Home » FAQ » Intranet » Datenschutz » FAQ zum Datenschutz

Welche Aufbewahrungsfristen gibt es?

Für die Aufbewahrung von kaufmännischen Dokumenten gelten vor allem handels- und steuerrechtliche Vorschriften, die auf alle Unternehmen anwendbar sind.

Daneben gibt es auch noch eine Reihe branchenspezifischer Vorschriften, die hier nicht dargestellt werden.
Laut Handelsgesetzbuch (§ 238 HGB und § 257 HGB) und der Abgabenordnung (§ 147AO) gelten folgende Aufbewahrungsfristen für die aufgeführten Dokumente:

Sechs Jahre
Empfangene Handelsbriefe, Wiedergaben (Kopien, Durchschriften) abgesandter Handelsbriefe, Geschäftspapiere und sonstige Unterlagen mit kaufmännischer und steuerlicher Bedeutung. Alles, was zu Streitigkeiten führen könnte, wird sechs Jahre aufbewahrt.

Zehn Jahre
Jahresabschlüsse, Inventare, Handelsbücher, Rechnungen, Urkunden, Hypotheken. Alles, was gebucht wird, wird zehn Jahre aufbewahrt.

Dauerwert
Gerichtsurteile und Baupläne

Beispiele

Fall 1: Unzulässig gespeicherte personenbezogene Daten (§ 35 Abs. 2 Satz 2 Nr. 1 BDSG)

Sind personenbezogene Daten ohne tragfähige Rechtsgrundlage erhoben worden, dürfen diese weder verarbeitet noch genutzt werden. Sie sind unverzüglich zu löschen.

Fall 2: Nicht vom Unternehmen beweisbare, besonders sensible personenbezogene Informationen (§ 35 Abs. 2 Satz 2 Nr. 2 BDSG)

Kann das Unternehmen die Richtigkeit besonderer Arten personenbezogener Daten im Sinne von § 3 Abs. 9 BDSG (Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben) sowie über strafbare Handlungen oder Ordnungswidrigkeiten nicht beweisen, sind auch solche Daten unverzüglich zu löschen.

Fall 3: Personenbezogene Daten werden für eigene Geschäftszwecke verarbeitet (§ 35 Abs. 2 Satz 2 Nr. 3 BDSG)

Hier sind 2 Unterfälle zu unterscheiden:

Variante A: Die Kenntnis der für eigene Zwecke verarbeiteten Daten ist für die Erfüllung des Zwecks der Speicherung weiterhin erforderlich. Dies hat zur Folge, dass die Daten weiterhin verarbeitet und genutzt werden dürfen.

Variante B: Die Kenntnis der für eigene Zwecke verarbeiteten Daten ist für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich. Dies hat zur Folge, dass die Daten eigentlich zu löschen wären. Sofern Aufbewahrungspflichten bestehen, dürfen die Daten jedoch nicht gelöscht werden (vgl. § 35 Abs. 3 Nr. 1 BDSG). Sie sind dann zu sperren, sprich sie sind zu kennzeichnen, damit ihre weitere Verarbeitung oder Nutzung eingeschränkt wird.

Tipp: Als Aufbewahrungspflichten kommen insbesondere solche nach dem Steuerrecht (z. B. § 147 Abgabenordnung) oder Handelsrecht (§ 257 Handelsgesetzbuch) in Betracht. Je nachdem, um welches Dokument es sich handelt, besteht eine Aufbewahrungspflicht von 6 oder 10 Jahren.

Fall 4: Personenbezogene Daten werden geschäftsmäßig zum Zweck der Übermittlung verarbeitet (§ 35 Abs. 2 Satz 2 Nr. 4 BDSG)

Bei personenbezogenen Daten, die geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden (z. B. bei Auskunfteien) muss grundsätzlich am Ende des 4. des auf die erstmalige Speicherung folgenden Kalenderjahres geprüft werden, ob eine länger währende Speicherung erforderlich ist.

Ist dem nicht so, muss gelöscht werden. Soweit es sich um personenbezogene Daten über erledigte Sachverhalte handelt (z. B. beglichene Kredite) und der Betroffene der Löschung nicht widerspricht, muss diese Prüfung bereits am Ende des 3. Kalenderjahres erfolgen.

Fall 5: Eine Betriebsvereinbarung regelt das Löschen, Sperren oder Aufbewahren

Betriebsvereinbarungen gelten als andere Rechtsvorschriften im Sinne des § 4 Abs. 1 BDSG und können abweichend vom BDSG das Erheben, Verarbeiten oder Nutzen personenbezogener Daten in den Anwendungsbereich der Betriebsvereinbarung fallender Arbeitnehmer regeln.

Finden sich in einer einschlägigen Betriebsvereinbarung Festlegungen zum Löschen, Sperren oder Aufbewahren personenbezogener Daten, so sind diese vorrangig zu berücksichtigen und anzuwenden.

Fall 6: Personenbezogene Daten werden für fremde Geschäftszwecke verarbeitet

Es kann auch vorkommen, dass Ihr Unternehmen Daten für fremde Zwecke verarbeitet, z. B. im Rahmen einer sogenannten Datenverarbeitung im Auftrag (§ 11 BDSG). In einem solchen Fall unterliegt Ihr Unternehmen den Weisungen des Auftraggebers.

Im Übrigen bleibt bei der Datenverarbeitung im Auftrag der Auftraggeber für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich. Das gilt auch für das Thema Löschen und Sperren personenbezogener Daten.

Findet sich in einer schriftlichen Vereinbarung keine Festlegung dazu, wann die im Auftrag verarbeiteten Daten zu löschen oder zu sperren sind, sollten Sie diese Festlegung vom Auftraggeber einfordern. Die Umsetzung der Festlegung in der Praxis kommt natürlich Ihrem Unternehmen als weisungsgebundenem Auftragnehmer zu.

Fall 7: Daten müssen gesperrt werden, weil sie nicht gelöscht werden können (§ 35 Abs. 3 Nr. 3 BDSG)

Handelt es sich um Daten, die zu löschen wären, jedoch die Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist, müssen diese Daten zwar nicht gelöscht, aber gesperrt werden.