Wie lange dürfen personenbezogene Daten speichern?

Wie lange dürfen personenbezogene Daten gespeichert werden? 8 Jahre ab 2025

Die korrekte Umsetzung der wie lange dürfen personenbezogene daten gespeichert werden Regeln schützt Unternehmen vor hohen Bußgeldern. Falsche Löschroutinen verursachen oft unnötige rechtliche Haftungsrisiken oder den Verlust wichtiger Nachweise. Ein tiefes Verständnis der aktuellen Fristen sichert die Compliance und verhindert finanzielle Schäden durch fehlerhafte Archivierungsprozesse.

Wie lange dürfen personenbezogene Daten gespeichert werden?

Personenbezogene Daten dürfen grundsätzlich nur so lange gespeichert werden, wie es für den spezifischen Zweck der Verarbeitung unbedingt erforderlich ist. Sobald dieser Zweck wegfällt - beispielsweise nach Ende eines Vertrages oder einer Anfrage - müssen die Daten gelöscht oder anonymisiert werden. Es gibt jedoch eine wichtige Einschränkung: Gesetzliche Aufbewahrungspflichten, die oft zwischen 6 und 10 Jahren liegen, haben Vorrang vor dem unmittelbaren Löschgebot.

In der Praxis führt das oft zu Unsicherheiten. Viele Unternehmen verfügen über kein ausreichend dokumentiertes Löschkonzept,^[1] was bei Prüfungen regelmäßig zu Problemen führt. Das Prinzip der Speicherbegrenzung verlangt, dass Sie nicht einfach alles auf Vorrat behalten dürfen, nur weil Speicherplatz billig ist. Zweck weg? Daten weg. So einfach klingt die Theorie, doch die Realität ist - und das habe ich in vielen Audits erlebt - deutlich komplizierter. Es geht nicht nur um das Löschen an sich, sondern um den Nachweis, warum welche Daten noch vorhanden sind.

Die 8-Jahres-Falle: Neue Fristen durch das Bürokratieentlastungsgesetz IV

Eine der bedeutendsten Änderungen im deutschen Recht betrifft die Aufbewahrungsfristen für Buchungsbelege und Rechnungen, die ab dem Jahr 2025 von 10 auf 8 Jahre verkürzt^[2] werden. Diese Neuerung zielt darauf ab, die Archivierungslast für Betriebe zu senken, führt aber paradoxerweise oft zu Fehlern in der IT-Konfiguration. Wenn automatisierte Löschsysteme nicht exakt auf den Stichtag umgestellt werden, riskieren Firmen entweder den Vorwurf der unzulässigen Speicherung oder - noch schlimmer - das voreilige Löschen steuerlich relevanter Dokumente.

Ich habe selbst erlebt, wie ein mittelständisches Unternehmen fast 15.000 Datensätze manuell nachsortieren musste, weil die Software noch auf dem alten 10-Jahres-Rhythmus lief. Solche Fehler kosten Zeit. Viel Zeit. Die Verkürzung auf 8 Jahre betrifft vor allem Handelsbücher, Inventare, Bilanzen und Buchungsbelege. Geschäftskorrespondenz bleibt hingegen meist bei einer Frist von 6 Jahren. Das bedeutet, dass in ein und demselben Archivsystem unterschiedliche Verfallsdaten für verschiedene Dokumententypen existieren müssen. Ein einheitlicher Löschtermin für alles ist heute schlicht nicht mehr rechtskonform.

Warum Sie nicht blindlings alles löschen sollten

Trotz der strengen Speicherbegrenzung gibt es Szenarien, in denen eine längere Aufbewahrung nicht nur erlaubt, sondern ratsam ist. Dies betrifft vor allem die Abwehr von Rechtsansprüchen. Während die regelmäßige Verjährungsfrist 3 Jahre beträgt, können bestimmte Ansprüche erst nach 30 Jahren verjähren. Wenn Sie also beweisen müssen, dass ein Vertrag vor 20 Jahren ordnungsgemäß erfüllt wurde, benötigen Sie die entsprechenden Unterlagen. Hier entsteht ein klassischer Interessenkonflikt zwischen Datenschutz und Rechtssicherheit. Man muss hier genau abwägen: Besteht ein reales Risiko für eine Klage oder behält man die Daten nur aus einer vagen Angst heraus?

Bewerberdaten und die kritische 6-Monats-Grenze

Für die aufbewahrungsfrist bewerbungsunterlagen dsgvo hat sich in Deutschland eine Regelfrist von 6 Monaten nach Abschluss des Auswahlverfahrens etabliert. Dieser Zeitraum orientiert sich an der Klagefrist des Allgemeinen Gleichbehandlungsgesetzes (AGG), innerhalb derer abgelehnte Kandidaten Entschädigungsansprüche geltend machen können. Werden Daten länger ohne ausdrückliche Einwilligung gespeichert, drohen Bußgelder. Umfragen zeigen, dass viele Personalabteilungen Unterlagen deutlich länger behalten als erlaubt,^[3] oft aus Bequemlichkeit oder der Hoffnung, den Kandidaten später doch noch kontaktieren zu können.

Aber hier steckt ein kleiner Teufel im Detail. Möchten Sie einen Kandidaten in einen Talent-Pool aufnehmen, benötigen Sie eine separate, freiwillige Einwilligung. Diese sollte zeitlich befristet sein - meist auf 1 oder 2 Jahre. Ohne diese explizite Bestätigung ist nach 180 Tagen Schluss. Ich erinnere mich an einen Fall, bei dem ein Unternehmen eine DSGVO-Beschwerde erhielt, weil es einem Bewerber nach 14 Monaten eine Absage für eine völlig andere Stelle schickte. Der Bewerber wusste sofort: Meine Daten wurden nie gelöscht. Das war ein teures Missverständnis, das mit einem einfachen Löschskript hätte vermieden werden können.

Was passiert bei Verstößen gegen die Löschpflicht?

Verstöße gegen das Prinzip der Speicherbegrenzung sind kein Kavaliersdelikt. Die Aufsichtsbehörden haben in den letzten Jahren die Schlagzahl erhöht. Statistiken belegen, dass Bußgelder wegen mangelhafter Löschkonzepte oft mehrere tausend Euro für kleinere Betriebe^[4] betragen können, während Großkonzerne bereits Millionenstrafen zahlen mussten. Dabei geht es oft nicht um den bösen Willen, sondern um schlichte Unwissenheit oder technische Altlasten in veralteten Datenbanken.

Ein Bußgeld ist das eine, der Reputationsschaden das andere. Kunden reagieren heute empfindlich, wenn sie erfahren, dass ihre Daten jahrelang ungenutzt auf Servern herumlagen. Selten war Datenschutz so teuer wie heute. Wenn Sie kein Löschkonzept haben, ist das im Grunde wie eine Zeitbombe in Ihrer IT-Infrastruktur. Irgendwann geht sie hoch. Entweder bei einem Audit oder wenn ein verärgerter Ex-Kunde sein Recht auf Auskunft geltend macht und plötzlich Daten auftauchen, die seit Jahren im digitalen Schredder hätten landen müssen.

Übersicht der Aufbewahrungs- und Löschfristen

Buchungsbelege und Rechnungen

Schluss des Kalenderjahres der letzten Eintragung

8 Jahre (ab 2025 gemäß BEG IV, vorher 10 Jahre)

Handelsgesetzbuch und Abgabenordnung

Geschäftskorrespondenz

E-Mails, Handelsbriefe, Angebote mit Auftragsfolge

6 Jahre

Nach Fristablauf, sofern keine anderen Gründe vorliegen

Bewerberunterlagen

Beweissicherung für mögliche AGG-Klagen

6 Monate

Nur mit ausdrücklicher Einwilligung des Bewerbers

Die Archiv-Odyssee der Schmidt GmbH

Hans, IT-Leiter eines Berliner Mittelständlers mit 120 Mitarbeitern, stand vor einem Trümmerhaufen. Ein ehemaliger Kunde verlangte eine vollständige Kopie aller über ihn gespeicherten Daten. Hans stellte fest, dass die Daten über drei verschiedene Altsysteme verstreut waren.

Sein erster Versuch war eine manuelle Suche, die über 40 Arbeitsstunden verschlang. Das Problem: Es gab kein automatisches Löschkonzept, und Daten von 2012 waren immer noch aktiv. Hans geriet in Panik, da die gesetzliche Antwortfrist von 30 Tagen fast abgelaufen war.

Der Durchbruch kam, als er realisierte, dass nicht die Technik, sondern die fehlende Klassifizierung das Problem war. Er setzte ein Tool zur Identifikation personenbezogener Daten ein und erstellte rückwirkend ein Löschprotokoll für alle Daten, deren Zweck seit über 10 Jahren abgelaufen war.

Am Ende konnte er die Anfrage fristgerecht beantworten. Das Unternehmen investierte daraufhin in ein automatisiertes Archivierungssystem, was die Antwortzeit für Auskunftsanfragen um 85% reduzierte und zukünftige Bußgeldrisiken eliminierte.