Kaum ein Unternehmen kommt heute ohne eine klare Regelung aus, wie lange Daten aufbewahrt werden – und wann sie endgültig gelöscht werden müssen. Die DSGVO verlangt eine Speicherbegrenzung nach Art. 5 Abs. 1 lit. e, und wer keine Richtlinie hat, riskiert empfindliche Bußgelder.

Diese Beitrage nicht verpassen

4 verwandte Artikel

Maximale Aufbewahrungsdauer für Steuerunterlagen in Deutschland: 10 Jahre ·
Empfohlene Mindestaufbewahrungsdauer für Verträge nach Vertragsende: 3 Jahre ·
Standardaufbewahrungsdauer in Office 365 für E-Mails: 7 Jahre

Kurzüberblick

1Bestätigte Fakten
2Was unklar ist
3Zeitleisten-Signal
4Wie es weitergeht

Fünf zentrale Kennzahlen, die das Fundament jeder Datenaufbewahrungsrichtlinie bilden – von der gesetzlichen Grundlage bis zum Prüfintervall.

Kennzahl Wert
Gesetzliche Grundlage DSGVO Art. 5 Abs. 1 lit. e
Maximale Aufbewahrungsdauer Buchhaltung (Deutschland) 10 Jahre
Standardaufbewahrung in Office 365 7 Jahre
Richtlinie für personenbezogene Daten Löschung nach Zweckwegfall
Empfohlene Überprüfungsintervalle Jährlich

Was ist eine Datenaufbewahrungsrichtlinie?

Was bedeutet eine Aufbewahrungsrichtlinie?

Eine Datenaufbewahrungsrichtlinie ist ein internes Dokument, das festlegt, wie lange ein Unternehmen bestimmte Daten aufbewahrt, wann und wie sie gelöscht werden müssen und wer dafür verantwortlich ist. Der Begriff wird oft synonym zu „Aufbewahrungsrichtlinie“ verwendet – der Unterschied zur Datenschutzrichtlinie liegt im Fokus: Die Datenschutzrichtlinie regelt die gesamte Verarbeitung, während die Aufbewahrungsrichtlinie ausschließlich die Speicherdauer und Löschung adressiert.

  • DSGVO Art. 5 Abs. 1 lit. e fordert, personenbezogene Daten nur so lange zu speichern, wie es für den Zweck erforderlich ist (Precisely).
  • Die Richtlinie dokumentiert die Rechtsgrundlagen für jede Datenkategorie (z. B. Einwilligung, vertragliche Notwendigkeit, gesetzliche Pflicht) (Usercentrics).
  • Sie legt konkrete Fristen fest, getrennt nach Datentypen (Kundendaten, Personalakten, Buchhaltung) (FileCloud).
Der Unterschied

Während die Datenschutzrichtlinie das „Ob“ der Verarbeitung regelt, bestimmt die Aufbewahrungsrichtlinie das „Wie lange“ – und vor allem das „Wann nicht mehr“.

Was sind Datenaufbewahrungsrichtlinien?

Im Plural verstanden umfassen Datenaufbewahrungsrichtlinien alle dokumentierten Regelungen eines Unternehmens, die für unterschiedliche Datenkategorien gelten. Typische Kategorien sind: Rechnungen (10 Jahre Forcepoint), Kreditkarteninformationen (Löschung unmittelbar nach Zahlungsabwicklung Usercentrics), Personalakten (bis zu 3 Jahre nach Austritt) und IT-Logs (6–12 Monate).

Fazit: Die Datenaufbewahrungsrichtlinie ist kein optionales Dokument, sondern eine DSGVO-Pflicht. Sie legt fest, wie lange Daten liegen bleiben dürfen – und wann sie endgültig gelöscht werden müssen. Für Unternehmen bedeutet das: Ohne klare Fristen gibt es keine Rechtssicherheit.

Brauche ich eine Datenaufbewahrungsrichtlinie?

Die kurze Antwort: Ja, wenn Sie personenbezogene Daten verarbeiten. Die DSGVO verlangt von jedem Verantwortlichen, die Speicherdauer nach festgelegten Kriterien zu begrenzen. Ohne eine schriftlich dokumentierte Richtlinie riskieren Sie Verstöße und empfindliche Bußgelder (GRC Solutions (Compliance-Beratung)).

  • Vorteile: Rechtssicherheit, Vermeidung von Datenmüll, verbesserte Compliance (z. B. SOC 2, GDPR) (SOC-2-Compliance (Audit-Experten))
  • Risiken ohne Richtlinie: Verstöße gegen Art. 5 DSGVO, Bußgelder bis zu 20 Mio. € oder 4 % des Jahresumsatzes, Vertrauensverlust bei Kunden.
  • Besonders relevant: Für Unternehmen mit personenbezogenen Daten von Kunden, Mitarbeitern oder Lieferanten – also fast jedes Unternehmen in Deutschland.
Der Haken

Viele KMU glauben, eine einmal erstellte Richtlinie reiche. Tatsächlich muss sie jährlich überprüft und an neue Rechtslagen oder Technologien angepasst werden (FileCloud).

Die zentrale Herausforderung: Die Richtlinie muss als lebendes Dokument verstanden werden, das mit dem Unternehmen wächst.

Was ist die Datenaufbewahrungsrichtlinie gemäß DSGVO?

Wie lange können Daten gemäß DSGVO aufbewahrt werden?

Die DSGVO gibt keine pauschalen Fristen vor – sie definiert den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e). Die Aufbewahrungsdauer ergibt sich aus dem Verarbeitungszweck und den geltenden Rechtsgrundlagen (Art. 6). Ist der Zweck erfüllt, müssen Daten gelöscht werden (Usercentrics). Ausnahmen bilden gesetzliche Aufbewahrungspflichten, etwa nach HGB (Handelsbücher: 10 Jahre) oder AO (Steuerunterlagen: 10 Jahre).

  • Grundsatz: Daten nur so lange speichern wie für den Zweck nötig (Precisely)
  • Aufbewahrungspflichten aus anderen Gesetzen gehen der DSGVO vor (z. B. HGB, AO) (Usercentrics)
  • Betroffenenrechte: Löschung auf Antrag (Art. 17 DSGVO) – auch wenn die Richtlinie längere Fristen vorsieht, müssen Ausnahmen geprüft werden (GRC Solutions)
Fazit: Die DSGVO zwingt Unternehmen, Aufbewahrungsfristen selbst zu definieren – aber immer mit dem Zweck im Zentrum. Keine pauschale „7 Jahre für alles“, sondern differenzierte Fristen pro Datenkategorie.

Wie definiert man eine Datenaufbewahrungsrichtlinie?

Eine solide Datenaufbewahrungsrichtlinie entsteht in fünf Schritten, die Datenschutzbeauftragte, IT und die Rechtsabteilung gemeinsam durchführen sollten (Zendata (Datenschutz-Technologie)).

  1. Dateninventur: Erfassen Sie alle Datenbestände – wo liegen sie, welche sensiblen Daten enthalten sie? Data Discovery Tools helfen bei der Klassifizierung (Zendata).
  2. Kategorisierung: Gruppieren Sie Daten nach Typ (Kunden, Personal, Finanzen, Logs) und Zweck der Verarbeitung (Precisely).
  3. Fristen festlegen: Ordnen Sie jeder Kategorie eine konkrete Aufbewahrungsdauer zu – unter Berücksichtigung gesetzlicher Pflichten und des Zweckprinzips (FileCloud).
  4. Dokumentation: Halten Sie die Richtlinie schriftlich fest – inklusive Verantwortlichkeiten und Löschprozessen. Die ICO empfiehlt dies als Nachweis der DSGVO-Compliance (Usercentrics).
  5. Umsetzung: Automatisieren Sie die Löschung wo möglich (z. B. mit Aufbewahrungsetiketten in Office 365) und schulen Sie Mitarbeiter (Forcepoint).

Vorteile

  • Rechtssicherheit und Compliance mit DSGVO & HGB
  • Vermeidung von Datenmüll und Speicherkosten
  • Schutz vor Bußgeldern (bis zu 20 Mio. €)
  • Erhöhtes Kundenvertrauen durch transparente Datenpraxis

Nachteile

  • Aufwändige Erstellung und laufende Pflege
  • Bürokratielast – besonders für kleine Unternehmen
  • Technische Umsetzung (automatische Löschung) erfordert Investitionen
  • Überschneidungen mit anderen Richtlinien erfordern Koordination

Die Abwägung zeigt: Der Aufwand ist hoch, aber die Risiken ohne Richtlinie sind es umso mehr.

Was ist eine gute Datenaufbewahrungsrichtlinie?

Was ist eine Aufbewahrungsrichtlinie in Office 365?

Eine gute Datenaufbewahrungsrichtlinie zeichnet sich durch vier Kriterien aus: Sie ist klar formuliert, durchsetzbar, wird regelmäßig überprüft und berücksichtigt alle relevanten Rechtsgrundlagen (FileCloud). Best Practices umfassen:

  • Automatisierte Löschprozesse – z. B. über Aufbewahrungsetiketten in Office 365, die nach einer festgelegten Frist automatisch löschen (Forcepoint).
  • Versionskontrolle und Nachvollziehbarkeit – jede Änderung der Richtlinie sollte protokolliert werden.
  • Mitarbeiterschulungen – nur wenn alle Beteiligten die Regeln kennen, können sie eingehalten werden (Zendata).
  • Differenzierte Fristen – nicht alle Daten gleich behandeln: Rechnungen 10 Jahre, Kreditkartendaten löschen nach Zahlung, Logs 6 Monate (Usercentrics).

Eine Datenaufbewahrungsrichtlinie sollte auf dem Verarbeitungszweck und den gesetzlichen Anforderungen basieren – und regelmäßig aktualisiert werden, da sich Rechtslage und Technologie ständig ändern.

– Tilman Harmeling, Datenschutzexperte bei Usercentrics (Usercentrics)

Warum das wichtig ist

Die beste Richtlinie nützt nichts, wenn sie nur in der Schublade liegt. Entscheidend ist die Umsetzung: automatisierte Löschung, regelmäßige Audits und klare Verantwortlichkeiten.

Das bedeutet für Unternehmen: Nicht die schönste Dokumentation zählt, sondern die gelebte Praxis.

Häufige Fehler bei der Erstellung einer Datenaufbewahrungsrichtlinie

Auch erfahrene Compliance-Teams tappen in typische Fallen. Drei der häufigsten Fehler und wie man sie vermeidet:

  1. Fehler: Nur eine pauschale Aufbewahrungsfrist festlegen. Das verstößt gegen das Prinzip der Speicherbegrenzung. Besser: Differenzierte Fristen pro Datenkategorie, abgestimmt auf den Zweck (Usercentrics).
  2. Fehler: Die Richtlinie nie überprüfen. Gesetze und Technologien ändern sich – jährliche Reviews sind Pflicht (FileCloud).
  3. Fehler: Löschung manuell planen. Ohne Automatisierung werden Daten vergessen. Tools wie Aufbewahrungsetiketten in Office 365 oder spezialisierte DLM-Software helfen (Forcepoint).

Bestätigte Fakten und Unklarheiten

Bestätigte Fakten

  • DSGVO schreibt Speicherbegrenzung vor (Art. 5 Abs. 1 lit. e)
  • Unternehmen müssen eine Datenaufbewahrungsrichtlinie dokumentieren (Forcepoint)
  • Gesetzliche Aufbewahrungspflichten (HGB, AO) gehen der DSGVO vor (Usercentrics)

Was unklar ist

  • Die genaue Aufbewahrungsdauer hängt vom Zweck ab – keine Einheitslösung
  • Überschneidungen zwischen gesetzlichen Fristen und DSGVO-Zweckprinzip sind nicht immer eindeutig (GRC Solutions)
  • Die Anwendung der Richtlinie auf Backups und Cloud-Speicher ist oft unzureichend geregelt
  • Jährliche Überprüfung der Richtlinie ist empfohlen, aber nicht gesetzlich vorgeschrieben (FileCloud)

Personenbezogene Daten sind nur so lange zu speichern, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

– Artikel 5 Abs. 1 lit. e DSGVO

Eine Datenaufbewahrungsrichtlinie hilft, die Einhaltung der DSGVO nachzuweisen und Datenbestände zu kontrollieren.

– ICO (Britische Datenschutzbehörde, zitiert in Usercentrics)

Für Unternehmen in Deutschland ist die Entscheidung klar: Ohne dokumentierte Datenaufbewahrungsrichtlinie drohen DSGVO-Bußgelder und Vertrauensverlust. Wer die Richtlinie regelmäßig überprüft und automatisiert, schützt sich vor Haftung und schafft Vertrauen bei Kunden und Aufsichtsbehörden.

Häufig gestellte Fragen

Was passiert bei Verstoß gegen die Datenaufbewahrungsrichtlinie?

Bei Verstößen drohen Bußgelder nach DSGVO Art. 83 sowie Abmahnungen von Wettbewerbern. Zudem kann die zuständige Aufsichtsbehörde die Löschung der Daten anordnen.

Muss eine Datenaufbewahrungsrichtlinie schriftlich dokumentiert werden?

Ja, die DSGVO verlangt die Dokumentation der Verarbeitungstätigkeiten (Art. 30). Eine schriftliche Richtlinie dient als Nachweis der Compliance und erleichtert interne Audits.

Wer ist für die Einhaltung der Richtlinie verantwortlich?

Letztverantwortlich ist die Geschäftsleitung. In der Praxis arbeiten Datenschutzbeauftragte, IT-Abteilung und Rechtsabteilung zusammen, um die Richtlinie umzusetzen und zu überwachen.

Wie oft sollte die Richtlinie überprüft werden?

Mindestens einmal jährlich, besser halbjährlich. Bei Gesetzesänderungen (z. B. neue DSGVO-Auslegungen) oder technologischen Neuerungen (z. B. KI-Einsatz) ist eine sofortige Prüfung nötig.

Gilt die Richtlinie auch für Backups?

Ja. Backups enthalten in der Regel dieselben personenbezogenen Daten. Die Aufbewahrungsfristen müssen auch für Backup-Kopien gelten oder es muss eine separate Backup-Richtlinie mit Löschkaskaden geben.

Was ist der Unterschied zwischen Datenaufbewahrung und Archivierung?

Aufbewahrung bedeutet, dass Daten für einen bestimmten Zeitraum aktiv vorgehalten werden. Archivierung ist die dauerhafte Speicherung ohne aktiven Zugriff – etwa aus historischen oder wissenschaftlichen Gründen. Die DSGVO erlaubt Archivierung nur unter strengen Auflagen (Art. 89).

Können Aufbewahrungsfristen verlängert werden?

Ja, wenn ein neuer rechtmäßiger Zweck hinzukommt (z. B. ein laufendes Gerichtsverfahren). Die Verlängerung muss dokumentiert und auf den konkreten Fall begrenzt sein. Eine generelle Verlängerung ohne Grund ist unzulässig.