EU-Datenspeicherungsregeln: Das DSGVO-Prinzip der Speicherbegrenzung erklärt

Ihre Kundensupport-Plattform enthält drei Jahre alte abgeschlossene Tickets. Ihr CRM speichert Leads, mit denen Sie seit zwei Jahren keinen Kontakt hatten. Ihr HR-System enthält noch immer Leistungsbeurteilungen von Mitarbeitern, die 2021 das Unternehmen verlassen haben. Ihre Analysedatenbank speichert Ereignisprotokolle, die mit identifizierbaren Nutzer-IDs verknüpft sind, ohne definiertes Ablaufdatum. Keiner dieser Datensätze wurde rechtswidrig erhoben. Alle werden wahrscheinlich gerade rechtswidrig aufbewahrt.

Das ist das Aufbewahrungsproblem. Daten akkumulieren sich standardmäßig. Löschung erfordert eine Entscheidung, einen Zeitplan und ein System, das diesen tatsächlich durchsetzt. Artikel 5 Absatz 1 Buchstabe e DSGVO — das Prinzip der Speicherbegrenzung — macht diese Trägheit zu einem Compliance-Versagen. Frankreichs CNIL hat Free Mobile Anfang 2026 speziell wegen Speicherbegrenzungsfehlern mit einem Bußgeld von 27 Millionen Euro belegt. Eine polnische Bank wurde im selben Jahr dafür bestraft, Daten über das hinaus zu verarbeiten, was ihre erklärten Zwecke erforderten. Es handelte sich nicht um Datenpannenfälle. Es wurden keine Daten gestohlen. Die Organisationen haben personenbezogene Daten schlicht länger aufbewahrt, als sie eine rechtliche Grundlage dafür hatten.

Kurzfassung

• Artikel 5 Absatz 1 Buchstabe e DSGVO verlangt, dass personenbezogene Daten nicht länger aufbewahrt werden, als es für den Zweck ihrer Erhebung erforderlich ist. Dies ist eine aktive, durchsetzbare Pflicht — kein anzustrebendes Prinzip.
• Die DSGVO schreibt keine spezifischen Aufbewahrungsfristen vor. Organisationen müssen diese selbst festlegen, dokumentieren, gegen eine Rechtsgrundlage und einen erklärten Zweck rechtfertigen und durch Löschung oder Anonymisierung tatsächlich durchsetzen.
• Der Aufbewahrungsplan ist eines der ersten Dokumente, die Aufsichtsbehörden bei einer Inspektion anfordern. „Wir sind noch nicht dazu gekommen, es zu löschen" ist keine vertretbare Antwort.
• Aufbewahrungspflichten fließen auf Auftragsverarbeiter über. Ihre Anbieter müssen Daten löschen, wenn ihre vertragliche Frist abläuft — und Sie sind dafür verantwortlich, sicherzustellen, dass sie dies tun.

Was das Prinzip der Speicherbegrenzung tatsächlich verlangt

Artikel 5 Absatz 1 Buchstabe e DSGVO besagt, dass personenbezogene Daten „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist." Dieser Satz enthält die gesamte Compliance-Pflicht — und seine Entschlüsselung offenbart die drei Fragen, die jede Aufbewahrungsentscheidung beantworten muss.

Erstens: Was ist der Zweck? Personenbezogene Daten dürfen nur so lange aufbewahrt werden, wie der Zweck, für den sie erhoben wurden, noch aktiv ist. Wenn dieser Zweck endet, endet auch die rechtliche Grundlage für die Aufbewahrung. Daten, die zur Erfüllung eines Vertrags erhoben wurden, können so lange aufbewahrt werden, wie der Vertrag läuft und bis zum Ablauf der geltenden Verjährungsfrist für Rechtsansprüche. Daten, die auf Grundlage einer Einwilligung für Marketingzwecke erhoben wurden, können bis zum Widerruf der Einwilligung aufbewahrt werden. Daten, die zur Erfüllung einer gesetzlichen Pflicht erhoben wurden — Steuerunterlagen, Buchführungsunterlagen — können für den Zeitraum aufbewahrt werden, den diese gesetzliche Pflicht vorschreibt, selbst wenn eine Einwilligung andernfalls abgelaufen wäre.

Zweitens: Ist die Aufbewahrung noch erforderlich? „Erforderlich" wird gegen den erklärten Zweck zum Zeitpunkt der Erhebung beurteilt — nicht gegen einen zukünftigen Verwendungszweck, den die Organisation sich vorstellen könnte. Verhaltensdaten aufzubewahren, weil sie für ein Modell nützlich sein könnten, dessen Entwicklung noch gar nicht beschlossen wurde, ist keine rechtliche Grundlage für die Aufbewahrung. Kaufhistorien von Kunden aufzubewahren, weil der Kunde irgendwann vielleicht erneut kauft, ist keine rechtliche Grundlage für unbegrenzte Aufbewahrung. Der Maßstab ist, ob die Daten aktiv für den angegebenen Zweck notwendig sind — nicht ob sie theoretisch einen Wert haben könnten.

Drittens: Liegen die Daten noch in einer Form vor, die eine Identifizierung ermöglicht? Hier kommt die Anonymisierung ins Spiel. Daten, die unwiderruflich anonymisiert wurden — also nicht mehr in der Lage sind, eine Person direkt oder indirekt zu identifizieren, ohne Möglichkeit der Reidentifizierung — fallen aus dem Anwendungsbereich der DSGVO heraus. Echte anonymisierte Daten können unbegrenzt aufbewahrt werden. Pseudonymisierte Daten, die mithilfe eines separat gespeicherten Schlüssels wieder einer Person zugeordnet werden können, bleiben personenbezogene Daten und unterliegen weiterhin Aufbewahrungsgrenzen. Der Maßstab für echte Anonymisierung ist hoch und muss dokumentiert werden — Organisationen, die behaupten, Daten seien anonymisiert, ohne robuste technische Maßnahmen zur Untermauerung dieser Behauptung, setzen sich dem Risiko von Durchsetzungsmaßnahmen aus.

Wie Aufbewahrung mit der Rechtsgrundlage zusammenhängt

Jede Aufbewahrungsfrist ist an eine Rechtsgrundlage geknüpft. Es genügt nicht, eine Rechtsgrundlage für die ursprüngliche Erhebung zu identifizieren — die Rechtsgrundlage muss auch die fortgesetzte Aufbewahrung rechtfertigen, sobald der unmittelbare Verarbeitungszweck erfüllt ist.

Ein häufiger Fehler: Organisationen erheben Daten auf Grundlage einer Einwilligung, die Einwilligung wird widerrufen — aber die Daten werden mit der Begründung aufbewahrt, dass ein „berechtigtes Interesse" die Weiteraufbewahrung rechtfertige. Das ist eine unzulässige nachträgliche Substitution der Rechtsgrundlage und ein anerkanntes Durchsetzungsmuster.

Aufbewahrungsfristen nach Datenkategorie: Praxisbeispiele

Die DSGVO schreibt keine universellen Fristen vor. Nachfolgend typische Fristen, die durch nationale Rechtsvorschriften, branchenspezifische Vorgaben oder etablierte Praxis gestützt werden:

Diese Fristen sind Ausgangspunkte, keine absoluten Vorgaben. Jede Frist muss gegen den tatsächlichen Verarbeitungszweck und die anwendbare Rechtsgrundlage Ihrer Organisation gerechtfertigt werden.

Erstellung eines Aufbewahrungsplans

Der Aufbewahrungsplan ist die operative Umsetzung der Aufbewahrungscompliance. Er legt für jede Kategorie personenbezogener Daten, die die Organisation verarbeitet, die Aufbewahrungsfrist, die Grundlage für diese Frist und die bei Ablauf ergriffene Maßnahme fest. Aufsichtsbehörden behandeln ihn als primäres Rechenschaftsdokument und fordern ihn standardmäßig bei Inspektionen und Untersuchungen an.

Ein rechtskonformer Aufbewahrungsplan wird aus dem Verzeichnis der Verarbeitungstätigkeiten (VVT) der Organisation erstellt. Für jede im VVT dokumentierte Verarbeitungstätigkeit verzeichnet der Plan die betroffene Datenkategorie, den Zweck und die Rechtsgrundlage, die aus dieser Grundlage abgeleitete Aufbewahrungsfrist sowie den Lösch- oder Anonymisierungsprozess, der bei Fristablauf ausgelöst wird.

Der Plan ist ein lebendes Dokument — er muss aktualisiert werden, wenn sich Verarbeitungstätigkeiten, Zwecke, die Rechtsgrundlage oder nationale bzw. EU-weite gesetzliche Aufbewahrungspflichten ändern.

In Datenschutzhinweisen dokumentierte Aufbewahrungsfristen müssen auch gegenüber betroffenen Personen offengelegt werden. Datenschutzhinweise, die lediglich angeben, Daten würden „so lange wie nötig" aufbewahrt, ohne zu spezifizieren, was dies in der Praxis bedeutet, erfüllen nicht die Transparenzanforderungen der Artikel 13 und 14.

Technische Durchsetzung: Damit Löschung tatsächlich stattfindet

Ein Aufbewahrungsplan, der technisch nicht durchgesetzt wird, ist eine Haftung, kein Compliance-Asset. Er dokumentiert das Bewusstsein der Organisation für ihre Pflichten und liefert gleichzeitig Belege dafür, dass sie diese nicht erfüllt. Die Lücke zwischen einer dokumentierten Aufbewahrungsrichtlinie und der tatsächlichen Datenlöschung ist genau das, was Durchsetzungsuntersuchungen ausnutzen.