Wie lange dürfen Daten gespeichert werden bei DSGVO?

3 Monaten zuvor 0 Aufrufe

Die Frage wie lange dürfen daten gespeichert werden dsgvo entscheidet sich nach Belegart. Buchungsbelege erfordern eine Aufbewahrung von acht Jahren. Handelsbücher und Jahresabschlüsse bleiben dagegen zehn Jahre gespeichert. Handelsbriefe unterliegen einer Frist von sechs Jahren. Diese Neuregelung gilt seit Januar 2025 zur administrativen Entlastung deutscher Unternehmen.

Kommentar 0 Gefällt mir

Vielleicht möchten Sie auch fragen?Mehr

DSGVO Speicherdauer: 6, 8 oder 10 Jahre Frist?

Die korrekte Umsetzung der wie lange dürfen daten gespeichert werden dsgvo Vorgaben schützt Unternehmen vor massiven Bußgeldern. Fehlentscheidungen bei der Archivierung führen schnell zu rechtlichen Risiken und finanziellen Verlusten. Ein genaues Verständnis der aktuellen Speicherfristen sichert die Compliance und vermeidet unnötige administrative Belastungen im Geschäftsalltag.

Der Grundsatz der Speicherbegrenzung nach DSGVO

Die Frage, wie lange dürfen daten gespeichert werden dsgvo, lässt sich unter der Datenschutz-Grundverordnung (DSGVO) mit einem klaren Grundsatz beantworten: Nur so lange wie nötig. Eine pauschale Dauer für alle Daten gibt es nicht - vielmehr hängt die rechtlich zulässige Speicherdauer vom Zweck ab, für den die Daten erhoben wurden.

Sobald dieser ursprüngliche Zweck entfällt, greift die Löschpflicht. Ich habe in meiner Arbeit mit Dutzenden Unternehmen erlebt, wie schwer dieser Abschied von Daten fällt. Oft herrscht die Angst, Informationen könnten später noch einmal wichtig werden. Doch genau dieses Horten von Datenleichen ist heute ein massives Risiko. Wer Daten ohne klaren Zweck behält, verstößt gegen das Prinzip der Speicherbegrenzung und riskiert Sanktionen.

Ehrlicherweise ist die Umsetzung oft chaotischer als die Theorie vermuten lässt. In der Realität wissen viele Abteilungsleiter gar nicht, welche Altlasten auf ihren Servern schlummern. Ein offenes Geheimnis: Die meisten Bußgelder entstehen nicht durch böse Absicht, sondern durch schlichtes Vergessen. Aber es gibt einen entscheidenden Faktor, den 90% der Unternehmen bei der E-Mail-Archivierung übersehen - ich erkläre diesen Stolperstein im Abschnitt zur Archivierung weiter unten.

Gesetzliche Aufbewahrungsfristen: Die Ausnahmen von der Löschpflicht

Obwohl die DSGVO zur Löschung drängt, gibt es ein wichtiges Gegengewicht: gesetzliche Aufbewahrungspflichten aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO). Diese haben Vorrang. Wer eine Rechnung zu früh löscht, bekommt Ärger mit dem Finanzamt - wer sie zu lange behält, eventuell mit der Datenschutzbehörde. Es ist ein Balanceakt auf dünnem Eis.

Seit Januar 2025 gibt es in Deutschland eine wesentliche Änderung: Die Aufbewahrungsfrist für Buchungsbelege wie Rechnungen und Kostenbelege wurde von zehn auf acht Jahre verkürzt.^[1] Diese Neuregelung soll Unternehmen administrativ entlasten. Handelsbücher, Inventare und Jahresabschlüsse unterliegen jedoch weiterhin einer Frist von zehn Jahren.^[3] Empfangene und abgesandte Handelsbriefe müssen dagegen in der Regel sechs Jahre lang archiviert werden. ^[4]

Diese Fristen beginnen immer erst mit dem Ende des Kalenderjahres, in dem das Dokument erstellt wurde. Eine Rechnung aus dem März 2026 muss also bis zum Ende des Jahres 2034 aufbewahrt werden. Die Gesamtsumme der öffentlich bekannten DSGVO-Bußgelder erreichte bis Ende 2025 fast 7 Milliarden Euro -^[2] ein deutliches Zeichen, dass Behörden bei Nachlässigkeiten nicht mehr wegschauen.

Bewerberdaten und Videoüberwachung: Wo die Uhr schneller tickt

Nicht alles darf jahrelang gelagert werden. Bei Bewerbungsunterlagen ist die Rechtslage besonders streng. Nach einer Absage dürfen diese Daten normalerweise nur für sechs Monate aufbewahrt werden. Der Grund ist das Allgemeine Gleichbehandlungsgesetz (AGG). Unternehmen behalten die Unterlagen für diesen Zeitraum, um sich gegen mögliche Diskriminierungsklagen zu verteidigen. Nach Ablauf dieser sechs Monate fehlt jedoch meist die Rechtsgrundlage für eine weitere Speicherung.

Noch kritischer ist die Videoüberwachung. Hier fordern Datenschutzbehörden eine löschfristen personenbezogene daten nach spätestens 72 Stunden, sofern kein konkreter Vorfall - wie ein Einbruch oder Diebstahl - eine längere Speicherung rechtfertigt. In der Praxis sehe ich oft Systeme, die standardmäßig 30 Tage aufzeichnen. Das ist brandgefährlich. Ohne triftigen Grund ist eine Speicherung über drei Tage hinaus kaum zu rechtfertigen.

Ich erinnere mich an einen Fall, bei dem ein Einzelhändler Aufnahmen einer gesamten Woche speicherte, um theoretisch Ladendiebe identifizieren zu können. Die Behörde sah darin eine unverhältnismäßige Überwachung der unbescholtenen Kunden. Ein teurer Fehler. Manchmal ist weniger Speicherkapazität der beste Datenschutz.

Die Falle bei der E-Mail-Archivierung

Hier ist der Punkt, den ich eingangs erwähnt habe: Viele Unternehmen glauben, sie müssten einfach alle E-Mails für zehn Jahre archivieren, um steuerlich sicher zu sein. Aber Vorsicht. Wenn private E-Mails der Mitarbeiter über die Firmenadresse erlaubt sind, wird das Unternehmen zum Anbieter von Telekommunikationsdiensten. Eine pauschale Archivierung aller Mails verstößt dann massiv gegen das Fernmeldegeheimnis und die DSGVO.

Die Lösung ist oft unschön und technisch aufwendig. Entweder man verbietet die private Nutzung komplett oder man implementiert Filter, die private Nachrichten von der automatischen Archivierung ausschließen. Ich habe Teams gesehen, die Wochen damit verbracht haben, versehentlich archivierte private Mails händisch zu sortieren. Das will niemand erleben. Mein Rat: wie lange darf ein unternehmen daten speichern sollte immer durch klare Regeln für die E-Mail-Nutzung im Fundament jedes Löschkonzepts verankert sein.

Übersicht der Speicherfristen 2026

Je nach Art der Daten greifen unterschiedliche gesetzliche Vorgaben. Hier ist ein direkter Vergleich der gängigsten Kategorien.

Buchungsbelege (Rechnungen)

8 Jahre (verkürzt seit 2025)

Zwingend nach Ablauf der Frist, falls kein neuer Zweck vorliegt

Abgabenordnung und Handelsgesetzbuch

Handelsbriefe

6 Jahre

Nach 6 Jahren zum Jahresende

Paragraf 257 HGB

Bewerberunterlagen

Meist 6 Monate

Sofort nach Ablauf der 6 Monate, außer bei expliziter Einwilligung für Talent-Pool

Berechtigtes Interesse (Verteidigung gegen AGG-Klagen)

Die größte Veränderung betrifft die 8-Jahres-Frist für Rechnungen. Unternehmen sollten ihre automatisierten Archivsysteme dringend auf diesen neuen Standard anpassen, um unnötige Datenansammlungen zu vermeiden.

Das vergessene Archiv der Schreinerei Müller

Thomas Müller, Inhaber einer traditionsreichen Schreinerei in Bayern, bewahrte seit Jahrzehnten alle Kundenakten im Keller auf. Nach der DSGVO-Einführung wurde ihm mulmig - er wusste nicht, ob er Daten von Kunden aus den 90er Jahren noch behalten durfte.

Sein erster Versuch: Er mietete einen Schredder-Dienst und wollte alles vernichten, was älter als 10 Jahre war. Dabei übersah er jedoch, dass einige laufende Garantieansprüche und Wartungsverträge noch aktiv waren.

Er realisierte, dass er eine Inventur seiner Daten brauchte. Statt blind zu löschen, sortierte er nach Kategorien: Rechnungen, Verträge und reine Anfragen. Er erstellte ein einfaches digitales Verzeichnis für die Löschfristen.

Innerhalb von drei Monaten reduzierte er sein Papierarchiv um fast 70 Prozent. Die neue Ordnung sparte ihm nicht nur Platz, sondern auch Zeit bei Betriebsprüfungen, da er nun genau wusste, welche Belege gesetzlich relevant waren.

Möchten Sie mehr über die rechtlichen Hintergründe erfahren? Lesen Sie hier: Wann müssen personenbezogene Daten gelöscht werden?

Allgemeiner Überblick

8 Jahre für Rechnungen prüfen

Stellen Sie sicher, dass Ihre Systeme die neue Frist seit 2025 kennen. Das spart Speicherplatz und reduziert das Datenrisiko.

Bewerberdaten nach 6 Monaten löschen

Automatisieren Sie diesen Prozess im HR-Bereich, da hier die Behörden besonders oft Stichproben durchführen.

Videoaufnahmen auf 72 Stunden begrenzen

Prüfen Sie Ihre Überwachungsanlage. Längere Speicherzeiten sind ohne dokumentierten Vorfall fast immer rechtswidrig.

Zweckbindung ist das oberste Gebot

Fragen Sie sich bei jedem Datensatz: Brauche ich das noch für den Grund, aus dem ich es bekommen habe? Wenn nein, weg damit.

Häufige Missverständnisse

Darf ich Kundendaten für Marketingzwecke ewig behalten?

Nein. Wenn der Vertrag erfüllt ist, dürfen die Daten nur für Marketing genutzt werden, solange eine Einwilligung vorliegt oder ein berechtigtes Interesse besteht. Ohne Interaktion des Kunden sollten diese Daten nach spätestens drei Jahren (Ende der Verjährungsfrist) gelöscht werden.

Was passiert, wenn ich Daten zu früh lösche?

Das Löschen vor Ablauf gesetzlicher Aufbewahrungsfristen (z.B. 8 Jahre für Rechnungen) kann zu massiven Problemen mit dem Finanzamt führen. Im schlimmsten Fall wird die Buchführung verworfen und Gewinne werden geschätzt.

Muss ich ein schriftliches Löschkonzept haben?

Ja, für Unternehmen ist dies faktisch Pflicht. Die Aufsichtsbehörden verlangen einen Nachweis darüber, wie die Speicherbegrenzung technisch und organisatorisch umgesetzt wird. Ein fehlendes Konzept kann bereits ein Bußgeld rechtfertigen.