Aufbewahrungsfristen der DSGVO Welche Unterlagen dürfen 2025 entsorgt werden?

Anbieter zum Thema

Softwarebüro Krekeler

Kentix GmbH

Data Center Group – Büro Köln

STACKIT GmbH & Co. KG

Für digitale wie auch analoge Dokumente gelten laut DSGVO für Unternehmen Aufbewahrungsfristen. Welche dies sind und wie sie datenschutzkonform zu entsorgen sind, lesen Sie hier.

Fast zehn Jahre ist die DSGVO nun alt, die im Jahr 2016 von der EU angenommen wurde. Mindestens genauso alt, sind in vielen Unternehmen gesammelte Daten. Harald Krekeler, Geschäftsführer des gleichnamigen Softwarebüros, erläutert, welche Dokumente und personenbezogene Daten entsorgt werden dürfen, da ihre gesetzliche Aufbewahrungspflicht abgelaufen ist: „Unterlagen mit einer Aufbewahrungsfrist von zehn Jahren aus dem Jahr 2014 und mit einer Frist von sechs Jahren aus dem Jahr 2018 dürfen nun vernichtet werden – vorausgesetzt, es bestehen keine anderen Aufbewahrungsgründe.“

Genauso wichtig wie die rechtssichere Aufbewahrung sei jedoch auch die rechtssichere Dokumentenvernichtung. Hier stehe vor allem der Datenschutz nach DSGVO im Fokus.

Datenschutzverletzungen made in Germany

Die größten Datenpannen in 2024

Fristende für Unterlagen aus 2014

In Deutschland regeln vor allem die Abgabenordnung (AO) und das Handelsgesetzbuch (HGB) die Aufbewahrungspflichten von geschäftlichen Unterlagen. Hierbei gelten je nach Art der Dokumente unterschiedliche Fristen, wobei es sich meist um Zeiträume von sechs und zehn Jahren handelt. Nach Ablauf der Fristen dürfen die Unterlagen datenschutzkonform vernichtet werden.

Krekeler betont, es sei entscheidend, den Stichtag korrekt zu berechnen. Denn eine vorzeitige Vernichtung von Dokumenten kann schwerwiegende Konsequenzen haben. Im Falle einer Betriebsprüfung oder bei Rechtsstreitigkeiten könnten fehlende Unterlagen erhebliche finanzielle oder rechtliche Nachteile nach sich ziehen. „Wenn an einem Dokument aus 2014 im Jahr 2015 noch einmal eine nachträgliche Änderung erfolgte, dann beginnt die Aufbewahrungsfrist für dieses Dokument erst im Dezember 2015 und es darf folglich auch erst im Januar 2026 vernichtet werden“, führt Krekeler aus.

Sammelklagen nehmen zu

Datenschutz: Kostenfalle für IT-Dienstleister

Die Aufbewahrungsfrist berechnen

„Die Aufbewahrungsfrist beginnt immer mit dem Ende des Kalenderjahres, in dem das jeweilige Dokument erstellt wurde. Ein Beleg, der beispielsweise im Mai 2014 erstellt wurde, ist ab dem 31. Dezember 2014 aufbewahrungspflichtig. Die Aufbewahrungsfrist von zehn Jahren für dieses Dokument endet somit am 31. Dezember 2024 und es darf ab Januar 2025 vernichtet werden“, erläutert Krekeler.

• Unter die zehnjährige Aufbewahrungsfrist fallen vor allem steuerrechtlich relevante Dokumente, wie Jahresabschlüsse und Eröffnungsbilanzen, Steuererklärungen sowie Steuerbescheide, Handelsbücher und Ein- und Ausgangsrechnungen.

• Unter die sechsjährige Aufbewahrungspflicht fallen Geschäftsbriefe und Dokumente, die steuerlich weniger relevant sind. Handels- und Geschäftsbriefe – dazu zählen Angebote, Bestellungen und Schriftverkehr – sowie Lohnunterlagen aus dem Jahr 2018 ab Januar 2025 entsorgt werden.

• Außerdem wurde mit Beginn des Jahres 2025 die achtjährige Aufbewahrungsfrist eingeführt. Diese verkürzt im Rahmen des Vierten Bürokratieentlastungsgesetzes (BEG IV-E) die Frist für Unterlagen wie Buchungsbelege und Quittung für Unternehmen und baut somit Bürokratie ab.

Compliance: Mehr als Datensicherheit

In 5 Schritten zur Compliance-Konformität

Wie löscht man Daten DSGVO-konform?

Krekeler zufolge erfordert die datenschutzkonforme Entsorgung von Schriftverkehr und Dokumenten, die personenbezogene Daten enthalten, besondere Sorgfalt. Die Unterlagen nach ihrer Aufbewahrungsfrist einfach in den Müll zu werfen, funktioniert nicht. Stattdessen müssen Unternehmen wie auch Privatpersonen sicherstellen, dass Daten vollständig und unwiderruflich vernichtet werden.

„Nach der Datenschutz-Grundverordnung müssen personenbezogene Daten so vernichtet werden, dass sie nicht mehr rekonstruierbar sind“ sagt Krekeler. „Für Papierdokumente bedeutet es, dass sie durch einen geeigneten Aktenvernichter vernichtet werden müssen, der den Anforderungen nach DIN 66399 entspricht. Für personenbezogene Daten gilt dabei mindestens die Sicherheitsstufe P-4, nach der die Papierstreifen so klein sind, dass eine Rekonstruktion praktisch unmöglich ist. Bei sensiblen Daten, wie Gesundheitsdaten, ist eine noch höhere Sicherheitsstufe erforderlich. Hier sollten Unternehmen erwägen, einen zertifizierten Aktenvernichtungsdienstleisters zu beauftragen, denn diese erfüllen die hohen Datenschutzstandards.“

DSGVO bleibt Herausforderung

Deutschland übertreibt es mit dem Datenschutz

Digitale Unterlagen können ebenfalls nicht einfach in den Papierkorb verschoben werden. „Die Daten müssen durch spezielle Software unwiderruflich gelöscht werden, etwa mit Programmen wie Eraser oder DBAN, die mehrfaches Überschreiben der Speicherbereiche ermöglichen. Bei Datenträgern wie Festplatten, CDs oder USB-Sticks ist die physische Zerstörung eine weitere Option. Hier kommen Schreddergeräte für digitale Medien oder spezialisierte Dienstleister zum Einsatz. Allerdings muss auch hier die Vernichtung nach DIN 66399 erfolgen“, erläutert Krekeler.

Ein weiterer Tipp des Datenschutzexperten: Die Dokumenten-Vernichtung sollte keine Lücken in der Dokumentation aufweisen. „Das schützt nicht nur vor Datenschutzverstößen, sondern ist auch ein Nachweis für die ordnungsgemäße Entsorgung. Zudem sollte vor der Entsorgung überprüft werden, ob es besondere Gründe gibt, bestimmte Unterlagen über die gesetzlichen Fristen hinaus aufzubewahren. Beispiele hierfür sind laufende Prüfungen durch das Finanzamt oder Rechtsstreitigkeiten. In solchen Fällen ist eine längere Aufbewahrung ratsam.“

Weltweite Umfrage von Cisco

Die Deutschen sind datenschutz-faul

(ID:50281965)