Wie lange darf ich Kundendaten aufbewahren?

Das hängt vom Zweck ab. Aktive Kundendaten dürfen für die Dauer der Beziehung aufbewahrt werden. Nach Beendigung der Beziehung bewahren Sie sie nur auf, wenn Sie eine gesetzliche Aufbewahrungspflicht haben oder ein berechtigtes Interesse nachweisen können.

Muss ich Daten automatisch löschen?

Die DSGVO schreibt keine automatische Löschung vor, aber es ist empfehlenswert. Richten Sie Löschungserinnerungen ein oder konfigurieren Sie Ihre Systeme für automatische Löschung nach der festgelegten Frist.

Was wenn ich nicht sicher bin, welche Frist gelten soll?

Prüfen Sie zunächst, ob eine gesetzliche Aufbewahrungspflicht besteht. Wenn nicht, bestimmen Sie die Frist anhand des Zwecks. Dokumentieren Sie Ihre Wahl und den Grund - das ist das Wichtigste.

DSGVO Aufbewahrungsfristen - Wie Lange Dürfen Sie Daten Behalten?

Die DSGVO verpflichtet Sie, personenbezogene Daten nicht länger aufzubewahren als nötig. Aber wie bestimmen Sie die richtige Frist? Dieser Artikel erklärt, wie Sie eine Aufbewahrungsrichtlinie erstellen.

Warum ist das wichtig?

Die DSGVO ist klar: Sie dürfen personenbezogene Daten nicht länger aufbewahren als nötig, um den Zweck zu erreichen, für den Sie sie erhoben haben. Dennoch bewahren die meisten Unternehmen Daten viel länger auf als nötig, einfach weil niemand je darüber nachdenkt.

Das Risiko? Bei einer Prüfung durch die Aufsichtsbehörde oder wenn ein Kunde eine Löschungsanfrage stellt, müssen Sie erklären können, warum Sie bestimmte Daten noch aufbewahren. “Wir haben nie darüber nachgedacht” ist keine gültige Antwort.

Gängige Aufbewahrungsfristen

Datentyp	Rechtsgrundlage	Aufbewahrungsfrist
Buchhaltungsunterlagen (Rechnungen, Zahlungen)	Steuergesetzgebung	7-10 Jahre
Personalakten	Arbeitsrecht	5 Jahre nach Ende des Arbeitsverhältnisses
Bewerbungsdaten (abgelehnt)	Berechtigtes Interesse	Max. 4 Wochen (bis 1 Jahr mit Einwilligung)
Kundendaten (aktive Beziehung)	Vertragserfüllung	Dauer der Beziehung
Kundendaten (nach Beendigung)	Berechtigtes Interesse	Max. 2 Jahre
Videoüberwachungsaufnahmen	Berechtigtes Interesse	Max. 1 Monat (außer bei Vorfall)
Website-Analytics (IP-Adressen)	Einwilligung / berechtigtes Interesse	Max. 26 Monate
Kontaktformular-Einsendungen	Berechtigtes Interesse	Max. 2 Jahre nach letztem Kontakt
Newsletter-Abonnenten	Einwilligung	Bis zum Widerruf der Einwilligung

Wie erstellen Sie eine Aufbewahrungsrichtlinie?

Schritt 1: Inventarisieren Sie Ihre Verarbeitungen

Sie können keine Aufbewahrungsfristen festlegen, wenn Sie nicht wissen, welche Daten Sie verarbeiten. Beginnen Sie mit Ihrem Verarbeitungsverzeichnis.

Schritt 2: Bestimmen Sie die Frist pro Verarbeitung

Stellen Sie sich pro Verarbeitungstätigkeit diese Fragen:

Gibt es eine gesetzliche Aufbewahrungspflicht? Wenn ja, gilt diese
Wenn nein, wie lange brauche ich die Daten wirklich für den Zweck?
Gibt es einen Branchenstandard, dem ich folgen kann?

Schritt 3: Dokumentieren Sie Ihre Entscheidungen

Halten Sie pro Verarbeitungstätigkeit fest:

Welche Aufbewahrungsfrist Sie anwenden
Warum (Rechtsgrundlage oder Begründung)
Was nach Ablauf passiert (Löschung, Anonymisierung)

Schritt 4: Implementieren und überwachen

Richten Sie Erinnerungen für die Überprüfung und Löschung abgelaufener Daten ein
Konfigurieren Sie automatische Löschung, wo möglich
Überprüfen Sie mindestens jährlich, ob Ihre Richtlinie noch aktuell ist

Häufige Fehler

Alles “ewig” aufbewahren, weil es einfacher ist. Das ist ein DSGVO-Verstoß
Nicht unterscheiden zwischen aktiven und inaktiven Kunden
Backups vergessen: Wenn Sie Daten löschen, aber sie noch im Backup sind, sind Sie nicht fertig
Keine schriftliche Richtlinie: Wenn Sie es nicht dokumentiert haben, existiert es nicht für die Aufsichtsbehörde

auto_awesome Aufbewahrungsfristen automatisch verfolgen?

GDPRWise hilft Ihnen, für jede Verarbeitungstätigkeit die richtige Aufbewahrungsfrist festzulegen und erinnert Sie, wenn Daten gelöscht werden müssen.

Kostenlosen Scan starten

Aufbewahrungsfristen: Wie Lange Dürfen Sie Personenbezogene Daten Aufbewahren?