Skip to main content
Logo von MKM LEGAL
Eine Person prüft Daten auf einem Laptop

Der Mensch – ein Jäger und Sammler von Daten!?

Die Umsetzung eines Speicher- und Löschkonzepts in der Praxis

Denkt man an den Datenschutz, so stellt vermutlich kein Thema die Praxis vor so große Herausforderungen wie die Umsetzung eines Speicher- und Löschkonzepts. Dieser Beitrag versucht in aller Kürze einen Überblick darüber zu geben, was die DSGVO hierzu von den Verantwortlichen verlangt, vor welche Herausforderungen die Praxis gestellt wird und wie man der Vorgaben Herr werden kann.

Der Zweckbindungsgrundsatz

Einer der wichtigsten Grundsätze im Datenschutz ist der sogenannte Zweckbindungsgrundsatz, Art. 5 Abs. 1 lit. b) DSGVO. Er besagt, dass personenbezogene Daten nicht willkürlich gesammelt werden dürfen, sondern nur im Rahmen vorher konkret definierter Zwecke. Ist der Zweck erfüllt oder fällt er weg, sind die Daten umgehend zu löschen, zumindest zu anonymisieren, es sei denn gesetzliche Aufbewahrungsfristen stehen dem entgegen.

Der Grundsatz der Speicherbegrenzung

Nach Art. 5 Abs. 1 lit. e) DSGVO sind personenbezogene Daten zudem in einer Form zu speichern, die die Identifizierung der von der Datenverarbeitung betroffenen Person nur so lange ermöglicht, wie es für den konkreten Zweck der Verarbeitung erforderlich ist. Personenbezogene Daten können also nicht für immer vorgehalten werden. Vielmehr sind gesetzliche oder, sofern nicht vorhanden, mit guter Argumentation selbst festgelegte Löschfristen einzuhalten.

Klare Regeln in einem Speicher- und Löschkonzept schaffen

Um eine unkontrollierte Ansammlung personenbezogener Daten zu verhindern und den vorgestellten datenschutzrechtlichen Grundsätzen Rechnung zu tragen, sind klare Regeln zur Aufbewahrungsdauer in einem sogenannten Speicher- und Löschkonzept festzulegen. Sofern für den konkreten Verarbeitungszweck keine gesetzlichen Aufbewahrungsfristen greifen, sind die Verantwortlichen (ggf. Abteilungsleiter) aufgefordert, sich konkrete Gedanken über sinnvolle und angemessene Aufbewahrungsfristen zu machen und diese argumentativ zu begründen. Keinesfalls darf es zu einer Art Vorratsdatenspeicherung à la „schauen wir mal, ob uns nicht irgendwann noch eine sinnvolle Nutzung der Daten in der Zukunft einfällt“ kommen.

Woraus können sich Löschfristen ergeben?

Gesetzliche Löschfristen ergeben sich aus den unterschiedlichsten Rechtsvorschriften. Die gängigsten sind neben der allgemeinen Verjährungsfrist von 3 Jahren aus dem Bürgerlichen Gesetzbuch (§ 195 BGB) insbesondere Fristen für die Buchhaltung in der Abgabenordnung (AO) und dem Handelsgesetzbuch (HGB), sowie für Sozialdaten aus den Sozialgesetzen (SGBs). Sofern keine gesetzlichen Aufbewahrungsfristen für konkrete Datenverarbeitungstätigkeiten greifen, heißt dies jedoch nicht, dass die personenbezogenen Daten bis zum Ende aller Tage vorgehalten werden dürfen. Aufgrund der oben benannten Grundsätze aus der DSGVO hat eine Löschung nach Zweckerreichung zu erfolgen. Wann dies der Fall ist, ist wie bereits erwähnt vom Verantwortlichen im jeweiligen Einzelfall argumentativ untermauert festzulegen. Losgelöst von konkreten Löschfristen kann sich eine Löschpflicht auch nach ausgeübtem Widerruf einer Einwilligung oder einem Widerspruch gegen die entsprechende Datenverarbeitung ergeben.

Was bedeutet „löschen“ konkret in der Praxis?

Die Löschung elektronisch verarbeiteter personenbezogener Daten kann entweder manuell durch den jeweils Verantwortlichen oder je nach eingesetztem Tool auch automatisiert erfolgen. Eine sichere Methode zur Löschung elektronisch verarbeiteter Daten ist das Überschreiben. So können Daten auf intakten magnetischen Festplatten, SSDs, USB-Sticks oder SD-Karten mit spezieller Software durch Überschreiben größtenteils irreversibel gelöscht werden.

Dagegen müssen personenbezogene Daten auf Papier ordnungsgemäß vernichtet werden. In der Regel erfolgt dies durch Entsorgung in hierfür extra vorgesehene Datentonnen professioneller Entsorger oder durch Schreddern mittels Partikel- bzw. Cross-Cut-Verfahren.

Fazit

Die Umsetzung des Speicher- und Löschkonzepts stellt die Praxis zum Teil immer noch vor große Herausforderung. Neben der Festlegung konkreter und sinnvoller Aufbewahrungsfristen durch die verantwortlichen Personen ist die tatsächliche Löschung zum Teil mit einem enormen zeitlichen Aufwand verbunden oder schlicht unmöglich. Bei der Auswahl neuer Software-Tools sollte daher besonderes Augenmerk auf diejenigen Anbieter am Markt gelegt werden, die das Thema Privacy by design und Privacy by default von Anfang an mitdenken, da Verstöße gegen Löschpflichten zu hohen Bußgeldern führen können.

 

Autor: Sebastian Wurzberger (Senior Consultant)

Weitere Insights zum Thema

article
16. Dezember 2025
Das Dauerbrenner-Thema in der Baubranche
Die Stundenlohnvergütung
article
15. Dezember 2025
Was Unternehmen jetzt wissen müssen
EU-Sanktionsrecht wird schärfer durchgesetzt
article
5. Dezember 2025
Respekt & Fairness am Arbeitsplatz 
Das Allgemeine Gleichbehandlungsgesetz (AGG) und wie es wirksam umgesetzt werden kann
article
4. Dezember 2025
Trotz mangelfreier Arbeit kein Lohn
Architekten/Werkunternehmer aufgepasst: Die Widerrufsfalle besteht fort!
article
2. Dezember 2025
Auswirkungen auf die Datenschutzarbeit
Neue Perspektive – EuGH-Urteil zum relativen Personenbezug
article
1. Dezember 2025
Datenschutzrelevante Änderungen des Reformpakets
Der Digital Omnibus
article
27. November 2025
Aktuelles BGH-Urteil nimmt Vermieter in die Pflicht
Haftung des vermietenden Wohnungseigentümers bei Glatteisunfällen
article
10. November 2025
Rückblick auf 10 Jahre MKM
Gemeinsam gewachsen: 10 Jahre MKM
Logo von MKM LEGAL
Rechtliches

Impressum

Datenschutzerklärung

AGB

Hinweisgebersystem

Kontakt

+49 911 669 577-0

info@mkm-partner.de

LinkedIn

Adressen

Äußere Sulzbacher Str. 124a
90491 Nürnberg

Martin-Albert-Str. 1
90491 Nürnberg

Bernburger Str. 30-31
10963 Berlin

Newsletter-Anmeldung