Aufbewahrungsfristen DSGVO

Welche Aufbewahrungsfristen gibt es? Informieren Sie sich jetzt.

  • Über 1.500 Kunden in Deutschland und Europa
  • Team von 60+ Datenschutzexperten
  • DEKRA- und TÜV-zertifizierte Experten

Externer Datenschutzbeauftragter

Unternehmen verarbeiten oftmals eine Menge personenbezogener Daten. Für diese Datenverarbeitung und -Speicherung benötigen sie eine entsprechende Rechtsgrundlage. Sollte der Grund oder die Rechtsgrundlage hierfür entfallen, sind Unternehmen grundsätzlich verpflichtet, die Daten zu löschen. Hierzu gibt es die sogenannten Aufbewahrungsfristen. Gesetzliche Aufbewahrungsfristen geben vor, wie lange gewisse Unterlagen aufbewahrt werden müssen und schieben die datenschutzrechtlichen Löschfristen nach hinten. Diese Fristen müssen beachtet werden, da sonst Bußgelder die Folge sein können.


Aufbewahrungsfristen nach DSGVO

In Bezug auf die DSGVO stellt sich für Unternehmen die Frage, wie lange sie Daten als Nachweis für beispielsweise Geschäfte oder andere Sachverhalte aufbewahren dürfen. Zum Beispiel könnte hier ermittelt werden, wie die DSGVO die Aufbewahrungsfristen für relevante Unterlagen, wie Personalakten, einstuft. Nach Art. 5 Abs. 1 lit. b DS-GVO dürfen personenbezogene Daten nur unter den aufgeführten Bedingungen verarbeitet und gespeichert werden. Entfallen diese Gründe, ist die Zweckbindung nicht mehr gegeben und Unternehmen müssen die Daten entsprechend löschen. Diesem Löschgebot stehen gesetzliche Aufbewahrungsfristen für personenbezogene Daten und anderen Daten oder Dokumenten gegenüber. Die Aufbewahrungsfristen stellen nun die neue Zweckbindung dar. Diese Daten, die den Aufbewahrungsfristen unterliegen, werden nach den Fristen gelöscht bzw. vernichtet.


Rechtsgrundlage: Wer bestimmt die Aufbewahrungsfristen von Daten?

Die Rechtsgrundlagen von Aufbewahrungsfristen finden sich beispielweise in der Abgabenordnung (AO), dem Handelsgesetzbuch (HGB) und anderen Gesetzen. Sowohl datenschutzrechtlich als auch unter steuerlichen, handelsrechtlichen und anderen rechtlichen Gesichtspunkten sind diese Aufbewahrungsfristen relevant. In der Datenschutzerklärung, die auf Websites zu integrieren ist, sollten außerdem nach Art. 13 DSVGO und Art. 14 DSGVO die vom Gesetzgeber vorgeschriebenen Aufbewahrungsfristen bezüglich Nutzerdaten geschildert sein. Sollte dies nicht erfolgen, können auch hier Bußgelder die Folge sein.

Was passiert nach Ende der Aufbewahrungsfristen von Daten?

Zunächst besteht die Forderung, dass Unterlagen unabhängig der Aufbewahrungsform während des gesamten Aufbewahrungszeitraumes lesbar sein müssen. Für die Aufbewahrung unterschiedlichster Daten an sich sind verschiedene Vorgaben einzuhalten, die den jeweiligen Gesetzen entnommen werden können. Nachdem die Aufbewahrungsfrist verstrichen ist, gibt es verschiedene Vernichtungsmöglichkeiten. Sollten Daten trotz Ablauf der Aufbewahrungsfrist noch benötigt werden, so sollten sie dennoch aufbewahrt werden.

In Anbetracht der DSGVO ist es zwar in Ordnung, Daten zu löschen und Papiere zu schreddern, jedoch müssen gerade personenbezogene oder sensible Daten so gut vernichtet werden, dass keine andere Person diese lesen kann. Eine Orientierung gibt hier die DIN 66399 hinsichtlich der datenschutzgerechten Datenträgervernichtung. Sollten Daten durch einen Dritten vernichtet werden, hat dies eine Auftragsverarbeitung zur Folge. Dies muss laut Art. 28 DSGVO mit einem schriftlichen Auftragsverarbeitungs-Vertrag (AV-Vertrag) erfolgen. Für Unternehmen bietet es sich generell an, Löschkonzepte zu entwickeln, um den Überblick zu behalten.

Übersicht: Aufbewahrungsfristen für Daten

Die Aufbewahrungsdauer ist je nach Dokument und Vorschrift unterschiedlich. Die IHK bietet stehts aktuelle Übersichten der Aufbewahrungsfristen und auch Steuerberater können eine detaillierte Auskunft darüber geben.

Im Folgenden finden Sie auch hier einige Aufbewahrungsfristen für unterschiedliche Dokumente:

 

Abrechnungsbelege10 Jahre
Abtretungserklärungen6 Jahre
Angestelltenversicherung10 Jahre
Ausgangsrechnungen10 Jahre
Arbeitsunfähigkeitsbescheinigung 5 Jahre
Aufbewahrungsvorschriften für betriebliche EDV-Dokumentation10 Jahre
Bankbelege10 Jahre
Betriebskostenrechnungen10 Jahre
Bewirtungsunterlagen10 Jahre
Buchungsbelege10 Jahre
Dauerauftragsunterlagen (nach Ablauf des Auftrags)10 Jahre
Eingabebeschreibungen bei EDV-Buchführung10 Jahre
Exportunterlagen10 Jahre
Fahrtkostenerstattungsunterlagen10 Jahre
Geschäftsberichte10 Jahre
Handelsbücher10 Jahre
Hauptabschlussübersicht10 Jahre
Jahresabschluss mit Erläuterungen10 Jahre
Kassenberichte10 Jahre
Kassenzettel (soweit keine Buchungsbelege) 6 Jahre
Kontoauszüge10 Jahre
Lieferscheine6 Jahre
Lohnbelege10 Jahre
Mietunterlagen10 Jahre
Preislisten6 Jahre
Prozessakten10 Jahre
Quittungen10 Jahre
Schriftwechsel6 Jahre
Zahlungsanweisungen10 Jahre
Zwischenbilanz10 Jahre

Übrigens gibt es für steuerlich relevante Geschäftsunterlagen, die nach der Verwaltungsanweisung GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) abgelegt werden, überdies ausführliche Regelungen, damit GoBD & DSGVO nicht in Konflikt geraden. Alles dazu lesen Sie in unserem Beitrag zum Thema GoBD & DSGVO.

 


FAQ: Wir beantworten Ihre Fragen rund um das Thema Aufbewahrungsfristen

Aufbewahrungsfristen sind gesetzliche Vorgaben zur Dauer der Datenspeicherung und Verarbeitung. Diese Löschfristen stehen der Zweckbindung oftmals konfliktär gegenüber, da bestimmte Daten häufig länger aufbewahrt werden müssen als es mit der ursprünglichen Zweckbindung der Fall wäre. Es gibt individuelle Aufbewahrungsfristen, die beachtet werden sollten.

Hierzu gibt es keine genauen Pflichten. Die Aufbewahrungsart sollte jedoch einige Kriterien erfüllen. Dokumente – egal ob analog oder in digitaler Form – müssen jederzeit abrufbar, unveränderbar, vollständig, lesbar und nachvollziehbar sein. So kann gewährleistet werden, dass die Dokumente richtig aufbewahrt werden.

Ist die Aufbewahrungsfrist abgelaufen, so ist es zwar in Ordnung Daten zu löschen und Papiere zu schreddern, jedoch müssen gerade personenbezogene oder sensible Daten so gut vernichtet werden, dass keine andere Person diese lesen kann. Sollten Daten durch einen Dritten vernichtet werden, hat dies eine Auftragsverarbeitung zur Folge. Dies muss laut Art. 28 DSGVO mit einem schriftlichen Auftragsverarbeitungs-Vertrag (AVV) erfolgen.

Portrait_Dominik
Unser Team

Wir stehen Ihnen zur Seite

Mit meiner fundierten Erfahrung in der operativen Unternehmensberatung helfe ich Ihnen dabei, die Vorgaben der DSGVO pragmatisch umzusetzen.

Dominik Fünkner

(zertifizierter Datenschutzbeauftragter & Geschäftsführer)

Weitere Themen, die Sie interessieren könnten

Aktuelle Beiträge zum Thema "Aufbewahrungsfristen"

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr