HMDATA Datenschutz-Newsletter 12/26

12/26: Löschpflichten im Maklerbüro – Sperrung statt Löschung?

HMDATA Datenschutz-Newsletter 12/2026, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2026

Ein ehemaliger Kunde fordert die sofortige Löschung aller seiner Daten. Die Anfrage wirkt eindeutig – ist sie aber nicht.
Wer im Versicherungsvertrieb vorschnell löscht, riskiert Haftungsprobleme, Compliance-Verstöße und kann sich im Streitfall nicht mehr verteidigen.
Art. 17 DSGVO (Löschpflicht) und spezialgesetzliche Aufbewahrungspflichten aus § 257 HGB, § 147 AO sowie §§ 61, 62 VVG stehen sich scheinbar unversöhnlich gegenüber.
In folgendem Beitrag wird gezeigt, wann Sperren nach Art. 18 DSGVO rechtlich nicht nur erlaubt, sondern sogar geboten ist – und wie ein praxistauglicher Prozess für das Maklerbüro aussieht.
Das Dilemma: Löschen wollen, aber nicht dürfen

Das Spannungsfeld ist im Maklerbüro alltäglich: Art. 17 DSGVO verpflichtet zur unverzüglichen Löschung, sobald der Verarbeitungszweck wegfällt oder ein Kunde der Verarbeitung widerspricht. Gleichzeitig bestehen aus § 257 HGB, § 147 AO sowie aus den Dokumentationspflichten nach §§ 61, 62 VVG handfeste Aufbewahrungspflichten, die einer sofortigen Löschung entgegenstehen können.

Wenn beide Anforderungen kollidieren, sprechen Datenschützer von einem „Löschkonflikt". Die DSGVO selbst liefert die Lösung: Art. 18 DSGVO erlaubt in solchen Fällen die Einschränkung der Verarbeitung – im Volksmund: die Sperrung. Die Daten bleiben vorhanden, dürfen aber ausschließlich für den zulässigen Aufbewahrungszweck (z. B. Rechtsverteidigung oder Steuerpflicht) weiter genutzt werden – kein Mailing, kein Werbeanruf, keine Weitergabe.

Grundsätzlich gilt: Spezialgesetzliche Aufbewahrungsfristen gehen stets den datenschutzrechtlichen Löschpflichten vor (Art. 17 Abs. 3 lit. b DSGVO). Für die Praxis heißt das: Bevor ein Löschantrag ausgeführt wird, muss geprüft werden, ob gesetzliche Aufbewahrungspflichten entgegenstehen.

Drei Praxisszenarien aus dem Makleralltag

Szenario 1: Kunde kündigt und fordert Datenlöschung – die Haftungsfrage ist noch offen
Ein Kunde hat seine Kfz-Police gekündigt und verlangt sofortige Datenlöschung. Wenige Monate zuvor gab es einen Schadensfall, der noch nicht vollständig abgewickelt ist. Die Beratungsdokumentation könnte im Streitfall entscheidend sein.
▶ Empfehlung: Sperren, nicht löschen (Art. 18 Abs. 1 lit. c DSGVO)

Szenario 2: Interessent ohne Vertragsabschluss möchte aus dem CRM entfernt werden
Ein potenzieller Kunde wurde im Maklerverwaltungsprogramm erfasst, hat aber keinen Vertrag abgeschlossen. Es besteht kein offener Schadensfall, keine Provision wurde abgerechnet, keine steuerrelevante Buchung existiert.
▶ Empfehlung: Vollständig löschen (Art. 17 Abs. 1 DSGVO)

Szenario 3: Ehemaliger Langzeitkunde – Vertrag seit zwei Jahren beendet, Löschantrag eingetroffen
Der Vertrag wurde vor zwei Jahren beendet. Der Kunde fordert jetzt vollständige Datenlöschung. Es existieren Courtageabrechnungen, Handelsbriefe und jahresabschlussrelevante Dokumente – steuerliche Aufbewahrungsfristen laufen noch.
▶ Empfehlung: Löschkonflikt prüfen, Teilsperrung nach Art. 18 DSGVO erwägen

Die wichtigsten Aufbewahrungsfristen im Überblick

Für die Praxis empfiehlt sich eine strukturierte Übersicht der relevanten Fristen:

  • Courtageabrechnungen, Buchungsbelege: 8 Jahre – § 257 HGB / § 147 AO (Frist ab 1.1.2025 von 10 auf 8 Jahre verkürzt durch das Bürokratieentlastungsgesetz IV; für Banken und Versicherer gilt die Neuregelung erst ab 1.1.2026)
  • Handelsbriefe, Kundenkommunikation: 6 Jahre – § 257 HGB
  • Beratungsdokumentation (VVG): mindestens 5 Jahre – §§ 61, 62 VVG (Praxisempfehlung; keine ausdrücklich benannte Frist, aber als Nachweis ordnungsgemäßer Beratung und zur Absicherung gegenüber Haftungsansprüchen)
  • Jahresabschlüsse, Handelsbücher: 10 Jahre – § 257 Abs. 1 Nr. 1 HGB
  • Offene Haftungsansprüche (Verjährung): 3 Jahre – § 195 BGB (regelmäßige Verjährungsfrist, beginnt mit Schluss des Jahres der Anspruchsentstehung)
  • Vertragsdaten ohne weitere Relevanz: nach Zweckwegfall – Art. 5 Abs. 1 lit. e DSGVO (Grundsatz der Speicherbegrenzung)
Wichtig: Löschkonzepte und Systemeinstellungen im Maklerverwaltungsprogramm sollten auf die seit 1.1.2025 geänderten Fristen für Buchungsbelege geprüft und ggf. angepasst worden sein.

Sperrung nach Art. 18 DSGVO: der Prozess im Maklerbüro

Liegt ein Löschkonflikt vor, empfiehlt sich folgender strukturierter Ablauf:

1) Löschantrag entgegennehmen und dokumentieren: Datum, Kanal und Inhalt des Antrags festhalten. Die Frist zur Antwort beträgt einen Monat (Art. 12 DSGVO).

2) Löschkonflikt prüfen: Bestehen Aufbewahrungspflichten nach HGB, AO oder VVG? Gibt es offene Haftungsrisiken oder laufende Schadenfälle?

3) Entscheidung treffen – Löschen oder Sperren: Liegt ein Löschkonflikt vor, greift Art. 18 DSGVO (Sperrung). Liegt kein Konflikt vor, erfolgt die vollständige Löschung nach DIN 66399.

4) Betroffenen informieren: Dem Kunden mitteilen, dass eine Sperrung statt Löschung erfolgt – mit konkreter Nennung der Rechtsgrundlage und dem voraussichtlichen Enddatum der Sperrfrist.

5) Sperrfrist im System hinterlegen: Im Maklerverwaltungsprogramm als „gesperrt" kennzeichnen und Wiedervorlage für die endgültige Löschung setzen.

6) Nach Fristablauf vollständig löschen: Nach Ende aller Aufbewahrungspflichten datenschutzkonform vernichten – digital und analog nach DIN 66399.

Was viele Maklerbüros übersehen: die Robinsonliste

Art. 21 DSGVO gibt Betroffenen das Recht, jederzeit der werblichen Nutzung zu widersprechen, Art. 17 DSGVO regelt das Recht auf vollständige Löschung. Jedoch wäre mit einer vollständigen Löschung gem. Art. 17 DSGVO auch der ausgesprochene Widerspruch gelöscht. Kundendaten können aber wieder auf anderen legalen Wegen in das Unternehmen gelangen – eine Neuansprache würde dann trotz Widerspruch durchgeführt.
Im Zuge dieses Dilemmas kann man gem. Art. 6 Abs. 1 lit. f DSGVO ein berechtigtes Interesse zur Führung einer Widerspruchs- oder Negativliste, einer sog. Robinsonliste, anführen.
Diese Liste sollte im Maklerbüro folgende Grundsätze einhalten:

  • enthält ausschließlich Daten von Personen, die der Werbung widersprochen haben oder keine Ansprache wünschen.
  • die Daten dürfen ausschließlich zur Unterdrückung weiterer Werbung genutzt werden.
  • der Eintrag schützt Betroffene vor Werbeansprache und den Werbetreibenden vor Beschwerden und Bußgeldern.
  • ausschließlich gem. Datenminimierung derartige Daten enthalten, mit denen der Widerspruch kontrolliert werden kann (also max. Name, Vorname, Anschrift, E-Mail, Telefon, Datum Erstkontakt, Datum Widerspruch).
Idealerweise wird die Robinsonliste getrennt vom Produktivsystem geführt, um nicht in Konflikte mit Löschfristen zu geraten, und bei Bedarf mit der Adressliste der jeweiligen Werbeaktion abgeglichen.

Fazit

Im Versicherungsvertrieb bedeutet vorschnelles Löschen oft das Gegenteil von Datenschutz: Es vernichtet Beratungsnachweise, löscht Widerspruchsvermerke und kann im Haftungsfall teuer werden. Art. 18 DSGVO bietet mit der Sperrung einen rechtssicheren Mittelweg – vorausgesetzt, der Prozess ist dokumentiert, die Fristen sind bekannt und das Maklerverwaltungsprogramm ist entsprechend eingerichtet.

Benötigen Sie Unterstützung beim Aufbau eines praxistauglichen Löschkonzepts für Ihr Maklerbüro? Wir begleiten Sie von der Fristenanalyse über die Prozessdokumentation bis zur technischen Umsetzung im MVP. Anfragen per E-Mail an hmd@hmdata.de.

©2026 by Harald Müller-Delius. Dieser Text ist urheberrechtlich geschützt. Das Verwenden - auch in Auszügen - ist nur nach ausdrücklicher schriftlicher Genehmigung durch den Autor gestattet. Jede widerrechtliche Nutzung ist untersagt. Für diesen Text können Nutzungsrechte erworben werden, Anfragen zur Nutzung per E-Mail an hmd@hmdata.de