Auf jedem Geschäftsrechner sammeln sich über die Jahre Daten an, die längst keiner mehr braucht. Alte Angebote, abgelaufene Bewerbungen, Kontaktformular-Einträge von 2019, Rechnungen aus einem Projekt, das nie zustande kam. Vieles davon enthält personenbezogene Daten, und vieles davon dürftest Du eigentlich gar nicht mehr aufbewahren.
Erfreulicherweise musst Du dafür kein Aktenvernichter-Ritual veranstalten. Mit einem schlanken Löschkonzept bekommst Du Ordnung in die Sache und erfüllst nebenbei eine Pflicht aus der Datenschutz-Grundverordnung. Dieser Beitrag gibt Dir allgemeine Orientierung, keine verbindliche Rechtsberatung, denn die hängt immer von Deinem konkreten Fall ab.
Warum Löschen eine Pflicht ist
Die DSGVO kennt den Grundsatz der Datenminimierung. Personenbezogene Daten dürfen nur so lange gespeichert werden, wie ein konkreter Zweck sie rechtfertigt. Fällt der Zweck weg, fällt auch die Erlaubnis zur Speicherung weg, und die Daten müssen gelöscht werden.
Das klingt streng, schützt Dich aber auch. Je weniger alte Daten auf Deinen Systemen liegen, desto kleiner ist der Schaden, falls doch einmal ein Angreifer zugreift. Eine aufgeräumte Datenhaltung ist gelebte Sicherheit und kein bürokratischer Selbstzweck.
Dazu kommt das Auskunftsrecht. Meldet sich jemand und will wissen, welche Daten Du über ihn gespeichert hast, musst Du das beantworten können. In einem aufgeräumten System findest Du die Antwort in Minuten, in einem zugewucherten Datengrab suchst Du tagelang.
Und nicht zuletzt geht es um Vertrauen. Wer als Selbständiger sorgsam mit fremden Daten umgeht, wirkt professionell. Kunden merken sehr wohl, ob ihre Adresse nach dem Projekt verschwindet oder ob sie Jahre später noch unerwünschte Post bekommen.
Aufbewahrungsfristen verstehen
Löschen heißt nicht alles sofort wegwerfen. Manche Daten musst Du sogar aufbewahren, auch wenn der ursprüngliche Zweck längst erfüllt ist. Hier kollidieren zwei Welten, die Du auseinanderhalten solltest.
Auf der einen Seite steht das Steuer- und Handelsrecht mit festen Aufbewahrungspflichten. Rechnungen und Buchungsbelege wandern dort typischerweise in einen langen Aufbewahrungszeitraum, oft acht oder zehn Jahre. Diese Daten dürfen in dieser Zeit nicht gelöscht werden, selbst wenn der Kunde es verlangt.
Auf der anderen Seite steht alles, was keiner gesetzlichen Frist unterliegt. Ein Newsletter-Abo, eine alte Bewerbung, eine Kontaktanfrage ohne Auftrag. Sobald der Zweck erledigt ist, gilt hier die Löschpflicht aus der Datenminimierung.
Eine grobe Orientierung, welche Kategorien Dir im Alltag begegnen:
- Belege mit Steuerbezug: Rechnungen, Verträge, Buchungsunterlagen. Lange Aufbewahrungspflicht, erst danach löschen.
- Bewerbungen ohne Einstellung: meist nur wenige Monate nach der Absage, dann weg.
- Kontaktanfragen ohne Auftrag: nach Erledigung der Anfrage zeitnah löschen.
- Newsletter-Daten: bis zum Widerruf, danach umgehend entfernen.
Welche Frist im Einzelfall genau gilt, klärst Du im Zweifel mit Deinem Steuerberater oder einer Datenschutzberatung. Die Beispiele hier sind Richtwerte, kein Gesetzestext.
Ein einfaches Löschkonzept erstellen
Ein Löschkonzept ist im Kern eine Tabelle. Du listest auf, welche Datenarten bei Dir anfallen, wo sie liegen, wie lange sie bleiben dürfen und wann sie gelöscht werden. Mehr braucht ein Solo-Betrieb selten.
Geh dafür in vier Schritten vor:
- Datenarten sammeln: Welche personenbezogenen Daten verarbeitest Du überhaupt? Kundendaten, Bewerbungen, Newsletter, Formular-Einträge.
- Speicherorte notieren: Wo liegt das jeweils? E-Mail-Postfach, Buchhaltungssoftware, CMS-Datenbank, externe Festplatte.
- Frist zuordnen: Gesetzliche Aufbewahrungspflicht oder reine Zweckbindung? Trag pro Datenart einen Zeitraum ein.
- Löschauslöser festlegen: Woran erkennst Du, dass die Frist abgelaufen ist? Vertragsende, Absage, Widerruf, Jahreswechsel.
Diese Tabelle ist Dein Löschkonzept. Sie muss nicht schön sein, sie muss nachvollziehbar sein. Wenn eine Behörde oder ein Kunde nachfragt, zeigst Du eine durchdachte Systematik statt eines Schulterzuckens.
Wichtig ist auch das Wo. Eine gelöschte Datei im Papierkorb ist nicht gelöscht, und eine Kopie auf der Sicherung lebt weiter. Dein Konzept sollte deshalb die Sicherungen mitdenken. Wie Du Deine Datensicherung sauber aufsetzt, beschreibt der Beitrag zu Backup Strategien im Detail.
Praktische Umsetzung im Alltag
Das beste Konzept nützt nichts, wenn das Löschen nie passiert. Verankere es deshalb in einem festen Rhythmus statt in guten Vorsätzen. Ein fixer Termin im Quartal reicht für die meisten kleinen Betriebe völlig aus.
Geh an diesem Termin Deine Datenarten durch und entferne, was die Frist überschritten hat. Viele Programme helfen dabei, weil sie Daten automatisch nach Ablauf markieren oder löschen, etwa Newsletter-Tools oder moderne Buchhaltungssoftware. Was sich automatisieren lässt, vergisst Du nicht.
Denk beim Löschen an alle Kopien. Die Datenbank, das Backup, das E-Mail-Postfach, der Export in der Tabellenkalkulation. Erst wenn überall nichts mehr liegt, ist die Löschung vollständig.
Halte Deine Löschungen außerdem kurz fest. Eine schlichte Notiz, wann Du welche Datenart entfernt hast, reicht völlig. Im Streitfall belegst Du damit, dass Du Deine Pflichten ernst nimmst, und ersparst Dir mühsame Rekonstruktion aus dem Gedächtnis.
Sollte trotz aller Sorgfalt einmal etwas schieflaufen und Daten in falsche Hände geraten, hilft Dir ein klarer Kopf und ein fester Ablauf. Welche Schritte dann zählen, erklärt der Beitrag zur Datenpanne und Meldepflicht. Und wenn Du Deine rechtlichen Pflichtangaben insgesamt sortieren willst, lohnt der Blick auf Impressum und Datenschutz.
Fazit
Ein Löschkonzept ist weniger Aufwand, als sein Name vermuten lässt. Eine überschaubare Tabelle, ein fester Quartalstermin und der Blick auf alle Speicherorte bringen Dich auf die rechtssichere Seite.
Fang heute mit einer einzigen Datenart an, etwa den alten Kontaktanfragen, und arbeite Dich Stück für Stück durch. So wird aus einer Pflicht ein aufgeräumtes System, das Dich im Ernstfall schützt und Dir bei jeder Auskunft den Rücken freihält.