Aufbewahrungsfristen für Formulardaten — wie lange wirklich speichern?

Die meisten Organisationen denken intensiv darüber nach, wie sie Formulardaten erfassen, viel weniger darüber, wann sie sie löschen. Das Ergebnis ist eine stille Anhäufung: Tausende von Einreichungen, die in Formular-Tools liegen, manchmal jahrelang über ihren nützlichen Lebenszyklus hinaus, oft vergessen, gelegentlich durch eine Datenpanne oder eine Auskunftsanfrage ans Licht gebracht. Dieser Artikel ist ein praktischer Leitfaden zu Aufbewahrungsfristen für Formulareinreichungen — was das Gesetz erwartet, wie man sinnvolle Standardwerte setzt, und wie Zero-Knowledge-Tools die Rechnung verändern.

Der Standard, mit dem die meisten Organisationen leben

Öffnen Sie das Dashboard eines typischen Formular-Tools, das seit zwei oder drei Jahren in Gebrauch ist. Sie werden meist jede jemals erhaltene Einreichung finden, vollständig und lesbar, ohne geplante Löschung. Die Gründe sind bekannt: Niemand verantwortet die Aufbewahrungsfrage, das Tool drängt Sie nicht, ein Limit zu setzen, und die Grenzkosten einer weiteren Datenbankzeile gehen gegen null. Also bleiben die Daten.

Dieser Standard hat einen konkreten Preis. Unter der DSGVO (Art. 5 Abs. 1 lit. e, Speicherbegrenzung) und dem nDSG (Art. 6 Abs. 4, Verhältnismässigkeit und Erforderlichkeit) dürfen personenbezogene Daten nicht länger aufbewahrt werden, als es für den Erhebungszweck erforderlich ist. "Standardmässig unbefristet" ist keine vertretbare Antwort — es ist das Fehlen einer Antwort, und Aufsichtsbehörden behandeln das zunehmend so.

Was das Gesetz tatsächlich verlangt

DSGVO und nDSG haben die gleiche Grundposition: Personenbezogene Daten nur so lange aufbewahren, wie sie für den Erhebungszweck benötigt werden. Keines setzt eine einzelne konkrete Frist für alle Formulare; beide verlangen, dass Sie Fristen setzen, die zu Ihren Zwecken passen, und dass Sie diese verteidigen können.

DSGVO — Speicherbegrenzungsgrundsatz

Art. 5 Abs. 1 lit. e verlangt, dass personenbezogene Daten "in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist". Erwägungsgrund 39 verstärkt das: Fristen für die Löschung oder regelmässige Überprüfung sind festzulegen. EU-Aufsichtsbehörden erwarten ein dokumentiertes Aufbewahrungs-Schema, nicht nur ein vages Prinzip.

nDSG (Schweiz) — Verhältnismässigkeit und Erforderlichkeit

Das revidierte Schweizer Datenschutzgesetz folgt derselben Logik: Daten dürfen (auch was die Speicherung angeht) nur insoweit verarbeitet werden, als es für den festgelegten Zweck erforderlich ist. Wo ein Verantwortlicher die fortgesetzte Speicherung nicht rechtfertigen kann, ist Löschung oder Anonymisierung erforderlich. Der EDÖB hat signalisiert, dass Aufbewahrungsschemata bei Inspektionen Standardthema sein werden.

Branchenspezifische Vorgaben

Über die allgemeinen Grundsätze hinaus setzen branchenspezifische Regeln Mindest- und Höchstaufbewahrungsfristen, die Sie nicht frei anpassen können:

• Gesundheitswesen: medizinische Akten haben oft lange Mindestaufbewahrung (Schweiz: ~10 Jahre nach Behandlung bei Erwachsenen; länger bei Minderjährigen und bestimmten Fachgebieten)
• Finanzen und KYC: Geldwäscherei-Gesetzgebung verlangt typischerweise 5 bis 10 Jahre Aufbewahrung von Sorgfaltspflicht-Unterlagen
• Steuern und Buchhaltung: Viele Jurisdiktionen verlangen Aufbewahrung von Geschäftsdokumenten von 7 bis 10 Jahren
• Personalwesen: Lohn-, Vertrags- und HR-Akten haben unterschiedliche Mindestfristen (typischerweise 5 bis 10 Jahre nach Beendigung)
• Forschung und klinische Studien: ICH-GCP und EU-Verordnung über klinische Prüfungen verlangen 25 Jahre für Trial-Master-Files

Ein praktischer Rahmen für die Festlegung der Aufbewahrung

Der Rahmen, der für die meisten formularbasierten Prozesse funktioniert, hat vier Schritte: Zweck identifizieren, längste anwendbare Pflicht identifizieren, eine einzige Aufbewahrungsfrist setzen und dokumentieren.

Sinnvolle Standardwerte als Ausgangspunkt

Das sind Ausgangspunkte — keine Rechtsberatung — die für viele kleine bis mittlere Organisationen funktionieren und nach Prüfung durch einen DPO oder Anwalt verschärft oder verlängert werden können.

Warum die meisten Formular-Tools die Löschung erschweren

Wenn Sie schon einmal versucht haben, Aufbewahrung in Google Forms, Microsoft Forms oder Typeform zu operationalisieren, kennen Sie die Reibung: Es gibt keine automatische Löschung. Sie müssen sich an die Bereinigung erinnern, in einem Zeitplan, den Sie selbst setzen, in einer Oberfläche, die Sie zum Behalten drängt, nicht zum Löschen. Und wenn Sie löschen, ist es ein weicher Vorgang — aus Ihrer Sicht weg, aber die Backups des Anbieters halten noch eine Kopie für ein Fenster, das Sie nicht voll sehen.

Schlimmer: Selbst eine Löschung ist beim Anbieter umkehrbar, weil er die Schlüssel hält. "Wir haben es gelöscht" heisst technisch "wir haben es in unserer Anwendungsdatenbank als gelöscht markiert". Der Klartext existiert auf Speichern und Backups des Anbieters für eine Aufbewahrungszeit weiter — typischerweise 30 bis 90 Tage — die durch dessen interne Richtlinie geregelt ist, nicht Ihre.

Wie Zero-Knowledge-Architektur die Rechnung verändert

Wenn Daten im Browser des Befragten vor der Übertragung verschlüsselt werden, speichert der Anbieter nur Chiffretext. Die Schlüssel liegen beim Formularbesitzer — der Organisation. Das verändert, was "Löschung" bedeutet, in zwei wichtigen Punkten.

• Löschung ist kryptographisch endgültig. Wenn der Formularbesitzer eine Einreichung löscht, wird der Chiffretext aus der aktiven Datenbank entfernt. Der Anbieter hat nirgends eine Klartextkopie — kein verstecktes Backup, keinen Support-Zugriff, keinen Wiederherstellungsweg. Die Daten sind weg.
• Aufbewahrungsgrenzen werden durch Physik gewahrt, nicht durch Richtlinien. Ein Aufbewahrungsschema auf einem konventionellen Tool ist ein Versprechen; auf einem Zero-Knowledge-Tool ist es eine Eigenschaft. Es gibt keine Klartextkopie, die Ihren Plan still überlebt.
• Auskunfts- und Löschbegehren werden einfacher. Wenn ein Befragter Löschung verlangt (DSGVO Art. 17, nDSG-Pendant), ist "wir haben es gelöscht" technisch und nachweisbar wahr.

Häufige Fehler, die Sie vermeiden sollten

Fehler 1: Eine einzige Aufbewahrungsfrist für alle Formulare

Ein KYC-Formular und eine Newsletter-Anmeldung haben unterschiedliche Pflichten. Ein pauschales "7 Jahre für alles" ist zu lang für den Newsletter und möglicherweise zu kurz für KYC. Pro Formular ist die richtige Granularität.

Fehler 2: Aufbewahrung mit Archiv verwechseln

Wenn Sie Langzeitspeicherung aus Compliance-Gründen brauchen, ist das Formular-Tool selten der richtige Ort dafür. Verschieben Sie die Daten in ein Archivsystem (CRM, EHR, Fallmanagement) mit eigenen Aufbewahrungsregeln und lassen Sie die Aufbewahrung im Formular-Tool bei "lange genug zur Verarbeitung".

Fehler 3: Löschung als manuelle Aufgabe

Manuelle Bereinigung passiert nicht zuverlässig. Wählen Sie ein Tool, das automatische Löschung am Aufbewahrungs-Horizont unterstützt, und prüfen Sie dann, dass es funktioniert.

Fehler 4: Das Warum nicht dokumentieren

Wenn ein Regulator fragt, warum Sie Bewerberdaten neun Monate aufbewahren, ist "weil wir das so gewählt haben" nicht genug. "Weil das dem Antidiskriminierungs-Verteidigungsfenster nach [Jurisdiktion] Arbeitsrecht entspricht" schon. Schreiben Sie den Grund neben die Zahl.

Fehler 5: Nachgelagerte Kopien vergessen

Formulardaten landen in CRMs, Ticketsystemen, E-Mail-Threads und Tabellen. Ihre Aufbewahrungsrichtlinie muss den Daten folgen, nicht nur dem ursprünglichen Formular. Dokumentieren Sie die Verbreitung, gleichen Sie die Fristen ab.

Eine minimal funktionsfähige Aufbewahrungsrichtlinie

Wenn Sie heute nichts haben, können Sie an einem Nachmittag eine funktionsfähige Aufbewahrungsrichtlinie ausliefern. Hier ein Gerüst:

1. Listen Sie jedes aktive Formular auf (oder jedes Formular, das in den letzten 12 Monaten eine Einreichung erhalten hat)
2. Schreiben Sie für jedes einen Einzeiler-Zweck, die längste anwendbare Pflicht und eine gewählte Aufbewahrungsfrist
3. Stellen Sie das Formular-Tool so ein, dass es die Frist automatisch durchsetzt — oder, wenn das Tool das nicht kann, planen Sie eine wiederkehrende Kalenderaufgabe mit benannten Verantwortlichen
4. Fügen Sie die Tabelle Ihrem Verarbeitungsverzeichnis hinzu und verlinken Sie sie aus Ihrer Datenschutzerklärung
5. Planen Sie eine jährliche Überprüfung

Wie Sie es Befragten kommunizieren

DSGVO und nDSG verlangen, Befragten mitzuteilen, wie lange Sie ihre Daten aufzubewahren beabsichtigen. Die Formulierung muss nicht kompliziert sein:

Wir bewahren die Informationen, die Sie in diesem Formular angeben, [X Monate/Jahre] nach [Auslöser-Ereignis] auf, danach werden sie automatisch aus unserem Formularsystem gelöscht. Wenn Sie um Kontakt zu einem Service gebeten haben, behalten wir einen Nachweis dieser Einwilligung [Y Monate] über die Abmeldung hinaus.

Platzieren Sie den Wortlaut im Datenschutzhinweis des Formulars, verlinken Sie aus dem Einwilligungsfeld auf eine vollständige Datenschutzerklärung, und referenzieren Sie die Tabelle aus Ihrem Verarbeitungsverzeichnis. Wer es wissen will, findet es; wer prüft, ebenso.

Das Fazit

Aufbewahrung ist die stille Hälfte des Datenschutzes. Die meisten Organisationen sind bei der Erfassung gut, bei der Löschung schwach. Die Korrektur ist mechanisch, nicht philosophisch: pro Formular einen Plan dokumentieren, automatisch durchsetzen, und Tools bevorzugen, die Löschung endgültig machen.

Schweizerform wurde mit Aufbewahrung im Sinn entworfen. Verschlüsselung im Browser, ausschliesslich Chiffretext-Speicherung, konfigurierbare Aufbewahrung mit kryptographischer Löschung — zusammen verschiebt das Aufbewahrung von einem Versprechen des Anbieters über sein eigenes Verhalten zu einer Eigenschaft des Systems selbst. Das ist die Art von Garantie, die ein DPO unverhohlen einem Regulator vorlegen kann.