Personenbezogene Daten dürfen nur so lange verarbeitet werden, wie sie für einen bestimmten Zweck erforderlich sind. Sobald der Zweck erfüllt ist und die personenbezogenen Daten nicht mehr erforderlich sind, müssen sie gelöscht werden.
Eine Aufbewahrungsfrist beginnt ab dem Zeitpunkt, an dem die Daten für die Zwecke nicht mehr benötigt werden, und legt die Frist fest, während der die Daten archiviert werden müssen, falls sie jemals wieder benötigt werden, z. B. für Buchhaltungszwecke, im Falle von Gerichtsverfahren oder für Steuerprüfungen. Während dieser Aufbewahrungsfrist sollten die personenbezogenen Daten sicherer geschützt werden als während ihrer aktiven Nutzung, mit stärkeren Zugangsbeschränkungen und nur begrenzten Personen, die darauf zugreifen dürfen. Die Pseudonymisierung trägt zum weiteren Schutz personenbezogener Daten während der Aufbewahrungsfrist bei.
Um sicherzustellen, dass keine personenbezogenen Daten ohne Zweck oder länger als erforderlich gespeichert werden, muss ein Löschkonzept dokumentiert werden, das festlegt, wann und wie personenbezogenen Daten gelöscht werden.
Da sich die DSGVO nur auf personenbezogene Daten bezieht, d. h. auf identifizierte oder identifizierbare Daten natürlicher Personen, gelten Daten, die vollständig anonymisiert wurden und somit nicht mehr mit einer betroffenen Person in Verbindung gebracht werden können, als gelöscht.
Personenbezogene Daten haben mitunter eine Aufbewahrungsfrist von mehreren Jahren. Eine jährliche Löschung aller Daten, die das Ende der Aufbewahrungsfrist erreicht haben, ist daher notwendig und regelmäßig durchzuführen. Bei kürzeren Aufbewahrungspflichten sind kürzere Löschintervalle durchzuführen.