Datenschutz: Doppelter Druck zum Jahreswechsel
31.12.2025 - 08:52:12Die verkürzte Aufbewahrungsfrist für Buchungsbelege auf acht Jahre tritt in Kraft, während EU-Kontrollen und KI-Regulierung den Druck auf Unternehmen erhöhen.
Für Compliance-Verantwortliche in Deutschland, Österreich und der Schweiz endet das Jahr 2025 mit einer besonders komplexen Aufgabe. Am heutigen 31. Dezember laufen nicht nur Millionen Datensätze standardmäßig ab. Erstmals gilt auch die neue, verkürzte Aufbewahrungsfrist des Bürokratieentlastungsgesetzes IV (BEG IV). Gleichzeitig erhöht der Abschluss einer europaweiten Kontrollaktion zum Recht auf Löschung den regulatorischen Druck spürbar.
BEG IV: Acht Jahre werden zum neuen Standard
Die diesjährige Löschroutine unterscheidet sich grundlegend von früheren Jahren. Grund ist das in Kraft getretene BEG IV. Es hat die gesetzliche Aufbewahrungsfrist für Buchungsbelege wie Rechnungen erstmals von zehn auf acht Jahre reduziert.
Bisher hätten Unternehmen heute Dokumente aus dem Jahr 2015 löschen müssen. Die neue Regelung beschleunigt diesen Zeitplan erheblich. Ab sofort endet die Aufbewahrungspflicht für Buchungsbelege, die 2017 entstanden sind.
Das bedeutet für die Praxis:
* Beschleunigte Vernichtung: Automatisierte Löschroutinen müssen jetzt auf die Kohorte 2017 statt 2015 ausgerichtet sein.
* Retroaktive Anwendung: Die seit Januar 2025 geltende Änderung erlaubte bereits die Löschung von Dokumenten aus 2015 und 2016. Compliance-Prüfungen im dritten und vierten Quartal 2025 zeigten jedoch: Viele Firmen haben ihre Archive nicht angepasst. Sie horten Daten zu lange – ein Verstoß gegen den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 e DSGVO).
* Differenzierung nötig: Die Acht-Jahres-Frist gilt speziell für Buchungsbelege. Für andere Handelsbriefe und steuerrelevante Dokumente können weiterhin andere Fristen (oft sechs Jahre) gelten. Dies erfordert präzises Metadaten-Management.
Die Verkürzung sollte eigentlich Lagerkosten senken. In der Übergangsphase entsteht jedoch ein administrativer Aufwand. Viele veraltete ERP-Systeme mussten manuell für die neue Acht-Jahres-Logik umgerüstet werden.
EU-Kontrollaktion: Der Lösch-Realitätscheck
Das Jahr 2025 stand im Zeichen einer groß angelegten Kontrollaktion der europäischen Datenschutzbehörden. Der Fokus des Coordinated Enforcement Framework (CEF) lag ausschließlich auf dem Recht auf Löschung (Art. 17 DSGVO). Die vorläufigen Ergebnisse dieser Prüfungen verändern den Umgang mit Datenvernichtung grundlegend.
Die Aufsichtsbehörden prüften nicht nur Löschkonzepte auf dem Papier. Sie testeten die technische Umsetzung. Juristische Experten berichten von typischen Mängeln:
* „Soft Delete“ reicht nicht: Viele Systeme versteckten Daten nur in der Benutzeroberfläche, löschten sie aber nicht physisch. Regulierer halten dies für unzureichend.
* Das Backup-Dilemma: Die Löschung von Sicherungsbändern und Cloud-Archiven bleibt eine Herausforderung. Der Konsens aus den Kontrollen: Eine sofortige Löschung aus Backups mag technisch unmöglich sein. Unternehmen benötigen jedoch ein Protokoll, das die sofortige Vernichtung bei einer Wiederherstellung garantiert.
* Lücken bei Dienstleistern: Viele Beanstandungen betrafen Unternehmen, die nicht sicherstellten, dass ihre Auftragsverarbeiter (z.B. Cloud-Anbieter) Löschaufträge in der gesamten Lieferkette ausführten.
Rechtsberater raten deshalb dringend: Zum Jahreswechsel 2025 müssen Unternehmen den Nachweis der Löschung dokumentieren – etwa durch Vernichtungszertifikate oder Systemprotokolle. Diese Unterlagen sind entscheidend für die Verteidigung bei möglichen Folgenuntersuchungen im Jahr 2026.
KI und der „Digitale Omnibus“: Die nächste Lösch-Hürde
Die Jahresend-Aufgaben werden durch die rasante Integration Künstlicher Intelligenz zusätzlich verkompliziert. Im November 2025 legte die EU-Kommission ihren „Digitalen Omnibus“-Vorschlag vor. Er soll die DSGVO mit dem KI-Gesetz und dem Data Act harmonisieren.
Die „Unlearning“-Herausforderung:
Datenschutzbehörden fragen zunehmend: Reicht es, einen Datensatz aus einer Datenbank zu löschen, wenn er bereits ein KI-Modell trainiert hat? Das Konzept des „Model Disgorgement“ – das Löschen oder „Umlernen“ von KI-Modellen – wird vom theoretischen Diskurs zur regulatorischen Realität.
Am 11. November 2025 veröffentlichte der Europäische Datenschutzbeauftragte (EDPS) Leitlinien zum Risikomanagement für KI-Systeme. Sie betonen: Der Grundsatz der Speicherbegrenzung gilt auch für Trainingsdatensätze. Firmen, die RAG-Systeme nutzen, müssen sicherstellen: Wird ein Quelldokument (z.B. eine Rechnung von 2017) gelöscht, muss es auch aus der Vektordatenbank des firmeninternen KI-Chatbots entfernt werden. Andernfalls könnte die KI „gelöschte“ personenbezogene Daten in Antworten ausspucken – ein klarer DSGVO-Verstoß.
Passend zum Thema KI & Compliance: Die EU‑KI‑Regelung bringt neue Pflichten, die direkte Auswirkungen auf «Unlearning», Risikoklassifizierung und Dokumentation haben. Unser kostenloser Umsetzungsleitfaden erklärt praxisnah, wie Sie KI‑Modelle richtig klassifizieren, Lösch‑ und Nachweispflichten technisch umsetzen und Prüfprozesse dokumentieren — inklusive Checklisten für Vektor‑ und Trainingsdaten. Jetzt KI‑Umsetzungsleitfaden herunterladen
Ausblick 2026: Transparenz rückt in den Fokus
Während Compliance-Teams ihre Löschprotokolle für 2025 finalisieren, müssen sie bereits das kommende Jahr im Blick haben. Im Oktober 2025 kündigte der Europäische Datenschutzausschuss (EDPB) an: Das CEF für 2026 konzentriert sich auf Transparenz und Informationspflichten (Art. 12-14 DSGVO).
Die Aufsicht verschiebt ihren Fokus also vom „Ausgang“ (Löschung) zum „Eingang“ (Datenschutzerklärungen). Beide hängen zusammen: Eine konforme Datenschutzerklärung muss Nutzer präzise über die im Löschkonzept definierten Aufbewahrungsfristen informieren.
Konkrete Schritte für Januar 2026:
1. Löschung 2017 verifizieren: Sicherstellen, dass Buchungsbelege aus 2017 aus Live-Systemen gelöscht und in Backups zur Vernichtung markiert sind.
2. KI-Vektorspeicher prüfen: Das Löschkonzept auf Vektordatenbanken und KI-Trainingssets ausweiten.
3. Datenschutzerklärungen aktualisieren: Im Hinblick auf das CEF 2026 müssen Privacy Policies die neue Acht-Jahres-Realität und die KI-Datennutzung klar erklären.
4. Auftragsverarbeiter-Verträge prüfen: Sicherstellen, dass alle Dienstleister mit Finanzdaten über die verkürzten Aufbewahrungsfristen informiert sind.
Überblick Aufbewahrungsfristen (Jahresende 2025)
| Dokumententyp | Aufbewahrungsfrist | Zu löschende Jahrgänge (31.12.2025) | Rechtsgrundlage |
|---|---|---|---|
| Buchungsbelege (Rechnungen, Kontoauszüge) | 8 Jahre (Neu!) | 2017 | § 147 AO / § 257 HGB (geändert) |
| Handelsbriefe (ohne Belegcharakter) | 6 Jahre | 2019 | § 147 AO / § 257 HGB |
| Allgemeine Korrespondenz (Ohne steuerliche Relevanz) | Unverzüglich / nach Zweck | Jährliche Prüfung | Art. 5 Abs. 1 e DSGVO |
| Bewerberdaten (Abgelehnte Kandidaten) | 6 Monate (Standard) | Juni 2025 | AGG / Berechtigtes Interesse |
Hinweis: Die Tabelle dient als allgemeiner Leitfaden für Deutschland. Einzelne Branchen (Gesundheitswesen, Banken) und andere Länder (Österreich, Schweiz) können abweichende gesetzliche Fristen haben.
PS: Die praktische Umsetzung der neuen Aufbewahrungs- und Löschpflichten lässt sich kaum losgelöst von den KI‑Regeln betrachten. Wer jetzt Nachweise, Protokolle und Verträge nachzieht, reduziert nicht nur Bußgeldrisiken, sondern kann bei Prüfungen 2026 klare, nachvollziehbare Schritte vorlegen. Holen Sie sich den kostenlosen Leitfaden zur KI‑Verordnung mit konkreten Vorlagen für Dokumentation und Risikomanagement. Kostenlosen AI‑Compliance‑Leitfaden herunterladen
