Zum Hauptinhalt springen
frag.hugo Datenschutz Hamburg — frag.hugo Informationssicherheit
Angebot
Alle Artikel
LöschkonzeptDSGVOLöschfristen

Löschkonzept DSGVO: Löschfristen-Tabelle für KMU (Muster)

Löschkonzept DSGVO erstellen: Speicherbegrenzung nach Art. 5/17 vs. Aufbewahrungspflichten, fertige Löschfristen-Tabelle nach Datenart und Vorgehen nach DIN 66398 für Hamburger KMU.

Nils Oehmichen
Nils Oehmichen
Externer DSB · TÜV-zertifiziert
21. Mai 2026

Inhalt in Kürze

  • Ein Löschkonzept verbindet zwei gegenläufige Pflichten: die DSGVO-Speicherbegrenzung (Art. 5 Abs. 1 lit. e), die Löschung verlangt, und gesetzliche Aufbewahrungspflichten (HGB, AO, EStG), die Löschung verbieten.
  • Seit dem 01.01.2025 müssen Buchungsbelege nur noch acht Jahre aufbewahrt werden (vorher zehn) — das Vierte Bürokratieentlastungsgesetz hat § 257 HGB und § 147 AO geändert. Wer sein Löschkonzept nicht angepasst hat, speichert ein Jahrgang zu lang.
  • Die Methodik liefert die DIN 66398 mit dem Modell der Löschklassen: Datenart → Löschfrist + Startzeitpunkt → Löschregel. So pflegen Sie Klassen statt hunderter Einzelfristen.
  • Die Löschfristen gehören als Pflichtangabe ins VVT (Art. 30 Abs. 1 lit. f) — Löschkonzept und Verarbeitungsverzeichnis sind ein zusammenhängendes Paar.

Stand: Mai 2026 · Autor: Nils Oehmichen · Lesezeit: 10 Minuten

Sie wollen ein Löschkonzept nach DSGVO erstellen und stoßen sofort auf den Widerspruch: Die DSGVO will, dass Sie Daten löschen, sobald der Zweck entfällt — das Steuerrecht zwingt Sie, Rechnungen jahrelang aufzubewahren. Beides gleichzeitig. Genau dieses Zusammenspiel auflösen wir hier. Sie bekommen eine fertige Löschfristen-Tabelle nach Datenart mit Rechtsgrundlage, die Methodik nach DIN 66398 und eine Schritt-für-Schritt-Anleitung, die auch ohne Jurastudium funktioniert.

Hamburg-Praxis:

Wenn der Hamburgische Beauftragte für Datenschutz (HmbBfDI, Ludwig-Erhard-Straße 22) prüft, fragt er nach dem Verzeichnis von Verarbeitungstätigkeiten — und dort stehen die Löschfristen. Ein VVT ohne hinterlegte Löschfristen fällt sofort auf. Wir sehen bei Hamburger Mandanten regelmäßig gepflegte VVTs, in denen die Löschfristen-Spalte leer bleibt. Das ist die häufigste offene Flanke im Mittelstand.

Warum Sie ein Löschkonzept brauchen — der Rechtsrahmen

Die DSGVO kennt den Begriff „Löschkonzept” nicht wörtlich. Trotzdem ist es Pflicht — über drei Hebel.

Erstens die Speicherbegrenzung. Art. 5 Abs. 1 lit. e DSGVO verlangt, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. Ist der Zweck entfallen, müssen die Daten weg.

Zweitens das Recht auf Löschung. Art. 17 DSGVO gibt jeder betroffenen Person das Recht, die Löschung ihrer Daten zu verlangen — unter anderem dann, wenn der Zweck weggefallen ist. Sie müssen also nicht nur von sich aus löschen, sondern auch auf Antrag.

Drittens die Rechenschaftspflicht. Art. 5 Abs. 2 verlangt, dass Sie die Einhaltung dieser Grundsätze nachweisen können. Ohne dokumentiertes Konzept haben Sie keinen Nachweis.

Klingt eindeutig. Wäre es auch — gäbe es nicht die Gegenrichtung.

Der Konflikt: Löschpflicht trifft Aufbewahrungspflicht

Sie dürfen eine Rechnung aus 2024 nicht löschen, nur weil der Kunde es verlangt. Denn das Handels- und Steuerrecht zwingt Sie, sie aufzubewahren. Diese gesetzliche Aufbewahrungspflicht ist nach Art. 17 Abs. 3 lit. b DSGVO ein zulässiger Grund, die Löschung zu verweigern.

Das Löschkonzept ist genau das Werkzeug, das diesen Konflikt für jede Datenart sauber auflöst: Es sagt, wann welche Daten gelöscht werden müssen — und wie lange sie vorher zwingend bleiben.

Das Wichtigste: Ein Löschkonzept ist kein „Lösch-Plan", sondern ein „Wann-genau-Plan". Es balanciert die DSGVO-Pflicht zu löschen gegen die gesetzliche Pflicht aufzubewahren — pro Datenart, mit klarem Startzeitpunkt.

Die wichtigste Änderung 2025: Buchungsbelege nur noch 8 Jahre

Wer sein Löschkonzept vor 2025 geschrieben hat, hat fast sicher eine veraltete Frist drin. Zum 1. Januar 2025 wurde die Aufbewahrungsfrist für Buchungsbelege — also Rechnungen, Kontoauszüge, Quittungen — von zehn auf acht Jahre verkürzt.

Geändert wurde das durch das Vierte Bürokratieentlastungsgesetz (BEG IV), und zwar in § 257 HGB (handelsrechtlich) und § 147 AO (steuerrechtlich) parallel.

Achtung — häufiger Fehler:

Die Verkürzung gilt nur für Buchungsbelege. Handelsbücher, Jahresabschlüsse, Inventare und Eröffnungsbilanzen bleiben bei zehn Jahren. Empfangene und abgesandte Handelsbriefe bleiben bei sechs Jahren. Wer pauschal „alles jetzt 8 Jahre" ins Löschkonzept schreibt, macht es falsch.

Datenschutzrechtlich ist die Verkürzung relevant: Eine kürzere Aufbewahrungspflicht bedeutet eine frühere Löschpflicht. Daten, die Sie 2025 noch im zehnten Jahr gespeichert hätten, müssen jetzt schon nach acht Jahren gelöscht werden. Klingt nach Detail. Ist aber genau die Art von Lücke, die bei einer Auskunftsanfrage auffliegt.

Löschfristen-Tabelle nach Datenart (Muster)

Das Herzstück jedes Löschkonzepts ist die Zuordnung Datenart → Frist → Rechtsgrundlage. Die folgende Tabelle deckt die typischen Datenarten eines KMU ab. Alle Fristen sind über die unten genannten Quellen belegt.

DatenartAufbewahrungs-/LöschfristRechtsgrundlage
Handelsbücher, Jahresabschlüsse, Inventare, Bilanzen10 Jahre§ 257 Abs. 1 Nr. 1, Abs. 4 HGB
Buchungsbelege, Rechnungen, Kontoauszüge8 Jahre (seit 01.01.2025, vorher 10)§ 257 Abs. 4 HGB, § 147 Abs. 3 AO
Empfangene und abgesandte Handelsbriefe (ohne Rechnungen)6 Jahre§ 257 Abs. 1 Nr. 2/3, Abs. 4 HGB
Sonstige steuerrelevante Unterlagen6 Jahre§ 147 Abs. 1, Abs. 3 AO
Lohnkonten / Lohnsteuerunterlagen6 Jahre§ 41 Abs. 1 S. 9 EStG
Bewerberdaten abgelehnter Bewerberbis 6 Monate nach Absage§ 15 Abs. 4 AGG (Klagefrist)
Personalakte (nach Austritt, allgemein)je nach Inhalt; steuer-/sozialrechtliche Belege bis 6/10 J.§ 257 HGB, § 147 AO, § 41 EStG analog
Vertragsdaten / Kundenstammdatenbis 3 Jahre nach Vertragsende (Verjährung) + ggf. Belegfristen§ 195, § 199 BGB i.V.m. Belegpflichten
Newsletter-Einwilligung (Nachweis)für Dauer der Nutzung + Nachweis nach WiderrufArt. 7 Abs. 1 DSGVO (Nachweispflicht)
Wichtig — keine Frist ohne Prüfung übernehmen:

Diese Tabelle ist ein praxisnaher Startpunkt, kein Freibrief. Einzelfristen variieren je nach Sachverhalt — eine Rechnung ist umsatzsteuerlich nach § 14b UStG zehn Jahre aufzubewahren, handelsrechtlich als Buchungsbeleg acht. In Konfliktfällen gilt die längste einschlägige Frist. Lassen Sie Ihre konkrete Tabelle einmal vom Datenschutzbeauftragten und der Steuerberatung gegenprüfen.

Eine wichtige Faustregel zum Startzeitpunkt: Die handels- und steuerrechtlichen Fristen beginnen nicht am Tag der Erstellung, sondern mit dem Ablauf des Kalenderjahres, in dem die letzte Eintragung gemacht bzw. der Beleg entstanden ist. Eine Rechnung aus März 2025 startet ihre Acht-Jahres-Frist also erst zum 31.12.2025 — und ist damit erst Ende 2033 zu löschen.

Die Methodik: Löschkonzept nach DIN 66398

Wenn Sie für jede einzelne Datei eine eigene Frist pflegen, ertrinken Sie in Excel. Die DIN 66398 — die „Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten” (Ausgabe 2016-05) — löst das mit dem Konzept der Löschklassen.

Eine Löschklasse ist eine Kombination aus zwei Bausteinen:

  • Löschfrist (Regelfrist). Die Zeitspanne, nach der gelöscht wird — z. B. „8 Jahre" oder „6 Monate".
  • Startzeitpunkt (Startereignis). Das Ereignis, ab dem die Frist läuft — z. B. „Ablauf des Kalenderjahres der Rechnungsstellung" oder „Absageschreiben versandt".

Statt jede Datenart einzeln zu betrachten, fassen Sie alle Datenarten mit gleicher Frist und gleichem Startzeitpunkt in einer Klasse zusammen. Bei 60 Datenarten in Ihrem Unternehmen landen Sie typischerweise bei 8 bis 12 Löschklassen. Die pflegen Sie. Ändert sich ein Gesetz — wie 2025 bei den Buchungsbelegen — passen Sie eine Klasse an, nicht 30 Einzeleinträge.

Tipp:

Die Löschfristen aus Ihrem Konzept gehören als Pflichtangabe ins Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 1 lit. f). Bauen Sie beides zusammen — wie das geht, zeigen wir im Detail im Beitrag VVT erstellen: Verzeichnis Verarbeitungstätigkeiten (Art. 30).

Die Praxis: Löschen in CRM, E-Mail und Backups

Ein schönes Konzept auf Papier nützt nichts, wenn die Daten in den Systemen liegen bleiben. Hier wird es technisch — und hier scheitern die meisten KMU.

8 J.
Buchungsbelege seit 2025
6 Mon.
Bewerberdaten nach Absage
10 J.
Handelsbücher / Bilanzen
8–12
Löschklassen typisch

CRM und Fachanwendungen. Moderne Systeme bieten oft Aufbewahrungsregeln oder Löschläufe. Prüfen Sie, ob Ihr CRM Daten automatisch nach Frist anonymisiert oder löscht. Wo das fehlt, brauchen Sie einen festen manuellen Löschlauf — etwa einmal im Quartal, protokolliert.

E-Mail-Postfächer. Der blinde Fleck schlechthin. In E-Mails liegen Bewerbungsunterlagen, Gesundheitsdaten, Kundenkommunikation — oft jahrelang. Definieren Sie Aufbewahrungsrichtlinien (in Microsoft 365 z. B. Retention Policies) und löschen Sie alte Bewerbungs-Mails konsequent. Wie Sie M365 datenschutzkonform aufsetzen, behandeln wir gesondert.

Backups — das härteste Problem. Sie löschen einen Datensatz im Produktivsystem, aber er liegt noch in 20 nächtlichen Backups. Muss er aus jedem Band gelöscht werden? Nein. Aufsichtsbehörden akzeptieren, dass eine punktgenaue Löschung aus laufenden Backups unverhältnismäßig ist. Entscheidend ist:

  • Im Produktivsystem ist der Datensatz gelöscht. Das ist der maßgebliche Ort.
  • Beim nächsten regulären Wiederherstellen wird er nicht reaktiviert. Wer ein Backup zurückspielt, muss die zwischenzeitlich gelöschten Daten erneut löschen.
  • Die Backup-Rotation ist dokumentiert. Nach Ablauf der Rotation verschwinden die Daten ohnehin endgültig.

Schritt für Schritt zum Löschkonzept

So bauen Sie Ihr Konzept auf — in der Reihenfolge, in der wir bei Mandanten vorgehen.

  1. Datenarten erheben. Listen Sie auf, welche personenbezogenen Datenarten Sie verarbeiten. Ihr VVT ist die ideale Grundlage — dort steht jede Verarbeitungstätigkeit schon drin.
  2. Fristen zuordnen. Weisen Sie jeder Datenart die gesetzliche Aufbewahrungs- oder die DSGVO-Löschfrist zu. Bei Konflikt gilt die längste Frist. Nutzen Sie die Tabelle oben als Startraster.
  3. Startzeitpunkte festlegen. Definieren Sie pro Datenart das Startereignis — „Ablauf des Kalenderjahres", „Vertragsende", „Absage versandt". Ohne Startzeitpunkt ist die Frist wertlos.
  4. Löschklassen bilden. Fassen Sie Datenarten mit gleicher Frist und gleichem Startzeitpunkt zu Löschklassen zusammen (DIN 66398). Aus 60 Datenarten werden so 8 bis 12 Klassen.
  5. Umsetzung und Automatisierung. Hinterlegen Sie die Löschregeln in den Systemen — CRM-Löschläufe, E-Mail-Retention, geplante Jobs. Was nicht automatisch geht, wird ein fester, terminierter manueller Lauf.
  6. Protokollieren. Jede Löschung wird dokumentiert (Datenart, Datum, Verantwortlicher). Das ist Ihr Nachweis nach Art. 5 Abs. 2 — und Ihre Rückendeckung bei einer Prüfung.

Aus der Praxis

Für uns ist wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen. Beim Löschkonzept heißt das: nicht 200 Einzelfristen pflegen, sondern ein Dutzend saubere Löschklassen. Das hält jeder Buchhalter durch.

Nils Oehmichen Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Den größten Aha-Moment erleben Geschäftsführer übrigens nicht bei den Fristen, sondern bei der Erkenntnis, wo überall Daten liegen. Die Bewerbung von 2019 im E-Mail-Postfach, die Kundenliste auf dem alten Laptop, das CRM-Export auf einem USB-Stick. Das Löschkonzept zwingt zur Inventur — und das ist oft der eigentliche Gewinn.

Fazit / Ihr nächster Schritt

Ein Löschkonzept ist die Auflösung eines scheinbaren Widerspruchs: Die DSGVO verlangt Löschen, das Steuerrecht verlangt Aufbewahren. Sie lösen das, indem Sie pro Datenart Frist und Startzeitpunkt festlegen, daraus Löschklassen nach DIN 66398 bilden und die Regeln in Ihren Systemen verankern. Die 2025er-Änderung — Buchungsbelege nur noch acht Jahre — sollten Sie als Erstes prüfen. Und denken Sie an die Kopplung: Die Löschfristen gehören ins VVT, und besonders bei Bewerberdaten lohnt der genaue Blick.

Löschkonzept in 7 Werktagen startklar — statt monatelang an Excel zu verzweifeln.

Wir erstellen Ihr Löschkonzept mit fertigen Löschklassen, gekoppelt an Ihr VVT — als externer, TÜV-zertifizierter Datenschutzbeauftragter aus Hamburg-Hammerbrook. Festpreis ab dem Lite-Tarif (79 € netto/Monat). 15 Minuten Erstgespräch genügen für den Überblick.

Kostenloses Erstgespräch buchen →

Häufige Fragen (FAQ)

Ist ein Löschkonzept nach DSGVO Pflicht?

Ja, faktisch schon. Die DSGVO fordert kein Dokument namens „Löschkonzept”, aber der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) und die Rechenschaftspflicht (Art. 5 Abs. 2) verlangen, dass Sie nachweisen können, wann Daten gelöscht werden. Außerdem gehören die Löschfristen als Pflichtangabe ins Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 1 lit. f). Ein dokumentiertes Löschkonzept ist der einzige praktikable Weg, diesen Nachweis zu führen.

Wie lange müssen Buchungsbelege und Rechnungen aufbewahrt werden?

Seit dem 01.01.2025 acht Jahre statt vorher zehn. Das Vierte Bürokratieentlastungsgesetz hat die Frist in § 257 HGB und § 147 AO verkürzt. Handelsbücher, Jahresabschlüsse und Inventare bleiben bei zehn Jahren, empfangene und abgesandte Handelsbriefe bei sechs Jahren. Erst nach Ablauf dieser Fristen dürfen Sie löschen — vorher gilt eine Löschpflicht-Sperre.

Was ist die DIN 66398 und brauche ich sie?

Die DIN 66398 ist die „Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten” (Ausgabe 2016-05). Sie liefert ein Modell mit Löschklassen: Sie ordnen jede Datenart einer Klasse aus Löschfrist plus Startzeitpunkt zu, statt jede Frist einzeln zu pflegen. Sie müssen die Norm nicht kaufen, um ein gutes Konzept zu bauen — aber ihr Klassen-Ansatz ist die praktikabelste Methode.

Wie lange darf ich Bewerberdaten aufbewahren?

Unterlagen abgelehnter Bewerber sollten spätestens sechs Monate nach der Absage gelöscht werden. Die Frist leitet sich aus der Klagefrist des AGG (§ 15 Abs. 4) ab — bis dahin könnte ein abgelehnter Bewerber Entschädigung verlangen, und Sie müssen sich verteidigen können. Wollen Sie Unterlagen länger im Talent-Pool behalten, brauchen Sie eine ausdrückliche Einwilligung.

Muss ich Daten auch aus Backups löschen?

Das ist der schwierigste Teil. Aufsichtsbehörden akzeptieren, dass ein einzelner Datensatz nicht aus einem laufenden Backup-Band herausoperiert werden muss. Entscheidend ist, dass die Daten im produktiven System gelöscht sind und beim nächsten regulären Backup-Zyklus nicht zurückgespielt werden. Sie dokumentieren das über Ihre Backup-Rotation und sperren wiederhergestellte Altdaten.

Was passiert, wenn ich zu lange speichere?

Zu langes Speichern ist ein eigenständiger DSGVO-Verstoß gegen die Speicherbegrenzung (Art. 5 Abs. 1 lit. e) und kann nach Art. 83 mit Bußgeldern geahndet werden. In der Praxis fällt es meist bei einer Auskunftsanfrage auf: Ein Betroffener verlangt Auskunft, Sie liefern Daten, die längst gelöscht sein müssten — und liefern damit den Beweis gegen sich selbst. Mehr zum Thema auf unserer Datenschutz-Übersicht oder direkt bei uns als externem Datenschutzbeauftragten in Hamburg.

Recherche-Stand: verifiziert am 21.05.2026 über gesetze-im-internet.de (§ 257 HGB, § 147 AO), dsgvo-gesetz.de (Art. 5, 17), din-66398.de, IHK Regensburg sowie dr-datenschutz.de (Bewerber-/Lohnfristen).

Auch interessant
Datenschutz-Audit

Datenschutz-Audit: Checkliste & Ablauf für KMU (Selbstcheck)

Datenschutz-Audit Checkliste für KMU: alle Prüfbereiche von VVT über TOMs bis Datenpanne, der Ablauf eines Audits und eine Ampel-Bewertung zur Standortbestimmung in Hamburg.
Cookie-Banner

Cookie-Banner rechtssicher gestalten 2026 (§ 25 TDDDG)

Cookie-Banner rechtssicher nach § 25 TDDDG: Wann Consent Pflicht ist, warum der Ablehnen-Button gleichwertig sein muss und welche Fehler abgemahnt werden.
Anrufen Angebot