Wann Aufbewahrung und Loeschung gilt und was als Naechstes zu tun ist
Kurzantwort
Das praktische Ziel von Aufbewahrung und Loeschung ist nicht nur die Auslegung einer Anforderung. Es geht darum, daraus einen wiederholbaren Workflow mit Ownern, dokumentierten Entscheidungen und belastbaren Nachweisen zu machen.
Wen das betrifft: Gruender, Compliance Leads, Legal Teams, Operations Manager und Executive Stakeholder
Was jetzt zu tun ist
- Listen Sie die Workflows, Systeme oder Vendor-Beziehungen auf, in denen Aufbewahrung und Loeschung bereits die taegliche Arbeit betreffen.
- Definieren Sie Owner, Trigger, Entscheidungspunkt und Mindestnachweis, damit der Workflow konsistent laeuft.
- Dokumentieren Sie die erste praktische Aenderung, die vor dem naechsten Audit, Customer Review oder Produktlaunch Unklarheit reduziert.
Wann Aufbewahrung und Loeschung gilt und was als Naechstes zu tun ist
Aufbewahrung und Loeschung gilt immer dann, wenn ein SaaS-Team personenbezogene Daten erhebt, speichert, kopiert, exportiert, analysiert, archiviert oder entfernt. Das Thema beginnt nicht erst bei einer formellen Loeschanfrage. Es gilt auch bei Customer Churn, geschlossenen Support Tickets, Employee Offboarding, neuen Integrationen, Produktlogs und Backup-Lebenszyklen.
Unter der DSGVO sollten personenbezogene Daten nur so lange gespeichert werden, wie es fuer den Zweck noetig ist. Organisationen sollten Fristen fuer Loeschung oder Review festlegen, und eine Loeschpflicht kann entstehen, wenn die Voraussetzungen erfuellt sind. Operativ heisst das: Welche Systeme sind betroffen, wer entscheidet, welche Aktion passiert, welche Ausnahme gilt und welcher Nachweis zeigt die Umsetzung?
Wann es in SaaS gilt
Das Thema startet, sobald ein Workflow personenbezogene Daten erzeugt oder erhaelt. Typische Trigger sind Onboarding, neue Features, Vendor-Integrationen, Account Closure, Ticket Closure, Legal Holds, Disputes, Customer Diligence, Exporte und Backups. Wenn identifizierbare Daten beruehrt werden, braucht das Team eine Regel, einen Trigger, einen Owner und Evidenz.
Wann nicht dieselbe Antwort passt
Nicht jede Frage fuehrt zu sofortiger Loeschung. Manche Daten sollten schnell geloescht werden. Manche koennen anonymisiert werden. Manche muessen wegen Steuer, Accounting, Betrug, Security, Vertrag oder Legal Claims aufbewahrt werden. Manche bleiben bis zum dokumentierten Backup-Ablauf. Die bessere Antwort ist deshalb pro Datenkategorie und System definiert.
Schritt 1: Daten und Zweck klaeren
Beginnen Sie mit der Datenkategorie. Kundendaten, Authentication Records, Produkt-Events, Support Tickets, Billing Records, Security Logs, Bewerberdaten, Vendor-Kontakte und Reports koennen unterschiedliche Zwecke haben. Fragen Sie, welcher Zweck die Verarbeitung rechtfertigt, welche Systeme und Vendors betroffen sind und ob weniger oder anonymisierte Daten reichen.
Schritt 2: Trigger definieren
Eine Frist hilft nur, wenn das Start-Ereignis klar ist. Beispiele sind Vertragsende, Workspace Closure, finale Rechnung, Ticket Closure, Bewerberabsage, Offboarding, Incident Closure, Legal Hold Release, Vendor Termination oder Backup Rotation. Schreiben Sie Trigger so konkret, dass Support, Finance, Engineering, Legal und Security dasselbe Datum berechnen.
Schritt 3: Aktion waehlen
Die Aktion kann Hard Deletion, Scheduled Purge, Anonymisierung, Restriction, Archive, Suppression Record, Vendor Deletion, Backup Expiry oder Retention unter dokumentierter Ausnahme sein. Beschreiben Sie Backups und Vendor-Systeme praezise. Wenn Backups ueber Zeit auslaufen, sollte das nicht als sofortige Loeschung aus jeder Umgebung versprochen werden.
Schritt 4: Owner zuweisen
Retention scheitert, wenn alle glauben, ein anderes Team sei verantwortlich. Definieren Sie Owner fuer Policy, System oder Vendor, Trigger Detection, Aktion, Ausnahmefreigabe, Kommunikation und Evidenz. Ein leichter Owner-Plan reicht, solange er vor Customer Review, Audit oder Launch klar ist.
Schritt 5: Evidenz speichern
Nachweise koennen Retention Rule, System Map, Request Record, Approval Note, Deletion Log, Anonymisierungsnachweis, Vendor Confirmation, Backup Lifecycle Note und Completion Date umfassen. Eine Policy zeigt Absicht. Evidenz zeigt Umsetzung.
Was als Naechstes zu tun ist
Waehlen Sie einen Workflow mit echtem Druck: Account Closure, Erasure Request, Support Ticket Retention, Bewerberdaten oder Vendor Offboarding. Listen Sie Daten und Systeme, schreiben Sie den Trigger, definieren Sie Aktion und Ausnahme, weisen Sie Owner zu, testen Sie ein Beispiel und speichern Sie den Nachweis. Danach wiederholen Sie das Muster.
FAQ
Was ist der praktische Zweck?
Personenbezogene Daten sollen nur mit gerechtfertigtem Zweck oder Pflicht behalten und danach kontrolliert geloescht, anonymisiert, eingeschraenkt, archiviert oder geprueft werden.
Wann gilt es fuer SaaS-Teams?
Es gilt bei Erhebung, Speicherung, Kopie, Export, Analyse, Archivierung und Loeschung personenbezogener Daten, einschliesslich Produktdaten, Support, Billing, Security Logs, Vendors und Backups.
Was zuerst dokumentieren?
Starten Sie mit einem risikoreichen Workflow und dokumentieren Sie Datenkategorien, Systeme, Trigger, Owner, Aktion, Ausnahmen und Evidenz.
Primärquellen
- For how long can data be kept and is it necessary to update it?European Commission · Abgerufen 6. Mai 2026
- Do we always have to delete personal data if a person asks?European Commission · Abgerufen 6. Mai 2026
- What data can we process and under which conditions?European Commission · Abgerufen 6. Mai 2026
- EDPB identifies challenges hindering the full implementation of the right to erasureEuropean Data Protection Board · Abgerufen 6. Mai 2026
Verwandte Hubs entdecken
Ähnliche Artikel
Verwandte Glossarbegriffe
Bereit, Ihre Compliance sicherzustellen?
Warten Sie nicht, bis Verstöße Ihr Unternehmen lahmlegen. Holen Sie sich in wenigen Minuten Ihren umfassenden Compliance-Bericht.
Website jetzt kostenlos scannen