- DSGVO Art. 5 Abs. 1 lit. e) personenbezogene Daten dürfen nicht länger als erforderlich für ihren angegebenen Zweck aufbewahrt werden
- AML/KYC-Aufzeichnungen: Mindestens 5 Jahre nach Beendigung der Beziehung; bis zu 10 Jahre, soweit nach nationalem Recht erforderlich
- Sie müssen Aufbewahrungsfristen pro Datenkategorie dokumentieren — nicht eine einzige "7 Jahre für alles" Regel
- Nicht löschen abgelaufener Daten ist selbst ein Verstoß gegen die DSGVO, auch wenn die Daten rechtmäßig erhoben wurden
Die meisten regulierten Unternehmen investieren stark in die Erhebung und den Schutz personenbezogener Daten. Viel weniger investieren in die richtige Entsorgung. Die Aufbewahrung von Daten über den durch seinen ursprünglichen Zweck gerechtfertigten Zeitraum hinaus ist eine Verletzung des Grundsatzes der Speicherbeschränkung – unabhängig davon, wie sorgfältig die Daten gesichert wurden, während Sie diese gespeichert haben.
Für Anwaltskanzleien, Buchhalter, Fintechs und andere regulierte Profis besteht die Herausforderung darin, überlappende Verpflichtungen zu erfüllen: AML-Verordnungen verlangen eine Mindestdauer von fünf Jahren; Fristen für Vertragsstreitigkeiten schieben sich auf sieben oder zehn Jahre; und DSGVO verlangt, dass Sie nur das halten, was notwendig ist. Diese Verpflichtungen müssen in einem dokumentierten Aufbewahrungsplan zusammengeführt werden.
Verwandter HubSecure-Kaufpfad
Leitfaden zur Dokumentensammlung und zum Tresor Sichere Dokumentensammlung Secure Vault Modul Dropbox-Vergleich Leitfaden zur Dokumentensammlungssoftware Leitfaden Bibliothek Buchen Sie eine Workflow-Demo
Zugehörige Ressourcen zu Sicherheit, Datenschutz und Governance
Weiter mit HubSecure Sicherheits- und Trustcenter, Datenverarbeitungsvereinbarung, Unterauftragsverarbeiter, Compliance-Workflows, geregelter KI-Betreiber.
Verwandter Anwendungsfall
Dieses Handbuch gehört zum Cluster „Secure Document Collection Guides“. Fahren Sie mit dem Produkthub für sichere Dokumentensammlung fort.
Das Prinzip der Speicherbegrenzung
Artikel 5 Absatz 1 Buchstabe e der DSGVO besagt, dass personenbezogene Daten in einer Form, die eine Identifizierung ermöglicht, nicht länger gespeichert werden dürfen, als dies für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Daraus ergeben sich zwei praktische Anforderungen: Sie müssen in der Lage sein, für jede von Ihnen gespeicherte Datenkategorie einen Zweck anzugeben, und Sie müssen für jede Kategorie einen definierten Löschauslöser haben.
Gemeinsame Aufbewahrungsfristen nach Datenkategorie
AML- und KYC-Aufzeichnungen
4AMLD und 5AMLD verlangen von den Verpflichteten, dass sie Aufzeichnungen über die Kunden-Due-Diligence und Transaktionsaufzeichnungen für einen Zeitraum von mindestens fünf Jahren nach Beendigung der Geschäftsbeziehung oder Abschluss der Transaktion aufbewahren. Nationale Umsetzungen in einigen EU-Mitgliedstaaten verlängern diese Frist auf zehn Jahre, wenn die Aufsichtsbehörden dies verlangen.
Verträge und Abrechnungsunterlagen
In den meisten EU-Rechtsräumen beträgt die Verjährungsfrist für vertragliche Ansprüche sechs bis zehn Jahre. Professionelle Dienstleistungsunternehmen bewahren in der Regel Auftragsschreiben, Honorarvereinbarungen, Rechnungen und die damit verbundene Korrespondenz für diesen Zeitraum auf.
Beschäftigungsunterlagen
Gehaltsabrechnungen, Arbeitsverträge und Disziplinarunterlagen werden in der Regel sechs bis sieben Jahre nach Beendigung des Arbeitsverhältnisses aufbewahrt. Lebenslaufdaten von abgelehnten Bewerbern sollten innerhalb von zwei bis sechs Monaten gelöscht werden, es sei denn, die Bewerber haben der Speicherung in den Akten zugestimmt.
Marketing- und Einwilligungsaufzeichnungen
Einwilligungsprotokolle sollten für die Dauer der Beziehung sowie genügend Zeit zur Abwehr einer Beschwerde – in der Regel zwei bis drei Jahre – aufbewahrt werden. Aktive Marketinglisten sollten mindestens einmal jährlich überprüft und bereinigt werden.
Wie Sie Ihren Aufbewahrungsplan erstellen
- Inventarisieren Sie Ihre Datenkategorien – Kundendatensätze, Mitarbeiterdaten, Interessentendaten, Finanzdatensätze, CCTV-Aufnahmen, Marketinglisten, Prüfprotokolle
- Identifizieren Sie die Rechtsgrundlage und den Zweck für die Aufnahme jeder Kategorie
- Legen Sie die Aufbewahrungsfrist auf der Grundlage des gesetzlichen Mindestwerts, der Verjährungsfrist oder der dokumentierten geschäftlichen Notwendigkeit fest – je nachdem, was länger und gerechtfertigt ist
- Definieren Sie den Löschauslöser – Vertragsende, Datum der letzten Transaktion, Widerruf der Einwilligung, Kündigung des Mitarbeiters
- Weisen Sie den Besitz zu – wer initiiert den Löschvorgang und wer überprüft, ob er durchgeführt wurde
- Implementieren Sie Löschverfahren in Ihren Systemen, einschließlich Backups und Archiven
- Jährliche Überprüfung – Aktualisierung, wenn sich Prozesse oder gesetzliche Anforderungen ändern
Hinweis zur Anonymisierung: Echt anonymisierte Daten fallen nicht in den Geltungsbereich der DSGVO. Wenn Sie alle identifizierenden Informationen entfernen können, sodass eine erneute Identifizierung auch mit zusätzlichen Daten unmöglich ist, handelt es sich im Ergebnis nicht um personenbezogene Daten. Pseudonymisierung allein reicht nicht aus – pseudonymisierte Daten bleiben im Sinne der DSGVO personenbezogene Daten.
Gemeinsame Fehler
- Eine Richtlinie ohne Löschverfahren – Aufbewahrungsfristen werden zwar festgelegt, aber die Daten werden nach Ablauf nie tatsächlich gelöscht
- Backups ignorieren – Backup-Bänder und Cloud-Snapshots enthalten persönliche Daten; sie müssen durch Aufbewahrungsverfahren abgedeckt sein
- Vergessen Sie die Auftragsverarbeiter – Ihre Datenverarbeitungsvereinbarungen müssen Aufbewahrungspflichten an Unterauftragsverarbeiter und Lieferanten weitergeben
- Eine Frist für alles – eine pauschale „Aufbewahrungsfrist von sieben Jahren“ übersteht selten die Prüfung mehrerer Datentypen mit unterschiedlichen Rechtsgrundlagen
Muss der Aufbewahrungsplan veröffentlicht werden?
Ihre Datenschutzerklärung muss Aufbewahrungsfristen oder die Kriterien für deren Festlegung enthalten (Artikel 13 Absatz 2 Buchstabe a und Artikel 14 Absatz 2 Buchstabe a). Eine vage Formulierung wie „so lange wie nötig“ ohne Konkretisierung erfüllt diese Anforderung nicht.
Können wir Daten „nur für den Fall“ aufbewahren, dass wir sie für einen Rechtsstreit benötigen?
Wenn vernünftigerweise mit einem konkreten Rechtsstreit zu rechnen ist, ist die rechtliche Sperrung bestimmter identifizierter Aufzeichnungen gerechtfertigt und sollte dokumentiert werden. Ein allgemeiner „Alles behalten“-Ansatz erfüllt nicht die Anforderungen der DSGVO an die Speicherbeschränkung.
Automatisieren Sie das Datenlebenszyklusmanagement
Mit HubSecure Vault können Sie Aufbewahrungsfristen pro Datensatztyp festlegen – mit automatischen Löschaufforderungen, Audit-Trails und integrierter DSGVO-konformer Dokumentation.
Sehen Sie es in AktionÜberprüft für regulierte Teams
Vorbereitet vom HubSecure-Redaktionsteam für Betreiber, Compliance-Verantwortliche und IT-Prüfer, die sichere Client-Betriebssoftware bewerten.
Autoren · Rezensenten · Redaktionelle Richtlinien