CompliantDesk

DSGVO für den Mittelstand

Löschkonzept nach DSGVO erstellen

DSGVOArt. 17 DSGVO

Personenbezogene Daten dürfen nicht länger gespeichert werden, als es nötig ist. Ein Löschkonzept legt fest, welche Daten wann zu löschen sind - unter Berücksichtigung gesetzlicher Aufbewahrungsfristen.

Worum geht es?

Aus dem Grundsatz der Speicherbegrenzung und dem Recht auf Löschung nach Art. 17 DSGVO folgt, dass Daten zu löschen sind, sobald der Zweck entfällt und keine Aufbewahrungspflicht mehr besteht. Ein Löschkonzept übersetzt diese Pflicht in konkrete Löschregeln je Datenart und orientiert sich methodisch häufig an der DIN 66398. Dabei sind handels- und steuerrechtliche Fristen zu berücksichtigen: Durch das Vierte Bürokratieentlastungsgesetz (BEG IV) wurde die Aufbewahrungsfrist für Buchungsbelege und Rechnungen zum 1.1.2025 von 10 auf 8 Jahre verkürzt (§ 147 Abs. 3 AO, § 257 Abs. 4 HGB). Handelsbücher, Jahresabschlüsse, Inventare, Eröffnungsbilanzen und Lageberichte bleiben bei 10 Jahren; Handels- und Geschäftsbriefe inklusive E-Mails sowie Lohnkonten sind 6 Jahre aufzubewahren. Ein gutes Löschkonzept benennt für jede Datenart Frist, Auslöser und Verantwortlichkeit.

Das müssen Sie konkret tun

  • Definition von Löschregeln je Datenart mit Frist, Auslöser und Verantwortlichkeit
  • Berücksichtigung der auf 8 Jahre verkürzten Frist für Buchungsbelege und Rechnungen (seit 1.1.2025)
  • 10 Jahre für Handelsbücher, Jahresabschlüsse, Inventare, Eröffnungsbilanzen und Lageberichte
  • 6 Jahre für Handels- und Geschäftsbriefe inklusive E-Mails sowie Lohnkonten
  • Methodische Orientierung an einem anerkannten Standard wie der DIN 66398
  • Umsetzung der Löschung auch in Backups, Archiven und bei Dienstleistern

So setzen Sie es mit CompliantDesk um

  • Löschfristen je Datenkategorie direkt an den Verarbeitungstätigkeiten im VVT-Modul hinterlegen
  • Das Löschkonzept als Richtlinie veröffentlichen und Zuständige bestätigen lassen
  • Wiederkehrende Löschläufe und Prüftermine über das Kalender-Modul automatisiert anstoßen
  • Durchgeführte Löschungen als Nachweis revisionssicher dokumentieren
  • Dienstleister-Löschpflichten über die AVV-Einträge im Lieferanten-Modul nachhalten

Typische Fehler

Veraltet weiterhin pauschal 10 Jahre für Buchungsbelege ansetzen statt der seit 2025 geltenden 8 Jahre
Aufbewahrungs- und Löschpflichten verwechseln und Daten unnötig lange behalten
Backups und Archive beim Löschen vergessen
Löschregeln definieren, sie aber nie tatsächlich ausführen

Häufig gestellte Fragen

Wie lange müssen Buchungsbelege aufbewahrt werden?

Seit dem 1.1.2025 beträgt die Aufbewahrungsfrist für Buchungsbelege und Rechnungen durch das Vierte Bürokratieentlastungsgesetz nur noch 8 statt 10 Jahre (§ 147 Abs. 3 AO, § 257 Abs. 4 HGB). Handelsbücher, Jahresabschlüsse und Inventare bleiben dagegen bei 10 Jahren.

Was ist der Unterschied zwischen Aufbewahren und Löschen?

Aufbewahrungsfristen verpflichten Sie, bestimmte Unterlagen für eine Mindestdauer zu behalten. Sobald diese Fristen ablaufen und kein Zweck mehr besteht, verlangt die DSGVO umgekehrt die Löschung der personenbezogenen Daten.

Datenschutz nachweisbar im Griff

CompliantDesk führt VVT, TOM, AVV, Löschkonzept und Datenpannen in einem Datenschutz-Managementsystem zusammen - dokumentiert, versioniert und prüfungsfest.

Demo buchen Alle DSGVO-Themen