Preise
Login
Demo vereinbaren

Gesetzliche Aufbewahrungsfristen: 47 Fristen nach DSGVO

Die DSGVO verpflichtet Unternehmen dazu, personenbezogene Daten nicht länger zu speichern als nötig. In der Praxis entsteht dabei schnell eine konkrete Folgefrage: Welche gesetzlichen Aufbewahrungsfristen gelten, und wann dürfen Daten tatsächlich gelöscht werden?

Dieser Artikel gibt Ihnen eine strukturierte Übersicht mit 47 gesetzlichen Aufbewahrungsfristen inklusive rechtlicher Grundlagen, erklärt das Spannungsfeld zwischen Aufbewahrungspflicht und Löschpflicht und zeigt, wie Sie beides rechtssicher in Ihrem Löschkonzept dokumentieren.

47 gesetzliche Aufbewahrungsfristen im Compliance-Management
    • Gesetzliche Aufbewahrungsfristen ergeben sich nicht aus der DSGVO selbst, sondern aus Fachgesetzen wie HGB, AO oder BGB.
    • Die DSGVO kennt keine festen Speicherfristen, sondern das Prinzip der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO).
    • Wenn Aufbewahrungspflicht und Löschpflicht kollidieren, spricht man von einem Löschkonflikt.
    • Löschkonflikte sind rechtssicher auflösbar: durch Rechtsgrundlagenwechsel und technische Zugriffseinschränkung.
    • Fristen reichen von 6 Monaten (Bewerberdaten) bis zu 30 Jahren (betriebliche Altersvorsorge).

Was sind gesetzliche Aufbewahrungsfristen im Rahmen der DSGVO?

Gesetzliche Aufbewahrungsfristen legen fest, wie lange bestimmte Dokumente und Daten mindestens aufbewahrt werden müssen. Sie ergeben sich nicht aus der DSGVO, sondern aus spezialgesetzlichen Regelungen, insbesondere aus dem Handelsgesetzbuch (HGB), der Abgabenordnung (AO) und dem Bürgerlichen Gesetzbuch (BGB).

Diese Fristen verpflichten Unternehmen zur Datenspeicherung auch dann, wenn der ursprüngliche Verarbeitungszweck bereits entfallen ist. Typische Beispiele: Buchungsbelege müssen 10 Jahre aufbewahrt werden (§ 257 Abs. 4 HGB), Handelsbriefe 6 Jahre (§ 257 Abs. 1 Nr. 2, 3 HGB).

Was schreibt die DSGVO zur Speicherdauer vor?

Die DSGVO nennt keine festen Speicherfristen in Jahren. Sie verpflichtet Verantwortliche stattdessen zum Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO): Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist.

Daraus folgt, dass Unternehmen für jede Verarbeitungstätigkeit individuell festlegen müssen, wann die Daten zu löschen sind, und diese Festlegung dokumentieren müssen. 

Typische Orientierungswerte aus der Praxis:

  • Bewerberdaten: in der Regel 6 Monate nach Abschluss des Verfahrens (§ 26 BDSG i. V. m. § 15 Abs. 4 AGG)
  • Kundendaten im CRM: häufig 3 Jahre nach letztem Kontakt oder Vertragsende
  • Newsletter-Daten: unverzügliche Löschung nach Widerruf der Einwilligung, sofern keine Nachweispflichten entgegenstehen

Wie entstehen Löschkonflikte zwischen Aufbewahrungspflicht und Löschpflicht?

Ein Löschkonflikt entsteht, wenn eine gesetzliche Aufbewahrungspflicht einer datenschutzrechtlichen Löschpflicht entgegensteht. Das ist kein Ausnahmefall, sondern regelmäßiger Bestandteil des betrieblichen Datenschutzes.

Ein konkretes Beispiel: Eine betroffene Person verlangt die Löschung ihrer Vertragsdaten. Gleichzeitig besteht eine steuerrechtliche Pflicht, diese Daten noch 10 Jahre aufzubewahren (§ 147 Abs. 3 AO). In diesem Fall darf nicht gelöscht werden.

So lösen Sie Löschkonflikte rechtssicher

Löschkonflikte lassen sich in drei Schritten systematisch auflösen:

  1. Rechtsgrundlage wechseln: Nach Wegfall des ursprünglichen Zwecks (Art. 6 Abs. 1 lit. b DSGVO) wird die weitere Speicherung auf die rechtliche Verpflichtung gestützt (Art. 6 Abs. 1 lit. c DSGVO).
  2. Zugriff einschränken: Die Daten werden technisch und organisatorisch gesperrt, nicht mehr aktiv genutzt, sondern nur noch archiviert.
  3. Löschung nach Fristablauf: Nach Ende der gesetzlichen Aufbewahrungsfrist erfolgt die endgültige Löschung.

Ein strukturiertes Löschkonzept nach der DSGVO sollte diese Konstellationen für alle relevanten Datenkategorien systematisch abbilden.

Wie dokumentieren Sie Aufbewahrungsfristen rechtssicher?

Die korrekte Dokumentation gesetzlicher Aufbewahrungsfristen ist Voraussetzung für ein rechtssicheres Löschkonzept und für die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Sie gehört außerdem in das Verzeichnis von Verarbeitungstätigkeiten, da Art. 30 DSGVO die Angabe von Löschfristen oder deren Festlegungskriterien ausdrücklich verlangt.

Für jede Datenkategorie sollten folgende Angaben dokumentiert sein:

  • Zugeordnete Aufbewahrungsfrist mit gesetzlicher Grundlage
  • Abweichende DSGVO-Löschfrist und Begründung
  • Bestehender Löschkonflikt mit Lösung (Rechtsgrundlagenwechsel, Zugriffseinschränkung)
  • Zeitpunkt der endgültigen Löschung nach Fristablauf

Mit einer Datenschutzmanagement-Software wie caralegal lassen sich diese Informationen zentral verwalten, automatisch im Löschkonzept hinterlegen und bei Behördenanfragen nachweisbar dokumentieren.

Übersicht der gesetzliche Aufbewahrungsfristen in Deutschland

Die folgende Übersicht zeigt die wichtigsten gesetzlichen Aufbewahrungsfristen und dient als Grundlage für die Definition Ihrer Löschfristen. Nutzen Sie die Suchfunktion (Strg+F), um relevante Datenkategorien schnell zu finden.

DokumenteAufbewahrungsfristReferenz
Abmahnung3 Jahre§ 195 BGB
Angebote6 Jahre§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 5 AO
Anmeldeunterlagen zur Sozial- und Krankenversicherung10 Jahre§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 4 AO
Arbeitsanweisungen10 Jahre§ 257 Abs. 4 HGB i. V. m. § 257 Abs. 1 Nr. 1 HGB
Arbeitsunfähigkeits-bescheinigung5 Jahre§ 6 Abs. 1 AAG
Arbeitsunfallmeldung5 Jahre§ 24 Abs. 6 DGUV Vorschrift 1 (Empfehlung)
Arbeitsvertragsunterlagen10 Jahre§ 147 Abs. 1 Nr. 1 AO
Arbeitszeitnachweise (lohnsteuer- und sozialversicherungsrelevant)10 Jahre§ 257 Abs. 4 HGB i. V. m. § 257 Abs. 1 Nr. 2, 3 HGB i. V. m. § 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 4 AO
Auftragsbestätigungen6 Jahre§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 5 AO
Aufzeichnung der Arbeitszeit (von mehr als 8 Stunden werktags)2 Jahre§ 16 Abs. 2 ArbZG
Bankunterlagen u. Kontoauszüge10 Jahre§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 1 AO
Bewerbungen6 Monate§ 26 BDSG i. V. m. § 15 Abs. 4 AGG, § 61b Abs. 1 ArbGG
Bücher und Aufzeichnungen10 Jahre§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 1 AO
Buchführung6 Jahre§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 5 AO
Buchungsbelege10 Jahre§ 257 Abs. 4 HGB i. V. m. § 257 Abs. 1 Nr. 4 HGB
Buchungsbelege u. Rechnungen10 Jahre§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 4 AO
Datenschutz-Betroffenenanfragen4 JahreArt. 5, 6 Abs. 1 lit. f DS-GVO
Datenschutzrechtliche Schulung3 JahreArt. 5, 32 Abs. 4 DS-GVO
Einzelabschlüsse10 Jahre§ 257 Abs. 4 HGB i. V. m. § 257 Abs. 1 Nr. 1 HGB
Eröffnungsbilanz10 Jahre§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 1 AO
Eröffnungsbilanzen10 Jahre§ 257 Abs. 4 HGB i. V. m. § 257 Abs. 1 Nr. 1 HGB
Fahrtenbücher10 Jahre§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 1 AO
Handels- oder Geschäftsbriefe6 Jahre§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 2, 3 AO
Handelsbriefe6 Jahre§ 257 Abs. 4 HGB i. V. m. § 257 Abs. 1 Nr. 2, 3 HGB
Handelsbücher10 Jahre§ 257 Abs. 4 HGB i. V. m. § 257 Abs. 1 Nr. 1 HGB
Inventare10 Jahre§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 1 AO
Inventare10 Jahre§ 257 Abs. 4 HGB i. V. m. § 257 Abs. 1 Nr. 1 HGB
Jahresabschlüsse10 Jahre§ 257 Abs. 4 HGB i. V. m. § 257 Abs. 1 Nr. 1 HGB
Jahresabschlüsse (Bilanz und GuV)10 Jahre§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 1 AO
Konzernabschlüsse10 Jahre§ 257 Abs. 4 HGB i. V. m. § 257 Abs. 1 Nr. 1 HGB
Konzernlageberichte10 Jahre§ 257 Abs. 4 HGB i. V. m. § 257 Abs. 1 Nr. 1 HGB
Kündigung3 Jahre§ 195 BGB
Lageberichte10 Jahre§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 1 AO
Lageberichte10 Jahre§ 257 Abs. 4 HGB i. V. m. § 257 Abs. 1 Nr. 1 HGB
Leistungen aus der betrieblichen Altersvorsorge30 Jahre§ 18a BetrAVG
Lohnkonto7 Jahre§ 41 Abs. 1 EStG i. V. m. § 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 5 AO
Mahnungen6 Jahre§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 5 AO
Protokollierung1 Jahr§ 76 Abs. 4 BDSG
Rechnungen10 Jahre§ 14b Abs. 1 UstG
Reisekostenabrechnung10 Jahre§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 4 AO
Sozialversicherungs- abrechnungsunterlagen10 Jahre§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 4 AO
Steuererklärungen u. Umsatzsteuervoranmeldungen10 Jahre§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 1 AO
Unterlagen zum Betrieblichen Eingliederungsmanagement5 Jahre§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 5 AO
Unterlagen zum Jugendarbeitsschutz2 Jahre§ 50 Abs. 2 JArbSchG
Unterlagen zum Mutterschutz2 Jahre§ 27 Abs. 5 MuSchG
Versicherungspolicen6 Jahre§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 5 AO
Verträge6 Jahre§ 147 Abs. 3 AO i. V. m. § 147 Abs. 1 Nr. 5 AO

Die Angaben wurden mit der größtmöglichen Sorgfalt zusammengetragen, stellen jedoch keine Rechtsberatung dar.

80+ gesetzliche Aufbewahrungsfristen als Excel-Vorlage

Die obige Tabelle deckt die häufigsten Fristen ab. Die vollständige Liste mit über 80 Aufbewahrungsfristen, strukturiert nach Kategorien und mit direktem Bezug zur DSGVO, steht Ihnen als Excel-Vorlage zum Download bereit.

  • 80+ gesetzliche Aufbewahrungsfristen
  • Strukturiert nach Dokumenttyp und Rechtsgrundlage
  • Direkt einsetzbar für Ihr Löschkonzept und VVT

Jetzt Aufbewahrungsfristen als Exceldatei herunterladen

Wie setzen Unternehmen Aufbewahrungsfristen und Löschpflichten rechtssicher um?

Gesetzliche Aufbewahrungsfristen sind kein Widerspruch zur DSGVO, sondern ein fester Bestandteil eines funktionierenden Datenschutzmanagements. Entscheidend ist, dass Unternehmen beide Anforderungen kennen, dokumentieren und systematisch miteinander verbinden.

Wer Aufbewahrungsfristen, Löschfristen und Löschkonflikte strukturiert im Löschkonzept abbildet, erfüllt nicht nur die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Er schafft auch die operative Grundlage, um Datenlöschungen tatsächlich durchzuführen, statt sie nur auf dem Papier zu beschreiben.

Mit caralegal verwalten Unternehmen Aufbewahrungsfristen, Löschkonzept und Verzeichnis von Verarbeitungstätigkeiten zentral in einer Plattform, nachweisbar und skalierbar für komplexe Organisationen.

Weiterführende Informationen: Löschkonzept nach der DSGVO erstellen

Asset herunterladen – inklusive Newsletter-Abo

  • Nur relevante News
  • Monatlich
  • 2.000+ Abonnent:innen lesen ihn bereits
Nur relevante News
Monatlich
2.000+ Abonnent:innen lesen ihn bereits

FAQ – Häufig gestellte Fragen

  • Die wichtigsten Aufbewahrungsfristen für Unternehmen ergeben sich aus HGB, AO, BGB und bereichsspezifischen Gesetzen. Sie reichen von 6 Monaten (Bewerberdaten) bis zu 30 Jahren (betriebliche Altersvorsorge). Eine vollständige Übersicht mit gesetzlichen Referenzen finden Sie in der Tabelle in diesem Artikel.

  • Nach Art. 5 Abs. 1 lit. e DSGVO nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist. Eine einheitliche gesetzliche Speicherdauer gibt es nicht. Liegen gesetzliche Aufbewahrungspflichten vor, die über diesen Zeitraum hinausgehen, darf nicht gelöscht werden, bis diese Fristen abgelaufen sind.

  • Nach Ablauf der Frist sind die Daten zu löschen. Wird dabei ein externer Dienstleister eingesetzt, ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich, da es sich um personenbezogene Daten im Sinne der DSGVO handelt.

  • Ein Löschkonzept regelt systematisch, wann und wie personenbezogene Daten gelöscht werden, und berücksichtigt dabei sowohl datenschutzrechtliche Löschfristen als auch gesetzliche Aufbewahrungspflichten. Eine ausführliche Anleitung finden Sie in unserem Artikel zum Löschkonzept nach der DSGVO.

  • Bewerberdaten sollten in der Regel 6 Monate nach Abschluss des Bewerbungsverfahrens gelöscht werden. Hintergrund sind mögliche Ansprüche nach dem AGG (§ 15 Abs. 4 AGG i. V. m. § 26 BDSG). Eine Ausnahme gilt, wenn eine ausdrückliche Einwilligung für einen Bewerberpool vorliegt.

  • E-Mail-Adressen für den Newsletterversand dürfen Sie so lange speichern, wie eine wirksame Einwilligung vorliegt. Nach einem Widerruf oder einem dauerhaften Inaktivitätszeitraum sollten Sie die Daten löschen, sofern keine anderen Pflichten (z. B. Nachweis der Einwilligung für einen begrenzten Zeitraum) entgegenstehen.

Artikel verfasst von

Dennis Kurpierz, Mitgründer und COO von caralegal, Portrait im Büro, an einer Wand lehnend.
Dennis Kurpierz Co-Founder & COO

Dennis Kurpierz ist Mitgründer und Chief Operating Officer von caralegal und kennt durch seine langjährige Erfahrung als Senior Consultant und Lead Project Manager bei der ISiCO Datenschutz GmbH die Kundenbedürfnisse sowie Pain Points und Herausforderungen im Datenschutzmanagement. Als Product Owner setzt er dieses Fachwissen in der Produktentwicklung von caralegal um.

Dafür fehlt mir die Zeit caralegal

In 2 Tagen startklar
64% Zeitersparnis
20 Jahre Datenschutzerfahrung