§ 35 Absatz 2 Satz 1 Nr. 3 des Bundesdatenschutzgesetzes (BDSG) schreibt vor, dass personenbezogene Daten in Datenverarbeitungsanlagen grundsätzlich zu löschen sind, sobald ihre Kenntnis für die Erfüllung des Zwecks, für den sie gespeichert wurden, nicht mehr erforderlich ist. In einer Datenlöschkonzeption muss deswegen für jede Datenart festgelegt werden, zu welchem Zweck diese Angaben gespeichert und genutzt und nach welcher Speicherdauer bzw. unter welchen Voraussetzungen sie gelöscht werden.
Die Dauer dieser Frist bemisst sich in erster Linie nach dem Speicherungszweck und den Erfahrungen der speichernden Stelle, ab wann davon ausgegangen werden kann, dass der Zweck erreicht bzw. das Geschäft endgültig abgewickelt ist. Dabei kann man sich z.B. an Gewährleistungs- und Verjährungsvorschriften orientieren. Für Bewerbungsunterlagen kann man die in § 15 Absatz 4 des allgemeinen Gleichbehandlungsgesetzes (AGG) vorgesehene Regelfrist von zwei Monaten heranziehen. Bei längeren Verjährungsfristen hat die Daten verarbeitende Stelle zwar einen Ermessensspielraum, darf aber die volle Länge nur dann ausschöpfen, wenn sie aus ihrer Erfahrung heraus belegen kann, dass eine kürzere Frist nicht ausreichend ist.
Der Europäische Gerichtshof hat mit Urteil vom 7. Mai 2009 – C-553/07 – entschieden, dass im Interesse des Betroffenen die Angaben zu den Empfängern oder Kategorien von Empfängern sowie die an diese übermittelten Daten entsprechend Art. 12. Buchstabe a der Richtlinie 95/46/EG auch dann noch eine bestimmte Zeit aufzubewahren sind, wenn sie zur ursprünglichen Aufgabenerfüllung bei der speichernden Stelle nicht mehr benötigt werden (sog. Dokumentationsfrist). Damit soll dem Betroffenen ermöglicht werden, noch nachträglich insbesondere seine Datenschutzrechte geltend zu machen. Das kann beispielsweise eine Schadensersatzforderung nach § 7 BDSG sein. Die Rechtsverfolgung würde u. U. erschwert, wenn das Datum, durch das sich der Betroffene geschädigt fühlt, bei der speichernden Stelle kurzerhand gelöscht worden ist. Diese Daten dürfen nur noch im Interesse des Empfängers, zu Datenschutzkontrollen und zur Verteidigung der speichernden Stelle gegen Ansprüche des Betroffenen genutzt werden (vgl. § 31 BDSG).
Die Löschung muss so erfolgen, dass das Dokument dauerhaft und nicht wiederherstellbar unkenntlich gemacht wird. Wie dies im Einzelnen zu geschehen hat, kann einem gesonderten Hinweisblatt entnommen werden (vgl. auch Kramer, Datenschutzberater, 2013, S. 93).