DSGVO-Datenaufbewahrung: Richtlinien, Zeitpläne und Best Practices

Der Grundsatz der Speicherbegrenzung der DSGVO ist trügerisch einfach: Bewahren Sie personenbezogene Daten nicht länger auf, als Sie sie brauchen. Artikel 5(1)(e) besagt, dass personenbezogene Daten „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.”

In der Praxis ist die Umsetzung dieses Grundsatzes einer der operativ anspruchsvollsten Aspekte der DSGVO-Compliance. Sie erfordert, dass Sie für jede Kategorie personenbezogener Daten spezifische Aufbewahrungsfristen festlegen, jede Frist begründen, Mechanismen zur Durchsetzung dieser Fristen implementieren und alles dokumentieren. „Wir bewahren es auf, bis uns jemand sagt, es zu löschen” ist keine Aufbewahrungsrichtlinie.

Für SaaS-Unternehmen berührt die Datenaufbewahrung Produktdesign, Engineering-Workflows, rechtliche Anforderungen und Kundenerwartungen. Dieser Leitfaden behandelt, wie Sie Aufbewahrungsfristen definieren, einen Aufbewahrungszeitplan erstellen und Löschmechanismen implementieren, die tatsächlich funktionieren.

Warum Datenaufbewahrung wichtig ist

Die rechtliche Anforderung

Der Grundsatz der Speicherbegrenzung ist kein Vorschlag — er ist einer der Kernverarbeitungsgrundsätze der DSGVO (Artikel 5). Die Aufbewahrung personenbezogener Daten über die begründete Aufbewahrungsfrist hinaus ist eine unrechtmäßige Verarbeitung und kann zu Durchsetzungsmaßnahmen führen.

Aufsichtsbehörden haben speziell für übermäßige Datenaufbewahrung Bußgelder verhängt. Kundendaten auf unbestimmte Zeit „für mögliche zukünftige Nutzung” aufzubewahren oder Mitarbeiterdaten lange nach Beendigung des Arbeitsverhältnisses ohne rechtliche Begründung zu behalten, sind genau die Muster, nach denen Regulierer suchen.

Die praktischen Vorteile

Über die Compliance hinaus reduzieren solide Aufbewahrungspraktiken Ihre Risikofläche. Gelöschte Daten können nicht von einer Datenpanne betroffen sein, können nicht Gegenstand eines DSAR werden und können nicht zur Haftung werden. Weniger Daten bedeuten niedrigere Speicherkosten, schnellere Datenbankabfragen und einfacheres Datenmapping. Aufbewahrungsdisziplin ist gute Datenhygiene, nicht nur gute Compliance.

Aufbewahrungsfristen festlegen

Schritt 1: Ihre Datenkategorien inventarisieren

Bevor Sie Aufbewahrungsfristen festlegen, müssen Sie wissen, welche Daten Sie vorhalten. Arbeiten Sie von Ihrem VVT aus — jede Verarbeitungstätigkeit beinhaltet spezifische Datenkategorien, die individuelle Aufbewahrungsfristen benötigen.

Gängige Datenkategorien für SaaS-Unternehmen:

• Benutzerkontodaten (Namen, E-Mails, Anmeldedaten)
• Nutzungs- und Verhaltensdaten (Feature-Interaktionen, Sitzungsprotokolle)
• Kundenbeziehungsdaten (CRM-Datensätze, Kommunikationsverlauf)
• Finanzdaten (Rechnungen, Zahlungsaufzeichnungen, Abrechnungsverlauf)
• Supportdaten (Tickets, Chat-Protokolle, Feedback)
• Marketingdaten (E-Mail-Abonnements, Kampagnen-Engagement)
• Mitarbeiterdaten (HR-Aufzeichnungen, Gehaltsabrechnung, Leistungsbeurteilungen)
• Website-Besucherdaten (Analysen, Cookie-Daten, Formulareingaben)
• Anwendungsprotokolle (Serverprotokolle, Fehlerprotokolle, Audit-Trails)

Schritt 2: Die Begründung für jede Frist bestimmen

Jede Aufbewahrungsfrist braucht eine Begründung. Es gibt vier Hauptquellen der Begründung:

Vertragserfüllung. Daten, die zur Vertragserfüllung benötigt werden, sollten für die Vertragsdauer plus eine angemessene Abwicklungszeit aufbewahrt werden. Beispiel: Benutzerkontodaten, die aufbewahrt werden, solange das Abonnement aktiv ist, plus 30 Tage für Reaktivierung oder Datenexport.

Rechtliche Verpflichtung. Einige Daten müssen gesetzlich für bestimmte Zeiträume aufbewahrt werden. Diese Anforderungen variieren je nach Rechtsordnung:

• Finanz- und Steuerunterlagen: typischerweise 6–10 Jahre je nach Land
• Beschäftigungsunterlagen: variiert erheblich je nach Rechtsordnung (2–10 Jahre)
• Geldwäschebekämpfungsunterlagen: 5 Jahre nach Ende der Geschäftsbeziehung
• Umsatzsteuerunterlagen: typischerweise 7–10 Jahre

Berechtigtes Interesse. Einige Daten dienen einem berechtigten Geschäftszweck über den ursprünglichen Erhebungszweck hinaus. Beispiel: Aufbewahrung aggregierter Nutzungsanalysen zur Produktverbesserung. Aber das berechtigte Interesse muss gegen die Rechte der betroffenen Person abgewogen werden, und die Aufbewahrungsfrist muss definiert und begründet sein.

Einwilligung. Daten, die auf Basis der Einwilligung verarbeitet werden, sollten bis zum Widerruf der Einwilligung aufbewahrt werden — plus die Verarbeitung, die zur Erfüllung des Widerrufs erforderlich ist (z. B. Hinzufügen einer E-Mail zu einer Sperrliste, um eine erneute Aufnahme zu verhindern).

Schritt 3: Den Minimierungstest anwenden

Fragen Sie für jede Datenkategorie und Aufbewahrungsfrist: Könnten wir denselben Zweck mit weniger Daten erreichen, die für einen kürzeren Zeitraum aufbewahrt werden?

• Können Nutzungsdaten nach einem kürzeren Zeitraum aggregiert oder anonymisiert werden, während sie ihren Zweck noch erfüllen?
• Müssen Support-Ticket-Anhänge genauso lange aufbewahrt werden wie die Ticket-Metadaten?
• Müssen vollständige Protokolldaten aufbewahrt werden, oder würden zusammengefasste Daten nach einem anfänglichen Zeitraum ausreichen?

Die Aufbewahrungsfrist sollte das für den erklärten Zweck notwendige Minimum sein — nicht das Maximum, das Sie rechtfertigen können.

Aufbewahrungszeitplan-Vorlage für SaaS-Unternehmen

Hier ist eine praktische Vorlage mit gängigen Aufbewahrungsfristen. Passen Sie sie an Ihre spezifischen rechtlichen Anforderungen, Verträge und Geschäftsbedürfnisse an:

Benutzerkontodaten

• Aktive Konten: Dauer des Kontos plus 30 Tage nach Kontolöschung
• Testkonten (nicht konvertiert): 90 Tage nach Ablauf des Testzeitraums
• Inaktive Konten (kein Login): 24 Monate Inaktivität löst Benachrichtigung aus; Löschung 30 Tage nach Benachrichtigung, wenn keine Reaktivierung

Nutzungs- und Verhaltensdaten

• Detaillierte Ereignisdaten: 12 Monate, dann aggregiert/anonymisiert
• Sitzungsaufzeichnungen (falls verwendet): 90 Tage
• Feature-Nutzungsanalysen: 24 Monate, dann aggregiert

Kundenbeziehungsdaten

• Aktive Kundendatensätze: Dauer der Beziehung
• Kundendatensätze nach Beendigung: 12 Monate zur Referenz, dann anonymisiert
• Verkaufsinteressenten-Daten (kein Vertrag): 12 Monate nach der letzten bedeutsamen Interaktion
• Visitenkarten / Veranstaltungskontakte: 6 Monate, wenn kein Follow-up oder keine Einwilligung eingeholt

Finanzdaten

• Rechnungen und Abrechnungsunterlagen: 10 Jahre (Steuerpflicht — lokale Anforderungen prüfen)
• Zahlungsmethoden-Details: Werden vom Zahlungsdienstleister verwaltet; lokale Referenzen werden mit dem Konto gelöscht
• Erstattungsunterlagen: 7 Jahre (Aufbewahrung von Finanzunterlagen)

Supportdaten

• Gelöste Ticket-Metadaten: Dauer der Kundenbeziehung plus 12 Monate
• Ticket-Inhalt und Anhänge: 24 Monate nach Lösung, dann anonymisiert
• Chat-Protokolle: 12 Monate, dann gelöscht
• Telefonaufzeichnungen: 6 Monate (falls für Schulung/Qualität verwendet), dann gelöscht

Marketingdaten

• E-Mail-Abonnenten (aktiv): Bis zur Abmeldung oder zum Widerruf der Einwilligung
• E-Mail-Sperrliste: Unbegrenzt (notwendig zur Verhinderung einer erneuten Aufnahme — aber nur die E-Mail-Adresse, keine weiteren Daten)
• Kampagnen-Performance-Daten: 24 Monate, dann aggregiert
• Cookie-Einwilligungsaufzeichnungen: 12 Monate (zum Nachweis der Einwilligung)

Mitarbeiterdaten

• Aktuelle Mitarbeiterdatensätze: Dauer des Arbeitsverhältnisses
• Ehemalige Mitarbeiterdatensätze: 2–7 Jahre nach Ende des Arbeitsverhältnisses (variiert nach Rechtsordnung und Datensatztyp)
• Nicht erfolgreiche Bewerberdaten: 6 Monate nach Ablehnung (oder mit Einwilligung bis zu 12 Monate)
• Gehaltsabrechnungs- und Steuerunterlagen: 7–10 Jahre (rechtliche Verpflichtung)

Technische Protokolle

• Anwendungsprotokolle (mit personenbezogenen Daten): 90 Tage, dann anonymisiert oder gelöscht
• Sicherheits- und Audit-Protokolle: 12 Monate
• Fehlerprotokolle mit Stack-Traces: 30 Tage
• Zugriffsprotokolle: 6 Monate

Aufbewahrung in der Praxis implementieren

Automatisierte Löschung

Manuelle Löschung skaliert nicht. Bauen Sie automatisierte Prozesse auf, die:

• Datensätze kennzeichnen, die sich ihrer Aufbewahrungsfrist nähern
• Die Löschung planmäßig ausführen (oder nach einer Überprüfungsphase)
• Kaskadenlöschung handhaben (wenn ein Benutzerkonto gelöscht wird, sollten alle zugehörigen Daten in allen Systemen folgen)
• Löschereignisse zur Rechenschaftspflicht protokollieren

Umgang mit Backups

Backups sind die unelegante Ausnahme von sauberer Löschung. Wenn Sie einen Datensatz aus Ihrer Produktionsdatenbank löschen, existiert er noch im Backup der letzten Woche. Die DSGVO erkennt an, dass die sofortige Bereinigung von Daten aus allen Backups technisch unpraktikabel sein kann.

Der pragmatische Ansatz:

• Legen Sie eine Backup-Aufbewahrungsfrist fest (z. B. 30–90 Tage)
• Dokumentieren Sie die Backup-Aufbewahrungsfrist in Ihrem VVT und Datenschutzhinweis
• Wenn Daten aus der Produktion gelöscht werden, werden sie natürlich aus den Backups ausrollen, wenn ältere Backups ersetzt werden
• Wenn jemand sein Recht auf Löschung ausübt, dokumentieren Sie, dass die Daten aus der Produktion gelöscht wurden und innerhalb des Backup-Aufbewahrungszyklus in den Backups überschrieben werden
• Stellen Sie sicher, dass Backups nicht so wiederhergestellt werden, dass gelöschte Daten wiederaufleben

Anonymisierung als Alternative zur Löschung

Die Aufbewahrungsgrenzen der DSGVO gelten für personenbezogene Daten — Daten, die eine Person identifizieren oder identifizieren können. Wenn Sie Daten tatsächlich anonymisieren (nicht nur pseudonymisieren), unterliegen die anonymisierten Daten nicht mehr der DSGVO, und Sie können sie unbegrenzt für Analysen, Forschung oder Produktverbesserung aufbewahren.

Das Schlüsselwort ist „tatsächlich.” Die Anonymisierung muss irreversibel sein — Sie sollten nicht in der Lage sein, Personen aus dem anonymisierten Datensatz zu re-identifizieren, auch nicht durch Kombination mit anderen Daten, die Sie vorhalten. Pseudonymisierung (Ersetzen von Identifikatoren durch Token bei Beibehaltung der Zuordnung) ist keine Anonymisierung und unterliegt weiterhin der DSGVO.

Wirksame Anonymisierungstechniken:

• Aggregation: Individuelle Datensätze zu statistischen Zusammenfassungen kombinieren
• Generalisierung: Spezifische Werte durch Bereiche ersetzen (Alter 32 → Altersgruppe 30–40)
• Unterdrückung: Identifizierende Felder vollständig entfernen
• Rauschaddition: Zufällige Variationen zu individuellen Werten hinzufügen

Betroffenenanfragen und Aufbewahrung

Wenn jemand sein Recht auf Löschung (Artikel 17) ausübt, müssen Sie seine Daten in der Regel unabhängig von Ihrem Aufbewahrungszeitplan löschen — es sei denn, eine Ausnahme greift (rechtliche Verpflichtung, Rechtsansprüche, öffentliches Interesse oder Ausübung der Meinungsfreiheit).

Wenn jemand sein Recht auf Einschränkung der Verarbeitung (Artikel 18) ausübt, müssen Sie die Verarbeitung seiner Daten einstellen, müssen sie aber nicht unbedingt löschen. Die Daten werden „eingefroren”, bis die Einschränkung aufgehoben wird.

Ihr Aufbewahrungszeitplan sollte dokumentieren, wie Betroffenenrechte mit den Aufbewahrungsfristen zusammenwirken.

Häufige Aufbewahrungsfehler

Keine definierten Fristen. „Wir bewahren es auf, solange wir es brauchen” ist keine Richtlinie. Aufsichtsbehörden erwarten spezifische Zeiträume (oder spezifische Kriterien), die für jede Datenkategorie dokumentiert sind.

Einheitliche Aufbewahrungsfristen für alles. Die Anwendung derselben Aufbewahrungsfrist auf alle Daten (z. B. „wir löschen alles nach 5 Jahren”) ignoriert den Grundsatz, dass verschiedene Daten verschiedenen Zwecken mit verschiedenen Begründungen dienen. Finanzunterlagen benötigen möglicherweise 10 Jahre; Marketingpräferenzen möglicherweise 12 Monate.

Nicht alle Kopien berücksichtigen. Daten existieren nicht nur in Ihrer primären Datenbank. Sie sind in Ihrem CRM, Ihrer Analyseplattform, Ihrem E-Mail-Marketing-Tool, Ihrem Support-System, Ihren Backups und möglicherweise in gemeinsam genutzten Dokumenten oder E-Mail-Verläufen. Aufbewahrungsrichtlinien müssen alle Speicherorte abdecken.

Kein Durchsetzungsmechanismus. Ein Aufbewahrungszeitplan ohne automatisierte Löschung oder regelmäßige manuelle Überprüfung ist nur ein Dokument. Ohne Durchsetzung sammeln sich Daten unbegrenzt an.

Wie GRCTrail die Aufbewahrung verwaltet

GRCTrail integriert das Aufbewahrungsmanagement in Ihr Compliance-Programm:

VVT mit Aufbewahrungsfristen. Jede Verarbeitungstätigkeit in Ihrem Verzeichnis der Verarbeitungstätigkeiten enthält dokumentierte Aufbewahrungsfristen, verknüpft mit ihren Begründungen. Wenn Sie Ihr VVT überprüfen, sind Aufbewahrungsfristen Teil der Bewertung.

Aufbewahrungs-Monitoring. Verfolgen Sie, ob Ihre definierten Aufbewahrungsfristen in Ihren Systemen durchgesetzt werden. Kennzeichnen Sie Datenkategorien, bei denen die Aufbewahrung die definierte Frist erreicht oder überschreitet.

Verknüpft mit Ihrem Datenschutzhinweis. Ihr veröffentlichter Datenschutzhinweis nennt Ihre Aufbewahrungsfristen. GRCTrail stellt Konsistenz zwischen dem, was Sie betroffenen Personen sagen, und dem, was Ihre Systeme tatsächlich tun, sicher.

Übernehmen Sie die Kontrolle über Ihre Datenaufbewahrung →

Verwandte Leitfäden

• DSGVO-Compliance-Checkliste — Das vollständige Compliance-Framework
• Verzeichnis der Verarbeitungstätigkeiten (VVT) — Dokumentation Ihrer Verarbeitung
• Anforderungen an Datenschutzhinweise — Aufbewahrung an betroffene Personen kommunizieren
• Die sechs Rechtsgrundlagen — Rechtsgrundlagen, die Aufbewahrungsfristen informieren

Starten Sie mit GRCTrail →