Speicherbegrenzung

Auch: Grundsatz der Speicherbegrenzung · Speicherbegrenzungsgrundsatz

Die Speicherbegrenzung ist einer der sechs Grundsätze der DSGVO für die Verarbeitung personenbezogener Daten (Art. 5 DSGVO). Sie besagt, dass Daten nur so lange in einer Form aufbewahrt werden dürfen, die eine Identifizierung der betroffenen Person ermöglicht, wie es der ursprüngliche Zweck erfordert. Ist der Zweck erreicht oder entfallen, müssen die Daten gelöscht oder anonymisiert werden.

Ausführliche Erklärung

Für Makler ist die Speicherbegrenzung einer der praxisrelevantesten Datenschutzgrundsätze, weil im Tagesgeschäft laufend personenbezogene Daten anfallen: Interessentendaten aus Anfragen, Bonitätsunterlagen, Ausweiskopien, Besichtigungsprotokolle, Bewerberdaten bei der Objektsuche für Vermietungen.

Praktische Konsequenzen:

  • Zweckbindung als Ausgangspunkt: Die zulässige Speicherdauer richtet sich immer danach, wofür die Daten erhoben wurden. Interessentendaten aus einer gescheiterten Vermittlung dürfen nicht unbegrenzt "für später" vorgehalten werden.
  • Löschkonzept erforderlich: Ein professionell geführtes Maklerbüro benötigt ein dokumentiertes Löschkonzept mit konkreten Fristen je Datenkategorie (z. B. Interessentendaten ohne Vertragsabschluss: meist 6–12 Monate nach letztem Kontakt, sofern kein berechtigtes Interesse an längerer Aufbewahrung besteht; Vertragsunterlagen: gesetzliche Aufbewahrungsfristen nach HGB/AO, z. B. 6 oder 10 Jahre).
  • Konflikt mit Aufbewahrungspflichten: Handels- und steuerrechtliche Aufbewahrungsfristen (§ 257 HGB, § 147 AO) gehen der Speicherbegrenzung als gesetzliche Ausnahme vor – Rechnungen und Buchungsbelege müssen trotz DSGVO die vorgeschriebenen Fristen durchlaufen.
  • Alternative Anonymisierung: Statt vollständiger Löschung kann auch Anonymisierung genügen, wenn die Daten für Statistik- oder Auswertungszwecke weiter benötigt werden, aber kein Personenbezug mehr erforderlich ist.
  • Bezug zum Verzeichnis von Verarbeitungstätigkeiten: Die geplante Speicherdauer ist ein Pflichtangabe im VVT (Art. 30 DSGVO) und sollte dort für jede Verarbeitung dokumentiert sein.
  • Haftungsrisiko: Fehlende Löschroutinen sind ein klassischer Beanstandungspunkt bei Aufsichtsbehörden und können zu Bußgeldern führen, insbesondere wenn Interessenten- oder Bewerberdatenbanken über Jahre "mitgeschleppt" werden.

Beispiel aus der Praxis

Ein Makler speichert die Kontaktdaten und Einkommensnachweise eines Mietinteressenten, der bei der Wohnungsvergabe nicht zum Zug kam. Ohne dessen ausdrückliche Einwilligung für eine weitere Vormerkung müssen diese Unterlagen nach angemessener Zeit (z. B. sechs Monate nach Abschluss des Vermietungsverfahrens) gelöscht werden – ein dauerhaftes Vorhalten "für künftige Objekte" verstößt gegen die Speicherbegrenzung.

Rechtsgrundlage

  • Art. 5 Abs. 1 lit. e DSGVO – Grundsatz der Speicherbegrenzung: Speicherung nur so lange wie für die Zwecke der Verarbeitung erforderlich.
  • Art. 5 Abs. 2 DSGVO – Rechenschaftspflicht: Der Verantwortliche muss die Einhaltung nachweisen können.
  • § 257 HGB, § 147 AO – vorrangige gesetzliche Aufbewahrungsfristen für Geschäftsunterlagen.

Verwandte Begriffe