Wie setzt Software ein Löschkonzept nach DIN 66398 in die Praxis um? Kurzantwort: Löschkonzept-Software übersetzt die abstrakte Speicherbegrenzung aus Art. 5 Abs. 1 lit. e DSGVO in konkrete, überwachte Löschregeln — sie ordnet Datenarten Löschklassen mit definierten Fristen zu, berücksichtigt gesetzliche Aufbewahrungspflichten aus HGB und AO und stößt Löschungen entweder automatisch an oder dokumentiert nachweisbar den manuellen Prozess. Der entscheidende Mehrwert gegenüber einem Papierkonzept: der Nachweis gegenüber der Aufsichtsbehörde, dass tatsächlich gelöscht wird. Dieser Beitrag zeigt, was solche Software leisten muss und warum fehlende Löschung eines der teuersten Versäumnisse ist.
Key Takeaways
- Art. 5 Abs. 1 lit. e DSGVO verlangt Speicherbegrenzung: Daten dürfen nicht länger als nötig aufbewahrt werden.
- DIN 66398 liefert die Methodik: Datenarten werden zu Löschklassen mit einheitlichen Fristen zusammengefasst.
- Löschfristen kollidieren mit Aufbewahrungspflichten aus § 257 HGB (6/10 Jahre) und § 147 AO — die Software muss beide Logiken verbinden.
- Der teuerste Fehler ist ein Altsystem ohne Löschfunktion: Die Berliner Aufsichtsbehörde verhängte 2019 gegen Deutsche Wohnen 14,5 Mio. € genau dafür.
Warum ein Löschkonzept Pflicht ist
Die Speicherbegrenzung ist einer der sechs Grundsätze des Art. 5 DSGVO — und einer der am häufigsten verletzten. Sie verlangt, dass personenbezogene Daten nur so lange in identifizierbarer Form gespeichert werden, wie es für den Zweck erforderlich ist. Das klingt einfach, ist in der Praxis aber anspruchsvoll: Jede Datenart hat einen eigenen Zweck, eine eigene Erforderlichkeitsdauer und oft eine überlagernde gesetzliche Aufbewahrungspflicht.
Ein Löschkonzept macht diese Logik operationalisierbar. Es beantwortet für jede Datenart drei Fragen: Wann beginnt die Frist? Wie lange läuft sie? Was passiert am Ende — Löschung oder Anonymisierung? Die Grundlagen erklären unsere Beiträge zur Speicherbegrenzung nach DSGVO und zum Recht auf Löschung. Eine fertige Struktur bietet unsere Löschkonzept-Vorlage.
DIN 66398: die Methodik hinter der Software
Die DIN 66398 ist die deutsche Norm für die Erstellung eines Löschkonzepts. Ihr Kerngedanke: Nicht jede einzelne Datenart bekommt eine eigene Frist, sondern Datenarten werden zu Löschklassen zusammengefasst — Gruppen mit einheitlicher Aufbewahrungs- und Löschfrist. Statt hunderter Einzelregeln entstehen wenige Löschklassen, die das gesamte Datenaufkommen abdecken.
Eine Löschklasse verbindet drei Elemente: den Startzeitpunkt der Frist (etwa Vertragsende, letzter Kontakt, Ablauf eines Geschäftsjahres), die Fristdauer und die Umsetzungsregel. Gute Löschkonzept-Software bildet genau dieses Modell ab: Sie erlaubt die Definition von Löschklassen, ordnet ihnen Datenbestände zu und überwacht die Fristen. Ein reines Freitext-Konzept in Word kann das nicht — es beschreibt nur, es setzt nichts durch.
Worked Example: vier Löschklassen für einen Onlineshop. Machen wir die Methodik konkret. Ein Onlineshop bündelt seine Datenarten zu wenigen Löschklassen — jede mit Startzeitpunkt, Fristdauer und maßgeblicher Rechtsgrundlage.
- Löschklasse A — Buchungsbelege und Rechnungen. Start: Ende des Geschäftsjahres. Frist: 10 Jahre nach § 147 AO und § 257 HGB. Die handelsrechtliche Pflicht überlagert hier die DSGVO-Löschpflicht vollständig — vor Ablauf wird nicht gelöscht.
- Löschklasse B — Kundenkonto ohne Bestellung. Start: letzter Login. Frist: 24 Monate Inaktivität, dann Löschung. Keine Aufbewahrungspflicht greift, also entscheidet die reine Erforderlichkeit.
- Löschklasse C — Kontaktformular-Anfragen ohne Vertragsschluss. Start: Abschluss der Bearbeitung. Frist: 6 Monate, dann Löschung.
- Löschklasse D — Bewerberdaten nach Absage. Start: Absageschreiben. Frist: 6 Monate zum Beweiszweck nach dem AGG, dann Löschung.
Der Trick der DIN 66398 zeigt sich hier: Aus Dutzenden Datenarten werden vier beherrschbare Klassen. Der kritische Prüfschritt ist die Kollision — ein Kundendatensatz, der zugleich einer Bestellung (Klasse A, 10 Jahre) und einem inaktiven Konto (Klasse B, 24 Monate) zugeordnet ist, folgt der längeren Frist. Software, die Datensätze mehreren Klassen zuordnen und die späteste Frist automatisch als maßgeblich behandeln kann, verhindert den häufigsten Fehler: das vorzeitige Löschen aufbewahrungspflichtiger Belege oder das Vergessen längst löschreifer Konten. In der Praxis genügen den meisten KMU zwischen fünf und fünfzehn Löschklassen, um den gesamten Datenbestand abzudecken — der Aufwand liegt nicht in der Zahl der Klassen, sondern in der sauberen Zuordnung jeder Datenart zu genau einer Klasse.
Der Konflikt: Löschpflicht gegen Aufbewahrungspflicht
Die zentrale Schwierigkeit jedes Löschkonzepts ist der Zielkonflikt zwischen DSGVO-Löschpflicht und handels- sowie steuerrechtlicher Aufbewahrungspflicht.
| Datenart | Aufbewahrungspflicht | Rechtsgrundlage |
|---|---|---|
| Buchungsbelege, Rechnungen | 10 Jahre | § 257 HGB, § 147 AO |
| Handelsbriefe | 6 Jahre | § 257 HGB |
| Lohn- und Gehaltsunterlagen | 6 Jahre (steuerlich) | § 257 HGB, § 41 EStG |
| Bewerberdaten (Absage) | ~6 Monate | Beweiszweck AGG |
Solange eine Aufbewahrungspflicht besteht, darf — und muss — aufbewahrt werden; die Löschung ist bis zum Fristende gesperrt. Erst danach greift die DSGVO-Löschpflicht. Software muss beide Fristen kennen und die spätere von beiden als maßgeblich behandeln. Ein Datensatz, der handelsrechtlich zehn Jahre aufzubewahren ist, wird nicht nach drei Jahren gelöscht, nur weil der ursprüngliche Zweck entfallen ist. Eine sektorbezogene Übersicht liefert unsere Aufbewahrungsfristen-Tabelle. Die gesetzlichen Grundlagen stehen im HGB unmittelbar.
Automatische Löschung gegen dokumentierten Prozess
Software setzt Löschungen auf zwei Wegen um — beide sind zulässig, wenn sie nachweisbar sind.
Automatische Löschjobs. Die Software ist an die Datenbanken angebunden und löscht am Fristende automatisch. Das ist die sauberste Lösung, technisch aber aufwendig und nicht für jedes Altsystem realisierbar. Sie eignet sich für strukturierte Datenbestände in modernen Systemen.
Dokumentierter manueller Prozess. Die Software erzeugt Löschaufträge und Wiedervorlagen; ein Verantwortlicher führt die Löschung durch und bestätigt sie. Das ist realistischer für heterogene Systemlandschaften und liefert denselben Nachweis — sofern die Durchführung protokolliert wird.
Entscheidend ist in beiden Fällen der Nachweis. Die Aufsichtsbehörde will nicht das Konzept sehen, sondern den Beleg, dass tatsächlich gelöscht wurde. Ein Löschkonzept ohne dokumentierte Durchführung ist in der Prüfung wertlos.
Anonymisierung als Alternative zur Löschung
Löschung ist nicht der einzige Weg, die Speicherbegrenzung zu erfüllen. Wird der Personenbezug irreversibel entfernt, sind die Daten anonym — die DSGVO gilt für sie nicht mehr, und sie dürfen auch nach Zweckfortfall weiter genutzt werden, etwa für Statistik oder Analyse. Das ist attraktiv, aber anspruchsvoll: Anonymisierung muss wirklich irreversibel sein. Bloße Pseudonymisierung — das Ersetzen des Namens durch eine ID bei fortbestehender Zuordnungsmöglichkeit — genügt nicht; solche Daten bleiben personenbezogen.
Gute Löschkonzept-Software erlaubt, pro Löschklasse zwischen Löschung und Anonymisierung zu wählen und dokumentiert die gewählte Methode. In der Prüfung ist das relevant, weil die Behörde bei „anonymisierten" Datenbeständen genau prüft, ob die Anonymisierung technisch hält. Wer Anonymisierung behauptet, aber tatsächlich nur pseudonymisiert, hat den Personenbezug nie beseitigt — und damit weder gelöscht noch die Speicherbegrenzung erfüllt.
Praktisch führt der sicherste Weg über klare Regeln: Für die meisten operativen Daten ist die Löschung am Fristende der einfachere, revisionssichere Weg; die Anonymisierung lohnt dort, wo der Datenbestand einen fortdauernden analytischen Wert hat und der Aufwand einer belastbaren Anonymisierung gerechtfertigt ist.
Was fehlende Löschung kostet
Der prägende deutsche Fall ist Deutsche Wohnen: Die Berliner Aufsichtsbehörde verhängte 2019 ein Bußgeld von 14,5 Mio. €, weil das Unternehmen personenbezogene Mieterdaten in einem Archivsystem speicherte, das keine Möglichkeit zur Löschung nicht mehr benötigter Daten vorsah. Der Kern des Vorwurfs war nicht ein Datenleck, sondern das strukturelle Fehlen einer Löschmöglichkeit — genau das Problem, das ein Löschkonzept mit passender Software verhindert. Eine Übersicht weiterer Fälle bietet unser Beitrag zu DSGVO-Bußgeldern.
Die Lehre: Ein System, das Daten sammelt, aber nicht löschen kann, ist per Konstruktion nicht DSGVO-konform. Löschfähigkeit ist keine Zusatzfunktion, sondern eine Grundanforderung.
Für die Softwareauswahl folgt daraus ein konkreter Testauftrag: Lassen Sie sich in der Demo nicht das Konzept zeigen, sondern die Durchführung — wie legt das Tool eine Löschklasse an, wie stößt es die Löschung an, und welchen Nachweis erzeugt es danach? Ein Werkzeug, das nur Fristen verwaltet, aber keinen Löschnachweis produziert, löst genau das Problem nicht, für das Deutsche Wohnen 14,5 Mio. € zahlen sollte.
FAQ
Was ist ein Löschkonzept nach DIN 66398?
Ein strukturiertes Regelwerk, das festlegt, welche Datenarten wann gelöscht werden. Die DIN 66398 fasst Datenarten zu Löschklassen mit einheitlichen Fristen zusammen und definiert für jede Klasse Startzeitpunkt, Dauer und Umsetzungsregel. So entstehen aus vielen Einzelfällen wenige beherrschbare Löschklassen.
Muss ich Daten löschen, obwohl eine Aufbewahrungspflicht besteht?
Nein — solange eine gesetzliche Aufbewahrungspflicht läuft (etwa 10 Jahre nach § 257 HGB für Buchungsbelege), ist die Löschung gesperrt. Erst nach Ablauf der längsten einschlägigen Frist greift die DSGVO-Löschpflicht. Software muss beide Fristen kennen und die spätere als maßgeblich behandeln.
Reicht ein Löschkonzept in Word aus?
Als Dokumentation der Regeln ja, für die Umsetzung nein. Ein Word-Konzept beschreibt Fristen, setzt aber nichts durch und erzeugt keinen Nachweis der tatsächlichen Löschung. Die Aufsichtsbehörde verlangt den Beleg, dass gelöscht wurde — dafür braucht es überwachte Löschjobs oder einen dokumentierten manuellen Prozess.
Was war der Deutsche-Wohnen-Fall?
Die Berliner Aufsichtsbehörde verhängte 2019 ein Bußgeld von 14,5 Mio. € gegen Deutsche Wohnen, weil das Unternehmen ein Archivsystem einsetzte, das keine Löschung nicht mehr benötigter Mieterdaten erlaubte. Der Fall zeigt: Ein System ohne Löschfähigkeit verstößt strukturell gegen die Speicherbegrenzung — unabhängig davon, ob je Daten missbraucht wurden.
Fazit
Ein Löschkonzept ist der Punkt, an dem die abstrakte Speicherbegrenzung zur konkreten Systemanforderung wird. Software macht daraus einen überwachten Prozess: Löschklassen nach DIN 66398, verknüpft mit den Aufbewahrungspflichten aus HGB und AO, umgesetzt über automatische Jobs oder dokumentierte manuelle Schritte — und, entscheidend, nachweisbar. Der Deutsche-Wohnen-Fall zeigt, was das strukturelle Fehlen von Löschfähigkeit kostet. Kaufen Sie nicht das Konzept, sondern den Nachweis, dass tatsächlich gelöscht wird.
Siehe auch: Verwandte Vorlagen und Tools finden Sie im Verletzungsregister für Datenpannen (Muster) und in den Datenschutzhinweise für Mitarbeiter (Muster).
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo