Was man wis­sen darf: Auf­be­wah­rungs­fris­ten von E‑Mails, Doku­men­ten und Co.

21. November 2018

Wis­sen ist Macht. Doch was darf ein Unter­neh­men eigent­lich wis­sen und was nicht? Wel­che Auf­be­wah­rungs­fris­ten gel­ten für E‑Mails, Daten­sätze und Co.? Wie lange darf man zum Bei­spiel Kon­takte nut­zen, die in einer Excel-Datei gespei­chert sind? Wir klä­ren, was man wie lange wis­sen darf.

Die EU misst dem Schutz von per­sön­li­chen Daten eine große Bedeu­tung bei. Dies wurde mit dem Inkraft­tre­ten der Daten­schutz-Grund­ver­ord­nung (DSGVO) im Mai die­ses Jah­res deut­lich. Alle Unter­neh­men, die mit per­so­nen­be­zo­ge­nen Daten arbei­ten, sind dadurch mit anspruchs­vol­len Anfor­de­run­gen kon­fron­tiert. Doch auch nach eini­gen Mona­ten herrscht in vie­len Betrie­ben noch Unsi­cher­heit dies­be­züg­lich: Laut Stu­die des Bran­chen­ver­band Bit­kom aus dem Sep­tem­ber 2018 hat erst ein Vier­tel der Unter­neh­men in Deutsch­land die gesetz­li­chen Vor­schrif­ten zum Daten­schutz voll­stän­dig umge­setzt. „Die Bilanz ist ernüch­ternd. Bei der Umset­zung der DSGVO haben sich viele Unter­neh­men klar ver­schätzt. Für andere ist die kom­plette Umset­zung wohl kein zeit­li­ches Pro­blem, son­dern ein Ideal, das gar nicht zu errei­chen ist“, kom­men­tierte Susanne Deh­mel, Bit­kom-Geschäfts­lei­te­rin Recht und Sicher­heit, die Ergebnisse.

Kaum Fort­schritt bei der Umset­zung der DSGVO

Dabei sind die Anfor­de­run­gen an den Daten­schutz in Deutsch­land eigent­lich nicht neu: Unter­neh­men muss­ten schon vor der Gül­tig­keit der DSGVO bestimmte Auf­be­wah­rungs­fris­ten ein­hal­ten. Diese gesetz­li­chen Anfor­de­run­gen haben nur wenig mit der EU-Ver­ord­nung zu tun, son­dern hän­gen in ers­ter Linie mit dem Steuer- oder Han­dels­recht zusam­men. So sind alle Gewer­be­trei­ben­den ab Über­schrei­ten bestimm­ter Umsatz- oder Gewinn­gren­zen buch­füh­rungs- und aufzeichnungspflichtig.

Wich­tige, auf­be­wah­rungs­pflich­tige Unter­la­gen sind dabei unter ande­rem Jah­res­ab­schlüsse, Han­dels- und Geschäfts­briefe, Rech­nun­gen, Buchungs­be­lege und auch Zollan­mel­dun­gen. Wer unsi­cher ist, ob oder wel­che Unter­la­gen genau auf­ge­ho­ben wer­den müs­sen, fin­det bei­spiels­weise bei den Indus­trie- und Han­dels­kam­mern umfas­sende Infor­ma­tio­nen. Auch Steu­er­be­ra­ter wis­sen in der Regel genau, wel­che Unter­la­gen etwa bei einer Steu­er­prü­fung vor­zu­le­gen sind und was unnö­tig ist.

Unwis­sen­heit schützt bekannt­lich nicht vor Strafe, so dass man hier in Zwei­fels­fäl­len unbe­dingt pro­fes­sio­nel­len Rat ein­ho­len sollte. So gilt als Geschäfts­brief bei­spiels­weise jedes Schrift­stück, das die Vor­be­rei­tung, die Durch­füh­rung oder die Rück­gän­gig­ma­chung eines Geschäfts zum Gegen­stand hat. Und selbst­ver­ständ­lich gilt dies nicht nur für Papier­briefe, son­dern auch für Faxe, E‑Mails und – wenn es im Betrieb ganz modern zugeht – auch für Mes­sen­ger-Nach­rich­ten. Wer also Papier­briefe sau­ber abhef­tet, aber alle E‑Mails löscht, kann Pro­bleme bekommen!

Faust­re­gel: Geschäfts­re­le­vante Doku­mente 10 Jahre aufbewahren

Als Faust­re­gel kann man sich mer­ken, dass alle Unter­la­gen, die kon­kret mit dem Geld­ver­die­nen oder Geld­aus­ge­ben zu tun haben, zehn Jahre auf­be­wahrt wer­den müs­sen. Gemeint sind damit also etwa Geschäfts­bü­cher, Buchungs­be­lege, Rech­nun­gen, Mah­nun­gen und Jah­res­ab­schlüsse. Eine sechs­jäh­rige Auf­be­wah­rungs­frist besteht bei­spiels­weise für alle ver­sen­de­ten und emp­fan­ge­nen Geschäfts­briefe. Es gibt aller­dings auch Fall­stri­cke, die man leicht über­se­hen kann. So müs­sen bei­spiels­weise auch Essens­mar­ken­ab­rech­nun­gen oder Fahrt­kos­ten­er­stat­tungs­un­ter­la­gen zehn Jahre lang auf­be­wahrt werden.

Die Zei­ten, in denen alle Unter­la­gen aus­ge­druckt und fein säu­ber­lich in blei­schwe­ren Akten­ord­nern auf­be­wahrt wer­den müs­sen, sind zum Glück vor­bei. Wer also bei­spiels­weise eine Rech­nung in digi­ta­ler Form erhält, darf diese auch digi­tal auf­be­wah­ren. Wich­tig ist, dass diese Daten immer in einer maschi­nell aus­wert­ba­ren Form auf­be­wahrt und bereit­ge­stellt wer­den müs­sen. Wer also bei­spiels­weise einen IT-Fach­mann damit beauf­tragt, ein eige­nes Com­pu­ter­pro­gramm für die Daten­ar­chi­vie­rung zu schrei­ben, muss diese Daten­sätze so spei­chern, dass auch der Steu­er­prü­fer mit übli­cher Soft­ware dazu in der Lage ist, diese Infor­ma­tio­nen ein­zu­se­hen. Das muss zudem auch noch nach knapp einem Jahr­zehnt mög­lich sein. Pro­prie­täre (unles­bare) Daten kön­nen folg­lich leicht für Ärger sorgen.

Per­so­nen­be­zo­gene Daten schützen

Andere Beson­der­hei­ten sind bei Kun­den­da­ten zu beach­ten. Hier sind die Rechte des Ein­zel­nen seit dem Inkraft­tre­ten der euro­pä­isch ein­heit­li­chen Daten­schutz-Grund­ver­ord­nung deut­lich gestärkt wor­den. Ganz beson­ders wich­tig zu wis­sen: Jeder Kunde hat das Recht, zu erfah­ren, wel­che sei­ner Daten zu wel­chem Zweck und in wel­chem Umfang gespei­chert wer­den. Jedes Unter­neh­men muss dadurch einen genauen Über­blick über seine Kun­den­da­ten haben. Kun­den kön­nen zudem nicht nur Aus­kunft ver­lan­gen, son­dern auch der wei­te­ren Nut­zung wider­spre­chen, denn jeder Ver­brau­cher hat jetzt ein „Recht auf Vergessenwerden“.

Das bedeu­tet: Jeder Kunde kann ver­lan­gen, seine Daten löschen zu las­sen, wenn diese nicht mehr benö­tigt wer­den – etwa nach Ablauf eines Kauf- oder Miet­ver­trags. Hat der Kunde jedoch etwa die letzte Rech­nung noch nicht begli­chen, dür­fen die dafür not­wen­di­gen Daten wei­ter­hin gespei­chert wer­den. Im Mit­tel­punkt ste­hen bei die­sen durch­aus stren­gen Regeln immer „per­so­nen­be­zo­gene Daten”. Also sämt­li­che Daten, die einer natür­li­chen Per­son (einem Men­schen) zuor­den­bar sind und ihn iden­ti­fi­zier­bar machen.

Als Kun­den­da­ten gel­ten dabei nicht etwa nur die Anschrift und Tele­fon­num­mer, son­dern auch die E‑Mail-Adresse, die IP-Adresse oder auch das Geburts­da­tum und das Geschlecht. Auch wenn sich der Kunde nicht aktiv mel­det, dür­fen Daten nicht bis zum berühm­ten „Sankt-Nim­mer­leins-Tag“ auf­be­wahrt und ver­wen­det wer­den. Die wich­tigste Grund­re­gel: Spä­tes­tens, wenn per­so­nen­be­zo­gene Daten für die Zwe­cke nicht mehr erfor­der­lich sind, für die sie ver­ar­bei­tet wer­den, muss das Unter­neh­men diese Daten löschen.

Mit DMS Auf­be­wah­rungs­fris­ten auto­ma­tisch einhalten

Kurzum: Um nicht mit Finanz­be­hör­den, Daten­schüt­zern oder schlicht den eige­nen Kun­den in Kon­flikt zu gera­ten, müs­sen Auf­be­wah­rungs­fris­ten und die stren­gen Regeln der EU-DSGVO im Blick behal­ten wer­den. Kein ein­fa­ches Unter­fan­gen – es sei denn, man holt sich Unter­stüt­zung ins Haus. Dies kann auch eine digi­tale Lösung wie der KYOCERA Work­flow Mana­ger sein. Die Soft­ware lässt sich sehr leicht im Unter­neh­mens­all­tag imple­men­tie­ren. Zudem hilft die DMS-Lösung, die Auf­be­wah­rungs­pflicht von Doku­men­ten ein­zu­hal­ten sowie die Aus­kunfts­fä­hig­keit zu verbessern.

Warum der KYOCERA Work­flow Mana­ger opti­mal für Mit­tel­ständ­ler geeig­net ist und wie er hilft, das im Unter­neh­men vor­han­dene Wis­sen nutz­bar zu machen, zeigt unser Web­cast.

Mehr wis­sen

Kyocera Blog
Newsletter

Bleiben Sie immer auf dem
Laufenden mit unserem
Newsletter!