Geänderte Aufbewahrungsfristen für Steuerunterlagen ab 2025: Auswirkungen auf das Datenschutzmanagement in Unternehmen

Ab dem 1. Januar 2025 gelten neue gesetzliche Regelungen zu den Aufbewahrungsfristen für Steuerunterlagen. Diese betreffen insbesondere Buchungsbelege, Rechnungen und andere steuerlich relevante Dokumente. Die neuen Vorgaben haben direkte Konsequenzen für das Datenschutzmanagement in Unternehmen, denn mit dem Ende der steuerrechtlichen Aufbewahrungsfristen entfällt häufig auch die rechtliche Grundlage für die Speicherung personenbezogener Daten. Verstöße können zu Bußgeldern oder Schadensersatzforderungen führen.

Was ändert sich konkret bei den Aufbewahrungsfristen für Unternehmen?

Die bisherigen Regelungen nach Abgabenordnung (AO) und Handelsgesetzbuch (HGB) sahen je nach Dokument sechs-, acht- oder zehnjährige Aufbewahrungsfristen vor. Ab 2025 gelten folgende Neuerungen:

• Aufbewahrungsfristen für Rechnungen und andere Buchungsbelege wie Kontoauszüge oder Zahlungsnachweise verkürzen sich von zehn auf acht Jahre.
• Für Handelsbücher, Inventare, Jahresabschlüsse und Lageberichte bleiben die zehnjährigen Aufbewahrungsfristen weiterhin bestehen.

Weitere, branchenspezifische Aufbewahrungspflichten (z. B. aus dem Arzneimittelgesetz oder Mutterschutzgesetz) bleiben davon unberührt und müssen separat beachtet werden.

Datenschutzrechtliche Auswirkungen verkürzter Aufbewahrungsfristen für Unternehmen

Viele Unternehmen bewahren Daten länger auf, als es die gesetzlichen Aufbewahrungsfristen für Steuerunterlagen und Aufbewahrungsfristen für Rechnungen vorsehen. Dies geschieht häufig aus Unwissenheit, aus Sicherheitsdenken oder aufgrund fehlender technischer Prozesse. Doch laut Datenschutz-Grundverordnung (DSGVO) ist genau das problematisch. Nach dem Prinzip der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) dürfen personenbezogene Daten nur solange gespeichert werden, wie dies für den ursprünglichen Verarbeitungszweck notwendig ist.

Nach Ablauf der Aufbewahrungsfristen in Unternehmen entfällt somit auch die datenschutzrechtliche Grundlage zur Speicherung. Ohne alternative Rechtsgrundlage oder Zweckbindung ist die Verarbeitung unzulässig und die Daten sind zu löschen (Art. 17 DSGVO).

Aufbewahrungsfristen beachten – Löschpflicht korrekt und fristgerecht umsetzen

Laut Datenschutzaufsichtsbehörden muss die Löschung nicht zwingend exakt am Fristende erfolgen. Aber: Der Löschprozess muss initiiert sein. Unternehmen sind daher verpflichtet, ein transparentes und dokumentiertes Löschkonzept als Teil ihres Datenschutzmanagements umzusetzen. Dieses sollte u. a. regeln:

• welche Datenkategorien wann gelöscht werden,
• welche Aufbewahrungsfristen für Rechnungen und Unterlagen gelten,
• wer verantwortlich ist,
• wie die technische Umsetzung erfolgt,
• wie Ausnahmen gehandhabt werden.

Datenschutzmanagement aktualisieren: Diese Dokumente müssen bei veränderten Aufbewahrungsfristen angepasst werden

Die Änderungen der Aufbewahrungsfristen für Unternehmen erfordern eine Überarbeitung der Datenschutzdokumentation. Wichtig ist eine ganzheitliche Betrachtung im Rahmen des Datenschutzmanagementsystems:

• Löschkonzepte inkl. Fristen und Sonderregeln
• Verzeichnisse von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
• Datenschutzhinweise für Mitarbeitende, Kunden und Websitebesucher
• Interne Datenschutzrichtlinien und Schulungsunterlagen

Auch technische Systeme wie ERP- oder Dokumentenmanagementsysteme (DMS) sollten Fristen erkennen und automatisierte Löschprozesse unterstützen, insbesondere bei Aufbewahrungsfristen für Rechnungen und steuerrelevanten Daten.

 

Fazit: Aufbewahrungsfristen für Steuerunterlagen beachten – Löschpflicht nicht vergessen

Die neuen steuerlichen Vorgaben bieten Unternehmen die Chance, ihre Speicherpraxis zu entrümpeln und ihr Datenschutzmanagement zu modernisieren. Wer personenbezogene Daten über die gesetzlich zulässige Frist hinaus speichert, riskiert DSGVO-Verstöße und Bußgelder.

Jetzt ist der richtige Zeitpunkt, um:

• Datenflüsse zu analysieren,
• Aufbewahrungsfristen für Steuerunterlagen und Aufbewahrungsfristen für Rechnungen rechtlich zu prüfen,
• technische Löschprozesse umzusetzen,
• Mitarbeitende zu schulen,
• die Datenschutzdokumentation zu aktualisieren.

Denn: Aufbewahrung ist Pflicht – aber nur solange sie rechtlich zulässig ist. Danach wird das Löschen zur Pflicht – insbesondere bei sensiblen personenbezogenen Daten und abgelaufenen Aufbewahrungsfristen für Unternehmen.

Sie haben Fragen zu Aufbewahrungsfristen, Datenschutz oder benötigen Unterstützung bei der Anpassung Ihres Datenschutzmanagements?

Dann kontaktieren Sie uns gerne – wir beraten Sie in allen relevanten Fragen.