Welche Daten müssen wie lange aufbewahrt werden? Diese Frage klingt einfach. Die Antwort ist es nicht – denn in Deutschland gibt es keine einzige, einheitliche Aufbewahrungspflicht. Es gibt HGB und Handelsrecht, Steuerrecht mit AO und GoBD, DSGVO-Löschpflichten, berufsrechtliche Sonderregelungen und branchenspezifische Vorschriften. Und diese Normen widersprechen sich teils: Was nach Steuerrecht 10 Jahre aufbewahrt werden muss, muss nach DSGVO möglicherweise früher gelöscht werden.
Dieser Artikel gibt IT-Leitern, Compliance-Beauftragten und Systemverantwortlichen die vollständige, praxistaugliche Übersicht – gegliedert nach Norm, Datenkategorie, Frist und Sanktion. Mit einer konkreten Antwort auf die Frage, die am Ende immer steht: Wie stellt man das technisch sicher?
DAS WICHTIGSTE IN KÜRZE
|
KURZ ZUSAMMENGEFASST
|
Es gibt in Deutschland kein einheitliches Archivierungsgesetz. Stattdessen verteilen sich die Pflichten auf mehrere Rechtsgebiete – mit unterschiedlichen Fristen, unterschiedlichen Anforderungen an das Format und unterschiedlichen Konsequenzen bei Verstoß.
10 J.Steuerrelevante Unterlagen AO §147 / HGB §257 |
6 J.Handelsbriefe & Korrespondenz HGB §257 |
30 J.Lohn- und Pensionsdaten BetrAVG / SV |
0 J.DSGVO: löschen wenn Zweck entfällt DSGVO Art. 17 |
| Kategorie | Details |
|---|---|
| Aufbewahrungsfrist | 6 / 10 Jahre (Grundfrist) |
| Rechtsgrundlage | HGB §257 – Handelsgesetzbuch (Aufbewahrung von Unterlagen) |
| Betroffene Datenkategorien |
|
| Besonderheiten | Die Frist beginnt mit dem Ende des Kalenderjahres, in dem die letzte Eintragung erfolgte, das Inventar erstellt, der Abschluss festgestellt oder ein Handelsbrief empfangen bzw. versendet wurde. Bei laufenden Verträgen beginnt die Frist erst nach Vertragsbeendigung. |
| Sanktionen bei Verstoß |
|
| Kategorie | Details |
|---|---|
| Aufbewahrungsfrist | 10 Jahre (Grundfrist) |
| Rechtsgrundlage | HGB §257 – Handelsgesetzbuch (Aufbewahrung von Unterlagen) |
| Betroffene Datenkategorien |
|
| Besonderheiten | Die Frist beginnt mit dem Ende des Kalenderjahres, in dem die letzte Eintragung erfolgte, das Inventar erstellt, der Abschluss festgestellt oder ein Handelsbrief empfangen bzw. versendet wurde. Bei laufenden Verträgen beginnt die Frist erst nach Vertragsbeendigung. |
| Sanktionen bei Verstoß |
|
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form) des BMF sind die technisch anspruchsvollste Norm. Sie bestimmen nicht nur die Dauer der Aufbewahrung, sondern die Qualität – und diese Qualitätsanforderungen sind es, an denen die meisten bestehenden Backup-Lösungen scheitern.
| Kategorie | Details |
|---|---|
| Aufbewahrungsfrist | 10 Jahre (Grundfrist) |
| Rechtsgrundlage | GOBD (BMF-SCHREIBEN 2019) |
| Betroffene Datenkategorien |
|
| Besonderheiten |
Kritische GoBD-Anforderungen über die Frist hinaus: (1) Unveränderbarkeit – archivierende Daten dürfen nicht verändert werden. (2) Maschinelle Auswertbarkeit – ohne Spezialsoftware des Unternehmens. (3) Vollständigkeit – kein selektives Archivieren. (4) Zugriffsbereitschaft – sofortiger Abruf durch Prüfer. (5) Verfahrensdokumentation – das Archivierungsverfahren selbst muss dokumentiert sein. |
| Sanktionen bei Verstoß |
Verwerfung der Buchführung als nicht ordnungsgemäß. Schätzungsrecht des Prüfers. Nachzahlungen unbegrenzt. |
GOBD: DIE HÄUFIGSTEN COMPLIANCE-FEHLER IN DER PRAXIS
Fehler 1: Backup statt Archiv – Backups erfüllen die GoBD-Anforderungen an Unveränderbarkeit und maschinelle Auswertbarkeit nicht.
Fehler 2: Format-Konvertierung ohne Originalerhalt – wenn digitale Belege in ein anderes Format konvertiert werden und das Original nicht erhalten bleibt, ist das ein GoBD-Verstoß.
Fehler 3: Fehlende Verfahrensdokumentation – die GoBD verlangt, dass das Archivierungsverfahren selbst dokumentiert ist. Fehlt sie, gefährdet das die gesamte Archivierung.
Fehler 4: Altsystem abgeschaltet ohne Datenmigration – wenn Daten im proprietären Format eines abgekündigten Systems liegen, sind sie nicht mehr 'maschinell auswertbar'.
Fehler 5: Selektives Archivieren – nur bestimmte Buchungen oder Zeiträume zu archivieren verletzt das Vollständigkeitsgebot der GoBD.
Die DSGVO folgt einer anderen Logik als das Handels- und Steuerrecht: Während HGB und AO Mindestfristen vorschreiben (mindestens 6 oder 10 Jahre aufbewahren), schreibt die DSGVO Maximalfristen vor. Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Verarbeitungszweck notwendig ist – danach besteht eine aktive Löschpflicht.
Das führt zu einem echten Rechtskonflikt: Rechnungen an Privatkunden enthalten personenbezogene Daten (Name, Adresse, ggf. Bankverbindung) – und müssen nach HGB/AO 10 Jahre aufbewahrt, nach DSGVO aber gelöscht werden, sobald der Zweck entfällt.
| Kategorie | Details |
|---|---|
| Aufbewahrungsfrist | zweckgebunden |
| Rechtsgrundlage | DSGVO ART. 5, 17, 25 |
| Betroffene Datenkategorien |
|
| Besonderheiten |
Der DSGVO-HGB-Konflikt löst sich durch zweckgebundene Archivierung: Steuerrelevante personenbezogene Daten dürfen für Steuerzwecke aufbewahrt bleiben – aber der Zugriff muss auf diesen Zweck beschränkt sein. Praktisch bedeutet das: Daten werden archiviert, aber für Marketingzwecke oder CRM gesperrt. |
| Sanktionen bei Verstoß |
Bis 20 Mio. € oder 4% weltweiter Jahresumsatz (Art. 83 DSGVO). Öffentliches Bußgeld-Register (DSGVO Art. 83 Abs. 5). |
Die folgende Tabelle gibt eine vollständige Übersicht aller relevanten Datenkategorien mit Frist, Rechtsgrundlage und Format-Anforderung. Sie ist als Schnell-Referenz für IT-Leiter, Compliance-Beauftragte und Systemverantwortliche konzipiert.
|
Datenkategorie |
Frist |
Rechtsgrundlage |
Format-Anforderung |
Sanktion bei Verstoß |
|---|---|---|---|---|
|
Jahresabschlüsse, Bilanzen, Inventare |
10 Jahre |
HGB §257 / AO §147 |
Original oder gescannte Kopie mit Integritätsnachweis |
Betriebsprüfungsrisiko, Schätzung |
|
Buchungsbelege (Rechnungen, Quittungen) |
10 Jahre |
AO §147 / GoBD |
Unveränderbar, maschinell auswertbar |
Schätzungsbescheid, Zinsen |
|
Handelsbriefe (empfangen und gesendet) |
6 Jahre |
HGB §257 |
Vollständig, lesbar, abrufbar |
Beweisverlust im Streitfall |
|
Geschäfts-E-Mails (steuerrelevant) |
10 Jahre |
AO §147 / GoBD |
Revisionssicher, mit Metadaten |
Wie Buchungsbelege |
|
Geschäfts-E-Mails (allgemein) |
6 Jahre |
HGB §257 |
Vollständig und lesbar |
Beweisverlust |
|
Lohnunterlagen (Beitragsrecht SV) |
bis 30 Jahre |
§28f SGB IV |
Vollständig, personenbezogen |
Nachforderung Sozialversicherung |
|
Lohnunterlagen (steuerlich) |
10 Jahre |
AO §147 |
Maschinell auswertbar |
Lohnsteuer-Nachzahlung |
|
Reisekostenabrechnungen |
10 Jahre |
AO §147 |
Beleg + Originalquittungen |
Betriebsausgaben-Aberkennung |
|
Verträge (laufend) |
10 J. nach Vertragsende |
HGB §257 / AO §147 |
Vollständig inkl. Anlagen |
Beweisverlust, Haftung |
|
Patientendaten / Behandlungsunterlagen |
mind. 10 Jahre |
§10 MBO-Ä, §630f BGB |
Vollständig, lesbar |
Arzthaftung, Berufsgericht |
|
Produktionsprotokolle (Pharma/Medizin) |
mind. 15 Jahre |
AMG, MPDG |
GMP-konform, auditierbar |
Produkthaftung, Behördenauflage |
|
Produktionsprotokolle (Allgemein) |
5–10 Jahre |
ProdhaftG, intern |
Vollständig, rückverfolgbar |
Produkthaftungsklage |
|
Architekturpläne / Baugenehmigungen |
30 Jahre |
LBO (Landesrecht) |
Original oder zertifizierte Kopie |
Haftung, Bußgeld |
|
Pensionsunterlagen / BetriebsAVG |
dauerhaft |
BetrAVG §1a |
Vollständig, dauerhaft lesbar |
Persönliche Haftung GF |
|
DSGVO: Verarbeitungsverzeichnis |
Solange Verarbeitung aktiv |
DSGVO Art. 30 |
Aktuell, zugänglich für Aufsicht |
Bußgeld bis 10 Mio. € |
|
DSGVO: Datenpannen-Protokoll |
3 Jahre nach Meldung |
DSGVO Art. 33 |
Vollständig dokumentiert |
Bußgeld bis 10 Mio. € |
|
DSGVO: Einwilligungsnachweise |
Bis Widerruf + Beweiszweck |
DSGVO Art. 7 |
Unveränderbar, mit Datum |
Bußgeld, Beweislastumkehr |
|
Zollunterlagen |
10 Jahre |
AO / ZK |
Vollständig, amtlich anerkannt |
Nachzölle, Sanktionen |
|
Kontoauszüge / Bankbelege |
10 Jahre |
AO §147 |
Vollständig, lesbar |
Schätzungsbescheid |
Neben den allgemeinen handels- und steuerrechtlichen Fristen gibt es branchenspezifische Aufbewahrungspflichten, die deutlich längere Zeiträume vorschreiben. Für Unternehmen in diesen Branchen ist die 10-Jahres-Regel nur der Mindeststandard.
|
Branche |
Min. Frist |
Max. Frist |
Rechtsgrundlage |
Besonderheit |
|---|---|---|---|---|
|
Pharmazeutische Industrie |
15 Jahre |
30 Jahre |
AMG §21, EU GMP-Leitfaden |
Chargen- und Produktionsprotokolle; FDA-Pflicht bei US-Geschäft |
|
Medizintechnik |
10 Jahre |
15 Jahre |
MPDG §107, EU MDR Art. 10 |
Sicherheits- und Klinische Daten; Rückverfolgbarkeit Implantate |
|
Krankenhäuser / Arztpraxen |
10 Jahre |
30 Jahre |
§630f BGB, §10 MBO-Ä |
Behandlungsunterlagen; Kindesalter: bis 28. Lebensjahr |
|
Lebensmittelbranche |
2 Jahre |
5 Jahre |
VO (EG) 178/2002 |
Rückverfolgbarkeit Rohstoffe und Chargen; bei Ausbruch länger |
|
Finanzbranche |
5 Jahre |
10 Jahre |
KWG, WpHG, EMIR |
Meldepflichten, Audit Trail für Wertpapiergeschäfte |
|
Versicherungen |
5 Jahre |
30 Jahre |
VVG, Branchenrecht |
Schadensunterlagen; Lebensversicherung: Laufzeit + 10 J. |
|
Baugewerbe |
5 Jahre |
30 Jahre |
BGB §634a, LBO |
Gewährleistung; bei Bauwerken 5 J. ab Abnahme |
|
Steuerberatung / WP |
6 Jahre |
10 Jahre |
StBerG, WPO |
Mandantenunterlagen; Berufsrecht eigene Dokumentationspflicht |
|
Kfz / Automotive |
5 Jahre |
15 Jahre |
ProdhaftG, IATF 16949 |
Produktionsdaten, CAF-Schraubnachweise, Rückruf-Traceability |
|
Öffentl. Verwaltung |
5 Jahre |
dauerhaft |
BArchG, LArchivgesetze |
Je nach Relevanz; historisch wichtige Dokumente: dauerhaft |
Das ist das komplexeste Thema in der Archivierungspraxis. Ein IT-Leiter, der nur 'Löschfristen einhalten' als Ziel hat, riskiert steuerrechtliche Probleme. Einer, der nur 'alles 10 Jahre aufbewahren' als Ziel hat, riskiert DSGVO-Bußgelder. Die Lösung liegt in einem Konzept, das beide Normen gleichzeitig erfüllt.
DAS PRINZIP DER ZWECKGEBUNDENEN ARCHIVIERUNG
Schritt 1 – Trennen: Steuerrelevante personenbezogene Daten werden für Steuerzwecke archiviert – nicht für CRM, Marketing oder Produktentwicklung.
Schritt 2 – Sperren: Für nicht-steuerliche Zwecke wird der Zugriff auf diese Daten technisch gesperrt – die Daten existieren noch, sind aber nicht mehr aktiv verarbeitbar.
Schritt 3 – Protokollieren: Jeder Zugriff auf gesperrte Daten wird lückenlos protokolliert und ist nur für definierte Zwecke erlaubt.
Schritt 4 – Löschen nach Ablauf der Aufbewahrungsfrist: Nach 10 Jahren werden die Daten vollständig und nachweisbar gelöscht – mit Löschprotokoll nach DSGVO Art. 17.
Das Ergebnis: Steuerrecht-Konformität (Daten vorhanden) + DSGVO-Konformität (Zugriff zweckgebunden + Löschnachweis). Ohne Zweckbindungskonzept ist beides gleichzeitig kaum erreichbar.
Viele Unternehmen denken, DSGVO und Steuerrecht schließen sich aus. Das tun sie nicht – wenn man Archivierung konsequent zweckgebunden implementiert.
— Korbinian Hermann Geschäftsführer, CSP Intelligence GmbH
Aufbewahrungsfristen manuell zu verwalten ist ein verlässliches Rezept für Compliance-Lücken: Datenkategorien werden falsch klassifiziert, Löschläufe vergessen, neue Rechtsprechung nicht eingearbeitet. CHRONOS automatisiert diesen Prozess vollständig.
☐ Ich kann für jede Datenkategorie in unserem System die geltende Aufbewahrungsfrist benennen.
☐ Unsere Archivlösung stellt Unveränderbarkeit technisch sicher – kein Mitarbeiter kann archivierten Daten ändern.
☐ Buchführungsdaten aus dem Jahr 2015 sind heute noch maschinell auswertbar – ohne das Altsystem dafür starten zu müssen.
☐ Wir haben ein dokumentiertes Löschkonzept, das DSGVO-Pflichten und steuerliche Aufbewahrungsfristen synchronisiert.
☐ Unsere Archivierungslösung ist herstellerunabhängig: Auch wenn der Anbieter insolvent wird, sind unsere Daten noch lesbar.
☐ Unsere Verfahrensdokumentation ist aktuell und würde einer GoBD-Prüfung standhalten.
☐ Ein Betriebsprüfer könnte heute innerhalb von 24 Stunden maschinell auswertbare Buchführungsdaten für 2016–2025 erhalten.
☐ Wir haben einen nachweisbaren Löschprotokoll für alle gelöschten personenbezogenen Daten.
Ab wann beginnt die Aufbewahrungsfrist?
Die Frist beginnt grundsätzlich mit dem Ablauf des Kalenderjahres, in dem die letzte Eintragung in das Handelsbuch vorgenommen wurde, das Inventar aufgestellt wurde, die Eröffnungsbilanz oder der Jahresabschluss festgestellt wurde, der Handelsbrief empfangen oder abgesandt wurde oder der Buchungsbeleg entstanden ist. Wichtig: Bei laufenden Verträgen beginnt die Frist erst nach Vertragsbeendigung. Bei Betriebsprüfungen kann die Frist bis zum Abschluss der Prüfung verlängert sein.
Müssen E-Mails archiviert werden?
Ja – soweit sie Handels- oder Geschäftsbriefe darstellen oder steuerrelevante Inhalte haben. Geschäftliche E-Mails, die einen Vertragsabschluss, eine Bestellung, eine Rechnung oder Zahlungsvereinbarungen dokumentieren, sind Handelsbriefe nach HGB §257 und müssen 6 Jahre aufbewahrt werden. E-Mails mit steuerrelevanten Inhalten unterliegen der 10-jährigen Aufbewahrungspflicht nach AO §147. Die Archivierung muss revisionssicher sein – reine Backup-Speicherung im Mail-Server genügt den GoBD nicht.
Was passiert, wenn ich Daten zu früh lösche?
Zu frühe Löschung von steuerrelevanten Unterlagen kann zu einem Schätzungsbescheid nach §162 AO führen – das Finanzamt darf dann die Besteuerungsgrundlage schätzen, immer zu Ungunsten des Unternehmens. Im Zivilrecht bedeutet fehlende Dokumentation Beweisverlust. Bei absichtlicher Vernichtung von Beweismitteln drohen strafrechtliche Konsequenzen nach §274 StGB (Urkundenunterdrückung). Die Lösung ist kein Widerspruch: Mit einem zweckgebundenen Archivierungskonzept bleiben Daten für Steuerzwecke erhalten und sind gleichzeitig für andere Zwecke gesperrt.
Gilt die Aufbewahrungspflicht auch für Cloud-Daten?
Ja, vollständig. Die gesetzlichen Aufbewahrungspflichten gelten unabhängig vom Speicherort. Cloud-Daten sind genauso aufbewahrungspflichtig wie lokale Daten. Besonderheit: Beim Cloud-Exit – wenn der Cloud-Anbieter den Service einstellt oder das Unternehmen wechselt – müssen die Daten weiterhin revisionssicher zugänglich bleiben. Das erfordert ein herstellerunabhängiges Archivformat. Reine Cloud-Backup-Lösungen ohne offenes Exportformat sind hier riskant.
Können Papier-Dokumente nach dem Scannen vernichtet werden?
In vielen Fällen ja – aber nicht für alle Dokumentenarten. GoBD und AO §146 erlauben die ersetzende Digitalisierung für die meisten Buchführungsunterlagen, wenn das Scanning-Verfahren GoBD-konform dokumentiert ist (Verfahrensdokumentation) und die digitale Kopie revisionssicher archiviert wird. Ausnahmen: Eröffnungsbilanzen und Jahresabschlüsse müssen im Original aufbewahrt werden. Notariell beglaubigte Dokumente ebenfalls. Und: Das Scannen ersetzt das Original nur, wenn ein dokumentiertes Scanning-Verfahren besteht.
Was ist der Unterschied zwischen Aufbewahrungsfrist und Löschfrist?
Aufbewahrungsfrist (Handels-/Steuerrecht): Mindestdauer, die Daten aufbewahrt werden müssen – davor dürfen sie nicht gelöscht werden. Löschfrist (DSGVO): Maximaldauer, die personenbezogene Daten gespeichert werden dürfen – danach müssen sie aktiv gelöscht werden. Der Konflikt entsteht, wenn beide für dieselben Daten gelten: Rechnungen an Privatkunden unterliegen der 10-jährigen Aufbewahrungspflicht (AO) und gleichzeitig der DSGVO-Löschpflicht. Lösung: Zweckgebundene Archivierung mit Zugriffsrestriktionen – die Daten bleiben für Steuerzwecke erhalten, sind aber für andere Zwecke gesperrt.
Was passiert mit Archivdaten nach einem Unternehmensverkauf oder einer Insolvenz?
Aufbewahrungspflichten enden nicht mit dem Unternehmensverkauf oder einer Insolvenz. Bei einem Unternehmensverkauf gehen die Archivierungspflichten auf den Käufer über – oder der Verkäufer bleibt für die bis zum Verkauf entstandenen Daten verantwortlich (vertraglich zu regeln). Bei Insolvenz ist der Insolvenzverwalter für die ordnungsgemäße Aufbewahrung und gegebenenfalls spätere Löschung verantwortlich. CHRONOS hat dieses Szenario in der Praxis mehrfach begleitet – u.a. bei der vollständigen Insolvenzabwicklung von Schlecker.
Wie lange müssen Produktionsdaten in der Fertigung aufbewahrt werden?
Das hängt von Branche und Produkt ab. Allgemein gilt die steuerliche Frist von 10 Jahren für produktionsbezogene Buchführungsunterlagen. In der Automobilindustrie fordern IATF 16949 und Kundenanforderungen häufig 15 Jahre für sicherheitsrelevante Produktionsaufzeichnungen. In der Pharmabranche verlangt der EU-GMP-Leitfaden mindestens 15 Jahre für Chargenprotokolle – bei einigen Produkten bis zum Ende der Produktlaufzeit. In der Medizintechnik schreibt die EU MDR Rückverfolgbarkeit für die gesamte Produktlebensdauer vor.