Der Grundsatz der Speicherbegrenzung nach Art. 5(1)(e) DSGVO gehört zu den am häufigsten verletzten Datenschutzprinzipien. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) stellte in seiner Prüfkampagne 2024 fest, dass über 60 % der geprüften Unternehmen keine dokumentierten Aufbewahrungsfristen vorweisen konnten. Die Konsequenz: Bußgelder, Anordnungen zur Löschung und erheblicher Reputationsschaden.
Dieser Artikel erklärt, was die DSGVO Speicherbegrenzung konkret verlangt, welche branchenspezifischen Fristen in Deutschland, Österreich und der Schweiz gelten und wie Unternehmen ein rechtskonformes Löschkonzept umsetzen.
Key Takeaways
- Art. 5(1)(e) DSGVO verbietet die Speicherung personenbezogener Daten über den Zweck hinaus – eine dokumentierte Aufbewahrungsfrist ist Pflicht.
- In Deutschland überlagern nationale Aufbewahrungspflichten (HGB, AO, BDSG) die DSGVO teilweise, schaffen aber keine pauschale Rechtsgrundlage für unbegrenzte Speicherung.
- Jede Aufbewahrungsfrist muss im Verzeichnis von Verarbeitungstätigkeiten und in der Datenschutzerklärung dokumentiert sein.
- Am Ende der Frist müssen Daten gelöscht oder wirksam anonymisiert werden – eine bloße Sperrung genügt grundsätzlich nicht.
Was Art. 5(1)(e) DSGVO verlangt
Der Wortlaut von Art. 5(1)(e) DSGVO ist eindeutig: Personenbezogene Daten dürfen nur so lange in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Sobald der Verarbeitungszweck entfällt, müssen die Daten gelöscht oder anonymisiert werden.
Art. 89(1) DSGVO eröffnet eine Ausnahme: Für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke dürfen Daten länger aufbewahrt werden, sofern geeignete Garantien bestehen. Diese Ausnahme ist jedoch eng auszulegen und erfordert eine gesonderte Rechtsgrundlage.
Der Europäische Datenschutzausschuss (EDPB) betont in seinen Leitlinien, dass die Speicherbegrenzung kein statisches Konzept ist. Unternehmen müssen ihre Aufbewahrungsfristen regelmäßig überprüfen und an geänderte Zwecke oder gesetzliche Anforderungen anpassen.
Aufbewahrungsfristen nach Branche und Rechtsgrundlage
Die folgende Tabelle gibt einen Überblick über typische Aufbewahrungsfristen im DACH-Raum. Diese Fristen ersetzen keine Einzelfallprüfung, bieten aber eine solide Orientierung.
| Branche | Datenart | Typische Frist | Rechtsgrundlage |
|---|---|---|---|
| Handel / E-Commerce | Rechnungen, Buchungsbelege | 10 Jahre | §257 HGB, §147 AO |
| Handel / E-Commerce | Kundenkontodaten | Vertragsdauer + 3 Jahre | Verjährungsfrist §195 BGB |
| Finanzdienstleistungen | Transaktionsdaten | 10 Jahre | §147 AO, GwG §8 |
| Finanzdienstleistungen | KYC-Unterlagen | 5 Jahre nach Geschäftsbeziehungsende | §8 GwG |
| Gesundheitswesen | Patientenakten | 10-30 Jahre | Landesgesetze, §630f BGB |
| Personalwesen | Personalakten | Beschäftigungsdauer + 3 Jahre | §195 BGB, AGG |
| Personalwesen | Lohnunterlagen | 6 Jahre | §41 EStG, §257 HGB |
| Marketing | Einwilligungsnachweise | Einwilligungsdauer + 3 Jahre | Art. 7(1) DSGVO, CNIL-Empfehlung |
| Telekommunikation | Verkehrsdaten | 10 Wochen | §176 TKG |
| Versicherungen | Vertrags- und Schadendaten | 10 Jahre nach Vertragsende | §257 HGB, VVG |
| Bildung | Schüler-/Studentendaten | Ausbildungsdauer + 5-10 Jahre | Landesschulgesetze |
Besonderheiten in Österreich und der Schweiz
In Österreich gelten vergleichbare Aufbewahrungspflichten nach der Bundesabgabenordnung (BAO, §132: 7 Jahre) und dem Unternehmensgesetzbuch (UGB, §212: 7 Jahre). Die Datenschutzbehörde (DSB) hat in mehreren Bescheiden betont, dass handelsrechtliche Aufbewahrungspflichten die DSGVO nicht aushebeln: Nach Ablauf der Frist ist unverzüglich zu löschen.
In der Schweiz regelt das revidierte Datenschutzgesetz (revDSG, seit 1. September 2023) die Speicherbegrenzung in Art. 6 Abs. 4. Die Aufbewahrungspflichten nach OR Art. 958f betragen 10 Jahre für Geschäftsunterlagen. Der EDÖB empfiehlt, Löschkonzepte analog zur DSGVO zu implementieren.
Durchsetzung und Bußgelder
Die DSGVO Speicherbegrenzung wird von Aufsichtsbehörden aktiv geprüft. Verstöße führen zu erheblichen Bußgeldern.
Deutsche Telekom (BfDI, 2021): Die damalige Bundesdatenschutzbeauftragte verhängte ein Bußgeld von 1,9 Millionen Euro wegen unzureichender Löschung von Bestandsdaten ehemaliger Kunden. Die Daten waren teilweise über 10 Jahre nach Vertragsende noch gespeichert, ohne dass eine Rechtsgrundlage bestand.
Notebooksbilliger.de (LfDI Niedersachsen, 2021): Das Unternehmen erhielt ein Bußgeld von 10,4 Millionen Euro, unter anderem weil Videoüberwachungsdaten von Mitarbeitern über den zulässigen Zeitraum hinaus gespeichert wurden.
CNIL gegen Carrefour (2020): Die französische Aufsichtsbehörde verhängte 2,25 Millionen Euro Bußgeld, weil Kundendaten ohne dokumentierte Aufbewahrungsfrist gespeichert und Löschungsrechte nicht umgesetzt wurden. Obwohl dies ein französischer Fall ist, gilt die Entscheidung als Referenz für den gesamten EU-Raum.
Die Botschaft ist klar: Fehlende oder unzureichende Löschkonzepte werden als Verstoß gegen Art. 5(1)(e) DSGVO gewertet und sanktioniert.
Ein Löschkonzept in fünf Schritten umsetzen
Die Umsetzung der DSGVO Speicherbegrenzung erfordert ein systematisches Löschkonzept. Die DIN 66398 bietet hierfür einen anerkannten Rahmen.
Schritt 1 – Dateninventar erstellen: Identifizieren Sie alle personenbezogenen Daten in Ihrem Unternehmen. Das Verzeichnis von Verarbeitungstätigkeiten ist der logische Ausgangspunkt. Jede Verarbeitungstätigkeit muss eine dokumentierte Aufbewahrungsfrist enthalten.
Schritt 2 – Aufbewahrungsfristen festlegen: Bestimmen Sie für jede Datenkategorie die maximale Speicherdauer. Berücksichtigen Sie gesetzliche Aufbewahrungspflichten (HGB, AO, GwG), vertragliche Anforderungen und Verjährungsfristen.
Schritt 3 – Löschregeln definieren: Legen Sie fest, wie Daten am Ende der Aufbewahrungsfrist behandelt werden: vollständige Löschung, Anonymisierung oder Übertragung in ein Archiv mit eingeschränktem Zugriff (nur bei Vorliegen einer Rechtsgrundlage nach Art. 89 DSGVO).
Schritt 4 – Technische Umsetzung: Implementieren Sie automatisierte Löschroutinen in Ihren IT-Systemen. Manuelle Löschprozesse sind fehleranfällig und skalieren nicht. Die Auftragsverarbeitung muss ebenfalls Löschvorgaben enthalten – Art. 28(3)(g) DSGVO verlangt, dass Auftragsverarbeiter nach Ende der Verarbeitung alle Daten löschen oder zurückgeben.
Schritt 5 – Regelmäßige Überprüfung: Prüfen Sie mindestens jährlich, ob die festgelegten Fristen noch den aktuellen Anforderungen entsprechen und ob die Löschroutinen ordnungsgemäß funktionieren. Dokumentieren Sie die Ergebnisse.
Häufige Fehler bei der Speicherbegrenzung
Pauschale Aufbewahrungsfristen: Viele Unternehmen setzen eine einheitliche Frist von 10 Jahren für alle Daten. Das ist rechtswidrig, weil Art. 5(1)(e) DSGVO eine zweckbezogene Differenzierung verlangt. Handelsrechtliche Fristen (§257 HGB) gelten nur für buchungsrelevante Unterlagen, nicht für alle personenbezogenen Daten.
Fehlende Dokumentation: Die Aufbewahrungsfrist muss nicht nur existieren, sondern auch dokumentiert und kommuniziert sein – im Verzeichnis von Verarbeitungstätigkeiten, in der Datenschutzerklärung und gegenüber Betroffenen auf Anfrage.
Backup-Systeme vergessen: Gelöschte Daten, die noch in Backups vorhanden sind, gelten als weiterhin gespeichert. Der Datenschutzbeauftragte muss sicherstellen, dass das Löschkonzept auch Backup-Zyklen berücksichtigt.
Löschung bei Auftragsverarbeitern nicht kontrolliert: Art. 28(3)(g) DSGVO verlangt die Löschung durch den Auftragsverarbeiter. Ohne entsprechende Nachweise im Auftragsverarbeitungsvertrag ist die Löschpflicht nicht erfüllt.
FAQ
Wie lange dürfen Kundendaten nach der DSGVO gespeichert werden?
Es gibt keine pauschale Frist. Die Speicherdauer richtet sich nach dem Verarbeitungszweck und eventuellen gesetzlichen Aufbewahrungspflichten. Buchungsrelevante Unterlagen müssen nach §257 HGB und §147 AO 10 Jahre aufbewahrt werden. Daten, die nur für die Vertragsabwicklung benötigt werden, dürfen nach Vertragsende und Ablauf der regelmäßigen Verjährungsfrist (3 Jahre, §195 BGB) nicht mehr gespeichert werden.
Was passiert, wenn mein Unternehmen kein Löschkonzept hat?
Aufsichtsbehörden werten das Fehlen eines dokumentierten Löschkonzepts als Verstoß gegen Art. 5(1)(e) und Art. 5(2) DSGVO (Rechenschaftspflicht). Bußgelder nach Art. 83(5)(a) DSGVO können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen. In der Praxis liegen die Bußgelder für fehlende Löschkonzepte typischerweise im sechsstelligen Bereich.
Müssen Daten in Backups ebenfalls gelöscht werden?
Grundsätzlich ja. Personenbezogene Daten in Backups unterliegen denselben Löschpflichten wie die Originaldaten. Der EDPB akzeptiert jedoch, dass eine sofortige Löschung in Backup-Systemen technisch unverhältnismäßig sein kann. In diesem Fall muss sichergestellt sein, dass die Daten bei einer Wiederherstellung des Backups unverzüglich gelöscht werden und in der Zwischenzeit nicht aktiv verarbeitet werden.
Wie unterscheidet sich die Speicherbegrenzung von der Datenminimierung?
Die Datenminimierung (Art. 5(1)© DSGVO) begrenzt den Umfang der erhobenen Daten auf das Notwendige. Die Speicherbegrenzung (Art. 5(1)(e) DSGVO) begrenzt die Dauer der Speicherung. Beide Grundsätze ergänzen sich: Unternehmen dürfen nur die Daten erheben, die sie benötigen, und dürfen diese nur so lange speichern, wie sie sie benötigen.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
