Aufbewahrung, Löschfristen & DSGVO: Was Unternehmen beachten müssen

Viele Unternehmen wissen, welche Daten sie speichern – aber nicht immer, wie lange sie das dürfen. Dabei schreibt die Datenschutz-Grundverordnung (DSGVO) klare Regeln zur Speicherbegrenzung und Löschung vor. Wer diese Vorgaben ignoriert, sammelt über die Jahre ordentlich Datenmüll an – und riskiert Bußgelder, Datenschutzverstöße und unnötige Kosten.

In diesem Artikel erfahren Sie, was Löschfristen nach DSGVO sind, wann sie greifen, welche Fristen gelten – und wie Sie mit FTAPI Löschprozesse automatisiert und sicher umsetzen.

Löschfristen, Aufbewahrungsfristen, Löschpflichten – was ist was?

Wenn es um den Umgang mit personenbezogenen Daten geht, fallen oft drei Begriffe, die leicht verwechselt werden: Löschfristen, Aufbewahrungsfristen und Löschpflichten. Sie hängen zusammen, meinen aber nicht dasselbe:

• Löschfristen geben vor, wie lange Daten gespeichert werden dürfen, bevor sie gelöscht oder anonymisiert werden müssen – etwa wenn Bewerbungsunterlagen abgelehnter Kandidaten nach sechs Monaten entfernt werden. Sie ergeben sich meist aus internen Vorgaben oder der DSGVO.

• Aufbewahrungsfristen bestimmen, wie lange bestimmte Daten zwingend gespeichert bleiben müssen, selbst wenn sie nicht mehr benötigt werden. So schreibt die Abgabenordnung beispielsweise vor, dass Rechnungen und Buchungsbelege acht Jahre aufzubewahren sind.

• Eine Löschpflicht entsteht nach Art. 17 DSGVO, wenn kein Zweck und keine gesetzliche Pflicht zur Speicherung mehr besteht.

Vereinfacht gesagt: Zuerst werden Daten genutzt, dann für vorgeschriebene Zeiträume aufbewahrt und anschließend gelöscht, sobald keine rechtliche Grundlage mehr besteht.

💡 Tipp: Ein klar definiertes Löschkonzept hilft, Fristen automatisiert zu überwachen und rechtssicher einzuhalten – mehr dazu weiter unten.

Was sind Löschfristen nach DSGVO? Das Grundprinzip

Die DSGVO selbst nennt keine festen Fristen, sondern legt das Prinzip der Speicherbegrenzung fest: Nach Art. 5 Abs. 1 lit. e DSGVO dürfen personenbezogene Daten nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist. Sobald dieser Zweck entfällt – etwa weil ein Vertrag erfüllt oder ein Bewerbungsverfahren abgeschlossen ist – müssen die Daten gelöscht oder anonymisiert werden.

Eng damit verbunden ist das Recht auf Vergessenwerden (Art. 17 DSGVO). Es verpflichtet Unternehmen, personenbezogene Daten unverzüglich zu löschen, wenn kein Grund zur Speicherung mehr besteht – beispielsweise nach Widerruf einer Einwilligung, Widerspruch der betroffenen Person oder unrechtmäßiger Verarbeitung.

Für Unternehmen bedeutet das: Sie müssen jederzeit nachweisen können, dass ihre Datenverarbeitung zweckgebunden, verhältnismäßig und zeitlich begrenzt erfolgt. Wer Löschfristen definiert und dokumentiert, schafft damit die Grundlage für rechtskonforme und transparente Datenverarbeitung.

Aufbewahrungsfristen für Unternehmen: Der rechtliche Rahmen

In der Praxis wird es jedoch oft komplexer: Während die DSGVO dem Prinzip der Datensparsamkeit folgt und eher Datenvernichtung fordert, schreiben andere Gesetze teils konkrete Aufbewahrungsfristen vor. Diese bestimmen, wie lange bestimmte Daten aufbewahrt werden müssen – unabhängig davon, ob sie noch aktiv genutzt werden. Der Grund: Unternehmen sollen jederzeit steuerliche, handelsrechtliche oder arbeitsrechtliche Nachweise erbringen können.

Typische Beispiele:

• Das Handelsgesetzbuch (HGB) und die Abgabenordnung (AO) verpflichten Unternehmen, steuerlich oder buchhalterisch relevante Dokumente über mehrere Jahre hinweg aufzubewahren.

• Das Allgemeine Gleichbehandlungsgesetz (AGG) regelt, dass Unterlagen abgelehnter Bewerber sechs Monate gespeichert bleiben dürfen, um mögliche Klagen abzufangen.

• Nach dem Patientenrechtegesetz im Bürgerlichen Gesetzbuch (BGB) müssen Patientendaten zehn Jahre aufbewahrt werden.

💡 In der Praxis heißt das: Unternehmen dürfen personenbezogene Daten nicht sofort löschen, auch wenn der ursprüngliche Zweck erfüllt ist. Es gilt: Zweck vor Pflicht – und Pflicht vor Löschung. Erst wenn die gesetzliche Aufbewahrungsfrist abgelaufen ist, muss gelöscht werden. Die Herausforderung liegt darin, DSGVO und andere Vorschriften in Einklang zu bringen.

Aktuelle Löschfristen (DSGVO) und gesetzliche Aufbewahrungspflichten im Überblick

Die folgende Übersicht zeigt die aktuellen Löschfristen (nach DSGVO) und gesetzlichen Aufbewahrungspflichten für die wichtigsten Datenarten in Unternehmen – kompakt zusammengefasst und auf dem Stand von Oktober 2025.

Hinweis: Diese Übersicht ist eine Momentaufnahme und ersetzt keine rechtliche Beratung. Fristen können sich mit der Gesetzgebung ändern. Unternehmen sollten Löschprozesse immer mit ihrem Datenschutzbeauftragten abstimmen.

Wann greifen Löschpflichten nach DSGVO?

Wir wissen bereits: Die Löschpflicht greift, sobald kein rechtlicher Grund zur Speicherung mehr besteht – sie ist der letzte Schritt im Datenlebenszyklus und ergibt sich direkt aus dem Recht auf Vergessenwerden in Art. 17 DSGVO.

Unternehmen müssen Daten unverzüglich löschen, wenn

• der Zweck der Speicherung entfällt,

• eine Einwilligung widerrufen wurde,

• Betroffene der Verarbeitung widersprechen,

• keine gesetzliche Aufbewahrungspflicht mehr besteht oder

• Daten unrechtmäßig erhoben oder verarbeitet wurden.

Vor jeder Löschung sollte geprüft werden, ob noch eine gesetzliche Aufbewahrungspflicht gilt. Erst danach dürfen Daten endgültig gelöscht oder anonymisiert werden.

💡 In der Praxis heißt das: Endet ein Vertrag oder ein Bewerbungsverfahren, müssen die zugehörigen Daten gelöscht werden – es sei denn, andere Gesetze verlangen eine längere Aufbewahrung.

Damit das alles zuverlässig funktioniert, braucht es klare Prozesse und Zuständigkeiten. Hier kommt das Löschkonzept ins Spiel.

Löschkonzept als Grundlage für DSGVO-konforme Datenhaltung

Ein Löschkonzept definiert, wann, wie und auf welcher Grundlage Daten gelöscht werden. Es beschreibt in der Regel:

• Welche Datenarten im Unternehmen existieren (z. B. Kunden-, Mitarbeiter-, Bewerberdaten)

• Wie lange sie aufbewahrt werden müssen

• Wann und wie sie gelöscht oder anonymisiert werden

• Wer für die Löschung verantwortlich ist

• Wie die Löschung dokumentiert und überprüft wird

So entsteht ein transparenter Überblick über den gesamten Datenlebenszyklus. Das erleichtert Audits, schützt vor Datenschutzverstößen und stellt sicher, dass alle Löschprozesse nachvollziehbar und prüfbar sind.

💡 Tipp: Damit es funktioniert, sollte das Löschkonzept regelmäßig überprüft und aktualisiert werden – besonders dann, wenn sich gesetzliche Vorgaben oder interne Prozesse ändern. Es bildet außerdem nur die Grundlage, entscheidend ist am Ende die technische Umsetzung. Wie die (mit FTAPI) effizient funktionieren kann, schauen wir uns im nächsten Abschnitt genauer an.

Löschfristen automatisiert umsetzen – mit FTAPI

Automatische Löschfristen helfen Unternehmen, Vorgaben einzuhalten und Datenbestände schlank zu halten. Statt auf manuelles Löschen zu setzen, werden Regeln einmal zentral festgelegt und anschließend automatisch angewendet. Dateien werden dann fix nach einer definierten Zeitspanne gelöscht – orientiert an rechtlichen, internen oder operativen Anforderungen.

So funktionieren automatische Löschfristen:

• Aufbewahrungsregeln: Administratoren können Regeln festlegen, wie lange verschiedene Daten gespeichert werden. Diese Regeln lassen sich auf rechtliche Vorgaben, interne Richtlinien oder operative Bedürfnisse anpassen.

• Automatisches Löschen: Das System löscht Daten automatisch, sobald die Aufbewahrungsfrist abläuft. So werden Speicher- und Datenschutzrichtlinien sicher eingehalten.

• Kategorisierung: Daten lassen sich nach Dokumenttyp, Sensibilität oder Zweck unterscheiden – etwa Bewerbungen, Verträge oder Patientenakten. Jede Kategorie folgt eigenen gesetzlichen Vorgaben und hat unterschiedliche Löschfristen.

• Benachrichtigung: Eine automatisierte Benachrichtigung informiert darüber, wie lange Daten noch zur Verfügung stehen. So sind alle rechtzeitig über eine bevorstehende Datenlöschung informiert.

Dabei sind automatische Löschfristen nicht nur für DSGVO-relevante Daten sinnvoll. Sie helfen auch, abgelaufene Verträge, alte Projektdokumente oder Personalunterlagen regelmäßig zu bereinigen – für mehr Übersicht, Sicherheit und Compliance im Alltag.

Automatisiertes Löschen mit FTAPI

FTAPI bietet flexible Möglichkeiten, Aufbewahrungs- und Löschfristen DSGVO-konform umzusetzen: 

Beim Versand vertraulicher Dateien über FTAPI SecuMails kann – global sowie individuell für einzelne E-Mails – festgelegt werden, wie lange Dokumente zugänglich bleiben. 

In den FTAPI SecuRooms lassen sich automatische Löschfristen individuell auf Datenraum-Ebene konfigurieren. Plus: Über globale Löschfristen (neues Feature, bald verfügbar) lässt sich künftig zentral festlegen, nach welcher Zeit Dateien automatisch gelöscht werden – und das für alle virtuellen Datenräume. Auch Daten, die über FTAPI SecuFlows Advanced automatisch erfasst wurden, werden in den SecuRooms nach Ablauf der definierten Löschfrist automatisch entfernt.

So bleiben Datenbestände aktuell, relevant und gesetzeskonform, ohne dass Mitarbeiter manuell eingreifen müssen. Die Vorschriften werden systemseitig umgesetzt. Datenraum-Besitzer können bei Bedarf auch kürzere Löschfristen setzen.

Damit unterstützt FTAPI Unternehmen dabei, Löschprozesse sicher, effizient und nachvollziehbar umzusetzen – ein wichtiger Schritt für mehr Compliance und sicheren Datenaustausch im Unternehmen.

Warum sich automatisches Löschen lohnt: Vorteile im Überblick

Insgesamt bringen automatisierte Löschprozesse klare Vorteile für jedes Unternehmen:

• Kosteneffizienz: Ungenutzte oder doppelte Daten werden automatisch entfernt. Das spart Speicherplatz und reduziert Betriebskosten.

• Produktivität: Eine aufgeräumte Datenstruktur erleichtert die Suche nach relevanten Informationen und beschleunigt Arbeitsabläufe.

• Sicherheit: Alte Dateien können sensible Inhalte enthalten. Durch automatische Löschung sinkt das Risiko von Datenlecks oder unbefugtem Zugriff.

• Compliance: Gesetzliche Aufbewahrungs- und Löschfristen werden zuverlässig eingehalten – ohne manuelle Nacharbeit oder Fehlerrisiko.

Gerade in stark regulierten Branchen wie dem Finanz-, Gesundheits- oder Rechtswesen sorgt automatisches Löschen für nachhaltige Datensicherheit und Vertrauen.

Fazit: Löschfristen einhalten – Vertrauen schaffen

Unter dem Strich gilt: Wer personenbezogene Daten verarbeitet, trägt Verantwortung. Klare Löschfristen und automatisierte Prozesse sind mehr als eine Pflicht – sie zeigen, dass Datenschutz im Unternehmen gelebt wird.

Ein gutes Löschkonzept sorgt dafür, dass Daten nur so lange gespeichert werden, wie es nötig ist – und danach sicher verschwinden. Das schützt sensible Informationen, hält Systeme schlank und reduziert Risiken durch veraltete Daten. Gleichzeitig schafft es Transparenz und Vertrauen, intern wie extern.

Mit modernen Lösungen wie FTAPI lassen sich solche Prozesse heute sicher und automatisiert gestalten. So wird Datenschutz zum Teil einer effizienten und verantwortungsvollen Unternehmenskultur.