← Alle Artikel

Aufbewahrungsfristen für Kundendaten 2026: Wann Sie löschen müssen

20. Mai 2026·11 min read·ListenFix
AufbewahrungsfristenDSGVOHGBAbgabenordnungKundendaten
Auch verfügbar in:FrançaisEspañol
Aktenordner mit Jahreszahlen 2018 bis 2026 stehen nebeneinander, ein Ordner wird in einen Aktenvernichter geschoben – Symbolbild für Aufbewahrungsfristen und DSGVO-Löschpflicht

Im April 2026 prüft ein Steuerberater die Datenbank eines mittelständischen Versandhändlers und stellt eine Anomalie fest: Kundendatensätze aus dem Geschäftsjahr 2012 sind noch vollständig vorhanden, inklusive Kontaktinformationen und Bestellhistorie. Der Geschäftsführer reagiert verwundert. "Wir behalten das aus steuerlichen Gründen." Die Antwort ist halb richtig und damit gefährlich falsch. Bestimmte Belege müssen aufbewahrt werden, aber nicht der gesamte Kundendatensatz. Was hier zu viel gespeichert wird, ist gleichzeitig ein DSGVO-Verstoss und ein Datenschutzrisiko ohne operativen Nutzen.

Aufbewahrungsfristen sind der Bereich, in dem zwei Rechtswelten frontal aufeinandertreffen: das Steuer- und Handelsrecht verlangt, Daten zu behalten. Die DSGVO verlangt, sie zu löschen, sobald der Zweck wegfällt. Wer die Schnittstelle nicht sauber organisiert, riskiert entweder Bussgelder der Datenschutzaufsicht oder Beanstandungen des Finanzamts. Beides kostet Geld, und beides ist mit einer durchdachten Lösch- und Aufbewahrungsmatrix vermeidbar.

Die zwei Welten: Aufbewahrungspflicht vs. Speicherbegrenzung

Die DSGVO formuliert in Artikel 5 Absatz 1 lit. e den Grundsatz der Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange aufbewahrt werden, wie es für den Verarbeitungszweck erforderlich ist. Fällt der Zweck weg, greift die Löschpflicht aus Artikel 17.

Gleichzeitig schreibt das Handelsgesetzbuch in § 257 und die Abgabenordnung in § 147 vor, dass bestimmte Unterlagen sechs, acht oder zehn Jahre aufbewahrt werden müssen. Diese Pflicht ist eine rechtliche Verpflichtung im Sinne von Artikel 6 Absatz 1 lit. c DSGVO und damit eine eigenständige Rechtsgrundlage für die Weiterspeicherung. Der Konflikt löst sich also auf: Während die Aufbewahrungsfrist läuft, ist die Speicherung legitim. Nach Ablauf greift die Löschpflicht ohne Wenn und Aber.

Wichtig dabei: Aufbewahrungspflicht heisst nicht aktive Nutzung. Ein Rechnungsdatensatz, der wegen § 147 AO acht Jahre vorgehalten werden muss, darf in dieser Zeit nicht mehr für Marketing-Aussendungen verwendet werden, wenn der Kunde Widerspruch eingelegt hat. Die Datenverarbeitung ist auf den steuerlichen Zweck reduziert, alles andere ist unzulässig.

Die wichtigsten Fristen im Überblick

Die folgende Tabelle bündelt die Aufbewahrungsfristen, die für Kundendaten praxisrelevant sind. Sie beginnen mit Ende des Kalenderjahres, in dem der Beleg entstanden oder die letzte Eintragung erfolgt ist.

UnterlageFristRechtsgrundlage
Buchungsbelege (Rechnungen, Quittungen)8 Jahre§ 147 Abs. 3 AO, § 257 Abs. 4 HGB
Handelsbücher, Inventare, Jahresabschlüsse10 Jahre§ 257 Abs. 4 HGB
Empfangene Handels- und Geschäftsbriefe6 Jahre§ 257 Abs. 4 HGB, § 147 Abs. 3 AO
Lohn- und Gehaltsabrechnungen6 Jahre (Sozialversicherung) bis 10 Jahre (Steuer)§ 41 EStG, § 28f SGB IV
Vertragsunterlagen (Bestandskunde)bis 3 Jahre nach Vertragsende§ 195, § 199 BGB Verjährungsfristen
Newsletter-Anmeldung (reines Marketing)bis zum Widerruf, dann LöschungDSGVO Art. 17
Einwilligungsbelege3 Jahre nach WiderrufBeweisgrundlage Art. 7 DSGVO

Die Verkürzung der Aufbewahrungsfrist für Buchungsbelege von zehn auf acht Jahre ist eine der wichtigsten Änderungen der letzten Jahre. Sie geht auf das Wachstumschancengesetz zurück und gilt für Belege, deren Aufbewahrungsfrist am 31. Dezember 2024 noch nicht abgelaufen war. In der Praxis bedeutet das: Rechnungen aus dem Jahr 2017 sind seit dem 1. Januar 2026 löschpflichtig, sofern keine andere Aufbewahrungsgrundlage greift.

Welche Daten gehören eigentlich zum aufbewahrungspflichtigen Beleg?

Hier liegt der Kern des Missverständnisses, der in der Praxis am häufigsten zu DSGVO-Verstössen führt. Aufbewahrungspflichtig ist der Beleg, nicht der gesamte Datensatz. Eine Rechnung enthält in der Regel Name, Anschrift, Rechnungsnummer, Position, Betrag und Steuerangaben. Diese Felder müssen unverändert aufbewahrt werden. Felder, die für die Buchhaltung nicht relevant sind, dürfen nicht stellvertretend für den Beleg gespeichert werden.

Praxisbeispiel: Rechnung an Müller GmbH vom 12.03.2018

Aufbewahrungspflichtige Felder (8 Jahre):
- Firmenname, Rechnungsanschrift
- Steuernummer/USt-IdNr.
- Rechnungsnummer, -datum, -betrag
- Bestellte Positionen, Steuerausweis
- Zahlungsdatum, Zahlungseingang

NICHT aufbewahrungspflichtig:
- E-Mail-Adresse fuer Marketing
- Telefonnummer (sofern nicht auf Beleg)
- Geburtsdatum, Branche, Mitarbeiterzahl
- Marketing-Tags, Segmentzuordnung
- Newsletter-Status, Klickverhalten

In vielen CRM-Systemen liegen Beleg-Daten und Marketing-Profil im selben Datensatz. Wer die DSGVO sauber umsetzen will, trennt diese beiden Welten. Die Beleg-Felder werden in einem Archiv mit Schreibschutz und Aufbewahrungsfrist gespeichert, das aktive CRM-Profil wird nach Vertragsende gemäss der eigentlichen Marketing-Logik geführt – also üblicherweise drei Jahre nach letztem Kontakt oder bis zum Widerruf.

Beginn und Berechnung: Wann läuft die Frist eigentlich?

Eine Frage, die in Datenschutz-Audits regelmässig auftaucht: Ab wann läuft die Aufbewahrungsfrist? Die Antwort steht in § 147 Absatz 4 AO: Die Frist beginnt mit dem Schluss des Kalenderjahres, in dem die letzte Eintragung gemacht, der Beleg entstanden oder das Dokument abgesendet wurde.

Rechnung erstellt:           15.03.2018
Beginn der Aufbewahrungsfrist: 01.01.2019 (Beginn des Folgejahres)
Acht-Jahres-Frist endet:      31.12.2026
Loeschung moeglich/erforderlich: ab 01.01.2027

Diese Rechnung ist zwar einfach, wird aber überraschend oft falsch gemacht. Viele Datenbanken berechnen die Frist ab dem Belegdatum (15.03.2018) und löschen damit am 15.03.2026, also rund neun Monate zu früh. Andere lassen die Frist bis zur Mitte des Folgejahres laufen und behalten Belege ein Jahr zu lange. Beide Varianten sind aus DSGVO-Sicht problematisch: Die erste führt zu Verlust beweispflichtiger Unterlagen, die zweite zu einer unnötig langen Speicherung personenbezogener Daten.

Eine zusätzliche Komplikation: Wenn ein Beleg in ein anderes Dokument einfliesst (etwa eine offene Forderung in eine Bilanz), kann sich die Frist verschieben. Solange die zugrundeliegende Unterlage noch für eine Bilanz relevant ist, wird sie als Teil der Jahresabschluss-Dokumentation behandelt – und unterliegt damit der zehnjährigen Frist.

Verjährungsfristen aus dem BGB: Der oft übersehene Faktor

Neben Steuer- und Handelsrecht gibt es eine dritte Quelle für Aufbewahrungspflichten: das Bürgerliche Gesetzbuch. § 195 BGB legt die regelmässige Verjährungsfrist auf drei Jahre fest, beginnend mit dem Schluss des Jahres, in dem der Anspruch entstanden ist und der Gläubiger Kenntnis hatte (§ 199 BGB).

Für die Datenhaltung heisst das: Solange ein Anspruch aus einem Vertragsverhältnis verjähren kann, ist es legitim, die Vertragsunterlagen und damit auch die zugehörigen Kontaktdaten aufzubewahren. Drei Jahre nach Vertragsende ist hier die übliche Grenze. Bei längeren Verjährungsfristen – etwa bei Schadensersatzansprüchen mit zehnjähriger Verjährung nach § 199 Abs. 3 BGB – verlängert sich auch die zulässige Speicherdauer entsprechend.

VertragstypVerjährungEmpfohlene Aufbewahrung
Standardkaufvertrag B2C3 Jahre3 Jahre nach Vertragsende
Werkvertrag mit Gewährleistung5 Jahre5 Jahre nach Abnahme
Schadensersatzansprüche allgemeinbis 10 Jahre10 Jahre nach Schadenseintritt
Steuerlich gesicherte Forderungbis 10 Jahreanalog HGB/AO

Diese Fristen sind die Brücke zwischen den steuerlich-handelsrechtlichen Pflichten und der reinen Marketing-Datenhaltung. Wer drei Jahre nach Vertragsende noch Kontaktdaten speichern will, braucht entweder ein berechtigtes Interesse oder eine konkrete Verjährungserwartung. Pauschal "wir behalten alles, weil es nützlich sein könnte" reicht nicht aus.

Die Löschmatrix als operatives Werkzeug

In gut organisierten Datenbanken existiert pro Datensatzart eine Löschmatrix. Sie verbindet das Feld, die Rechtsgrundlage, die Frist und die anschliessende Handlung. Eine Beispielmatrix für einen typischen Online-Händler:

Datensatztyp           | Felder            | Frist     | Aktion nach Frist
-----------------------+-------------------+-----------+-------------------
Rechnung               | komplette Felder  | 8 Jahre   | Loeschung
Vertrag (B2C)          | Datensatz aktiv   | 3 J. n.E. | Anonymisierung
Newsletter-Anmeldung   | E-Mail, Quelle    | bis Widerr| Loeschung sofort
Bestandskunden-Profil  | CRM-Felder        | 3 J. ohne | Loeschung
Lohnabrechnungen       | Personaldaten     | 10 Jahre  | Loeschung
Bewerberunterlagen     | Lebenslauf etc.   | 6 Monate  | Loeschung
Einwilligungsbeleg     | Consent-Datensatz | 3 J. n.W. | Loeschung

Die Matrix ist keine theoretische Übung. Sie wird von der Datenschutz-Software täglich abgefragt, um Datensätze in den Lösch- oder Anonymisierungs-Workflow zu schieben. Ohne diese systematische Steuerung führen die manuellen Routinen unweigerlich zu Drift: Einmal werden Daten zu früh gelöscht, ein anderes Mal vergisst jemand eine ganze Tabelle. Beides ist vermeidbar, wenn die Matrix automatisiert läuft.

Sperren statt Löschen: Was bei laufenden Pflichten zu tun ist

Was passiert, wenn ein Kunde während laufender Aufbewahrungsfrist die Löschung seiner Daten verlangt? Hier kollidiert das Auskunfts- und Löschrecht der DSGVO mit der gesetzlichen Pflicht zur Aufbewahrung. Die Lösung ist in der Praxis seit Jahren etabliert: Die Daten werden nicht gelöscht, sondern gesperrt.

Sperren bedeutet: Der Zugriff wird eingeschränkt auf den Personenkreis und die Zwecke, die zur Erfüllung der Aufbewahrungspflicht nötig sind. In der Regel sind das Steuerberater, Wirtschaftsprüfer und im Streitfall das Finanzamt. Marketing, Vertrieb und Kundenservice dürfen auf die Daten nicht mehr zugreifen. Technisch wird das durch ein Sperrkennzeichen im Datensatz und entsprechende Berechtigungsfilter umgesetzt.

Die Aufsichtsbehörden akzeptieren diese Praxis. Sie ist sogar explizit in § 35 BDSG-neu vorgesehen. Wichtig: Der Betroffene muss informiert werden, dass die Löschung nicht erfolgt, sondern eine Einschränkung der Verarbeitung. Die volle Löschung erfolgt erst nach Ablauf der gesetzlichen Frist.

Praxisbeispiel: Ein mittelständischer Versandhändler

Damit das Zusammenspiel konkret wird, ein Rechenbeispiel aus der Beratungspraxis. Ein Versandhändler mit 48.000 Kundendatensätzen analysiert seinen Bestand und stellt fest:

Gesamtbestand:                       48.000 Datensaetze
Davon mit Rechnung in den letzten 8 J.: 31.200 (65 %)
Nur Newsletter, keine Bestellung:      12.000 (25 %)
Bestandskunden mit aktivem Vertrag:     3.600 (7,5 %)
Reine Karteileichen (kein Kontakt > 5 J.): 1.200 (2,5 %)

Die Bereinigungsstrategie greift auf drei Ebenen. Erstens werden die 1.200 Karteileichen ohne Aufbewahrungsgrundlage gelöscht – ihre letzte Verarbeitung liegt zu weit zurück, die DSGVO verlangt die Entfernung. Zweitens werden die 12.000 reinen Newsletter-Empfänger ohne aktive Einwilligung angeschrieben (Reconfirmation-Kampagne). Wer nicht bestätigt, wird gelöscht. Drittens werden die 31.200 Rechnungs-Empfänger in zwei Kategorien geteilt: aktive Bestandskunden bleiben im CRM, reine Altkunden werden ins gesperrte Archiv verschoben, wo die acht- bzw. zehnjährige Frist läuft, ohne dass die Daten für Marketing zugänglich sind.

Das Ergebnis ist eine Datenbank, die zwei Jahre nach der Bereinigung etwa 36 Prozent kleiner ist als der Ausgangsbestand. Die Versandkosten für Mailings sinken proportional, die Datenqualität steigt deutlich, und die DSGVO-Risikoposition entspannt sich erheblich. Eine systematische DSGVO-konforme Adressbereinigung und ein klares Löschkonzept sind die zwei Werkzeuge, die diesen Effekt herstellen.

Die häufigsten Fehler in der Praxis

Vier Konstellationen tauchen in Audits immer wieder auf. Jede einzelne führt schnell zu einer Beanstandung der Aufsichtsbehörde.

1. Die Sammelaufbewahrung. Ein Unternehmen behält pauschal alle Kundendaten zehn Jahre lang, "weil es nicht schaden kann". Aus DSGVO-Sicht ist das eine unzulässige Speicherung ohne Rechtsgrundlage für alle Daten, die nicht direkt zum Beleg gehören.

2. Die fehlende Löschmatrix. Eine Organisation kennt zwar die gesetzlichen Fristen, hat aber keine technische Umsetzung. Datenlöschungen erfolgen manuell und unregelmässig. Bei einer Prüfung lässt sich kein Nachweis für die systematische Einhaltung erbringen.

3. Das vermischte Löschen. Beim Erreichen der Acht-Jahres-Frist wird der gesamte Datensatz gelöscht – inklusive eines Vertrags, der unter Verjährung noch hätte aufbewahrt werden müssen. Im Streitfall steht der Versandhändler dann ohne Beleg da.

4. Die nicht dokumentierte Sperre. Daten werden gesperrt, aber die Information darüber existiert nur als Notiz in einer Excel-Datei. Bei Personalwechsel oder Migration fällt die Sperre weg, die Daten werden wieder aktiv genutzt – ein DSGVO-Verstoss, der bei einer Auskunftsanfrage sofort auffliegt.

Wie ListenFix bei der Umsetzung hilft

Aufbewahrungsfristen sind primär ein juristisches Thema. Auf der technischen Seite braucht es jedoch Werkzeuge, die die Lösch- und Sperrlogik durchsetzen können. ListenFix übernimmt dabei die Datenseite: Die Software identifiziert Datensätze mit identischer Adresse, die in unterschiedlichen Kontexten aufbewahrt werden, und verhindert, dass eine Löschung am einen Ort durch eine Kopie am anderen Ort umgangen wird.

Konkret heisst das: Wer einen Versand an Bestandskunden plant, kann eine Sperrliste mit allen Datensätzen einbinden, die zwar im Archiv liegen (Aufbewahrungsfrist läuft), aber nicht aktiv beworben werden dürfen. Die Verarbeitung erfolgt lokal auf dem eigenen Rechner – sensible Sperrinformationen verlassen den Arbeitsplatz nicht und müssen nicht an einen externen Cloud-Anbieter übergeben werden, der seinerseits Auftragsverarbeitungs-Verträge benötigen würde. Auch eine systematische Adressbereinigung in der Datenbank lässt sich so vor jedem Versand fahren.

Drei Schritte für ein belastbares Löschregime

Wer heute mit dem Aufbau einer geordneten Aufbewahrungs- und Löschstruktur startet, profitiert von einer pragmatischen Reihenfolge.

  1. Datenkategorien identifizieren. Listen Sie auf, welche Datentypen Ihr System speichert: Bestelldaten, Vertragsdaten, Marketing-Profile, Einwilligungsbelege, Personaldaten. Jede Kategorie braucht eine eigene Frist.
  2. Rechtsgrundlage und Frist je Kategorie definieren. Verbinden Sie jede Kategorie mit ihrer rechtlichen Basis (HGB, AO, BGB, DSGVO) und der konkreten Frist. Halten Sie die Entscheidung im Verzeichnis von Verarbeitungstätigkeiten fest.
  3. Automatisierte Lösch- und Sperrroutinen einrichten. Spätestens hier wird aus dem Konzept eine technische Implementierung. Eine wöchentliche oder monatliche Routine prüft, welche Datensätze die Frist erreicht haben, und schiebt sie in den passenden Workflow.

Mit dieser Struktur wird aus dem rechtlichen Pflichtprogramm ein operativer Vorteil. Die Datenbank ist schlanker, schneller und in jeder Auskunftsanfrage belastbar. Und wenn der Steuerberater im April wieder einen Blick in die Daten wirft, findet er genau das, was er finden soll – und nichts darüber hinaus.

Adressen bereinigen — jetzt testen

ListenFix erkennt per Fuzzy Matching deutlich mehr Duplikate als Excel. 100% offline, DSGVO-konform.

Kostenlos testen