Wie lange darf ich Kundendaten aufbewahren?

Das hangt vom Zweck ab. Aktive Kundendaten durfen fur die Dauer der Beziehung aufbewahrt werden. Nach Beendigung der Beziehung bewahren Sie sie nur auf, wenn Sie eine gesetzliche Aufbewahrungspflicht haben oder ein berechtigtes Interesse nachweisen konnen.

Muss ich Daten automatisch loschen?

Die DSGVO schreibt keine automatische Loschung vor, aber es ist empfehlenswert. Richten Sie Loschungserinnerungen ein oder konfigurieren Sie Ihre Systeme fur automatische Loschung nach der festgelegten Frist.

Was wenn ich nicht sicher bin, welche Frist gelten soll?

Prufen Sie zunachst, ob eine gesetzliche Aufbewahrungspflicht besteht. Wenn nicht, bestimmen Sie die Frist anhand des Zwecks. Dokumentieren Sie Ihre Wahl und den Grund - das ist das Wichtigste.

DSGVO Aufbewahrungsfristen - Wie Lange Durfen Sie Daten Behalten?

Die DSGVO verpflichtet Sie, personenbezogene Daten nicht langer aufzubewahren als notig. Aber wie bestimmen Sie die richtige Frist? Dieser Artikel erklart, wie Sie eine Aufbewahrungsrichtlinie erstellen.

Warum ist das wichtig?

Die DSGVO ist klar: Sie durfen personenbezogene Daten nicht langer aufbewahren als notig, um den Zweck zu erreichen, fur den Sie sie erhoben haben. Dennoch bewahren die meisten Unternehmen Daten viel langer auf als notig, einfach weil niemand je daruber nachdenkt.

Das Risiko? Bei einer Prufung durch die Aufsichtsbehorde oder wenn ein Kunde eine Loschungsanfrage stellt, mussen Sie erklaren konnen, warum Sie bestimmte Daten noch aufbewahren. “Wir haben nie daruber nachgedacht” ist keine gultige Antwort.

Gangige Aufbewahrungsfristen

Datentyp	Rechtsgrundlage	Aufbewahrungsfrist
Buchhaltungsunterlagen (Rechnungen, Zahlungen)	Steuergesetzgebung	7-10 Jahre
Personalakten	Arbeitsrecht	5 Jahre nach Ende des Arbeitsverhaltnisses
Bewerbungsdaten (abgelehnt)	Berechtigtes Interesse	Max. 4 Wochen (bis 1 Jahr mit Einwilligung)
Kundendaten (aktive Beziehung)	Vertragserfullung	Dauer der Beziehung
Kundendaten (nach Beendigung)	Berechtigtes Interesse	Max. 2 Jahre
Videoueberwachungsaufnahmen	Berechtigtes Interesse	Max. 1 Monat (ausser bei Vorfall)
Website-Analytics (IP-Adressen)	Einwilligung / berechtigtes Interesse	Max. 26 Monate
Kontaktformular-Einsendungen	Berechtigtes Interesse	Max. 2 Jahre nach letztem Kontakt
Newsletter-Abonnenten	Einwilligung	Bis zum Widerruf der Einwilligung

Wie erstellen Sie eine Aufbewahrungsrichtlinie?

Schritt 1: Inventarisieren Sie Ihre Verarbeitungen

Sie konnen keine Aufbewahrungsfristen festlegen, wenn Sie nicht wissen, welche Daten Sie verarbeiten. Beginnen Sie mit Ihrem Verarbeitungsverzeichnis.

Schritt 2: Bestimmen Sie die Frist pro Verarbeitung

Stellen Sie sich pro Verarbeitungstatigkeit diese Fragen:

Gibt es eine gesetzliche Aufbewahrungspflicht? Wenn ja, gilt diese
Wenn nein, wie lange brauche ich die Daten wirklich fur den Zweck?
Gibt es einen Branchenstandard, dem ich folgen kann?

Schritt 3: Dokumentieren Sie Ihre Entscheidungen

Halten Sie pro Verarbeitungstatigkeit fest:

Welche Aufbewahrungsfrist Sie anwenden
Warum (Rechtsgrundlage oder Begrundung)
Was nach Ablauf passiert (Loschung, Anonymisierung)

Schritt 4: Implementieren und uberwachen

Richten Sie Erinnerungen fur die Uberprufung und Loschung abgelaufener Daten ein
Konfigurieren Sie automatische Loschung, wo moglich
Uberprufen Sie mindestens jahrlich, ob Ihre Richtlinie noch aktuell ist

Haufige Fehler

Alles “ewig” aufbewahren, weil es einfacher ist. Das ist ein DSGVO-Verstoss
Nicht unterscheiden zwischen aktiven und inaktiven Kunden
Backups vergessen: Wenn Sie Daten loschen, aber sie noch im Backup sind, sind Sie nicht fertig
Keine schriftliche Richtlinie: Wenn Sie es nicht dokumentiert haben, existiert es nicht fur die Aufsichtsbehorde

auto_awesome Aufbewahrungsfristen automatisch verfolgen?

GDPRWise hilft Ihnen, fur jede Verarbeitungstatigkeit die richtige Aufbewahrungsfrist festzulegen und erinnert Sie, wenn Daten geloscht werden mussen.

Kostenlosen Scan starten

Aufbewahrungsfristen: Wie Lange Durfen Sie Personenbezogene Daten Aufbewahren?