Wie lange dürfen personenbezogene Daten aufbewahrt werden? Kurzantwort: genau so lange, wie es der ursprüngliche Zweck erfordert oder eine gesetzliche Aufbewahrungspflicht vorschreibt — danach müssen sie gelöscht werden (Grundsatz der Speicherbegrenzung, Art. 5 Abs. 1 lit. e DSGVO). Die DSGVO nennt selbst keine konkreten Fristen; diese ergeben sich aus dem deutschen Recht, vor allem aus § 257 HGB, § 147 AO und zahlreichen Spezialgesetzen. Die folgende Tabelle fasst die praktisch wichtigsten Fristen zusammen — von der Buchhaltung über Personalunterlagen bis zu Patientendaten.
Diese Übersicht ist die Grundlage für Ihr Löschkonzept: Erst wenn die Fristen sektorweise erfasst sind, lässt sich die Löschung überhaupt automatisieren.
Wichtige Punkte
- Die DSGVO gibt keine konkreten Fristen vor — sie verlangt nur, dass Daten nicht länger als nötig gespeichert werden (Art. 5 Abs. 1 lit. e).
- Konkrete Fristen kommen aus HGB, AO und Fachrecht: seit dem BEG IV (in Kraft seit 1.1.2025) gelten für Buchungsbelege und Rechnungen 8 statt 10 Jahre, während Handelsbücher, Bilanzen und Jahresabschlüsse bei 10 Jahren bleiben.
- Eine gesetzliche Aufbewahrungspflicht ist zugleich die Rechtsgrundlage für die weitere Speicherung (Art. 6 Abs. 1 lit. c DSGVO).
- Nach Fristablauf besteht eine Löschpflicht — Aufbewahrung „auf Vorrat" ist ein Verstoß.
- Die Fristen gehören dokumentiert im Verzeichnis von Verarbeitungstätigkeiten und im Löschkonzept.
Warum die DSGVO keine Fristen nennt
Die DSGVO regelt das Prinzip, nicht die Dauer. Nach Art. 5 Abs. 1 lit. e dürfen personenbezogene Daten „nur so lange, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist" gespeichert werden — das ist die Speicherbegrenzung. Die konkrete Dauer ergibt sich aus zwei Quellen:
- Zweckbindung: Solange der ursprüngliche Zweck besteht (etwa ein laufender Vertrag), ist die Speicherung zulässig. Fällt der Zweck weg, beginnt die Löschpflicht — sofern keine Aufbewahrungspflicht entgegensteht.
- Gesetzliche Aufbewahrungspflichten: Handels-, Steuer- und Fachrecht verlangen die Aufbewahrung bestimmter Unterlagen für definierte Zeiträume. In dieser Zeit ist die Löschung sogar untersagt.
Der scheinbare Widerspruch — löschen müssen, aber aufbewahren dürfen — löst sich über die Rechtsgrundlage: Die gesetzliche Aufbewahrungspflicht ist eine rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO und rechtfertigt die weitere Speicherung, allerdings nur für den Aufbewahrungszweck (Zugriffsbeschränkung, keine aktive Nutzung).
Aufbewahrungsfristen-Tabelle 2026
| Datenkategorie | Frist | Rechtsgrundlage |
|---|---|---|
| Handelsbücher, Inventare, Bilanzen, Jahresabschlüsse | 10 Jahre | § 257 Abs. 1 Nr. 1, Abs. 4 HGB |
| Buchungsbelege | 8 Jahre | § 257 Abs. 4 HGB, § 147 Abs. 3 AO (BEG IV, seit 1.1.2025) |
| Empfangene und abgesandte Handelsbriefe | 6 Jahre | § 257 Abs. 1 Nr. 2/3 HGB |
| Rechnungen (umsatzsteuerlich) | 8 Jahre | § 14b Abs. 1 UStG (BEG IV, seit 1.1.2025) |
| Lohn- und Gehaltsunterlagen (steuerlich) | 6 Jahre | § 41 EStG, § 147 AO |
| Lohnkonten | bis zu 6 Jahre | § 41 EStG |
| Sozialversicherungsunterlagen | bis zu 5 Jahre | § 28f SGB IV |
| Bewerberdaten (nach Absage) | 6 Monate | AGG-Klagefrist (§ 15 Abs. 4 AGG) |
| Personalakte (nach Austritt) | oft 3 Jahre, je nach Inhalt | Verjährung, Fachrecht |
| Arbeitsverträge, arbeitsrechtliche Unterlagen | bis zu 10 Jahre je nach Zweck | Verjährungs- und Steuerrecht |
| Patientenunterlagen (ärztlich) | grundsätzlich 10 Jahre, teils 30 | § 630f BGB, Fachrecht (z. B. RöV/StrlSchV) |
| Vertragsunterlagen (allgemein) | 3 Jahre nach Vertragsende (Regelverjährung) | § 195 BGB |
| Einwilligungsnachweise | für die Dauer der Verarbeitung + Nachweiszeitraum | Art. 7 Abs. 1 DSGVO |
Hinweis zur Verkürzung durch das BEG IV: Das Vierte Bürokratieentlastungsgesetz (BEG IV) hat die Aufbewahrungsfrist für Buchungsbelege und umsatzsteuerliche Rechnungen von 10 auf 8 Jahre verkürzt — geändert wurden § 257 Abs. 4 HGB, § 147 Abs. 3 AO und § 14b Abs. 1 UStG. Die verkürzte Frist gilt seit dem 1. Januar 2025 für alle Belege, deren zehnjährige Frist zu diesem Zeitpunkt noch nicht abgelaufen war. Für Kredit- und Finanzdienstleistungsinstitute sowie Versicherungsunternehmen unter BaFin-Aufsicht greift die Verkürzung ein Jahr später, ab dem 1. Januar 2026. Die 10-Jahres-Frist für Handelsbücher, Inventare, Bilanzen und Jahresabschlüsse bleibt dagegen unverändert.
Hinweis zur Fristberechnung: Handels- und steuerrechtliche Fristen beginnen nach § 257 Abs. 5 HGB bzw. § 147 Abs. 4 AO mit dem Schluss des Kalenderjahres, in dem die letzte Eintragung gemacht oder das Dokument entstanden ist — nicht am Tag der Erstellung. Ein Buchungsbeleg vom März 2026 läuft also bis Ende 2034 (8 Jahre), ein Handelsbrief bis Ende 2032 (6 Jahre) und ein Jahresabschluss bis Ende 2036 (10 Jahre).
Von der Tabelle zum Löschkonzept
Die Tabelle allein löscht keine Daten. Sie ist der Ausgangspunkt für ein strukturiertes Löschkonzept nach Vorlage, das die Fristen in Löschklassen überführt und einer verantwortlichen Stelle zuordnet. In der Praxis führen drei Schritte von der Frist zur Umsetzung:
- Datenarten den Fristen zuordnen. Jede Verarbeitungstätigkeit im Verzeichnis bekommt eine dokumentierte Aufbewahrungsfrist. Nutzen Sie dafür die Struktur Ihrer Verarbeitungsverzeichnis-Vorlage.
- Löschklassen bilden. Fasse Daten mit identischer Frist zu Klassen zusammen (etwa „Buchungsbelege 8 Jahre"), um die Löschung handhabbar zu machen.
- Löschung auslösen. Nach Fristablauf muss die Löschung tatsächlich erfolgen. Bei großen Datenbeständen ist das nur mit Automatisierung realistisch — dazu unser Vergleich zur Löschkonzept-Software.
Wer die Löschung nach Fristablauf versäumt, verletzt die Speicherbegrenzung — und übersieht oft, dass abgelaufene Daten auch das Risiko im Fall eines Datenlecks unnötig erhöhen. Umgekehrt ist die vorzeitige Löschung aufbewahrungspflichtiger Unterlagen eine Verletzung steuer- und handelsrechtlicher Pflichten. Beide Fehler vermeidet nur eine sauber dokumentierte Fristenlogik.
Konflikt zwischen Löschpflicht und Aufbewahrungspflicht
Ein Betroffener verlangt Löschung nach Art. 17 DSGVO, doch die Rechnung unterliegt der — seit dem BEG IV achtjährigen — steuer- und handelsrechtlichen Aufbewahrungspflicht — was gilt? Hier greift Art. 17 Abs. 3 lit. b DSGVO: Das Recht auf Löschung besteht nicht, soweit die Verarbeitung zur Erfüllung einer rechtlichen Aufbewahrungspflicht erforderlich ist. Die Daten werden dann nicht gelöscht, aber in ihrer Nutzung eingeschränkt (Sperrung statt Löschung): Zugriff nur noch für den Aufbewahrungszweck, keine aktive Weiterverarbeitung. Genau diese Unterscheidung — löschen, sperren oder aufbewahren — muss ein belastbares Löschkonzept für jede Datenart treffen.
Häufige Fehler bei Aufbewahrungsfristen
In der Praxis wiederholen sich einige Fehler, die im Prüfungsfall regelmäßig auffallen:
- Pauschale „10 Jahre für alles". Die Zehnjahresfrist gilt für bestimmte Handels- und Steuerunterlagen, nicht für Kundendaten oder Marketingprofile. Wer alles zehn Jahre behält, verstößt für die überschießenden Daten gegen die Speicherbegrenzung.
- Fristbeginn falsch berechnet. Die handels- und steuerrechtlichen Fristen beginnen erst mit dem Ende des Kalenderjahres, nicht am Erstellungstag. Wer zu früh löscht, verletzt Aufbewahrungspflichten.
- Keine Trennung zwischen aktiver Nutzung und Archiv. Aufbewahrungspflichtige Daten dürfen nach Wegfall des ursprünglichen Zwecks nur noch für den Aufbewahrungszweck zugänglich sein. Sie im aktiven CRM zu belassen, ist ein Verstoß.
- Fristen nicht dokumentiert. Steht die Frist nirgends, kann die Löschung weder ausgelöst noch nachgewiesen werden. Jede Datenart braucht eine dokumentierte, begründete Frist.
Von der Frist zur Rechtsgrundlage im Verzeichnis
Jede Aufbewahrungsfrist gehört mit ihrer Rechtsgrundlage in das Verzeichnis von Verarbeitungstätigkeiten. In der Prüfung fragt die Aufsichtsbehörde nicht nur „wie lange", sondern „warum so lange" — und erwartet die konkrete Norm. Die Buchungsbelege stützen sich auf § 257 HGB und § 147 AO, die Bewerberdaten auf die AGG-Klagefrist, die Patientenunterlagen auf § 630f BGB und das ärztliche Berufsrecht. Wer diese Zuordnung einmal sauber im Verzeichnis hinterlegt, hat die Aufbewahrungsfristen zugleich für das Löschkonzept, die Datenschutzhinweise und die Beantwortung von Auskunftsersuchen verfügbar — dort muss nämlich die Speicherdauer nach Art. 13 Abs. 2 lit. a und Art. 15 Abs. 1 lit. d DSGVO angegeben werden.
FAQ
Nennt die DSGVO konkrete Aufbewahrungsfristen?
Nein. Die DSGVO regelt in Art. 5 Abs. 1 lit. e nur den Grundsatz der Speicherbegrenzung: Daten dürfen nicht länger als für den Zweck nötig gespeichert werden. Die konkreten Zahlen kommen aus dem nationalen Recht — in Deutschland vor allem aus HGB, AO und den jeweiligen Fachgesetzen.
Wie lange müssen Bewerberdaten aufbewahrt werden?
Nach einer Absage sind Bewerberunterlagen in der Regel sechs Monate aufzubewahren — so lange läuft die Klagefrist nach § 15 Abs. 4 AGG, innerhalb derer sich der Arbeitgeber gegen Diskriminierungsvorwürfe verteidigen können muss. Danach besteht eine Löschpflicht, sofern der Bewerber nicht einer längeren Speicherung (etwa für einen Talentpool) zugestimmt hat.
Darf ich Daten länger aufbewahren, um sie „sicherheitshalber" zu behalten?
Nein. Die Aufbewahrung „auf Vorrat" ohne Zweck oder gesetzliche Pflicht verstößt gegen die Speicherbegrenzung. Nach Ablauf von Zweck und Aufbewahrungsfrist besteht eine Löschpflicht. Das Argument, Daten könnten „irgendwann nützlich" sein, ist kein zulässiger Zweck.
Was passiert, wenn Löschpflicht und Aufbewahrungspflicht kollidieren?
Die Aufbewahrungspflicht geht vor: Nach Art. 17 Abs. 3 lit. b DSGVO besteht kein Löschanspruch, soweit eine rechtliche Aufbewahrungspflicht besteht. Die Daten werden dann gesperrt statt gelöscht — der Zugriff ist auf den Aufbewahrungszweck beschränkt, und nach Ablauf der Frist erfolgt die Löschung.
Fazit
Die DSGVO gibt das Prinzip vor, das deutsche Recht die Zahlen. Wer die Aufbewahrungsfristen sektorweise erfasst — seit dem BEG IV 8 Jahre für Buchungsbelege und Rechnungen, weiterhin 10 Jahre für Handelsbücher und Jahresabschlüsse, 6 Monate für Bewerberdaten, bis zu 30 Jahre für bestimmte Patientendaten — und sie in ein Löschkonzept überführt, erfüllt die Speicherbegrenzung nachweisbar. Der Gesetzestext zur Speicherbegrenzung steht bei EUR-Lex, die handelsrechtlichen Fristen im HGB und die steuerrechtlichen in der Abgabenordnung.
Siehe auch: Die zugehörigen Beschäftigteninformationen liefern die Datenschutzhinweise für Mitarbeiter (Muster).
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial