Magazin
Aufbewahrungsfristen & Löschfristen nach DSGVO: So behalten Sie den Überblick

Aufbewahrungsfristen & Löschfristen nach DSGVO: So behalten Sie den Überblick

Letztes Update:
24.02.2026
Lesezeit:
0
Min
Personenbezogene Daten speichern – aber wie lange? Diese Frage stellt sich täglich in Unternehmen: Einerseits verlangt die DSGVO, Daten zu löschen, sobald der Verarbeitungszweck entfällt. Andererseits gibt es gesetzliche Aufbewahrungsfristen aus HGB, AO oder EStG, die eine längere Speicherung vorschreiben. Wie Sie beide Anforderungen erfüllen, Bußgelder vermeiden und den Überblick behalten, zeigt dieser Leitfaden.
Aufbewahrungsfristen & Löschfristen nach DSGVO: So behalten Sie den Überblick
Die wichtigsten Erkenntnisse
  • Personenbezogene Daten dürfen nur gespeichert werden, solange eine rechtliche Grundlage dies erlaubt.
  • Gesetzliche Aufbewahrungspflichten aus der AO oder dem HGB stellen einen berechtigten Speicherzweck dar und verschieben den Zeitpunkt der Löschung personenbezogener Daten.
  • Unternehmen müssen sicherstellen, dass ihre Lösch- und Archivierungspraxis nachvollziehbar und DSGVO-konform ist.
  • Nach Ablauf der Aufbewahrungsfrist sind Daten DSGVO-konform zu löschen oder physisch zu vernichten.
  • Ein strukturiertes, systemgestütztes Löschkonzept schafft Transparenz.

Schnellübersicht: Das Wichtigste auf einen Blick

| Frage | Antwort | | :--- | :--- | | Wie lange dürfen Daten gespeichert werden? | Solange ein Zweck besteht oder eine gesetzliche Aufbewahrungsfrist gilt (z.B. 10 Jahre für Rechnungen) | | Wann müssen Daten gelöscht werden? | Nach Ablauf der Aufbewahrungsfrist oder Wegfall des Verarbeitungszwecks | | Welche Fristen gelten am häufigsten? | 6 Jahre (z.B. Geschäftsbriefe) oder 10 Jahre (z.B. Buchungsbelege, Rechnungen) | | Wer ist verantwortlich? | Das Unternehmen als datenschutzrechtlich Verantwortlicher (Art. 5 DSGVO) |

Warum Löschfristen oft missverstanden werden

Immer mehr Unternehmen setzen auf datengetriebene Geschäftsmodelle und müssen dafür eine Vielzahl personenbezogener Daten verarbeiten. Doch bei der Verarbeitung und Speicherung gelten strenge Spielregeln. So ist eine rechtliche Grundlage erforderlich, die überhaupt rechtfertigt, dass Daten gespeichert werden. Entfällt diese Grundlage, greift das Löschgebot der Datenschutzgrundverordnung (DSGVO): Die betreffenden Daten müssen gelöscht werden.

Doch in der Praxis kollidiert dieses Löschgebot häufig mit gesetzlichen Aufbewahrungsfristen, wie z. B.: 

  • Rechnungen: 10 Jahre Aufbewahrungspflicht (§ 147 AO)
  • Lohnunterlagen: 6 Jahre nach Ende des Kalenderjahres
  • Arbeitsverträge: Bis 3 Jahre nach Vertragsende (Verjährungsfrist)

Verantwortliche, die hier keine klaren Regeln definieren und umsetzen, riskieren Bußgelder und Reputationsverluste für ihre Organisation.

Aufbewahrungsfristen laut DSGVO: Das Grundprinzip

In der Praxis stellt sich häufig die Frage, wie lange personenbezogene Daten aufbewahrt werden dürfen, um damit etwa Geschäfte oder interne Vorgänge nachweisen zu können. Grundsätzlich erlaubt die DSGVO die Verarbeitung nur unter den in Art. 5 Abs. 1 lit. b DSGVO benannten Bedingungen: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden (Zweckbindung) und nur, solange diese Zwecke bestehen (Speicherbegrenzung). Die DSGVO-Speicherfrist endet grundsätzlich mit Wegfall der Rechtsgrundlage.

Wichtig: Die DSGVO legt keine konkreten Fristen fest – sie definiert nur das Prinzip.

Gleichzeitig müssen Organisationen sich an gesetzliche Vorgaben halten, wenn es etwa um die Aufbewahrungspflicht von Personalakten, Steuerunterlagen oder Geschäftsberichte geht. Diese Pflichten schaffen eine neue, eigenständige Zweckbindung.

Das bedeutet: Die Aufbewahrungsfristen treten also an die Stelle der DSGVO-Zweckbindung: Solange eine gesetzliche Aufbewahrungspflicht besteht, ist die Speicherung personenbezogener Daten weiterhin zulässig, auch wenn der ursprünglich Verarbeitungszweck bereits erfüllt ist. Sind jedoch auch diese Fristen abgelaufen, müssen die Daten endgültig gelöscht oder datenschutzkonform vernichtet werden.

Welche Rechtsgrundlagen bestimmen die Aufbewahrungsdauer?

Die gesetzlichen Aufbewahrungsfristen ergeben sich aus verschiedenen Vorschriften, darunter: 

  • Abgabenordnung (AO) – insbesondere § 147 AO
  • Handelsgesetzbuch (HGB) – §§ 238, 257 HGB
  • Einkommensteuergesetz (EStG)

Diese Rechtsgrundlagen gelten unabhängig davon, ob Daten in Papierform oder digital gespeichert sind.

Achtung, Stolperfalle: Nach Art. 13 und Art. 14 DSGVO müssen Unternehmen in Datenschutzinformationen für Betroffene auf Datenverarbeitungen zur Erfüllung konkreter Aufbewahrungspflichten hinweisen. Wer diese Informationspflicht missachtet, riskiert ebenfalls Bußgelder.

Welche Rolle spielen die GoBD?

Im Zusammenhang mit steuerlich relevanten Unterlagen gelten zusätzlich die Vorgaben der GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff). Die GoBD definieren keine Fristen, sondern regeln wie Daten revisionssicher aufzubewahren sind – z. B. unveränderbar, jederzeit abrufbar, vollständig.

Aktuelle Aufbewahrungsfristen für Dokumente im Überblick (Stand 2025)

Eine einheitliche Regelung für Aufbewahrungsfristen in Unternehmen gibt es nicht. Denn je nach Dokument und Vorschrift gilt eine andere Aufbewahrungsdauer. Die IHK stellt regelmäßig aktualisierte Übersichten zur Verfügung. Verantwortliche können darüber hinaus ihre Steuerberatung um eine individuelle Einschätzung bitten.

Im Folgenden fassen wir einige Aufbewahrungsfristen für typische Unternehmensdokumente zusammen, die in der Regel personenbezogene Daten enthalten.  

Wichtig: Fristen beginnen häufig erst mit dem Ablauf des Kalenderjahres, in dem ein Vorgang abgeschlossen wurde – nicht mit dem Datum des Vorgangs selbst.

Beispiel: Eine Rechnung vom 15. März 2025 muss bis zum 31. Dezember 2035 aufbewahrt werden (10 Jahre ab Ende 2025).

Die konkreten Anforderungen an die Aufbewahrungsform ergeben sich aus den jeweils einschlägigen Gesetzen. Für die Dauer der Aufbewahrung gilt jedoch: Dokumente müssen unabhängig von ihrer Aufbewahrungsform jederzeit lesbar, vollständig und zugänglich sein.  

Was passiert nach Fristablauf?

Nach Ablauf der gesetzlichen Aufbewahrungsfrist endet auch die rechtliche Grundlage für die Speicherung der betroffenen Daten. Diese müssen nun gelöscht oder datenschutzkonform vernichtet werden. Dabei spielt es keine Rolle, ob die Daten analog oder digital vorliegen. Entscheidend ist, dass sie vollständig, nachvollziehbar und sicher entfernt werden.

So löschen Sie DSGVO-konform:

  • Elektronische Daten: Mehrfaches Überschreiben, sicheres Löschen von Datenträgern
  • Papierunterlagen: Schreddern nach DIN 66399 (Sicherheitsstufe mind. P-4 für personenbezogene Daten)
  • Backups & Archive: Auch hier müssen Daten nach Fristablauf entfernt werden

Die Maßnahmen und der Zeitpunkt der Löschung sollten dokumentiert werden. Um sicherzugehen, dass Sie den Prozess der Vernichtung datenschutzkonform und zum richtigen Zeitpunkt durchführen und ihn sauber dokumentieren, hilft ein strukturiertes Löschkonzept, die Übersicht zu behalten.

Was ist bei Datenvernichtung durch Dienstleister zu beachten?

Bei der Datenvernichtung können Unternehmen auf externe Dienstleister zurückgreifen. Allerdings müssen sie dafür einen schriftlichen Auftragsverarbeitungsvertrag (AV-Vertrag) abschließen, da es sich in diesem Fall um eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO handelt.

AVV-Vertrag einfach erstellt – ohne Rechtsexperte zu sein

Externe Dienstleister für Datenvernichtung oder Archivierung einsetzen? Ein Auftragsverarbeitungsvertrag ist Pflicht. Die fertige Vorlage von Proliance führt Sie Schritt für Schritt durch alle erforderlichen Angaben – einfach ausfüllen, unterschreiben, fertig. DSGVO-konform und rechtssicher.

Jetzt AVV-Vorlage kostenlos sichern

Checkliste: Aufbewahrungs- und Löschfristen richtig managen

So behalten Sie den Überblick über Fristen und erfüllen DSGVO- sowie gesetzliche Anforderungen:

Datenarten identifizieren: Welche personenbezogenen Daten speichern Sie? (z. B. Kundendaten, Personalakten, Rechnungen)

Rechtsgrundlage prüfen: Welche Aufbewahrungsfristen gelten (DSGVO, HGB, AO, branchenspezifische Vorschriften)?

Löschkonzept erstellen: Definieren Sie Prozesse und Verantwortlichkeiten für regelmäßige Löschungen

Fristen überwachen: Nutzen Sie Software oder automatisierte Erinnerungen

Dokumentation: Halten Sie fest, wann und wie Daten gelöscht wurden

Mitarbeitende schulen: Sensibilisieren Sie Ihr Team für Datenschutz und Löschpflichten

Ein strukturiertes Löschkonzept sorgt für Klarheit und Rechtskonformität. Vor allem, wenn externe Datenschutzbeauftragte bei der Erarbeitung eines solchen Konzepts unterstützen. Mit ihrer Erfahrung und dem Wissen über verschiedene Dokumenten- und Datenarten übersetzen sie die Anforderungen der DSGVO mühelos in die Praxis von Unternehmen. Dadurch ist jederzeit klar,  

  • welche Datenschutz-Aufbewahrungsfristen gelten und  
  • welche Prozesse für die Einhaltung von gesetzlichen Aufbewahrungs- und Löschpflichten notwendig sind.  

Noch effizienter gelingt die Aufbewahrung von Daten mit Softwarelösungen, die DSGVO-Aufbewahrungsfristen automatisch berücksichtigen und Fristen überwachen.

Benötigen Sie Unterstützung bei der Umsetzung?

Die Datenschutzexperten von Proliance helfen Ihnen bei der Erstellung eines DSGVO-konformen Löschkonzepts und prüfen Ihre Aufbewahrungsfristen.

Zum externen DSB

Fazit: Datenschutz + Compliance = Rechtssicherheit

Aufbewahrungsfristen und Löschpflichten in Einklang zu bringen, ist eine der zentralen Herausforderungen im Datenschutz. Doch mit einem strukturierten Löschkonzept, klaren Prozessen und – wo nötig – professioneller Unterstützung durch externe Datenschutzbeauftragte schaffen Sie Rechtssicherheit und vermeiden Bußgelder.

Die wichtigsten Schritte:

  1. Datenarten identifizieren und Rechtsgrundlagen prüfen
  2. Lösch- und Aufbewahrungsfristen definieren
  3. Prozesse automatisieren (z. B. mit Softwarelösungen)
  4. Dokumentation sicherstellen

Sie haben Fragen oder möchten Ihre Datenschutz-Compliance optimieren? Melden Sie sich bei Proliance und erhalten Sie Unterstützung!

Häufige Fragen

Sie haben noch Fragen? Wir haben die Antworten

Was sind Aufbewahrungsfristen laut DSGVO?

Die DSGVO definiert keine konkreten Aufbewahrungsfristen. Sie fordert jedoch Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den Verarbeitungszweck erforderlich sind. Gesetzliche Aufbewahrungspflichten aus HGB oder AO (z. B. 10 Jahre für Rechnungen) gelten als berechtigter Speicherzweck und verschieben die Löschfrist entsprechend. Proliance unterstützt Sie mit Externer-DSB-Beratung und Software-Lösungen beim Fristenmanagement.

Wie sollten Dokumente aufbewahrt werden?

Geschäftsunterlagen müssen – ob analog oder digital – jederzeit abrufbar, lesbar, vollständig, unveränderbar und nachvollziehbar sein. Daten sind aus operativen Systemen in revisionssichere Archivsysteme zu überführen. Die Anforderungen ergeben sich aus den GoBD. Eine bloße Ablage ohne Zugriffskontrolle reicht nicht aus. Proliance bietet Software-Lösungen für Dokumentenmanagement und Asset-Management, die GoBD-Konformität sicherstellen und rechtssichere Archivierung ermöglichen.

Was passiert, wenn die Aufbewahrungsfrist abgelaufen ist?

Nach Fristablauf endet der legitime Speicherzweck – die Löschfrist beginnt. Personenbezogene Daten müssen dann DSGVO-konform gelöscht oder datenschutzkonform vernichtet werden (z. B. Schreddern nach DIN 66399, sicheres Überschreiben). Bei externen Dienstleistern ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich. Ein professionelles Löschkonzept vermeidet Risiken. Proliance unterstützt mit Externer-DSB-Beratung, Dokumentation und automatisierter Fristenüberwachung per Software.

Wann müssen personenbezogene Daten gelöscht werden?

Die Löschpflicht greift, sobald der Verarbeitungszweck entfällt, keine gesetzliche Aufbewahrungsfrist mehr gilt oder eine Einwilligung widerrufen wurde. Beispiel: Rechnungen nach 10 Jahren (§ 147 AO), Bewerbungsunterlagen nach Absage. Nach Fristablauf müssen Daten DSGVO-konform gelöscht oder vernichtet werden. Ein strukturiertes Löschkonzept schafft Rechtssicherheit. Proliance unterstützt mit automatisierter Fristenüberwachung, Dokumentation und Externer-DSB-Beratung.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
DSGVO & Recht
Redaktion
Sabrina Schaub
Freie Redakteurin
Mit ihrer Content-Erfahrung unterstützt Sabrina das Team von Proliance dabei, komplexe Themen verständlich zu kommunizieren. Als freie Autorin kennt sie die Datenschutzbedürfnisse unterschiedlicher Branchen und übersetzt selbst anspruchsvolle Informationen in zielgruppengerechte Inhalte.
Zum Autorenprofil
Zum Expertenprofil
Marcus Geck
Senior Privacy Manager
Seit 2023 berät Marcus bei Proliance in seiner Funktion als Senior Privacy Manager Kunden bei der praktischen Umsetzung der komplexen datenschutzrechtlichen Vorgaben. Durch seine langjährige Tätigkeit als Rechtsanwalt sowie Unternehmensberater im Bereich Datenschutz kennt der Volljurist und Europajurist die Herausforderungen, vor denen insbesondere kleine und mittlere Unternehmen stehen, genau.
Zum Autorenprofil
Zum Expertenprofil
Über Proliance
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Jetzt beraten lassen
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

DSGVO und BDSG: Unterschiede und Gemeinsamkeiten, die Unternehmen kennen sollten
16.03.2026
DSGVO und BDSG: Unterschiede und Gemeinsamkeiten, die Unternehmen kennen sollten
Wenn es um den Datenschutz geht, müssen Unternehmen sich mit DSGVO und BDSG auseinandersetzen. Was sind die Unterschiede zwischen den Verordnungen und wann gilt was? Dieser Artikel beleuchtet die wichtigsten Aspekte mit praxisnahen Beispiele und liefert Tipps zur Einhaltung beider Gesetze.
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
12.03.2026
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
Egal, ob in der Arztpraxis, in der Pflege oder im Krankenhaus – Datenschutz im Gesundheitswesen ist von großer Bedeutung. Gesundheitsdaten gehören zu den sensibelsten Informationen überhaupt. Wer sie verarbeitet, braucht nicht nur eine saubere Rechtsgrundlage, sondern auch Prozesse, die im Alltag funktionieren (von der Anmeldung über IT-Systeme bis zur Zusammenarbeit mit Dienstleistern). In diesem Beitrag schauen wir darauf, welche Regeln gemäß DSGVO für Gesundheitsdaten gelten – und welche praktischen Maßnahmen euch helfen, typische Risiken schnell in den Griff zu bekommen.
Datenschutz vs. IT‑Sicherheit vs. Informationssicherheit: Unterschiede einfach erklärt
11.03.2026
Datenschutz vs. IT‑Sicherheit vs. Informationssicherheit: Unterschiede einfach erklärt
Datenschutz und IT-Sicherheit sind Grundpfeiler für die Informationssicherheit in Unternehmen. Doch zwischen den drei Compliance-Bereichen besteht Verwechslungsgefahr. Erfahren Sie alles über Unterschiede und Zusammenhänge, um Ihre Unternehmensinformationen wirksam zu schützen.
Was ist Datenschutz? Grundlagen, Grundsätze und Relevanz für Unternehmen
11.03.2026
Was ist Datenschutz? Grundlagen, Grundsätze und Relevanz für Unternehmen
Verbraucher kommen vor allem beim Cookie-Banner mit Datenschutz in Berührung. Doch in Unternehmen steckt Datenschutz in viel mehr Momenten: wenn Bewerbungen im HR-Postfach ankommen, Kundendaten im CRM landen oder Dateien per Cloud geteilt werden. Die gute Nachricht: Wer die Grundlagen versteht, kann Datenschutzvorgaben effizient und sicher einhalten.
datenschutz-Muster

Kostenlose Materialien zum Thema

Datenschutzerklärung für Bewerber
Erfüllen Sie die DSGVO-Datenschutzpflicht für Bewerber mit unserer Vorlage einfach & sicher.
Bestellung eines Datenschutz­beauftragten nach DSGVO
Berufen Sie jetzt einfach und schnell Proliance mit unserer Bestellurkunde.
Einwilligungserklärung: Kostenloses Muster
Nutzen Sie unsere kostenlose Vorlage für eine Einwilligungserklärung zur Erhebung personenbezogener Daten.
Datenschutzerklärung für Kunden
Erfüllen Sie mit unserer Vorlage die DSGVO-Datenschutzinformationspflicht für Ihre Kunden.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!