Aufbewahrungsfristen genau beachten: Welche Unterlagen 2025 DSGVO-konform entsorgt werden dürfen

Unterlagen mit einer Aufbewahrungsfrist von zehn Jahren aus dem Jahr 2014 und mit einer Frist von sechs Jahren aus dem Jahr 2018 dürfen nun vernichtet werden

[datensicherheit.de, 09.01.2025] Zum Jahresbeginn 2025 biete sich nun wieder einmal die Gelegenheit, Aktenordner und digitale Archive von Altlasten zu befreien. Viele Unternehmen und Privatpersonen stellten sich indes die Frage, welche Dokumente entsorgt werden könnten, bei denen die gesetzliche Aufbewahrungsfrist abgelaufen ist: „Unterlagen mit einer Aufbewahrungsfrist von zehn Jahren aus dem Jahr 2014 und mit einer Frist von sechs Jahren aus dem Jahr 2018 dürfen nun vernichtet werden – vorausgesetzt, es bestehen keine anderen Aufbewahrungsgründe“, erläutert Harald Krekeler, Geschäftsführer des Softwarebüros Krekeler, in seiner Stellungnahme. Er betont: „Genauso wichtig wie eine rechtssichere Aufbewahrung ist aber auch eine rechtssichere Dokumentenvernichtung, bei der vor allem der Datenschutz nach DSGVO im Fokus steht!“

Foto: Softwarebüro Krekeler

Harald Krekeler: Die Unterlagen- bzw. Datenträger-Vernichtung sollte lückenlos dokumentiert werden!

Fristende für viele Unterlagen aus dem Jahr 2014

In Deutschland regelten vor allem die Abgabenordnung (AO) und das Handelsgesetzbuch (HGB) die Aufbewahrungspflichten von geschäftlichen Unterlagen. Je nach Art der Dokumente gälten dabei unterschiedliche Fristen, wobei die häufigsten Zeiträume sechs Jahre und zehn Jahre seien. Nach Ablauf dieser Fristen dürften die entsprechenden Unterlagen datenschutzkonform vernichtet werden. Es sei jedoch entscheidend, den Stichtag korrekt zu berechnen.

Krekeler stellt klar: „Die Aufbewahrungsfrist beginnt immer mit dem Ende des Kalenderjahres, in dem das jeweilige Dokument erstellt wurde. Ein Beleg, der beispielsweise im Mai 2014 erstellt wurde, ist ab dem 31. Dezember 2014 aufbewahrungspflichtig. Die Aufbewahrungsfrist von zehn Jahren für dieses Dokument endet somit am 31. Dezember 2024 und es darf ab Januar 2025 vernichtet werden.“

Vorzeitige Vernichtung von Unterlagen kann schwerwiegende Konsequenzen haben

Doch Vorsicht: Die richtige Berechnung des Fristbeginns und -endes sei wichtig, da eine vorzeitige Vernichtung von Dokumenten schwerwiegende Konsequenzen haben könne. Denn im Falle einer Betriebsprüfung oder bei Rechtsstreitigkeiten könnten fehlende Unterlagen erhebliche finanzielle oder rechtliche Nachteile nach sich ziehen.

Nämlich: „Wenn an einem Dokument aus 2014 im Jahr 2015 noch einmal eine nachträgliche Änderung erfolgte, dann beginnt die Aufbewahrungsfrist für dieses Dokument erst im Dezember 2015 und es darf folglich auch erst im Januar 2026 vernichtet werden“, unterstreicht Krekeler.

Folgende Unterlagen können laut Krekeler ab Januar 2025 vernichtet werden:

Unterlagen mit zehn-jähriger Aufbewahrungsfrist
Unterlagen aus dem Jahr 2014 – mit Fristbeginn 31. Dezember 2014 – könnten ab dem 1. Januar 2025 datenschutzgerecht vernichtet werden. Hierzu zählten vor allem steuerrechtlich relevante Dokumente, wie Jahresabschlüsse und Eröffnungsbilanzen, Buchungsbelege, Steuerbescheide und Steuererklärungen, Handelsbücher und Rechnungen (Ein- und Ausgang).

Unterlagen mit sechs-jähriger Aufbewahrungsfrist
Für Geschäftsbriefe und andere steuerlich weniger relevante Dokumente gelte eine kürzere Frist. So könnten Handels- und Geschäftsbriefe – dazu zählten zum Beispiel Angebote, Bestellungen und Schriftverkehr – sowie Lohnunterlagen aus dem Jahr 2018 ab Januar 2025 entsorgt werden.

Aber bloß nicht einfach in den Müll: DSGVO-konforme Entsorgung der Unterlagen bzw. Datenträger!

Schriftverkehr und Dokumente nach ihrer Aufbewahrungsfrist einfach in den Müll oder den digitalen Papierkorb zu entsorgen, funktioniere jedoch nicht. Die Vernichtung von Unterlagen erfordere stattdessen besondere Sorgfalt, insbesondere im Hinblick auf den Datenschutz. Unternehmen wie Privatpersonen müssten sicherstellen, dass Daten vollständig und unwiderruflich vernichtet werden.

„Nach der Datenschutz-Grundverordnung müssen personenbezogene Daten so vernichtet werden, dass sie nicht mehr rekonstruierbar sind. Für Papierdokumente bedeutet es, dass sie durch einen geeigneten Aktenvernichter vernichtet werden müssen, der den Anforderungen nach DIN 66399 entspricht. Für personenbezogene Daten gilt dabei mindestens die Sicherheitsstufe P-4, nach der die Papierstreifen so klein sind, dass eine Rekonstruktion praktisch unmöglich ist.“ Bei sensiblen Daten, wie Gesundheitsdaten, sei eine noch höhere Sicherheitsstufe erforderlich. Hierbei sollten Unternehmen erwägen, einen zertifizierten Aktenvernichtungsdienstleisters zu beauftragen, denn diese erfüllten die hohen Datenschutzstandards.

Vernichtung digitaler Unterlagen durch nicht-reversible Löschung oder physische Zerstörung der Datenträger

Die Vernichtung digitaler Unterlagen erfolge durch Löschung oder physische Zerstörung der Datenträger. Eine einfache Löschung, beispielsweise durch Verschieben in den Papierkorb, reiche nicht aus. „Die Daten müssen durch spezielle Software unwiderruflich gelöscht werden, etwa mit Programmen wie ,Eraser’ oder ,DBAN’, die mehrfaches Überschreiben der Speicherbereiche ermöglichen.“ Bei Datenträgern wie Festplatten, CDs oder USB-Sticks sei die physische Zerstörung eine weitere Option. Hierfür kämen Schreddergeräte für digitale Medien oder spezialisierte Dienstleister zum Einsatz. „Allerdings muss auch hier die Vernichtung nach DIN 66399 erfolgen“, sagt Krekeler.

Abschließend rät Krekeler noch: „Die Dokumenten-Vernichtung sollte lückenlos dokumentiert werden. Das schützt nicht nur vor Datenschutzverstößen, sondern ist auch ein Nachweis für die ordnungsgemäße Entsorgung. Zudem sollte vor der Entsorgung überprüft werden, ob es besondere Gründe gibt, bestimmte Unterlagen über die gesetzlichen Fristen hinaus aufzubewahren.“ Beispiele hierfür seien laufende Prüfungen durch das Finanzamt oder Rechtsstreitigkeiten – in solchen Fällen sei eine längere Aufbewahrung ratsam.

Weitere Informationen zum Thema:

datensicherheit.de, 18.12.2023
Tipp zu Archivierungsfristen: Welche Unterlagen ab Januar 2024 vernichtet werden dürfen / Geschäfts- und Buchhaltungsunterlagen müssen unabhängig von ihrer Form über einen festgelegten Zeitraum aufbewahrt werden

datensicherheit.de, 20.10.2010
Datenlöschung durch Vernichtung des Datenträgers: Die oft unterschätzten Aktenvernichter / Ein Praxisbericht auf der it-sa 2010 über die Brisanz von Zufallsfunden sensibler Altpapiere

datensicherheit.de, 27.07.2009
Das ds Interview: „Skandal-Prävention durch sichere Daten-Löschung“ / Carsten Pinnow im Gespräch mit Hanno Fischer