Am 18. Oktober 2024 hat der Bundesrat dem „Vierten Gesetz zur Entlastung der Bürgerinnen und Bürger, der Wirtschaft sowie der Verwaltung von Bürokratie“ zugestimmt. Ziel: weniger Aufwand für die Wirtschaft, mehr Zeit für das Kerngeschäft. Ein zentrales Element des Gesetzes ist die Verkürzung der handels- und steuerrechtlichen Aufbewahrungsfrist für Buchungsbelege von zehn auf acht Jahre.
Was zunächst nach einer spürbaren Erleichterung klingt, hat jedoch auch eine datenschutzrechtliche Komponente, die Unternehmen nicht unterschätzen sollten.
Was sich konkret ändert
Nach § 257 Abs. 1 Nr. 4 HGB sind Buchungsbelege – also etwa Rechnungen, Lieferscheine, Zahlungsbelege und interne Nachweise – ab dem 1. Januar 2025 nur noch acht Jahre aufzubewahren. Für Banken, Versicherer und Wertpapierinstitute greift die Neuregelung erst ein Jahr später.
Die Änderung betrifft sämtliche Unterlagen, deren zehnjährige Frist zu Beginn des kommenden Jahres noch nicht abgelaufen ist. Für alle anderen Unterlagen – wie Bilanzen oder Handelsbücher – bleibt es bei der bisherigen Zehnjahresfrist.
Datenschutzrechtliche Relevanz: Löschungspflichten nach DSGVO
Auch wenn die Aufbewahrungspflichten primär aus dem Handels- und Steuerrecht stammen, sind sie für den Datenschutz von zentraler Bedeutung. Denn: Buchungsbelege enthalten regelmäßig personenbezogene Daten, etwa Namen und Kontodaten von Kunden, Beschäftigten oder Geschäftspartnern.
Laut Art. 5 Abs. 1 lit. e DSGVO dürfen personenbezogene Daten nur so lange gespeichert werden, wie sie für den Zweck erforderlich sind, für den sie erhoben wurden. Sobald dieser Zweck – hier: die gesetzliche Aufbewahrungspflicht – entfällt, greift die Pflicht zur Löschung.
Die gesetzliche Aufbewahrungsfrist bestimmt also auch die Speicherdauer in Verarbeitungsverzeichnissen, Datenschutzerklärungen und Löschkonzepten. Eine Änderung dieser Frist erfordert Anpassungen auf technischer und organisatorischer Ebene.
Herausforderungen für Datenschutzmanagement und IT
Was bedeutet die neue Frist konkret für Unternehmen?
- Überarbeitung von Löschkonzepten: Bestehende Regelungen, die bislang von einer zehnjährigen Speicherdauer ausgehen, müssen auf acht Jahre umgestellt werden.
- Anpassung von IT-Systemen: Automatisierte Löschfunktionen, Archivierungsprozesse und Fristenüberwachungen müssen technisch überarbeitet werden.
- Neudokumentation in Verzeichnissen nach Art. 30 DSGVO: Speicherfristen und deren Rechtsgrundlagen müssen aktualisiert dokumentiert werden.
Besonders bei großen Unternehmen mit komplexen IT-Infrastrukturen ist dieser Anpassungsbedarf nicht zu unterschätzen – die erhoffte Entlastung könnte daher kurzfristig mit erhöhtem Aufwand verbunden sein.
Fazit: Entlastung mit Nebenwirkungen
Die Verkürzung der Aufbewahrungsfrist von Buchungsbelegen ist zweifellos ein Schritt in Richtung Bürokratieabbau – zumindest auf dem (hoffentlich digitalen) Papier. Aus datenschutzrechtlicher Perspektive jedoch entsteht nicht unerheblicher Anpassungsbedarf, der eine sorgfältige Umsetzung erfordert.
Wer seine Löschkonzepte und IT-Systeme nicht anpasst, riskiert datenschutzrechtliche Verstöße. Denn: Ist die gesetzliche Aufbewahrungspflicht abgelaufen, besteht eine Löschpflicht.
Sprechen Sie uns an – wir unterstützen Sie gern bei der Anpassung Ihrer Löschkonzepte, der Aktualisierung Ihrer Verarbeitungsverzeichnisse und der technischen Umsetzung datenschutzrechtlicher Vorgaben.