CRYPTOITDATACRYPTOITDATA

Datenschutz

DSGVO-Datenaufbewahrung: wie lange dürfen Sie Daten behalten?

Die DSGVO nennt keine feste Jahreszahl. So lange müssen und dürfen Sie Daten aufbewahren, das prüft die ANSPDCP 2026 und so löschen Sie korrekt — auch aus Backups.

9 Min. Lesezeit

Eine der häufigsten Fragen unserer Kunden ist einfach: „Wie lange darf ich Daten aufbewahren?". Dahinter steckt eine sehr verbreitete KMU-Gewohnheit — alles für immer behalten, „falls wir es brauchen". Jahrelang sah das nach Vorsicht aus. 2026 ist es in Wirklichkeit ein Compliance- und Sicherheitsrisiko.

Jeder Datensatz, den Sie ohne triftigen Grund halten, ist eine zusätzliche Angriffsfläche, ein zusätzlicher Speicherkosten und ein potenzielles zusätzliches Bußgeld. Dieser Leitfaden zeigt, wie lange Sie bestimmte Unterlagen gesetzlich aufbewahren müssen, wie lange Sie den Rest behalten dürfen und wie Sie korrekt löschen — ohne Fachjargon.

Was die DSGVO sagt: der Grundsatz der Speicherbegrenzung

Die DSGVO nennt keine feste Jahreszahl. Artikel 5(1)(e) — der Grundsatz der „Speicherbegrenzung" — verlangt, personenbezogene Daten nur so lange aufzubewahren, wie es für den Zweck der Erhebung erforderlich ist. Mit anderen Worten: Ist der Zweck entfallen und besteht keine Rechtsgrundlage mehr, müssen die Daten gelöscht oder anonymisiert werden.

In der Praxis ist die Aufbewahrung das Ergebnis eines Spannungsverhältnisses zwischen zwei Kräften. Einerseits drängt der Grundsatz der Datenminimierung dazu, möglichst schnell zu löschen. Andererseits verpflichten Sie andere Gesetze (Buchhaltung, Steuern, Arbeit), bestimmte Unterlagen jahrelang aufzubewahren. Eine korrekte Aufbewahrungsrichtlinie findet für jede Datenkategorie genau den Schnittpunkt der beiden.

Wie lange Sie Daten aufbewahren MÜSSEN (gesetzliche Fristen in Rumänien)

Für Unterlagen, bei denen das Gesetz eine Mindestfrist vorschreibt, hat diese Vorrang vor dem DSGVO-Minimierungsgrundsatz. Die für ein rumänisches Unternehmen am häufigsten relevanten Eckwerte:

  • Pflicht-Buchhaltungsregister und Belege: 5 Jahre, gerechnet ab dem 1. Juli des auf das Geschäftsjahr folgenden Jahres (Buchhaltungsgesetz 82/1991, geändert durch Gesetz 36/2023).
  • Lohn- und Gehaltslisten: 5 Jahre — von der früheren Schwelle von 50 Jahren zum 1. Januar 2023 reduziert.
  • Jahresabschlüsse: 10 Jahre.
  • Vertragsbezogene Unterlagen: für die Vertragsdauer zuzüglich der Verjährungsfrist für etwaige Streitigkeiten (im Allgemeinen 3 Jahre für Ansprüche, in Sonderfällen länger).
  • Daten aus dem Arbeitsverhältnis: für die Dauer der Beschäftigung zuzüglich der vom Arbeits- und Steuerrecht geforderten Fristen.

Achten Sie auf den Übergang bei den Lohnlisten: die Kürzung von 50 auf 5 Jahre bedeutet nicht, dass Sie alles Ältere sofort entsorgen dürfen. Unterlagen, die der Feststellung von Rentenansprüchen dienen, sind mit Sorgfalt zu behandeln. Im Zweifel fragen Sie Ihren Buchhalter oder Anwalt, bevor Sie löschen.

Wie lange Sie Daten aufbewahren DÜRFEN (ohne gesetzliche Pflicht)

Für Daten ohne gesetzliche Archivierungspflicht kehrt sich die Regel um: Sie fragen nicht „wie lange darf ich es behalten", sondern „warum sollte ich es überhaupt noch behalten". Einige typische Fälle:

  • Auf Einwilligung gestützte Daten (Newsletter, Marketing): löschen, sobald die Person die Einwilligung widerruft und keine andere Rechtsgrundlage greift.
  • Leads und Kontaktformulare ohne Vertrag: eine angemessene Frist festlegen (z. B. 12-24 Monate nach dem letzten Kontakt) und danach automatisch löschen.
  • Videoaufnahmen (CCTV): in der Regel Tage, nicht Monate — eine langfristige Aufbewahrung muss gesondert begründet werden.
  • Unaufgefordert zugesandte Lebensläufe: eine Aufbewahrung über das Bewerbungsverfahren hinaus erfordert eine klare Grundlage (z. B. Einwilligung für einen Talentpool).

Das Recht auf Löschung — was die Behörden jetzt prüfen

Neben der automatischen Löschung bei Fristablauf besteht auch eine reaktive Pflicht: das Recht auf Löschung („Recht auf Vergessenwerden", Artikel 17). Verlangt eine Person die Löschung ihrer Daten und besteht keine Grundlage, sie zu behalten, müssen Sie sie unverzüglich löschen — aus jedem System, in dem sie sich befinden.

Dieses Thema stand im Mittelpunkt der koordinierten Durchsetzungsaktion des Europäischen Datenschutzausschusses (EDSA) für 2025, deren Bericht am 18. Februar 2026 angenommen wurde. 32 Aufsichtsbehörden nahmen teil, und 764 Verantwortliche — von KMU bis zu Großunternehmen — antworteten. Die Ergebnisse sind für jedes Unternehmen relevant:

  • Fehlen klarer interner Verfahren zur Bearbeitung von Löschanträgen.
  • Unzureichende Transparenz gegenüber den betroffenen Personen.
  • Einsatz unwirksamer Anonymisierungstechniken als Ersatz für eine echte Löschung.
  • Das Fehlen klar definierter Aufbewahrungsfristen.
  • Technische Beschränkungen, die eine wirksame Löschung aus Backup-Systemen verhindern.

Den letzten Punkt ignorieren Unternehmen am häufigsten: Löschen Sie einen Kunden aus der Produktionsdatenbank, bleibt er aber jahrelang in den Backups, ist die Löschung unvollständig. Die Antwort ist nicht, keine Backups mehr zu machen, sondern eine Backup-Aufbewahrungsrichtlinie und ein dokumentiertes Verfahren zu haben: aus der Produktion gelöschte Daten „verfallen" auch aus den Backups, sobald alte Kopien rotiert werden. Hier treffen sich Datenschutz (Backup und Aufbewahrung) und DSGVO-Konformität.

Die Bußgelder sind nicht theoretisch (ANSPDCP 2025-2026)

Die rumänische Nationale Aufsichtsbehörde für die Verarbeitung personenbezogener Daten (ANSPDCP) verhängt aktiv Sanktionen. 2025 verhängte sie 105 Bußgelder in Höhe von rund 2,56 Millionen Lei (etwa 511.000 Euro), davon 96 nach der DSGVO. Und in den ersten vier Monaten des Jahres 2026 verhängte sie bereits 52 Bußgelder im Wert von rund 1,13 Millionen Lei (etwa 230.500 Euro).

Viele dieser Sanktionen zielen genau auf das hier Besprochene ab: das Aufbewahren von Daten ohne Grundlage, das Ausbleiben einer Reaktion auf Anfragen der Personen, unzureichende Sicherheit der aufbewahrten Daten. Für ein KMU kann ein einziges Bußgeld die Kosten einer von Anfang an richtig erstellten Aufbewahrungsrichtlinie übersteigen.

So bauen Sie eine Aufbewahrungsrichtlinie, die hält

Eine nützliche Aufbewahrungsrichtlinie ist kein 40-seitiges Dokument, das niemand liest, sondern ein Satz tatsächlich angewandter Regeln. Der von uns empfohlene Weg:

  1. 1Daten inventarisieren: welche Kategorien Sie halten, wo sie sind (Apps, Dateien, E-Mail, Backups), wer Zugriff hat.
  2. 2Zweck und Rechtsgrundlage für jede Kategorie zuordnen — ohne Zweck und Rechtsgrundlage sollten die Daten nicht existieren.
  3. 3Eine Aufbewahrungsfrist pro Kategorie festlegen, am Schnittpunkt von gesetzlicher Pflicht und Minimierungsgrundsatz.
  4. 4Löschung automatisieren: Daten verfallen möglichst von selbst, statt von jemandem abzuhängen, der „sich erinnert".
  5. 5Backups gesondert behandeln: die Aufbewahrung der Kopien definieren und das Verfahren, mit dem sich Löschungen beim Rotieren alter Backups fortpflanzen.
  6. 6Alles dokumentieren: eine schriftliche, begründete Richtlinie ist der erste Nachweis, den eine Behörde bei einer Prüfung verlangt.

Wenn die Aufbewahrung nicht nur auf dem Papier stehen, sondern technisch durchgesetzt werden soll — mit getesteten Backups, automatisierter Aufbewahrung und konformer Löschung — bauen wir sie gemeinsam auf. Siehe unseren Service Datenschutz oder vereinbaren Sie ein Gespräch, und wir starten bei Ihrem realen Inventar.

Fazit

Korrekte Datenaufbewahrung bedeutet nicht, so viel wie möglich zu behalten, sondern genau so viel wie nötig — und begründen zu können, warum. Unternehmen, die hier Ordnung schaffen, gewinnen an drei Fronten zugleich: Sie senken das Bußgeldrisiko, verkleinern ihre Angriffsfläche und sparen unnötige Speicherkosten. Und wenn eine Prüfung oder ein Löschantrag kommt, antworten sie in Stunden, nicht in Panik.

Häufige Fragen

Sagt mir die DSGVO genau, wie viele Jahre ich Daten aufbewahren soll?+

Nein. Über den Grundsatz der Speicherbegrenzung (Art. 5(1)(e)) verlangt die DSGVO, Daten nur so lange aufzubewahren, wie es für den Zweck erforderlich ist. Konkrete Fristen ergeben sich aus anderen Gesetzen (Buchhaltung, Steuern, Arbeit) oder Sie legen sie selbst, begründet, je Datenkategorie fest.

Wie lange muss ich Buchhaltungsunterlagen und Lohnlisten aufbewahren?+

In Rumänien werden Pflicht-Buchhaltungsregister und Belege 5 Jahre aufbewahrt (gerechnet ab dem 1. Juli des Folgejahres des Geschäftsjahres), einschließlich Lohnlisten — seit 2023 von 50 auf 5 Jahre reduziert. Jahresabschlüsse werden 10 Jahre aufbewahrt.

Wenn ich einen Kunden aus der App lösche, er aber im Backup bleibt, reicht das?+

Nicht vollständig. Die Löschung muss alle Systeme erfassen, auch die Backups. Die praktische Lösung ist eine Backup-Aufbewahrungsrichtlinie: aus der Produktion gelöschte Daten verfallen auch aus den Kopien, sobald alte Backups rotiert werden, nach einem dokumentierten Verfahren.

Wie hoch sind die ANSPDCP-Bußgelder für KMU?+

Sie variieren stark, sind aber nicht theoretisch. 2025 verhängte die ANSPDCP 105 Bußgelder in Höhe von rund 511.000 Euro, und in den ersten vier Monaten des Jahres 2026 bereits 52 Bußgelder (rund 230.500 Euro). Viele betreffen das Aufbewahren von Daten ohne Grundlage und unzureichende Sicherheit.

Alle Artikel

Eine konkrete Frage?

30 Minuten, kostenlos. Wir sprechen genau über Ihre Situation.

Beratung buchen