Speicherbegrenzung
Art. 5 Abs. 1 lit. e DSGVO — Daten löschen nach Zweckerreichung
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
Personenbezogene Daten dürfen nicht länger gespeichert werden, als für den Verarbeitungszweck erforderlich. Nach Zweckerreichung: Löschung oder Anonymisierung — es sei denn, gesetzliche Aufbewahrungspflichten greifen (z.B. § 257 HGB, § 147 AO).
Was ist Speicherbegrenzung?
Die wichtigsten Aufbewahrungsfristen DACH:
- Steuer- und Handelsunterlagen: 10 Jahre (§ 147 AO)
- Lohnkonten: 6 Jahre
- Bewerber-Daten ohne Anstellung: 6 Monate (BAG 2 AZR 1180/16)
- Marketing-Einwilligungen: solange Einwilligung gilt + 3 Jahre (Beweis)
- Cookie-Daten: max. 12 Monate (DSK)
Praxisbeispiel
HR-Software speichert Bewerbungen. Nach Absage muss nach 6 Monaten gelöscht werden (Klagefrist AGG abgelaufen). Außer: Bewerber willigt in Talent-Pool ein — dann längere Speicherung möglich.
Häufig gestellte Fragen
Wer entscheidet die Frist?
Verantwortlicher, dokumentiert im VVT, basierend auf Zweck + Gesetz.
Was, wenn Aufbewahrungspflicht und Datenminimierung kollidieren?
Aufbewahrungspflicht hat Vorrang. ABER: Zugriff einschränken (nur Steuerberater).
Reicht Anonymisierung?
Ja, wenn echte Anonymisierung (nicht Pseudonymisierung). Daten sind dann nicht mehr personenbezogen.