Auf einen Blick: Kundendaten dürfen nicht ewig gespeichert werden – aber auch nicht sofort gelöscht. Dieser Leitfaden erklärt, welche Daten wie lange gespeichert werden müssen, dürfen und wann sie weg müssen.
Das Spannungsfeld: Zu kurz und zu lang gespeichert ist beides falsch
Viele Selbstständige machen einen von zwei Fehlern:
- Zu lange speichern – aus Bequemlichkeit bleiben alte Kontaktdaten jahrelang im System
- Zu früh löschen – steuerliche Belege werden gelöscht, obwohl gesetzliche Aufbewahrungspflichten bestehen
Die DSGVO fordert das Prinzip der Speicherbegrenzung (Art. 5 Abs. 1 lit. e): Daten nur so lange speichern wie nötig.
Speicherfristen im Überblick
Gesetzliche Aufbewahrungspflichten (Mindestfristen)
| Datenart | Aufbewahrungsfrist | Rechtsgrundlage |
|---|---|---|
| Rechnungen und Buchungsbelege | 10 Jahre | § 147 AO, § 257 HGB |
| Verträge, Vereinbarungen | 10 Jahre (bei kaufmännischen Firmen) | § 257 HGB |
| Korrespondenz mit steuerlicher Relevanz | 10 Jahre | § 147 AO |
| Allgemeine Geschäftsbriefe | 6 Jahre | § 257 HGB |
| Lohnunterlagen | 10 Jahre | § 147 AO |
| Personalakten | Bis Beschäftigungsende + 3 Jahre | individuell prüfen |
⚠️ Wichtig: Steuerliche Aufbewahrungspflichten gehen der DSGVO-Löschpflicht vor. Rechnungsempfänger können die Löschung nicht verlangen, solange steuerliche Fristen laufen.
DSGVO-Fristen (maximale Speicherdauer)
| Datenart | Empfohlene Speicherdauer |
|---|---|
| Kundenanfragen ohne Auftrag | 3-6 Monate nach letztem Kontakt |
| Nicht umgesetzte Angebote | 3-6 Monate nach Ablauf |
| Newsletter-Abonnement | Bis Abmeldung + systemtechnische Löschung nach ~1 Jahr |
| Bewerberunterlagen (Absagen) | 6 Monate (AGG-Frist) |
| Website-Kontaktanfragen | 3 Monate oder bis Anfrage abgeschlossen |
Wie Kundendaten richtig gespeichert werden
Grundsatz: So wenig wie möglich erheben
Frage dich bei jeder Datenart: Brauche ich das wirklich für diesen Zweck?
- Lieferschein: Adresse nötig ✅ | Geburtsdatum nötig? ❌
- Newsletter: E‑Mail nötig ✅ | Telefonnummer nötig? (meist nein) ❌
Getrennte Speicherung nach Zweck
Empfehlung: Datenkategorien getrennt halten
- Rechnungsdaten → Buchhaltungssoftware (AVV beachten!)
- Marketingkontakte → Newsletter-Tool (eigene Einwilligung!)
- Leads/Anfragen → CRM (zeitlich begrenzt)
Zugriffskontrolle einrichten
Nicht jeder sollte Zugriff auf alle Kundendaten haben:
- Rollenbasierter Zugriff in CRM-Systemen konfigurieren
- Getrennte Benutzerkonten statt geteilte Zugänge
- Log-Dateien aktivieren, um Zugriffe nachvollziehen zu können
Löschkonzept erstellen
Ein einfaches Löschkonzept für Freelancer:
1. Kundendaten nach Projektabschluss:
→ Marketingdaten sofort aus CRM löschen
→ Rechnungsdaten 10 Jahre in Buchhaltungssoftware aufbewahren
2. Newsletter:
→ Automatische Löschung nach 12 Monaten Inaktivität einrichten
3. Kontaktformular:
→ E-Mails nach 3 Monaten manuell prüfen und nicht mehr benötigte löschen
4. Bewerberunterlagen:
→ Absagen nach 6 Monaten aus ALLEN Systemen löschen (Papier schreddern!)
Recht auf Löschung (Art. 17 DSGVO)
Kunden können die Löschung ihrer Daten verlangen. Ausnahmen:
- Steuerliche oder gesetzliche Aufbewahrungspflichten bestehen noch
- Die Daten werden für Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt
Was tun bei Löschantrag?
- Identität des Antragstellers verifizieren
- Prüfen, ob Löschung möglich oder Ausnahme greift
- Löschung durchführen (Backup-Systeme nicht vergessen!)
- Vorgang dokumentieren
- Innerhalb von 4 Wochen antworten
Software-Tipps für datenschutzkonforme Datenspeicherung
| Kategorie | DSGVO-freundliche Optionen |
|---|---|
| Buchhaltung | Lexware, sevDesk, Fastbill (alle AVV vorhanden) |
| CRM | HubSpot (AVV verfügbar), Zoho CRM, CentralStationCRM |
| E‑Mail | Outlook 365 mit AVV, ProtonMail |
| Cloud | Nextcloud (selbst gehostet), Strato HiDrive |
| Newsletter | Brevo (ehem. Sendinblue), CleverReach |
Fazit
Kundendaten richtig zu speichern bedeutet: Gesetzliche Pflichten einhalten + DSGVO-Grundsätze beachten. Mit einem klaren Löschkonzept, getrennter Datenspeicherung und regelmäßigem Durchputzen der Datenbanken bist du auf der sicheren Seite. Die Investition in saubere Prozesse zahlt sich aus – nicht nur beim Datenschutz, sondern auch für die eigene Effizienz.