Datenaufbewahrungsgesetze nach Ländern (2026): DSGVO, EuGH und globale Regeln
Organisationen weltweit stehen vor einer scheinbar einfachen Frage: Wie lange dürfen personenbezogene Daten aufbewahrt werden? Die Antwort hängt davon ab, welches von zwei sehr unterschiedlichen Rechtskonzepten anwendbar ist. Der DSGVO-Grundsatz der Speicherbegrenzung besagt, dass Daten nicht länger als nötig aufbewahrt werden dürfen. Verpflichtende Gesetze zur Vorratsdatenspeicherung besagen hingegen, dass bestimmte Metadaten für einen festgelegten Zeitraum aufbewahrt werden müssen. Bei Nichteinhaltung drohen in beiden Fällen erhebliche Sanktionen.
Umfang der Rechtsordnungen: Dieser Artikel behandelt den Grundsatz der Speicherbegrenzung nach der DSGVO/UK-DSGVO, die EuGH-Rechtsprechung zur verpflichtenden Vorratsdatenspeicherung sowie die nationalen Aufbewahrungsrahmen der Vereinigten Staaten, des Vereinigten Königreichs, der EU, Brasiliens, Chinas, Indiens, Südkoreas, Australiens, Kanadas, Japans, Singapurs, Südafrikas und Mexikos. Informationen überprüft im Mai 2026. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an einen in Ihrer Rechtsordnung zugelassenen Rechtsanwalt.
Zwei Bedeutungen von "Datenaufbewahrung"
Der Begriff "Datenaufbewahrungsgesetz" wird für zwei rechtlich unterschiedliche Konzepte verwendet, die in entgegengesetzte Richtungen weisen, und eine Verwechslung führt zu Compliance-Fehlern.
Der Grundsatz der Speicherbegrenzung (das datenschutzrechtliche Modell) besagt, dass Organisationen personenbezogene Daten nicht länger aufbewahren dürfen, als für den Zweck ihrer Erhebung erforderlich ist. Art. 5 Abs. 1 lit. e DSGVO ist die klassische Formulierung dieser Regel. Südafrikas POPIA, Brasiliens LGPD, Indiens DPDPA und Kanadas PIPEDA greifen sie alle in ähnlicher Form auf. Nach diesem Modell stellt die Aufbewahrung ein fortlaufendes rechtliches Risiko dar: Je länger Daten aufbewahrt werden, desto größer die Haftungsgefahr. Die Pflicht richtet sich vom Verantwortlichen an die Aufsichtsbehörde.
Verpflichtende Gesetze zur Vorratsdatenspeicherung (das überwachungsrechtliche Modell) verpflichten Internetdienstanbieter und Telekommunikationsbetreiber, Teilnehmer- und Verkehrsmetadaten für einen festen Zeitraum aufzubewahren, damit Strafverfolgungsbehörden nachträglich darauf zugreifen können. Die inzwischen für unwirksam erklärte EU-Richtlinie zur Vorratsdatenspeicherung (2006/24/EG) ist das klassische Beispiel. Australiens Telecommunications (Interception and Access) Act, der britische Investigatory Powers Act und das südkoreanische Telecommunications Business Act begründen allesamt verpflichtende Mindestaufbewahrungsfristen. Nach diesem Modell stellt die Löschung vor Ablauf der gesetzlichen Frist den Verstoß dar. Die Pflicht richtet sich vom Anbieter an den Staat.
Dieselben Daten können beiden Regimen gleichzeitig unterliegen. Ein Telekommunikationsunternehmen, das einer staatlich vorgeschriebenen zwölfmonatigen Aufbewahrungspflicht unterliegt, unterliegt für dieselben Kundendaten auch der DSGVO-Speicherbegrenzung: Es darf nicht vor Ablauf von zwölf Monaten löschen (staatliche Vorgabe), muss die Speicherung über die zwölf Monate hinaus aber auch nach der DSGVO rechtfertigen (Grundsatz der Speicherbegrenzung). Diese beiden Beschränkungen zusammen definieren das zulässige Aufbewahrungsfenster.
Der Grundsatz der Speicherbegrenzung nach der DSGVO
Art. 5 Abs. 1 lit. e der DSGVO legt fest, dass personenbezogene Daten "in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist". Die DSGVO legt für die meisten Datenkategorien keine konkreten Aufbewahrungsfristen fest; Organisationen müssen ihre eigenen Fristen bestimmen und dokumentieren.
Organisationen müssen Aufbewahrungsfristen in ihrem Verzeichnis von Verarbeitungstätigkeiten festhalten (Art. 30) und sie betroffenen Personen in Datenschutzhinweisen mitteilen (Art. 13 Abs. 2 lit. a). Eine längere Aufbewahrung ist nur zulässig für Archivzwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke, vorbehaltlich geeigneter Garantien (Art. 89).
Die koordinierte Durchsetzungsmaßnahme des EDSA von 2025 zum Recht auf Löschung (veröffentlicht im Februar 2026) stellte weitverbreitete Verstöße fest: Manche Verantwortliche wenden auf alle Verarbeitungsvorgänge die längste anwendbare Aufbewahrungsfrist an, andere bewahren Daten unbefristet auf. Der EDSA empfahl den nationalen Aufsichtsbehörden, weitere praktische Leitlinien zur Bestimmung von Aufbewahrungsfristen zu entwickeln.
Sektorspezifische Aufbewahrungsfristen in der EU
Zwar verzichtet die DSGVO auf feste Fristen, doch mitgliedstaatliche Gesetze und sektorale Vorschriften legen konkrete Fristen fest:
Geldwäschebekämpfung. Die EU-Geldwäscherichtlinien verlangen die Aufbewahrung von Sorgfaltspflicht- und Transaktionsdaten für fünf Jahre nach Ende der Geschäftsbeziehung, wobei die Mitgliedstaaten diese Frist auf bis zu zehn Jahre verlängern dürfen.
Beschäftigungsunterlagen. Die meisten EU-Mitgliedstaaten verlangen von Arbeitgebern die Aufbewahrung von Lohn- und Steuerunterlagen für sechs bis zehn Jahre nach Beendigung des Beschäftigungsverhältnisses. Deutschland verlangt zehn Jahre für steuerrelevante Unterlagen; Frankreich verlangt fünf Jahre für Gehaltsunterlagen.
Medizinische Unterlagen. Die Aufbewahrungsfristen für Patientengesundheitsdaten unterscheiden sich erheblich. Der britische NHS empfiehlt die Aufbewahrung von Gesundheitsakten Erwachsener für acht Jahre nach der letzten Behandlung (25 Jahre bei psychiatrischen Unterlagen), während Frankreich 20 Jahre ab dem letzten medizinischen Kontakt verlangt.
Telekommunikations-Metadaten. Die ursprüngliche EU-Richtlinie zur Vorratsdatenspeicherung (2006/24/EG) verlangte von Telekommunikationsanbietern die Speicherung von Kommunikationsmetadaten für 6 bis 24 Monate. Der EuGH erklärte die Richtlinie 2014 in der Rechtssache Digital Rights Ireland für unwirksam. Die meisten EU-Mitgliedstaaten behielten nationale Aufbewahrungspflichten bei, doch auch diese sahen sich der Prüfung durch den EuGH ausgesetzt. Einer Erhebung von 18 europäischen Ländern aus dem Jahr 2025 zufolge hatten nur Deutschland, die Niederlande und Rumänien keine geltenden Vorschriften zur Vorratsdatenspeicherung von Telekommunikationsdaten; die meisten übrigen Länder behielten allgemeine Aufbewahrungspflichten trotz der EuGH-Rechtsprechung bei, und nur Belgien, Dänemark und das Vereinigte Königreich schrieben ausschließlich eine gezielte Vorratsdatenspeicherung vor.
Die EuGH-Rechtsprechung zur Vorratsdatenspeicherung
Der Gerichtshof der Europäischen Union (EuGH) hat eine Rechtsprechung zur verpflichtenden Vorratsdatenspeicherung entwickelt, die schrittweise einschränkt, wozu Mitgliedstaaten Telekommunikationsanbieter verpflichten dürfen. Das Verständnis dieser Entwicklung ist für jede in mehreren EU-Mitgliedstaaten tätige Organisation von zentraler Bedeutung.
Digital Rights Ireland (2014)
In der Rechtssache Digital Rights Ireland (verbundene Rechtssachen C-293/12 und C-594/12, 8. April 2014) erklärte die Große Kammer des EuGH die EU-Richtlinie zur Vorratsdatenspeicherung (2006/24/EG) vollständig für unwirksam. Die Richtlinie hatte eine pauschale Vorratsdatenspeicherung sämtlicher Kommunikationsmetadaten aller Nutzer für 6 bis 24 Monate vorgeschrieben. Das Gericht befand, dass eine allgemeine und unterschiedslose Vorratsdatenspeicherung aller Daten aller Nutzer, ohne jede Differenzierung, Einschränkung oder Ausnahme im Hinblick auf das Ziel der Bekämpfung schwerer Kriminalität, unverhältnismäßig in die durch Art. 7 und 8 der EU-Grundrechtecharta garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten eingreift.
Tele2 Sverige und Watson (2016)
Nachdem die Richtlinie weggefallen war, behielten mehrere Mitgliedstaaten nationale Aufbewahrungsgesetze bei oder erließen sie erneut. In der Rechtssache Tele2 Sverige und Watson (verbundene Rechtssachen C-203/15 und C-698/15, 21. Dezember 2016) entschied die Große Kammer, dass nationale Rechtsvorschriften, die eine allgemeine und unterschiedslose Vorratsdatenspeicherung sämtlicher Verkehrs- und Standortdaten aller Teilnehmer vorsehen, mit dem Unionsrecht unvereinbar sind. Eine zulässige gezielte Vorratsdatenspeicherung muss: (a) auf bestimmte Datenkategorien, Kommunikationsmittel, betroffene Personen und Aufbewahrungsfristen beschränkt sein; (b) auf das absolut Notwendige begrenzt sein; (c) nur zur Bekämpfung schwerer Kriminalität zugänglich sein; und (d) einer vorherigen Überprüfung durch ein Gericht oder eine unabhängige Verwaltungsstelle unterliegen. Das Gericht verlangte zudem, dass gespeicherte Daten innerhalb der EU aufbewahrt und am Ende der Aufbewahrungsfrist unwiderruflich vernichtet werden.
La Quadrature du Net I (2020)
In der Rechtssache La Quadrature du Net I (verbundene Rechtssachen C-511/18, C-512/18, C-520/18 und C-623/17, 6. Oktober 2020) bestätigte die Große Kammer das Verbot der allgemeinen Vorratsdatenspeicherung, erkannte jedoch drei zulässige Ausnahmen an: (1) eine präventive allgemeine Speicherung sämtlicher Metadaten während eines vorhersehbaren Zeitraums einer ernsten Bedrohung der nationalen Sicherheit, vorbehaltlich der Überprüfung durch ein Gericht oder eine unabhängige Stelle; (2) eine gezielte Speicherung anhand geografischer Kriterien oder Merkmale bestimmter Personengruppen zur Bekämpfung schwerer Kriminalität; und (3) die beschleunigte Sicherung gespeicherter Daten (Quick-Freeze-Verfahren) für laufende Ermittlungen.
SpaceNet und Telekom Deutschland (2022)
In der Rechtssache SpaceNet und Telekom Deutschland (verbundene Rechtssachen C-793/19 und C-794/19, 20. September 2022) bekräftigte die Große Kammer, dass die deutschen Rechtsvorschriften zur allgemeinen und unterschiedslosen Vorratsdatenspeicherung von Telekommunikationsverkehrs- und Standortdaten mit dem Unionsrecht unvereinbar sind, selbst zum Zweck der Bekämpfung schwerer Kriminalität. Das Urteil unterstrich, dass Quick-Freeze-Verfahren und eine gezielte Speicherung weiterhin zulässig bleiben, eine allgemeine Speicherung jedoch nicht, unabhängig vom Ziel der Kriminalitätsbekämpfung.
La Quadrature du Net II (2024)
Die jüngste Entwicklung ist die Rechtssache La Quadrature du Net II (Rechtssache C-470/21, 30. April 2024), die sich mit dem französischen Anti-Piraterie-System HADOPI befasste. Das Vollplenum des EuGH (nicht die Große Kammer) entschied, dass IP-Adressen Verkehrsdaten im Sinne der Richtlinie 2002/58 darstellen, sich jedoch von anderen Verkehrs- und Standortdaten dadurch unterscheiden, dass ihre allgemeine und unterschiedslose Speicherung bei angemessenen Garantien keinen schwerwiegenden Eingriff in die Grundrechte darstellt.
Das Gericht erlaubte die Speicherung von IP-Adressen und ihre Verknüpfung mit Identitätsdaten für den Zugriff durch Strafverfolgungsbehörden zur Bekämpfung von Online-Urheberrechtsverletzungen, einschließlich geringfügiger Verstöße. Die erforderlichen Garantien sind: (a) IP-Adressdaten müssen getrennt von anderen gespeicherten Daten über sichere technische Systeme aufbewahrt werden; (b) der Zugriff muss auf die Weiterleitung zur Strafverfolgung beschränkt sein und ein Nachverfolgen des Nutzerverhaltens oder Profiling verhindern; (c) bei Profiling-Risiko ist eine vorherige Überprüfung durch ein Gericht oder eine unabhängige Stelle erforderlich; und (d) es ist eine regelmäßige unabhängige Aufsicht über die Systemintegrität aufrechtzuerhalten.
Was das aktuell bedeutet
Die EuGH-Rechtsprechung erlaubt es den Mitgliedstaaten mit Stand 2026: IP-Adressen bei technischen Garantien allgemein zu speichern; eine gezielte Speicherung anhand geografischer Kriterien oder Verdächtigenkategorien zur Bekämpfung schwerer Kriminalität vorzuschreiben; Quick-Freeze-Anordnungen zu nutzen; und während eines vorhersehbaren Zeitraums einer ernsten Bedrohung der nationalen Sicherheit eine allgemeine Speicherung vorzuschreiben. Eine allgemeine und unterschiedslose Speicherung sämtlicher Metadaten aller Nutzer zur Bekämpfung gewöhnlicher Kriminalität bleibt unzulässig. Die Europäische Kommission konsultiert derzeit zu einem neuen unionsweiten verpflichtenden Rahmen zur Metadatenspeicherung (Aufruf zur Stellungnahme im Mai 2025 gestartet; ein Gesetzesentwurf wird Anfang 2026 erwartet), der diese Vorgaben berücksichtigen müsste.
Aufbewahrungsrahmen nach Ländern
Vereinigte Staaten
Die Vereinigten Staaten haben kein einheitliches, der DSGVO vergleichbares Bundesgesetz zur Datenaufbewahrung. Aufbewahrungspflichten ergeben sich aus sektorspezifischen Bundesgesetzen und einzelstaatlichen Vorschriften.
Bundesrechtliche Anforderungen:
- IRS (Steuerunterlagen): Unternehmen müssen Steuerunterlagen mindestens drei Jahre ab dem Einreichungsdatum aufbewahren, bei erheblicher Unterdeklaration von Einkommen verlängert sich diese Frist auf sechs bis sieben Jahre (26 USC 6501).
- HIPAA (Gesundheitsunterlagen): Erfasste Stellen müssen die Dokumentation ihrer Richtlinien und Verfahren sechs Jahre ab Erstellung oder letztem Wirksamkeitsdatum aufbewahren (45 CFR 164.530(j)). Einzelstaatliche Gesetze schreiben für die zugrunde liegenden medizinischen Unterlagen häufig längere Fristen vor.
- FLSA (Beschäftigungsunterlagen): Der Fair Labor Standards Act verlangt von Arbeitgebern die Aufbewahrung von Lohnunterlagen für drei Jahre und von Lohnberechnungsunterlagen für zwei Jahre (29 CFR 516).
- SOX (Finanzunterlagen): Der Sarbanes-Oxley Act verlangt die Aufbewahrung von Prüfungsunterlagen für sieben Jahre (18 USC 1520).
- SEC Rule 17a-4: Broker-Dealer müssen bestimmte Unterlagen je nach Art der Unterlagen drei bis sechs Jahre aufbewahren.
- Bank Secrecy Act (Geldwäsche-Unterlagen): Finanzinstitute müssen Aufzeichnungen zu bestimmten Transaktionen, einschließlich Currency Transaction Reports und Suspicious Activity Reports, fünf Jahre aufbewahren.
Anforderungen auf Ebene der Bundesstaaten: Kaliforniens CCPA/CPRA verlangt von Unternehmen, Aufbewahrungsfristen offenzulegen und Daten nicht länger als angemessen erforderlich aufzubewahren (Cal. Civ. Code 1798.100(c)). Colorado, Virginia (VCDPA) und Texas (TDPSA) enthalten parallele Grundsätze der Speicherbegrenzung, die dokumentierte, am Verarbeitungszweck ausgerichtete Aufbewahrungsfristen verlangen.
Vereinigtes Königreich
Nach dem Brexit behält das Vereinigte Königreich den Grundsatz der Speicherbegrenzung der DSGVO über die UK-DSGVO und den Data Protection Act 2018 bei. Das ICO setzt diesen Grundsatz neben sektorspezifischen britischen Gesetzen durch.
Der britische Data Protection and Digital Information (DPDI) Bill verfiel mit der Auflösung des Parlaments vor der Parlamentswahl im Juli 2024. Der Data (Use and Access) Act erhielt am 19. Juni 2025 die Royal Assent und führte Änderungen bei Smart-Data-Systemen und beim Datenaustausch ein, ließ den grundlegenden Grundsatz der Speicherbegrenzung nach der UK-DSGVO jedoch unverändert.
Sektorspezifische Fristen umfassen unter anderem:
- Finanzdienstleistungen: Die FCA-Vorschriften verlangen die Aufbewahrung von Transaktionsunterlagen für fünf Jahre (MiFID II) und von Geldwäsche-Unterlagen für fünf Jahre nach Ende der Geschäftsbeziehung.
- Telekommunikation: Der Investigatory Powers Act 2016 erlaubt die Aufbewahrung von Internetverbindungsdaten für bis zu 12 Monate für den Zugriff durch Strafverfolgungsbehörden. Belgien, Dänemark und das Vereinigte Königreich zählen zu den wenigen EU-/Nach-EU-Rechtsordnungen, die im Einklang mit der EuGH-Rechtsprechung nur eine gezielte Speicherung vorschreiben.
- Beschäftigung: Die HMRC verlangt, dass Lohnunterlagen drei Jahre nach Ende des betreffenden Steuerjahres aufbewahrt werden.
Mitgliedstaaten der Europäischen Union
Über den DSGVO-Rahmen hinaus unterhalten einzelne EU-Mitgliedstaaten sektorspezifische gesetzliche Aufbewahrungsfristen. Wichtige Beispiele:
Finanzen/Geldwäsche: Alle Mitgliedstaaten setzen die fünfjährige Aufbewahrungspflicht der EU-Geldwäscherichtlinie für Sorgfaltspflicht- und Transaktionsunterlagen um.
Beschäftigung: Deutschland verlangt zehn Jahre für steuerrelevante Beschäftigungsunterlagen; Frankreich verlangt fünf Jahre für Gehaltsunterlagen; Polen und Tschechien verlangen 50 Jahre für sozialversicherungs- und rentenbezogene Unterlagen.
Gesundheitsakten: Deutschland verlangt 10 Jahre für medizinische Unterlagen ab Behandlungsende; Frankreich verlangt 20 Jahre ab dem letzten Kontakt; Italien verlangt 30 Jahre für medizinische Unterlagen bei größeren Eingriffen.
Telekommunikations-Metadaten: Wie oben erwähnt, verfügen derzeit nur Deutschland, die Niederlande und Rumänien über keine verpflichtenden Vorschriften zur Vorratsdatenspeicherung. Die meisten übrigen Mitgliedstaaten behalten nationale Gesetze bei, die möglicherweise mit der EuGH-Rechtsprechung unvereinbar sind, jedoch innerstaatlich noch nicht förmlich für unwirksam erklärt wurden.
Brasilien (LGPD)
Brasiliens LGPD spiegelt den DSGVO-Grundsatz der Speicherbegrenzung nach Art. 15 wider und verlangt die Löschung personenbezogener Daten, sobald der Verarbeitungszweck erreicht ist. Ausnahmen bestehen für die Erfüllung gesetzlicher Pflichten, Forschung (mit Anonymisierung, soweit möglich) und die berechtigten Interessen des Verantwortlichen.
Brasiliens nationale Datenschutzbehörde (ANPD) erließ 2024 ihre ersten bedeutenden Durchsetzungsentscheidungen und veröffentlichte einen Entwurf für Aufbewahrungsleitlinien, was auf eine verstärkte regulatorische Prüfung von Organisationen hindeutet, die Daten ohne festgelegte Fristen aufbewahren.
Zu den sektorspezifischen brasilianischen Anforderungen zählen:
- Steuerunterlagen: Fünf Jahre (Código Tributário Nacional).
- Beschäftigungsunterlagen: Fünf Jahre für allgemeine Unterlagen; bis zu 30 Jahre für Unterlagen zum Arbeitsschutz.
- Verbraucherunterlagen: Fünf Jahre (Código de Defesa do Consumidor).
China (PIPL)
Chinas PIPL verlangt in Art. 19, dass Aufbewahrungsfristen auf das "zur Erreichung des Verarbeitungszwecks erforderliche Mindestmaß" beschränkt werden. Organisationen müssen personenbezogene Informationen löschen oder anonymisieren, sobald der Zweck erreicht ist, die vereinbarte Aufbewahrungsfrist abgelaufen ist oder die betroffene Person ihre Einwilligung widerruft.
Die am 30. September 2024 bekannt gegebenen und seit 1. Januar 2025 geltenden Network Data Security Management Regulations verlangen von Netzwerkdatenverarbeitern, die Aufbewahrungsfrist personenbezogener Informationen in ihre Verarbeitungsregeln aufzunehmen. Ist eine Frist schwer zu bestimmen, muss die Methode zu ihrer Bestimmung ausdrücklich angegeben werden. Diese Vorschriften setzen die PIPL-Anforderungen mit größerer operativer Präzision um.
Bestehende sektorspezifische Anforderungen bleiben in Kraft:
- Cybersicherheitsgesetz: Netzwerkbetreiber müssen Netzwerkprotokolle mindestens sechs Monate aufbewahren.
- Finanzunterlagen: Banken müssen Kundenidentifizierungsunterlagen fünf Jahre nach Kontoschließung und Transaktionsunterlagen fünf Jahre nach der Transaktion aufbewahren.
- Telekommunikation: Betreiber müssen Nutzerregistrierungsinformationen für die Dauer des Dienstes zuzüglich fünf Jahre nach Beendigung aufbewahren.
Indien (DPDPA)
Indiens DPDPA verlangt nach Section 8(7), dass Data Fiduciaries personenbezogene Daten löschen, sobald der Verarbeitungszweck erfüllt ist und die Aufbewahrung für die Einhaltung gesetzlicher Pflichten nicht mehr erforderlich ist.
Die am 13. November 2025 finalisierten Digital Personal Data Protection Rules 2025 setzen das DPDPA mit spezifischen Aufbewahrungsbestimmungen um:
- Mindestaufbewahrung (Verarbeitung nach dem Seventh Schedule): Data Fiduciaries, die Daten nach dem Seventh Schedule verarbeiten (nationale Sicherheit, gesetzliche Pflichten), müssen personenbezogene Daten, Verkehrsdaten und Verarbeitungsprotokolle mindestens ein Jahr ab dem Datum der Verarbeitung aufbewahren.
- Höchstaufbewahrung (große Plattformen): E-Commerce-Anbieter und Social-Media-Vermittler mit 20 Millionen oder mehr registrierten indischen Nutzern sowie Online-Gaming-Vermittler mit 5 Millionen oder mehr registrierten Nutzern unterliegen einer Obergrenze von drei Jahren ab dem späteren der beiden Zeitpunkte: der letzten Anfrage der betroffenen Person oder dem Inkrafttreten der Rules.
- Vorherige Löschbenachrichtigung: Data Fiduciaries müssen betroffene Personen 48 Stunden vor der Löschung personenbezogener Daten benachrichtigen, wenn die Person nicht mit der Plattform interagiert hat.
Die Rules treten stufenweise in Kraft: 12 Monate für die Bestimmungen zum Consent Manager und 18 Monate für die übrigen Bestimmungen. Sektorspezifische Gesetze gelten weiterhin: Der Companies Act 2013 verlangt Finanzunterlagen für acht Jahre; der Income Tax Act verlangt Steuerunterlagen für sechs bis acht Jahre; die KYC-Vorschriften der RBI verlangen fünf Jahre nach Ende der Geschäftsbeziehung.
Südkorea (PIPA)
Südkoreas PIPA verlangt in Art. 21 die Vernichtung personenbezogener Informationen innerhalb von fünf Tagen nach Ablauf der Aufbewahrungsfrist oder Erreichen des Verarbeitungszwecks. Dieses Fünf-Tage-Vernichtungsfenster zählt weltweit zu den strengsten.
Ist eine Aufbewahrung nach einem anderen Gesetz erforderlich, müssen die Informationen getrennt von anderen personenbezogenen Daten gespeichert werden. Zu den sektorspezifischen Fristen zählen:
- E-Commerce: Fünf Jahre für Vertrags- und Zahlungsunterlagen nach dem Act on Consumer Protection in Electronic Commerce.
- Telekommunikation: 12 Monate für Teilnehmerdaten; drei Monate für Kommunikationsmetadaten nach dem Telecommunications Business Act.
- Steuerunterlagen: Fünf Jahre nach dem Framework Act on National Taxes.
Australien
Australiens Privacy Act 1988 (Australian Privacy Principle 11) verlangt von Organisationen angemessene Schritte zur Vernichtung oder Anonymisierung personenbezogener Informationen, sobald diese für keinen Zweck mehr benötigt werden.
Der Privacy and Other Legislation Amendment Act 2024 (Cth) erhielt am 10. Dezember 2024 die Royal Assent und stellt die bedeutendste Reform des australischen Datenschutzrechts seit dessen Erlass dar. Zu den wichtigsten, die Datenaufbewahrung betreffenden Änderungen zählen: die Klarstellung, dass "angemessene Schritte" zum Schutz personenbezogener Informationen die Umsetzung "technischer und organisatorischer Maßnahmen" umfassen; ein neuer gesetzlicher Klagetatbestand (Tort) für schwerwiegende Verletzungen der Privatsphäre (in Kraft spätestens ab 10. Juni 2025); und neue Transparenzpflichten für automatisierte Entscheidungsfindung, in Kraft seit 11. Dezember 2024. Die zweijährige Vorratsdatenspeicherungspflicht für Telekommunikationsmetadaten nach dem Telecommunications (Interception and Access) Act bleibt unverändert.
Kanada
Kanadas PIPEDA (Personal Information Protection and Electronic Documents Act, SC 2000, c 5) verlangt von Organisationen, personenbezogene Informationen nur so lange aufzubewahren, wie es für den festgelegten Zweck erforderlich ist. Die Änderungen des Gesetzes 25 von Québec (in Kraft seit September 2023) verlangen von Organisationen, personenbezogene Informationen zu vernichten oder zu anonymisieren, sobald der Zweck erreicht ist.
Aktualisierung zu Bill C-27 / CPPA: Bill C-27, der den Consumer Privacy Protection Act (CPPA) zur Ablösung des PIPEDA eingeführt hätte, verfiel mit der Vertagung des Parlaments im Januar 2025 auf der Tagesordnung. Eine Bundeswahl im April 2025 verschob die Reform weiter nach hinten. Der Office of the Privacy Commissioner hat sich zuversichtlich gezeigt, dass die bundesweite Datenschutzreform in der 45. Legislaturperiode Priorität erhalten wird, doch mit Stand Mai 2026 wurde kein neues Bundesgesetz erlassen. Kanada unterliegt weiterhin dem im Jahr 2000 verfassten PIPEDA.
Japan
Japans Act on the Protection of Personal Information (APPI) verlangt in Art. 22 von Verarbeitern, sich um die Löschung personenbezogener Daten zu bemühen, sobald diese nicht mehr benötigt werden, legt jedoch keine festen Aufbewahrungsfristen fest. Branchenrichtlinien bieten zusätzliche Konkretisierung: Die MIC-Leitlinien für Telekommunikationsbetreiber verlangen von Anbietern, Aufbewahrungsfristen zu dokumentieren und Daten unverzüglich nach Ablauf der Frist zu löschen.
Die Personal Information Protection Commission (PPC) erließ im Geschäftsjahr 2024 (April 2024 bis März 2025) 67 Durchsetzungsentscheidungen und konsultiert derzeit zu APPI-Änderungen für 2025, einschließlich der Einführung verwaltungsrechtlicher Bußgelder. Zu den sektorspezifischen Aufbewahrungsfristen zählen: Unternehmensunterlagen nach dem Companies Act (10 Jahre), Unterlagen von Finanzinstituten nach dem Banking Act (10 Jahre nach Kontoschließung) und Steuerunterlagen nach dem National Tax Act (sieben Jahre).
Singapur
Singapurs Personal Data Protection Act (PDPA) begründet eine Retention Limitation Obligation, wonach Organisationen die Aufbewahrung personenbezogener Daten beenden oder diese entsorgen müssen, sobald sie für keinen geschäftlichen oder rechtlichen Zweck mehr benötigt werden. Die PDPC hat die Durchsetzung 2024-2025 verschärft: Ein Fall aus dem Jahr 2024 gegen Keppel Telecommunications stellte einen Verstoß wegen unterlassener Löschung veralteter personenbezogener Daten von einem Altsystem fest. Bußgelder können bis zu 1 Million SGD oder 10 % des jährlichen Umsatzes in Singapur für Organisationen mit einem Umsatz von mehr als 10 Millionen SGD erreichen.
Zu den sektorspezifischen Anforderungen zählen: Von der MAS regulierte Finanzinstitute müssen Kundenunterlagen fünf Jahre aufbewahren; Gesundheitsdienstleister müssen medizinische Unterlagen sechs Jahre nach den Private Hospitals and Medical Clinics Regulations aufbewahren.
Südafrika (POPIA)
Südafrikas Protection of Personal Information Act (POPIA) verlangt in Section 14, dass Aufzeichnungen personenbezogener Informationen nicht länger aufbewahrt werden, als für die Erreichung des Erhebungszwecks erforderlich ist. Eine verlängerte Aufbewahrung ist zulässig für rechtmäßige Funktionen, vertragliche Pflichten oder mit Einwilligung der betroffenen Person.
Wurde eine Aufzeichnung für eine Entscheidung über eine betroffene Person verwendet, muss sie für einen gesetzlich oder in einem Verhaltenskodex festgelegten Zeitraum aufbewahrt werden, oder, falls kein solcher Zeitraum festgelegt ist, so lange, dass der betroffenen Person eine angemessene Gelegenheit zur Beantragung von Zugang gegeben wird. POPIA trat am 1. Juli 2020 in Kraft, mit einer Compliance-Frist zum 30. Juni 2021.
Mexiko
Mexiko erließ ein neues Bundesgesetz zum Schutz personenbezogener Daten im Besitz Privater (LFPDPPP), in Kraft seit 21. März 2025, das die Fassung von 2010 ersetzt. Verantwortliche müssen Aufbewahrungsfristen festlegen und Daten nach deren Ablauf im Rahmen eines Sperrverfahrens löschen. Daten im Zusammenhang mit Vertragsverstößen müssen nach 72 Monaten gelöscht werden. Sobald der Verarbeitungszweck erfüllt ist, werden die Daten gesperrt (aufbewahrt, aber nicht verarbeitet), bis die gesetzliche oder vertragliche Verjährungsfrist abgelaufen ist, und anschließend gelöscht.
Vergleichstabelle wichtiger Aufbewahrungsfristen
| Sektor/Unterlagenart | USA | EU/DSGVO | UK | Brasilien | China | Südkorea | Australien | Japan | Singapur |
|---|---|---|---|---|---|---|---|---|---|
| Steuer-/Finanzunterlagen | 3-7 Jahre | 5-10 Jahre (je nach Bundesstaat unterschiedlich) | 3-6 Jahre | 5 Jahre | 5 Jahre | 5 Jahre | 5-7 Jahre | 7 Jahre | 5 Jahre |
| Beschäftigung/Lohnabrechnung | 2-3 Jahre (FLSA) | 6-10 Jahre (unterschiedlich) | 3 Jahre (HMRC) | 5-30 Jahre | Je nach Vertrag + Gesetz | 3 Jahre | 7 Jahre | Je nach Vertrag | 5 Jahre |
| Gesundheits-/Medizinunterlagen | 6+ Jahre (HIPAA-Dokumentation) | 8-20 Jahre (unterschiedlich) | 8-25 Jahre (NHS) | 20 Jahre | mindestens 15 Jahre | 5 Jahre nach Behandlung | 7 Jahre | je nach Sektor unterschiedlich | 6 Jahre |
| Telekommunikations-Metadaten | Kein Bundesmandat | je nach Mitgliedstaat unterschiedlich (allgemeine Speicherung durch EuGH untersagt) | 12 Monate (IPA) | je nach Sektorvorschrift | 6 Monate (Protokolle) | 3-12 Monate | 2 Jahre | je nach MIC-Leitlinien | je nach MDA-Vorschriften |
| Geldwäschebekämpfung | 5 Jahre (BSA) | 5 Jahre (AMLD) | 5 Jahre | 5 Jahre | 5 Jahre | 5 Jahre | 7 Jahre | 7 Jahre | 5 Jahre |
| Verbraucher/E-Commerce | Kein Bundesmandat | zweckbezogen | zweckbezogen | 5 Jahre | zweckbezogen | 5 Jahre | zweckbezogen | zweckbezogen | zweckbezogen |
Anforderungen an die Datenvernichtung
Aufbewahrungspflichten sind bedeutungslos ohne durchsetzbare Vernichtungspflichten. Die meisten modernen Datenschutzgesetze legen fest, wie Daten vernichtet werden müssen, nicht nur, wann.
Ansatz der DSGVO/EU: Die DSGVO verlangt eine Löschung, die Daten unwiederbringlich macht. Die ENISA hat Leitlinien veröffentlicht, die für Hardware die physische Vernichtung und für elektronische Aufzeichnungen die kryptografische Löschung oder mehrfache Überschreibung empfehlen. Der EDSA hat darauf hingewiesen, dass die Anonymisierung (sodass Personen nicht mehr identifizierbar sind) für Forschungs- und Archivierungszwecke eine Alternative zur Löschung darstellt, hat jedoch davor gewarnt, die Pseudonymisierung im Hinblick auf die Speicherbegrenzung der Löschung gleichzusetzen.
US-Bundesstandards: Das NIST veröffentlicht SP 800-88 Rev. 1 ("Guidelines for Media Sanitization") mit detaillierten Methoden zum Löschen, Bereinigen und Vernichten von Datenspeichermedien. Viele bundesstaatliche Datenschutzgesetze verweisen auf NIST-Standards als Maßstab für eine angemessene Vernichtung.
Dokumentationsanforderungen: Mehrere Rechtsordnungen verlangen dokumentierte Aufzeichnungen der Vernichtung:
- Südkorea verlangt ein Vernichtungsprotokoll mit Datum, Methode und verantwortlicher Person innerhalb von fünf Tagen nach Zweckfortfall.
- Das britische ICO empfiehlt die Aufbewahrung von Vernichtungsbescheinigungen für ausgelagerte Entsorgungsdienste.
- Singapurs PDPA verlangt von Organisationen eine "angemessene Rechenschaftspflicht" für die Vernichtung, einschließlich der Führung von Aufzeichnungen.
- Indiens DPDPA Rules verlangen, dass die 48-Stunden-Vorablöschbenachrichtigung dokumentiert und protokolliert wird.
Backup-Daten: Der CEF-2025-Bericht des EDSA stellte fest, dass die Hälfte der antwortenden Aufsichtsbehörden berichtete, dass Verantwortliche über keine spezifischen Verfahren zur Löschung aus Backup-Systemen verfügen. Manche Verantwortliche löschen personenbezogene Daten überhaupt nicht aus Backups. Aufsichtsbehörden behandeln Backup-Daten zunehmend als denselben Löschpflichten unterliegend wie primäre Daten.
Litigation Holds und Konflikte bei der Aufbewahrung
Ein Litigation Hold (oder Legal Hold) ist die Pflicht, sämtliche potenziell relevanten Dokumente und Daten aufzubewahren, wenn ein Rechtsstreit vernünftigerweise zu erwarten ist. In den Vereinigten Staaten ergibt sich die Aufbewahrungspflicht aus dem Common Law und den FRCP-Änderungen, insbesondere aus Rule 37(e), die sich mit Sanktionen bei unterlassener Aufbewahrung elektronisch gespeicherter Informationen befasst.
Litigation Holds setzen die regulären Aufbewahrungspläne außer Kraft. Sieht die Richtlinie einer Organisation die Löschung nach drei Jahren vor, ein Rechtsstreit im Zusammenhang mit diesen Unterlagen ist jedoch zu erwarten, muss die Organisation die Löschung der betroffenen Daten aussetzen, bis der Hold aufgehoben wird.
Nach der DSGVO wird das Spannungsverhältnis zwischen den Grundsätzen der Datenminimierung und den Pflichten im Rahmen eines Litigation Hold ausdrücklich anerkannt. Erwägungsgrund 65 der DSGVO sieht vor, dass eine Aufbewahrung über den ursprünglichen Zweck hinaus zulässig sein kann, um Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen. Organisationen müssen diese Rechtsgrundlage in ihrem Verzeichnis von Verarbeitungstätigkeiten dokumentieren und den betroffenen Personen mitteilen.
Wie eine konforme Aufbewahrungsrichtlinie erstellt wird
Organisationen, die sich mit mehrjurisdiktionellen Aufbewahrungsanforderungen auseinandersetzen, sollten die folgenden Schritte befolgen:
1. Ein Dateninventar erstellen. Erfassen Sie jede Kategorie personenbezogener Daten, die erhoben werden, die Rechtsordnungen, durch die sie fließen, und die Rechtsgrundlagen für die Verarbeitung. Dieses Inventar bildet die Grundlage für einen belastbaren Aufbewahrungsplan.
2. Einen Aufbewahrungsplan erstellen. Bestimmen Sie für jede Datenkategorie die geltenden Aufbewahrungsfristen in allen relevanten Rechtsordnungen. Setzen Sie die Aufbewahrungsobergrenze auf die längste vorgeschriebene Frist. Dokumentieren Sie die Rechtsgrundlage für jede Frist (gesetzliche Pflicht, berechtigtes Interesse oder Einwilligung).
3. Eine grenzüberschreitende Matrix erstellen. Erstellen Sie für multinationale Organisationen eine rechtsordnungsübergreifende Tabelle, die die längste vorgeschriebene Frist, die kürzeste zulässige Höchstfrist und das sich daraus ergebende zulässige Fenster ausweist. Stehen Rechtsordnungen im Widerspruch zueinander (z. B. eine verpflichtende Mindestfrist von 12 Monaten in Rechtsordnung A und eine zweckbezogene Höchstfrist von sechs Monaten in Rechtsordnung B), dokumentieren Sie die Spannung und die gewählte Lösung.
4. Löschung automatisieren. Manuelle Löschprozesse sind fehleranfällig. Moderne Data-Governance-Plattformen können eine automatisierte Löschung anhand von Aufbewahrungsplänen durchsetzen, mit einer Ausnahmebehandlung für Litigation Holds. Der CEF-2025-Bericht des EDSA identifizierte Backup-Daten als häufige Lücke.
5. Alles dokumentieren. Aufsichtsbehörden und Gerichte erwarten zunehmend, dass Organisationen nicht nur nachweisen, dass sie eine Aufbewahrungsrichtlinie haben, sondern dass sie diese auch befolgen. Führen Sie Vernichtungsprotokolle, Prüfpfade und Ausnahmeaufzeichnungen. Sowohl Südkorea als auch Indien verlangen eine spezifische Dokumentation von Vernichtungsvorgängen.
Aktuelle Entwicklungen (2024-2026)
Durchsetzung des Rechts auf Löschung durch den EDSA 2025. Die koordinierte Durchsetzungsmaßnahme des EDSA von 2025 erfasste 764 Verantwortliche in 32 Rechtsordnungen und stellte weitverbreitete Schwierigkeiten bei der Bestimmung und Umsetzung von Aufbewahrungsfristen fest. Der EDSA rief die nationalen Aufsichtsbehörden dazu auf, spezifischere Leitlinien zur Aufbewahrung zu entwickeln.
EU-Gesetzgebung zur Metadatenspeicherung. Die Europäische Kommission startete im Mai 2025 einen förmlichen Aufruf zur Stellungnahme zur Wiederbelebung eines verpflichtenden unionsweiten Rahmens zur Metadatenspeicherung. Ein Gesetzesentwurf wird Anfang 2026 erwartet. Der Vorschlag würde für Telekommunikationsanbieter, Cloud-Dienste, Zahlungsabwickler und möglicherweise Ende-zu-Ende-verschlüsselte Messaging-Dienste gelten. Jedes Gesetz müsste sich innerhalb der Grenzen der EuGH-Rechtsprechung bewegen, die eine allgemeine und unterschiedslose Speicherung untersagt.
Finalisierung der indischen DPDPA Rules. Indiens DPDPA Rules wurden am 13. November 2025 finalisiert und legten erstmals konkrete Aufbewahrungsobergrenzen für große digitale Plattformen fest.
Australiens Reform des Privacy Act. Der Privacy and Other Legislation Amendment Act 2024 (Royal Assent am 10. Dezember 2024) führte die bedeutendste australische Datenschutzreform seit Erlass des Gesetzes ein, klärte Vernichtungspflichten und führte einen neuen gesetzlichen Klagetatbestand ein.
Neues LFPDPPP in Mexiko. Mexikos aktualisiertes LFPDPPP trat am 21. März 2025 in Kraft und ersetzte einen Rahmen von 2010 durch aktualisierte Verfahren zur Datenverarbeitung und Sperrung bei Aufbewahrung.
Frequently Asked Questions
Was ist der Unterschied zwischen dem DSGVO-Grundsatz der Speicherbegrenzung und verpflichtenden Datenaufbewahrungsgesetzen?
Der DSGVO-Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) dient dem Datenschutz: Er untersagt es, personenbezogene Daten länger als für den ursprünglichen Zweck erforderlich aufzubewahren. Verpflichtende Gesetze zur Vorratsdatenspeicherung sind hingegen Überwachungsinstrumente: Sie verpflichten Internetanbieter und Telekommunikationsunternehmen, Teilnehmer- und Verkehrsmetadaten für einen festen Zeitraum aufzubewahren, damit Strafverfolgungsbehörden darauf zugreifen können. Beide können gleichzeitig auf dieselben Daten anwendbar sein und schaffen so ein zulässiges Aufbewahrungsfenster zwischen der verpflichtenden Mindestfrist und der Höchstfrist nach dem Grundsatz der Speicherbegrenzung.
Wie lange darf ein Unternehmen personenbezogene Daten nach der DSGVO aufbewahren?
Die DSGVO legt keine konkreten Fristen fest. Art. 5 Abs. 1 lit. e verlangt, dass personenbezogene Daten nicht länger aufbewahrt werden, als für den Erhebungszweck erforderlich ist. Organisationen müssen Aufbewahrungsfristen anhand ihres Verarbeitungszwecks, etwaiger gesetzlicher Pflichten und sektorspezifischer Regeln bestimmen und dokumentieren. Der Durchsetzungsbericht des EDSA von 2025 stellte fest, dass die meisten Organisationen damit Schwierigkeiten haben, dies konsequent umzusetzen.
Was ist aus der EU-Richtlinie zur Vorratsdatenspeicherung geworden?
Der Gerichtshof der Europäischen Union erklärte die Richtlinie zur Vorratsdatenspeicherung (2006/24/EG) in der Rechtssache Digital Rights Ireland (Rechtssache C-293/12, 8. April 2014) für unwirksam und stellte fest, dass eine pauschale Speicherung sämtlicher Kommunikationsmetadaten aller Nutzer ohne jede Differenzierung gegen die in der Charta verankerten Rechte auf Achtung des Privatlebens und Datenschutz verstößt. Die Europäische Kommission konsultiert derzeit zu einem Ersatzrahmen für die verpflichtende Vorratsdatenspeicherung; ein Gesetzesentwurf wird Anfang 2026 erwartet.
Ist eine allgemeine Vorratsdatenspeicherung von Telekommunikationsmetadaten in der EU weiterhin zulässig?
Nein, für die meisten Zwecke der Kriminalitätsbekämpfung nicht. Die EuGH-Rechtsprechung von 2014 bis 2022 stellte fest, dass eine allgemeine und unterschiedslose Speicherung sämtlicher Verkehrs- und Standortdaten aller Nutzer mit dem Unionsrecht unvereinbar ist. Zulässig sind nur eine gezielte Speicherung (nach Person, Geografie oder Kategorie), Quick-Freeze-Anordnungen und eine Echtzeitüberwachung mit richterlicher Genehmigung. Das Urteil La Quadrature du Net II von 2024 schuf eine eng gefasste Ausnahme für die Speicherung von IP-Adressen, die als weniger eingriffsintensiv als andere Metadaten behandelt wird.
Was ist mit Indiens DPDPA-Aufbewahrungsregeln geschehen?
Indiens DPDPA Rules wurden am 13. November 2025 finalisiert. Die Rules verlangen mindestens ein Jahr Aufbewahrung für personenbezogene Daten, die im Rahmen der nationalen Sicherheit und gesetzlicher Pflichten verarbeitet werden. Große E-Commerce-Plattformen, Social-Media-Vermittler (20+ Millionen Nutzer) und Online-Gaming-Plattformen (5+ Millionen Nutzer) unterliegen einer Höchstaufbewahrungsfrist von drei Jahren. Data Fiduciaries müssen Nutzer 48 Stunden vor der Löschung ihrer Daten benachrichtigen, wenn diese kürzlich nicht mit der Plattform interagiert haben.
Wie ist der Stand der kanadischen Datenschutzreform?
Kanadas Bill C-27, der das PIPEDA durch den Consumer Privacy Protection Act (CPPA) ersetzt hätte, verfiel mit der Vertagung des Parlaments im Januar 2025 auf der Tagesordnung. Eine Bundeswahl im April 2025 verschob die Reform weiter. Kanada unterliegt weiterhin dem im Jahr 2000 erlassenen PIPEDA. Das Gesetz 25 von Québec (in Kraft seit September 2023) sieht strengere provinzielle Anforderungen vor.
Setzen Litigation Holds Datenaufbewahrungsrichtlinien außer Kraft?
Ja. Ist ein Rechtsstreit vernünftigerweise zu erwarten, müssen Organisationen sämtliche potenziell relevanten Daten unabhängig von den regulären Aufbewahrungsplänen aufbewahren. In den USA befasst sich FRCP Rule 37(e) mit Sanktionen bei unterlassener Aufbewahrung elektronisch gespeicherter Informationen. Nach der DSGVO erlaubt Erwägungsgrund 65 eine Aufbewahrung über den ursprünglichen Zweck hinaus zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Diese Pflicht besteht fort, bis der Rechtsstreit abgeschlossen ist oder der Hold förmlich aufgehoben wird.
Wie sollten personenbezogene Daten am Ende der Aufbewahrungsfrist vernichtet werden?
Die meisten Datenschutzgesetze verlangen eine unwiderrufliche Vernichtung. NIST SP 800-88 nennt Methoden wie physische Vernichtung, kryptografische Löschung und mehrfaches Überschreiben. Südkorea verlangt eine dokumentierte Vernichtung innerhalb von fünf Tagen. Indien verlangt bei bestimmten Plattformen eine 48-Stunden-Vorabbenachrichtigung vor der Löschung. Organisationen sollten Vernichtungsprotokolle mit Datum, Methode und verantwortlicher Person führen. Backup-Systeme erfordern spezifische Löschverfahren; der EDSA stellte hierbei eine weitverbreitete Compliance-Lücke fest.
Unterscheiden sich Datenaufbewahrungsgesetze für Gesundheitsunterlagen von denen für Finanzunterlagen?
Ja, erheblich. Gesundheitsunterlagen unterliegen in der Regel längeren verpflichtenden Aufbewahrungsfristen (in vielen Rechtsordnungen 8-25 Jahre) aufgrund fortdauernder klinischer Relevanz und möglicher Haftungsansprüche. Finanzunterlagen erfordern je nach Rechtsordnung und Unterlagenart im Allgemeinen 3-10 Jahre. Jeder Sektor hat sein eigenes regulatorisches Regelwerk. In den USA regelt HIPAA die Dokumentation von Gesundheitsunterlagen (6 Jahre), während einzelstaatliche Gesetze zur ärztlichen Praxis für die zugrunde liegenden Unterlagen in der Regel 7-10 Jahre verlangen.
Kann ein Unternehmen dieselbe Aufbewahrungsfrist für alle Länder verwenden?
Die weltweit einheitliche Anwendung der längsten vorgeschriebenen Frist ist rechtlich vorsichtig, kann jedoch mit den Grundsätzen der Datenminimierung in Ländern mit kürzeren vorgeschriebenen Höchstfristen kollidieren. Der sicherere Ansatz ist ein rechtsordnungsspezifischer Aufbewahrungsplan, der sich danach richtet, wo die betroffenen Personen ansässig sind, mit dokumentierten Rechtsgrundlagen für jede Frist. Multinationale Organisationen sollten eine grenzüberschreitende Matrix erstellen, die das zulässige Fenster zwischen verpflichtenden Mindestfristen und Höchstfristen nach dem Grundsatz der Speicherbegrenzung für jede Datenkategorie und Rechtsordnung ausweist.
Sources and References
- DSGVO: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates(eur-lex.europa.eu).gov
- DSGVO Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten(gdpr-info.eu)
- EuGH Digital Rights Ireland (Rechtssachen C-293/12 und C-594/12, 8. April 2014)(curia.europa.eu).gov
- EuGH Tele2 Sverige und Watson (Rechtssachen C-203/15 und C-698/15, 21. Dezember 2016)(eur-lex.europa.eu).gov
- EuGH La Quadrature du Net I (Rechtssachen C-511/18, C-512/18, C-520/18, C-623/17, 6. Oktober 2020)(curia.europa.eu).gov
- EuGH SpaceNet und Telekom Deutschland (Rechtssachen C-793/19 und C-794/19, 20. September 2022)(curia.europa.eu).gov
- EuGH La Quadrature du Net II (Rechtssache C-470/21, 30. April 2024)(eur-lex.europa.eu).gov
- EDSA koordinierte Durchsetzungsmaßnahme 2025: Umsetzung des Rechts auf Löschung (Februar 2026)(edpb.europa.eu).gov
- UK ICO: Leitfaden zur Speicherbegrenzung(ico.org.uk).gov
- 26 USC 6501: IRS-Fristen für Steuerfestsetzung und -erhebung(law.cornell.edu)
- 45 CFR 164.530: HIPAA-Verwaltungsanforderungen(law.cornell.edu)
- 29 CFR 516: FLSA-Unterlagen für Arbeitgeber(law.cornell.edu)
- 18 USC 1520: SOX-Vernichtung von Unternehmensprüfungsunterlagen(law.cornell.edu)
- Cal. Civ. Code 1798.100: CCPA-Recht der Verbraucher auf Kenntnis(leginfo.legislature.ca.gov).gov
- Brasilien LGPD: Gesetz 13.709/2018(planalto.gov.br).gov
- China PIPL Volltext (NPC)(npc.gov.cn).gov
- China Network Data Security Management Regulations (in Kraft seit 1. Januar 2025)(english.www.gov.cn).gov
- Indien DPDPA 2023 Volltext(meity.gov.in).gov
- IAPP: Indiens DPDPA Rules finalisiert (November 2025)(iapp.org)
- Südkorea PIPA – englische Übersetzung(law.go.kr).gov
- Australian Privacy Principles (OAIC)(oaic.gov.au).gov
- Privacy and Other Legislation Amendment Act 2024 (Cth), Parlament von Australien(aph.gov.au).gov
- Kanada PIPEDA: Personal Information Protection and Electronic Documents Act, SC 2000, c 5(laws-lois.justice.gc.ca).gov
- Singapur PDPA: Datenschutzpflichten (PDPC)(pdpc.gov.sg).gov
- Südafrika POPIA: Section 14 Aufbewahrung und Einschränkung von Aufzeichnungen(popia.co.za)
- NIST SP 800-88 Rev. 1: Leitlinien zur Medienbereinigung(csrc.nist.gov).gov
- FRCP Rule 37(e): Unterlassene Aufbewahrung elektronisch gespeicherter Informationen(law.cornell.edu)