöglich, dokumentiere das und nutze das Backup nur noch für Notfälle.

Wie lange darf ich Bewerberdaten aufbewahren?

Bei erfolglosen Bewerbungen gilt als Faustregel sechs Monate nach Abschluss des Verfahrens. Das leitet sich aus der dreimonatigen Klagefrist nach § 15 Abs. 4 AGG plus Puffer ab (Rechtsgrundlage § 26 BDSG). Willst du den Bewerber im Talentpool halten, brauchst du eine ausdrückliche Einwilligung.

Was passiert bei einem Verstoß?

Verstöße gegen die Grundsätze des Art. 5 DSGVO sind nach Art. 83 Abs. 5 lit. a mit bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes bußgeldbewehrt – maßgeblich ist der höhere Wert. Ein dokumentiertes Löschkonzept ist daher zugleich Risikovorsorge.

Reicht ein Löschkonzept ohne Protokoll?

Nein. Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verlangt, dass du die Umsetzung nachweisen kannst. Ohne Löschprotokoll (was, wann, durch wen, warum, wie) ist die Pflicht nicht erfüllt, auch wenn technisch korrekt gelöscht wurde.

Fazit

Ein DSGVO-Löschkonzept entsteht in sechs nachvollziehbaren Schritten: Datenarten aus dem Verzeichnis nach Art. 30 ableiten, zu Löschklassen bündeln, Löschregeln aus Frist und Startzeitpunkt bilden, Umsetzung samt Backups festlegen, Verantwortliche benennen und jede Löschung protokollieren. Die Methodik nach DIN 66398 bzw. dem Nachfolger DIN EN ISO/IEC 27555:2025-09 gibt dir den Rahmen, die konkreten Fristen leitest du je Datenart selbst her. Mit den Tabellen-Vorlagen aus dieser Anleitung und einem jährlichen Review-Zyklus erfüllst du Speicherbegrenzung, Löschpflicht und Rechenschaftspflicht nachweisbar – und reduzierst dein Bußgeldrisiko spürbar.

Weiterführende Anleitungen und Quellen

Ein Löschkonzept ist Teil deiner technisch-organisatorischen Maßnahmen. Wie du diese rund um Auftragsverarbeiter strukturierst, zeigt unsere Anleitung zu DSGVO-TOMs und Auftragsverarbeitung in der Praxis. Weitere Beiträge rund um Datenschutz und IT-Sicherheit findest du in der Kategorie Sicherheit.

Verwendete Quellen: die offizielle Begleitseite zur Norm (DIN-66398.de), die Fachdarstellung von Dr. Datenschutz zur Entwicklung eines Löschkonzepts, die IHK Hamburg zu den Aufbewahrungsfristen nach HGB/AO (Stand 2025) sowie die Ausführungen von esb Rechtsanwälte zur Löschpflicht in Backups und Archiven. Diese Anleitung ist eine fachliche Hilfestellung und ersetzt keine individuelle Rechtsberatung.

Verwandt

Weiter lesen

Alle Artikel →
Infografik zur Absicherung eines Linux-Servers mit UFW-Firewall und Fail2ban, mit Firewall-Regeln, SSH-Schutz, gesperrten Angreifer-IP-Adressen und Protokollüberwachung.
02.06.2026 ·10 min

Linux-Server absichern: UFW-Firewall und Fail2ban

Härte deinen Debian-12- oder Ubuntu-24.04-Server mit UFW und Fail2ban ab: Firewall-Regeln richtig setzen, Brute-Force-Angriffe automatisch sperren und den gefürchteten SSH-Lockout vermeiden.
Infografik zur DSGVO-Praxis mit dokumentierten technischen und organisatorischen Maßnahmen, Risikoanalyse, Verantwortlichkeiten sowie vertraglich geregelter Auftragsverarbeitung nach Art. 28 DSGVO.
02.06.2026 ·10 min

DSGVO-Praxis: TOMs dokumentieren und Auftragsverarbeitung regeln

So dokumentierst du deine technisch-organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO und schließt rechtssichere Auftragsverarbeitungsverträge nach Art. 28 ab – mit Vorlagenstruktur, Checklisten und einer zentralen AVV-Übersicht für den Mittelstand.
Mitarbeiterin prüft am Laptop eine verdächtige E-Mail vor dem Melden
02.06.2026 ·8 min

Phishing erkennen und melden – Kurzleitfaden fürs Team

Dieser Kurzleitfaden zum Thema Phishing erkennen und melden ist zum Weitergeben an dein Team gedacht: klare Merkmale, echte Beispiele wie CEO-Fraud und Fake-Login, ein definierter Meldeweg und die richtigen Sofortmaßnahmen nach einem Klick.