Datensparsamkeit und Aufbewahrungsdurchsetzung: Praxisleitfaden zur Compliance (2026)

Ihre Rechtsabteilung leitet ein Schreiben einer Aufsichtsbehörde weiter. Eine Betroffenenbeschwerde hat eine formelle Untersuchung ausgelöst. Ihre Organisation hat vor sechs Monaten personenbezogene Daten ohne gültige Rechtsgrundlage verarbeitet — eine Entscheidung eines Produktmanagers, der den Datenschutzbeauftragten nicht einbezogen hat.

Sie blicken auf eine potenzielle Geldbuße der Stufe 2 nach DSGVO: bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist.

Niemand hat sich eingehackt. Kein System wurde kompromittiert. Die Daten lagen einfach in einem System — weit über jeden legitimen Zweck hinaus aufbewahrt und auf eine Weise genutzt, die die ursprüngliche Erhebung nie abgedeckt hat.

Zwei Grundsätze wurden verletzt: Datensparsamkeit gemäß DSGVO Artikel 5 Abs. 1 lit. c und Speicherbegrenzung gemäß DSGVO Artikel 5 Abs. 1 lit. e. Nicht durch böse Absicht, sondern durch das Fehlen durchgesetzter operativer Kontrollen.

Dies ist kein hypothetisches Szenario mehr — es ist das Szenario, das Regulierungsbehörden nun in großem Maßstab untersuchen.

Die kumulierten DSGVO-Bußgelder haben 7,1 Milliarden Euro überschritten — mehr als 60 % davon seit Januar 2023. Frankreichs CNIL verhängte Anfang 2026 gegen Free Mobile eine Geldbuße von 27 Millionen Euro allein für Aufbewahrungsverstöße. Polen belegte eine Großbank mit einem Bußgeld, weil sie Daten erhoben hatte, die über ihre erklärten Zwecke hinausgingen. In den USA erhoben Kalifornien und Connecticut gemeinsam 5,1 Millionen Dollar von einem Ed-Tech-Unternehmen, weil es keine Datenbegrenzung und Löschkontrollen implementiert hatte.

Das Muster ist konsistent: Durchsetzung folgt überall dort, wo Minimierungs- und Aufbewahrungspflichten zwar im Gesetz, aber nicht in den Systemen existieren.

Was Datensparsamkeit und Aufbewahrungsdurchsetzung tatsächlich erfordern

Ein Cookie-Banner erfasst Einwilligungen. Eine Aufbewahrungsrichtlinie erklärt eine Absicht. Keines von beiden bewirkt etwas, wenn nichts es durchsetzt.

Datensparsamkeit regelt, was Sie erheben. Gemäß DSGVO Artikel 5 Abs. 1 lit. c müssen personenbezogene Daten angemessen sein — ausreichend zur Erfüllung des erklärten Zwecks — erheblich und auf das für den Zweck notwendige Maß beschränkt. Ein E-Commerce-Unternehmen, das Lieferadressen für die Zustellung erhebt, benötigt keinen Familienstand, keine Einkommensspanne oder den Browserverlauf des Kunden auf nicht verwandten Websites. Diese dennoch zu erheben — auch wenn Nutzer es nicht bemerken — ist ein Verstoß.

Speicherbegrenzung regelt, wie lange Sie Daten aufbewahren. Gemäß DSGVO Artikel 5 Abs. 1 lit. e dürfen personenbezogene Daten nicht länger in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Dies erfordert spezifische Aufbewahrungsfristen für jede Datenkategorie — gebunden an den Verarbeitungszweck — mit Löschung oder Anonymisierung bei Ablauf dieser Frist.

Vage Zusagen — „Wir bewahren Daten so lange wie nötig auf" — erfüllen Artikel 5 Abs. 1 lit. e nicht. Sie liefern keine rechtfertigbare Frist, an der Compliance bewertet oder geprüft werden könnte. Die irische DPC hat dies klargestellt: Aufbewahrungsfristen müssen spezifisch und selbsterklärend sein.

Das regulatorische Bild: EU- und US-Anforderungen im Vergleich

Die fünf Implementierungsschritte

Organisationen, die Minimierung und Aufbewahrung als iterative operative Prozesse behandeln — nicht als einmalige Compliance-Projekte — sind diejenigen, die unter Prüfung verteidigungsfähig bleiben.

Schritt 1: Umfassendes Dateninventar aufbauen. Sie können Datensparsamkeit oder Aufbewahrung nicht für Daten durchsetzen, die Sie nicht sehen können. Das Inventar kartiert jede personenbezogene Datenkategorie über jedes System, jede Datenbank, jede SaaS-Integration und jeden Drittanbieter-Auftragsverarbeiter hinweg. Manuelle Inventare veralten in Umgebungen, in denen Engineering-Teams regelmäßig neue Dienste einsetzen, innerhalb von Wochen. Automatisierte Erkennungstools, die die Infrastruktur kontinuierlich scannen, sind kein Luxus — sie sind der einzige Weg, das Inventar aktuell zu halten.

Schritt 2: Aufbewahrungsanforderungen pro Datenkategorie und Jurisdiktion kartieren. Die Inventarausgabe speist einen Aufbewahrungsplan, der jeder Kategorie spezifische Fristen zuweist, die Rechtsgrundlage dokumentiert und jurisdiktionsspezifische Abweichungen kennzeichnet. Für Organisationen, die sowohl unter DSGVO als auch US-Bundesstaatengesetzen verarbeiten, sollte der Plan festhalten, welches Framework jede Verarbeitungstätigkeit regelt.

Schritt 3: Benannte Verantwortliche zuweisen. Jede Datenkategorie im Aufbewahrungsplan benötigt einen benannten Verantwortlichen — typischerweise die Geschäftseinheit, die die Daten erzeugt oder nutzt — mit definierter Verantwortung für die Aktualisierung des Plans bei Änderungen der Verarbeitungstätigkeiten und für die Bestätigung, dass die automatisierte Löschung korrekt ausgeführt wurde. Ohne benannte Verantwortliche werden Aufbewahrungspläne zu statischen Dokumenten, die von der operativen Realität abweichen.

Schritt 4: Automatisierte Löschworkflows implementieren. Aufbewahrungsfristen, die in einem Dokument existieren, aber nicht in Datenpipelines durchgesetzt werden, schützen nicht vor Durchsetzungsmaßnahmen. Die technische Implementierung erfordert Löschjobs, die auf Ablaufereignissen basieren und nachweislich ausgeführt werden, Anonymisierungsroutinen wo Löschung nicht praktikabel ist, und Audit-Trails, die bestätigen, was wann gelöscht wurde.