Die Speicherdauer von personenbezogenen Daten beschreibt, wie lange Unternehmen und Organisationen personenbezogene Informationen aufbewahren dürfen, bevor diese gelöscht oder anonymisiert werden müssen. Sie ist ein zentrales Prinzip des Datenschutzes nach DSGVO und dient der Datenminimierung sowie dem Schutz der Privatsphäre.
Die Speicherdauer legt fest, wie lange personenbezogene Daten für einen bestimmten Zweck vorgehalten werden dürfen. Sie beginnt mit der Erhebung der Daten und endet, wenn der Zweck der Verarbeitung erreicht oder entfallen ist.
Beispiele:
✅ Aufbewahrung von Kundendaten für Vertragsabwicklung und gesetzliche Gewährleistungsfristen.
✅ Speicherung von Bewerbungsunterlagen für festgelegte Fristen nach Absage.
✅ Vorhalten von Newsletter-Abonnentendaten bis zum Widerruf der Einwilligung.
Nach Art. 5 Abs. 1 lit. e DSGVO gilt das Prinzip der Speicherbegrenzung:
„Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.“
Art. 17 DSGVO („Recht auf Löschung“) regelt zudem, dass personenbezogene Daten unverzüglich zu löschen sind, wenn der Zweck entfällt oder der Betroffene die Einwilligung widerruft.
1️⃣ Zweckgebundenheit: Daten dürfen nur so lange gespeichert werden, wie es zur Erfüllung des Zwecks erforderlich ist.
2️⃣ Verhältnismäßigkeit: Die Speicherdauer muss angemessen und begründet sein.
3️⃣ Gesetzliche Aufbewahrungspflichten: Steuer- und handelsrechtliche Vorgaben können längere Speicherfristen verlangen.
4️⃣ Regelmäßige Überprüfung: Unternehmen müssen prüfen, ob Daten noch benötigt werden.
5️⃣ Löschung oder Anonymisierung: Nach Ablauf der Speicherdauer müssen Daten datenschutzgerecht gelöscht oder anonymisiert werden.
In vielen Fällen ergeben sich Speicherdauern aus gesetzlichen Regelungen, z. B.:
✅ § 257 HGB: 6 Jahre für Geschäftsbriefe, Buchungsbelege.
✅ § 147 AO: 10 Jahre für steuerrelevante Unterlagen.
✅ Verjährungsfristen nach BGB: 3 Jahre bei allgemeinen zivilrechtlichen Ansprüchen, 30 Jahre bei speziellen Tatbeständen.
✅ Arbeitsrechtliche Unterlagen: Fristen abhängig von Einzelfällen und geltendem Recht.
✅ Bewerbungsunterlagen: Maximal 6 Monate nach Abschluss des Bewerbungsverfahrens, es sei denn, eine Einwilligung für längere Speicherung liegt vor.
✅ Newsletter-Abonnenten: Speicherung bis Widerruf der Einwilligung oder Zweckwegfall.
✅ Kundenkonten in Onlineshops: Speicherung bis zur Löschung durch den Nutzer oder nach Inaktivität, unter Berücksichtigung gesetzlicher Fristen.
✅ Tracking-Daten (Cookies, Webanalyse): Speicherdauer so kurz wie möglich, klar im Cookie-Banner und der Datenschutzerklärung kommunizieren.
✅ Buchhaltungsdaten: 10 Jahre, auch wenn der Kunde gelöscht werden möchte, sofern gesetzliche Pflichten bestehen.
Ein Löschkonzept unterstützt Unternehmen dabei, die Speicherdauer systematisch zu steuern und DSGVO-konform umzusetzen:
1️⃣ Datenkategorien identifizieren: Welche Daten werden verarbeitet?
2️⃣ Zwecke festlegen: Wofür werden die Daten erhoben?
3️⃣ Speicherdauer definieren: Gesetzliche und betriebliche Anforderungen berücksichtigen.
4️⃣ Löschfristen festlegen: Nach Zweckwegfall oder Fristablauf.
5️⃣ Prozesse automatisieren: Regelmäßige Löschläufe einplanen.
6️⃣ Dokumentation: Alle Prozesse schriftlich festhalten.
❌ Verstoß gegen die DSGVO: Es drohen Bußgelder bis zu 20 Mio. € oder 4 % des Jahresumsatzes.
❌ Reputationsverlust: Nutzer verlieren Vertrauen in die Datenschutzpraxis eines Unternehmens.
❌ Erhöhtes Risiko bei Datenpannen: Je mehr Daten gespeichert sind, desto höher das Risiko bei Leaks.
❌ Rechtliche Konflikte: Bei nicht fristgerechter Löschung können Betroffene ihre Rechte einfordern.
✅ Speicherdauer transparent kommunizieren: In Datenschutzerklärungen angeben.
✅ Automatisierte Löschung einrichten: Technische Systeme so konfigurieren, dass Daten nach Fristablauf automatisch gelöscht werden.
✅ Mitarbeiter schulen: Sensibilisierung für die Einhaltung von Speicherfristen.
✅ Datenminimierung umsetzen: Nur notwendige Daten erheben, um Speicherbedarf und Risiken zu reduzieren.
✅ Datenschutzbeauftragten einbinden: Prozesse prüfen und optimieren.
Die Speicherdauer von personenbezogenen Daten ist ein zentrales Element der DSGVO-konformen Datenverarbeitung und des Datenschutzmanagements. Unternehmen sind verpflichtet, die Dauer der Datenspeicherung zu planen, regelmäßig zu überprüfen und Daten bei Zweckwegfall oder Fristablauf sicher zu löschen oder zu anonymisieren. Wer Speicherdauer systematisch steuert, stärkt Datenschutz, reduziert Risiken und schafft Vertrauen bei Kunden und Partnern.
