Wie lange darf ein Unternehmen Kundendaten speichern?

Wie lange darf ein Unternehmen Kundendaten speichern? Ein Überblick zur DSGVO-konformen Datenhaltung

Die Frage nach der zulässigen Speicherdauer von Kundendaten ist für Unternehmen von zentraler Bedeutung und wird durch die Datenschutzgrundverordnung (DSGVO) streng reglementiert. Es gibt keine pauschale Antwort, denn die zulässige Aufbewahrungsfrist hängt maßgeblich vom konkreten Verarbeitungszweck ab. Der entscheidende Grundsatz lautet: Datensparsamkeit und Zweckbindung. Unternehmen dürfen personenbezogene Daten nur so lange speichern, wie es für den ursprünglich festgelegten Zweck unbedingt notwendig ist. Sobald dieser Zweck entfällt, besteht eine Löschpflicht.

Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Unternehmen müssen von vornherein nur die Daten erheben, die für den jeweiligen Zweck tatsächlich erforderlich sind. Unnötige Daten dürfen gar nicht erst gesammelt werden.

Die Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Die erhobenen Daten dürfen nur für die Zwecke verwendet werden, die bei der Erhebung angegeben wurden. Eine nachträgliche Zweckänderung erfordert in der Regel eine erneute Einwilligung des Betroffenen.

Die Löschpflicht (Art. 17 DSGVO): Der Betroffene hat das Recht auf Löschung seiner Daten, wenn bestimmte Voraussetzungen erfüllt sind. Das Unternehmen ist verpflichtet, die Daten unverzüglich zu löschen, sobald der Zweck der Verarbeitung entfallen ist oder eine andere Rechtsgrundlage für die weitere Speicherung fehlt. Dies gilt beispielsweise, wenn die Einwilligung widerrufen wird, die Daten unrechtmäßig verarbeitet wurden oder der Betroffene sein Recht auf Widerspruch ausübt.

Konkrete Beispiele und Ausnahmen:

• Kundendaten im Rahmen eines Kaufvertrags: Nach Beendigung des Vertragsverhältnisses und Ablauf der gesetzlichen Aufbewahrungsfristen (z.B. für steuerliche Zwecke) müssen die Daten gelöscht werden. Die konkreten Fristen variieren je nach Rechtsgebiet und Art der Daten.
• Bewerberdaten: Bewerbungsdaten dürfen gemäß gängiger Rechtsprechung maximal sechs Monate nach Abschluss des Bewerbungsverfahrens aufbewahrt werden, es sei denn, der Bewerber stimmt einer längeren Speicherung im Talentpool ausdrücklich zu. Diese Zustimmung muss jederzeit widerruflich sein.
• Marketingdaten: Die Speicherdauer von Marketingdaten hängt von der Rechtsgrundlage ab (z.B. Einwilligung, berechtigtes Interesse). Bei Einwilligung muss der Zeitraum klar definiert und der Betroffene über sein Widerrufsrecht informiert sein. Bei berechtigtem Interesse müssen die Interessen des Unternehmens gegen die Interessen des Betroffenen sorgfältig abgewogen werden. Eine pauschale Speicherung über Jahre hinweg ist in der Regel nicht zulässig.
• Daten zur Erfüllung gesetzlicher Pflichten: Hierunter fallen beispielsweise Daten, die zur Erfüllung steuerlicher oder handelsrechtlicher Aufbewahrungspflichten erforderlich sind. Diese Fristen sind gesetzlich vorgeschrieben und können je nach Rechtsgebiet variieren (z.B. 10 Jahre für Buchhaltungsunterlagen).

Dokumentationspflicht: Unternehmen müssen die Verarbeitungstätigkeiten dokumentieren und nachweisen können, dass sie die gesetzlichen Vorgaben zur Speicherdauer einhalten. Hierzu gehört auch die Festlegung von Löschfristen und die Implementierung von Löschroutinen.

Fazit: Die Speicherdauer von Kundendaten ist kein starrer Zeitraum, sondern richtet sich nach dem jeweiligen Verarbeitungszweck und den gesetzlichen Bestimmungen. Unternehmen tragen die Verantwortung, eine DSGVO-konforme Datenhaltung zu gewährleisten und die Daten nur so lange zu speichern, wie es unbedingt notwendig ist. Eine umfassende Datenschutz-Impact-Assessment (DPIA) kann dabei hilfreich sein, um potenzielle Risiken zu identifizieren und zu minimieren. Die Beratung durch einen Datenschutzbeauftragten ist insbesondere für größere Unternehmen dringend empfohlen.