Löschkonzept DSGVO: Wie Produktionsbetriebe Daten korrekt vernichten

Geschrieben von Korbinian Hermann | Mar 16, 2026 1:46:10 PM

»Wir löschen personenbezogene Daten, wenn wir sie nicht mehr brauchen.« Das sagen viele Unternehmen. Die DSGVO fragt dann: Wann brauchen Sie sie nicht mehr – und können Sie das beweisen? Auf beide Fragen haben die wenigsten eine dokumentierte Antwort.

Für Produktionsbetriebe verschärft sich die Situation: Produktionssysteme erfassen personenbezogene Daten in Mengen, die kaum jemand im Blick hat. Maschinenführer-IDs in Fertigungsprotokollen. Benutzerkonten in MES-Systemen. Zugangsdaten in Qualitätssoftware. Fotos von Ausweisdokumenten in Werkzugangsystemen. Kundendaten in ERP-Bestellhistorien. All das unterliegt der DSGVO – und all das muss nach einem klaren Konzept gelöscht werden.

Dieser Artikel erklärt, was ein DSGVO-konformes Löschkonzept enthält, wie der Konflikt mit handelsrechtlichen Aufbewahrungsfristen gelöst wird, welche Löschmethoden wann zulässig sind – und wie CHRONOS den gesamten Prozess automatisiert und revisionssicher dokumentiert.

DAS WICHTIGSTE IN KÜRZE

  • Ein Löschkonzept nach DSGVO definiert für jede Datenkategorie: wann gelöscht wird (Löschfrist), wie gelöscht wird (Löschmethode) und wie die Löschung nachgewiesen wird (Löschprotokoll). Ohne dieses Konzept riskiert jedes Unternehmen Bußgelder bis zu 20 Millionen Euro.
  • DSGVO und HGB/AO widersprechen sich: Steuerrelevante personenbezogene Daten müssen nach AO §147 bis zu 10 Jahre aufbewahrt, nach DSGVO aber gelöscht werden. Lösung: Zweckgebundene Archivierung – Daten bleiben für Steuerzwecke erhalten, sind für andere Zwecke gesperrt.
  • Datenlöschung ist nicht gleich Datenlöschung. 'Gelöscht' im Sinne der DSGVO bedeutet, dass die Daten nicht mehr rekonstruiert werden können. Einfaches Löschen aus dem System, das aber noch im Backup existiert, reicht nicht.
  • CHRONOS automatisiert Löschfristen: Datenkategorien werden mit Fristen hinterlegt, Löschvorgänge werden revisionssicher protokolliert – als Nachweis für Datenschutzbehörden und Betroffene.
  • Für Produktionsbetriebe besonders kritisch: MES-Protokolle, Qualitätsdaten mit Mitarbeiter-IDs, Zugangssysteme, Videoüberwachung und Lieferantendaten enthalten oft unbemerkt personenbezogene Daten.

KURZ ZUSAMMENGEFASST

INHALT DIESES ARTIKELS

  1. Was die DSGVO konkret beim Löschen fordert
  2. Was ein Löschkonzept enthalten muss – die 7 Pflichtbestandteile
  3. Löschfristen nach Datenkategorie – die Referenztabelle
  4. DSGVO vs. HGB: Der Normkonflikt und wie man ihn löst
  5. Besonderheiten für Produktionsbetriebe
  6. Löschmethoden: Was 'wirklich gelöscht' technisch bedeutet
  7. CHRONOS: Automatisiertes Löschmanagement in der Praxis
  8. Häufig gestellte Fragen

Was die DSGVO konkret beim Löschen fordert

Die DSGVO enthält mehrere Normen, die Löschpflichten begründen. Die bekannteste ist das Recht auf Löschung nach Art. 17 – das sogenannte 'Recht auf Vergessenwerden'. Aber das ist nur eine von mehreren Rechtsgrundlagen.

DIE VIER DSGVO-PFLICHTEN RUND UMS LÖSCHEN

  • Art. 5 Abs. 1 lit. e – Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist. Das ist keine Kann-Regel – es ist eine Pflicht zur aktiven Löschung.

  • Art. 17 – Recht auf Löschung (Recht auf Vergessenwerden): Betroffene können die Löschung verlangen. Das Unternehmen hat dann typisch 30 Tage Zeit, zu löschen und den Betroffenen zu informieren.

  • Art. 25 – Datenschutz durch Technikgestaltung (Privacy by Design): Löschfristen müssen nicht manuell umgesetzt werden – sie müssen technisch eingebettet sein. Ein System ohne automatische Löschroutinen erfüllt Art. 25 nicht.

  • Art. 5 Abs. 2 – Accountability/Rechenschaftspflicht: Das Unternehmen muss nachweisen können, dass Daten ordnungsgemäß gelöscht wurden. Ohne Löschprotokoll ist dieser Nachweis nicht möglich.

bis 20 Mio. €

DSGVO-Bußgeld max.

Art. 83 Abs. 5 DSGVO

30 Tage

Frist bei Löschanfrage

Art. 17 DSGVO

Art. 5

Speicherbegrenzungs-Pflicht

DSGVO Grundsätze

100%

Löschpflicht alle Systeme

Datenschutzbehörden

 

Was ein Löschkonzept enthalten muss – die 7 Pflichtbestandteile

Ein Löschkonzept ist kein optionales Dokument. Datenschutzbehörden erwarten es als Teil der Nachweisführung nach Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht). Das folgende Framework entspricht dem Standard der Datenschutzkonferenz (DSK) und dem ULD-Leitfaden zu Löschkonzepten.

SCHRITT 1

Verarbeitungsverzeichnis als Grundlage

Verarbeitungsverzeichnis als Grundlage

Ziel: Vollständige Übersicht aller Datenverarbeitungsvorgänge mit personenbezogenen Daten

  • Alle Systeme erfassen, die personenbezogene Daten verarbeiten: ERP, MES, CRM, HR-Systeme, Zugangssysteme, E-Mail, Protokolldateien
  • Für jede Verarbeitung: Rechtsgrundlage, Zweck, betroffene Personengruppen, Datenkategorien, Empfänger
  • Besonderheit Produktion: Maschinenführer-IDs in Fertigungsprotokollen, Qualitätsdaten mit Personenbezug, Zugangssysteme

Ergebnis: Vollständiges Verarbeitungsverzeichnis nach Art. 30 DSGVO

SCHRITT 2

Datenklassen und Löschfristen definieren

 

Datenklassen und Löschfristen definieren

Ziel: Jeder Datenkategorie eine konkrete Löschfrist und Rechtsgrundlage zuordnen

  • Datenkategorien nach Zweck und Rechtsgrundlage gruppieren (Steuerpflicht, Vertrag, Einwilligung, legitimes Interesse)
  • Löschfrist = Ende des Verarbeitungszwecks + ggf. Aufbewahrungsfrist aus anderen Normen
  • Konfliktprüfung: Wo stehen DSGVO-Löschpflicht und gesetzliche Aufbewahrungspflicht in Widerspruch?
  • Beispiel Mitarbeiterdaten: Arbeitsvertrag endet → Sperrung der Daten → 10 Jahre steuerrelevante Daten erhalten → danach vollständige Löschung

 

Ergebnis: Löschfristen-Matrix: Datenkategorie → Frist → Rechtsgrundlage → verantwortliches System

SCHRITT 3

Technische Löschmethoden festlegen

 

Technische Löschmethoden festlegen

Ziel: Für jede Datenkategorie und jeden Systemtyp die geeignete Löschmethode definieren

  • Datenbankeinträge: Kryptographisches Löschen (Schlüssel vernichten) oder physische Löschung
  • Backups: Backup-Einschluss personenbezogener Daten dokumentieren; Löschzeitraum nach Backup-Zyklus
  • Papierdokumente: Aktenvernichtung nach DIN 66399 (Sicherheitsstufen P-2 bis P-7 je Sensitivität)
  • Archivdaten: Selektive Löschung einzelner Datensätze mit Löschprotokoll – CHRONOS ermöglicht das

 

Ergebnis: Technisches Löschkonzept je Systemkategorie

SCHRITT 4

Zuständigkeiten und Prozesse definieren

 

Zuständigkeiten und Prozesse definieren

Ziel: Wer löscht was – und wie wird das ausgelöst?

  • Automatische Löschung: Technische Löschfristen in Systemen hinterlegen (Art. 25 Privacy by Design)
  • Manuelle Löschung: Prozess für Betroffenen-Anfragen nach Art. 17 (Eingang → Prüfung → Durchführung → Bestätigung)
  • Eskalation: Was passiert, wenn Löschung technisch nicht möglich ist? (z.B. wegen Aufbewahrungspflicht) → dokumentierte Ausnahme
  • Verantwortliche: DSB, IT, Fachabteilungen – wer hat welche Löschberechtigungen?

 

Ergebnis: Dokumentierter Löschprozess mit Verantwortlichkeitsmatrix

SCHRITT 5

Löschprotokoll einrichten

 

Löschprotokoll einrichten

Ziel: Nachweis aller Löschvorgänge revisionssicher dokumentieren

  • Jede Löschung protokollieren: Was wurde gelöscht, wann, von wem, auf welcher Rechtsgrundlage
  • Löschprotokoll selbst ist revisionssicher aufzubewahren – als Nachweis für Behörden und Betroffene
  • Bei Betroffenen-Anfragen: Bestätigungs-E-Mail mit Verweis auf Löschprotokoll-Eintrag
  • Besonderheit: Auch die Löschung aus Backup-Systemen und Archiven muss protokolliert werden

 

Ergebnis: Revisionssicheres Löschprotokoll als Compliance-Nachweis

SCHRITT 6

Ausnahmen und Konflikte dokumentieren

 

Ausnahmen und Konflikte dokumentieren

Ziel: Fälle, in denen Löschung zurückgestellt werden muss, transparent dokumentieren

  • Aufbewahrungspflicht: Wenn steuerrelevante personenbezogene Daten noch nicht gelöscht werden dürfen → Sperrvermerk + Zugriffsrestriktionen
  • Laufende Rechtsstreitigkeiten: Daten, die als Beweismittel dienen könnten, dürfen nicht gelöscht werden
  • Berechtigtes Interesse: In Einzelfällen kann Verarbeitung trotz Löschanfrage weitergeführt werden (Art. 17 Abs. 3)
  • Jede Ausnahme muss mit Rechtsgrundlage und voraussichtlicher Dauer dokumentiert sein

 

Ergebnis: Dokumentierte Ausnahmeliste mit Rechtfertigungen

SCHRITT 7

Regelmäßige Überprüfung und Aktualisierung

 

Regelmäßige Überprüfung und Aktualisierung

Ziel: Löschkonzept ist kein statisches Dokument – es muss aktuell gehalten werden

  • Jährliche Überprüfung: Stimmen die definierten Fristen noch mit geltendem Recht überein?
  • Bei neuen Systemen: Löschkonzept vor Inbetriebnahme anpassen – nicht im Nachhinein
  • Datenschutzbeauftragter einbinden: Genehmigung und Unterschrift sicherstellen
  • Mitarbeiterschulung: Alle Mitarbeiter mit Datenzugang kennen die Löschprozesse

 

Ergebnis: Aktuelles, genehmigtes Löschkonzept mit Versionshistorie

 

 

Löschfristen nach Datenkategorie – die Referenztabelle

Die folgende Tabelle zeigt Aufbewahrungsfristen (Mindestdauer aus HGB/AO) und DSGVO-Löschfristen (Maximaldauer) im direkten Vergleich – für die häufigsten Datenkategorien in Produktionsbetrieben.

Datenkategorie

Aufbewahrungs-Frist

DSGVO-Löschfrist

Löschauslöser

Besonderheit

Kundenstammdaten

10 J. (steuerlich)

Nach Vertragsende + steuerliche Frist

Vertragsende + 10 J.

Für Steuerzwecke erhalten, für Marketing sperren

Bestellhistorie / Rechnungen

10 J. (AO §147)

Ablauf Aufbewahrungspflicht

10 J. ab Rechnungsdatum

Personenbez. Bestandteile nach 10 J. löschen

Mitarbeiter-Stammdaten

10 J. (steuerlich)

Austritt + Fristen

Austritt + 10 J. steuerlich

Bewerberdaten: 6 Monate nach Absage

Lohnunterlagen

bis 30 J. (SV)

Ablauf Rentenanspruch

Individuell

Rentenbescheid-Datum als Auslöser prüfen

MES-Protokolle (ohne Personenbezug)

5–10 J.

Keine DSGVO-Pflicht

Je nach Produkthaftung

Sobald keine Personenbezug: kein DSGVO-Problem

MES-Protokolle (mit Maschinenführer-ID)

5–10 J. (Produkthaftung)

Zweck entfallen

Nach Qualitätsprüfung pseudonymisieren

Pseudonymisierung als Alternative zur Löschung

Zugangssystem / Zeiterfassung

2–3 J. (Streitfälle)

Max. 6 Monate bis 2 J.

Betriebsvereinbarung

BetrVG §87 – Betriebsrat einbinden

Videoüberwachung

72 Stunden (BDSG §4)

72 h, max. 10 Tage

Automatisch nach 72 h

Bei Vorfällen: Kopie sichern und dokumentieren

E-Mail-Postfächer (ausgeschiedene MA)

6 J. (Handelsbriefe)

30 Tage nach Austritt

Austritt + 30 Tage Weiterleitung

Danach: Löschen oder archivieren und sperren

Qualitätsdaten (ohne Personenbezug)

10–15 J. (Produkthaftung)

Keine DSGVO-Pflicht

Branchenabhängig

Im Zweifelsfall Personenbezug prüfen

Lieferantenstammdaten

6–10 J.

Vertragsende + Frist

Vertragsende + 10 J.

Ansprechpartner-Daten gesondert prüfen

Bewerberdaten

Keine gesetzliche Pflicht

6 Monate nach Absage

Absage-Datum

Einwilligung ermöglicht längere Speicherung



DSGVO vs. HGB: Normkonflikte und wie Produktionsbetriebe sie lösen

Der häufigste Fehler im Umgang mit Datenschutz und Aufbewahrungsrecht ist, beide Normen isoliert zu betrachten. Das führt entweder zu DSGVO-Verstößen (zu lange gespeichert) oder zu steuerrechtlichen Risiken (zu früh gelöscht). Die Lösung liegt in einem zweckgebundenen Archivierungskonzept.

NORMKONFLIKT: Rechnungen an Privatkunden

AO §147 / HGB §257

Aufbewahrungspflicht 10 Jahre – auch wenn Kunde personenbezogene Daten enthält

DSGVO Art. 17

Löschung, sobald Vertragszweck erfüllt und kein anderer Verarbeitungsgrund besteht

LÖSUNG:

Zweckgebundene Archivierung: Daten für Steuerzwecke für 10 Jahre archivieren – gleichzeitig für alle anderen Zwecke (Marketing, CRM, Produkt-Empfehlungen) technisch sperren.

NORMKONFLIKT: Mitarbeiterdaten nach Kündigung

AO §147 / Lohnrecht

Lohnunterlagen und steuerrelevante Daten bis zu 30 Jahre aufbewahren

DSGVO Art. 5

Personenbezogene Daten nur so lange wie zwingend erforderlich – nach Austritt sollte Speicherung minimal sein

LÖSUNG:

Gestufte Archivierung: Nach Austritt sofortige Sperrung für operative Systeme (HR, Active Directory). Steuerrelevante Lohnunterlagen separat archivieren mit Zugang nur für Steuer-/Lohnabteilung. Nicht-steuerliche Daten vollständig löschen.

NORMKONFLIKT: Lieferantendaten nach Vertragsende

HGB §257

Vertragsbezogene Unterlagen 6–10 Jahre nach Vertragsende aufbewahren

DSGVO Art. 17

Personenbezogene Ansprechpartner-Daten nach Vertragsende löschen – kein aktiver Verarbeitungszweck mehr

LÖSUNG:

Datentrennung: Unternehmensdaten (Lieferant GmbH) gemäß HGB aufbewahren. Personenbezogene Ansprechpartner-Daten (Name, E-Mail, Telefon natürlicher Personen) nach Vertragsende und angemessener Nachlauffrist löschen

NORMKONFLIKT: MES-Protokolle mit Mitarbeiter-IDs

Produkthaftungsrecht

Fertigungsprotokolle für Produkthaftungsnachweise 5–15 Jahre aufbewahren

DSGVO

Mitarbeiter-IDs in Protokollen sind personenbezogene Daten – Verarbeitungszweck endet mit Produktionsabschluss

LÖSUNG:

Pseudonymisierung: Mitarbeiter-IDs nach Qualitätsprüfungsabschluss durch pseudonyme Codes ersetzen. Das Original-Mapping wird separat aufbewahrt und kann nur bei Bedarf (Rechtsstreit) entschlüsselt werden. Protokoll bleibt für Produkthaftung nutzbar.

 

Besonderheiten für Produktionsbetriebe: Diese Daten werden oft übersehen

Produktionsbetriebe verarbeiten personenbezogene Daten in Systemen, die auf den ersten Blick nicht wie 'Datenschutz-Systeme' wirken. Gerade dort entstehen die gefährlichsten Compliance-Lücken – weil keine Zuständigkeit klar ist.

System

Personenbezogene Daten

DSGVO-Relevanz

Empfohlene Maßnahme

MES / Fertigungs-SW

Maschinenführer-IDs, Schicht-Zuordnungen, Leistungsdaten

Hoch – direkte Personenbezogenheit

Pseudonymisierung nach Qualitätsfreigabe; Löschfrist definieren

Zugangssystem / Schleusen

Biometrie (Fingerabdruck), Zugangszeitstempel, Fotos

Sehr hoch – besondere Datenkategorie nach Art. 9

Betriebsvereinbarung erforderlich; Löschung nach 72h bis 6 Monaten

Videoüberwachung

Personenaufnahmen, Bewegungsprofile

Hoch – besondere Sensitivität

Max. 10 Tage, bei Vorfällen gesicherte Kopie mit Protokoll

Qualitätsmanagementsystem

Prüfer-IDs, Unterschriften, Freigabeprotokolle

Mittel – bei voller Rückverfolgbarkeit hoch

Pseudonymisierung möglich; Produkthaftung hat Vorrang

Zeiterfassungssystem

Arbeitszeiten, Pausen, Krankmeldungen

Hoch – besonders schutzbedürftig

BetrVG §87 beachten; Löschfrist 2–3 Jahre nach BR-Vereinbarung

ERP-System

Kundendaten, Lieferanten-AP, Mitarbeiterdaten

Hoch – zentrale Datenhaltung

Zweckgebundene Archivierung; Sperr-/Löschlogik pro Datenkategorie

E-Mail-Archiv

Kommunikation mit Kunden, Mitarbeitern, Behörden

Mittel bis hoch

6 Jahre Handelsbriefe; personenbez. Inhalte nach Fristablauf löschen

SCADA / IoT-Systeme

Sensordaten mit Bediener-ID, Fernzugriff-Protokolle

Niedrig bis mittel

Personenbezug prüfen; bei Bediener-IDs: DSGVO-relevant

 

Löschmethoden: Was 'wirklich gelöscht' technisch bedeutet

Löschen im DSGVO-Sinne bedeutet, dass die personenbezogenen Daten nicht mehr verarbeitet werden können und nicht rekonstruierbar sind. Das 'Löschen' eines Datenbankeintrags durch eine DELETE-Anweisung genügt häufig nicht – die Daten existieren möglicherweise noch in Backups, Archiven, Testumgebungen und Transaktionsprotokollen.

Methode

Sicher?

Nachweisbar?

Geeignet für

Schwäche

Logisches Löschen (DELETE)

Nein

Bedingt

Einfache Datenbanken ohne Backup-Anforderung

Daten oft noch in Backups/Logs vorhanden

Überschreiben (DoD 5220.22-M)

Ja

Bedingt

HDDs, Magnetbänder

Nicht geeignet für SSDs und Flash-Speicher

Kryptographisches Löschen

Ja

Ja

Cloud-Daten, verschlüsselte Archive

Voraussetzung: Verschlüsselung von Beginn an

Physische Vernichtung

Ja (100%)

Ja

Defekte Datenträger, End-of-Life

Nicht skalierbar; DIN 66399 beachten

Anonymisierung

Ja*

Ja

Statistikdaten, Protokolldaten

Nur wenn Rückführung auf Person wirklich unmöglich

Pseudonymisierung

Nein (DSGVO-pflichtig)

Bedingt

Produktionsprotokolle, MES-Daten

Reduziert Risiko – ersetzt Löschung nicht vollständig

Selektive Datenbankarchiv-Löschung

Ja

Ja

CHRONOS-Archiv, revisionssicheres System

Erfordert Archivierungssystem mit Löschfunktion

ACHTUNG: DIE BACKUP-FALLE

Das häufigste technische Problem: Daten werden aus dem Produktivsystem gelöscht – aber das Backup, das 24 Stunden zuvor erstellt wurde, enthält sie noch.

  • DSGVO-Konformität erfordert: Löschung aus ALLEN Systemen – Produktivsystem, Backups, Archiven, Testumgebungen und Staging-Systemen.

  • Praktische Lösung: Für Backup-Systeme einen definierten Zyklus festlegen, nach dem auch im Backup gelöscht wird. Diesen Zyklus im Löschkonzept dokumentieren.

  • Für Archivdaten: CHRONOS ermöglicht die selektive Löschung einzelner Datensätze aus dem Archiv – mit revisionssicherem Protokoll. Das ist der einzige Weg, Archivierungspflicht und DSGVO gleichzeitig zu erfüllen.

 

CHRONOS: Automatisiertes Löschmanagement für Produktionsbetriebe

CHRONOS wurde für genau diese Herausforderung entwickelt: Aufbewahrungspflichten und Löschpflichten gleichzeitig einhalten – revisionssicher, herstellerunabhängig und ohne manuellen Aufwand. Die Plattform ermöglicht das, was viele Unternehmen als unlösbar betrachten: selektive Löschung einzelner Datensätze aus einem revisionssicheren Archiv – mit lückenlosem Protokoll.

 

Viele IT-Leiter denken, ein Löschkonzept ist ein Word-Dokument. Es ist ein technisches System. Ohne Automatisierung ist DSGVO-konformes Löschen in Produktionsbetrieben nicht realistisch umsetzbar.

— Korbinian Hermann Geschäftsführer, CSP Intelligence GmbH

 

Häufig gestellte Fragen zum Löschkonzept und DSGVO

  

 
Vollständigen Beitrag anzeigen