Wie lange müssen Akten aufbewahrt werden?
Gehört hat man es bestimmt schon, dass man geschäftliche Unterlagen nicht einfach wegwerfen darf, aber wie lange genau ist was aufzubewahren? Wissen Sie das? Als Gewerbetreibender ist jeder dazu verpflichtet, geschäftliche Unterlagen über einen festgeschriebenen Zeitraum aufzubewahren: Im kaufmännischen Bereich des Handels- und Steuerrechts gelten Fristen von sechs und zehn Jahren. Bei Patientenakten können bis zu 30 Jahre für die Aufbewahrung feststehen.
Wie lang sind die Aufbewahrungsfristen?
Wichtig zu wissen: Unterschiedliche Datenkategorien haben verschiedene Fristen.
Eine 10-jährige Aufbewahrungsfrist (§ 147 Abs. 3 i. V. m. Abs. 1 Nr. 1, 4 und 4a AO, § 14b Abs. 1 UStG) gilt für folgende Unterlagen: Bücher und Aufzeichnungen, Jahresabschlüsse, Inventare, Lageberichte, Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, Buchungsbelege, Rechnungen.
Eine 6-jährige Aufbewahrungsfrist gilt für alle anderen aufbewahrungspflichtigen Geschäftsunterlagen: empfangene Handels- oder Geschäftsbriefe, Wiedergaben der abgesandten Handels- oder Geschäftsbriefe, sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind.
Wichtig: Es gibt Ausnahmen! Im Falle eines Rechtsstreits läuft die Aufbewahrungsfrist für bedeutsamen Unterlagen grundsätzlich nicht ab. Die aufgeführten Fristen einzelner Datenkategorien gelten als Orientierungshilfe, es handelt sich hierbei um keine abschließende Aufzählung.
Vernichtung nach DIN 66399 1-3
Wenn der gesetzlich geregelte Zeitrahmen der Aufbewahrungsfrist für Akten, Dokumente und Datenträger erlischt, müssen sie vernichtet werden.
Wichtig zu wissen: Es gibt 3 Schutzklassen und 7 Sicherheitsstufen. Bei der Datenträgervernichtung muss dem Wirtschaftlichkeits- und Angemessenheitsprinzip Rechnung getragen werden. Aus diesem Grund sind Daten in Schutzklassen einzuteilen, welche ausschlaggebend für die Wahl der Sicherheitsstufe bei der Vernichtung sind. Die Zuordnung der Daten zu den Schutzklassen zu Sicherheitsstufen erfolgt durch Sie selbst. Der Gesetzgeber geht davon aus, dass Sie Ihre Daten am besten kennen und daher dürfen Sie die Zuordnung als als „Herr Ihrer Daten“ selber vornehmen.
Schutzklasse 1 – normaler Bedarf für interne Daten (Telefonlisten, Produktlisten, Lieferantendaten, Adressdaten, Werbemittel)
Schutzklasse 2 – hoher Bedarf für vertrauliche Daten (Betriebswirtschaftliche Auswertungen, Interne Reportings, Finanzbuchhaltungsunterlagen, Bilanzen, Jahresabschlüsse, Personaldaten, Arbeitsverträge)
Schutzklasse 3 – sehr hoher Bedarf für besonders geheime Daten (Patientenakten, Informationen aller Geheimhaltungsgrade des Bundes und der Länder, geheime/streng geheime Unterlagen aus Forschung und Entwicklung von Wirtschaftsunternehmen)
Vernichtung Intern
Die Schutzklassen-Wahl hat direkten Einfluss auf die Kosten der Datenträgervernichtung. Je feiner der Grad der Vernichtung ist, desto höher ist der Energie-, Personal und Maschinenaufwand. Daher sollte diese Entscheidung nicht leichtfertig getroffen werden. Es kann sogar wirtschaftlich vorteilhafter sein die Schutzklassen zu trennen. Denn dann werden ausschließlich die Datenträger in einer höheren Sicherheitsstufe geschreddert, die diesen Schutz auch wirklich bedürfen.
Je höher der Schutzbedarf, desto höher muss auch die bei der Aktenvernichtung gewählte Sicherheitsstufe sein. Für die Schutzklasse 3 kann nur die Sicherheitsstufe 4 und höher genutzt werden um den Sicherheitsanforderungen zu genügen. Grundsätzlich ist eine individuelle Betrachtung und Klassifizierung des Datenbestandes empfehlenswert.
Beachten Sie, dass Sie bis zur vollständigen Vernichtung der personenbezogenen Daten verantwortlich für diese sind.
Vernichtung Extern
Wenn Sie eine externe Entsorgungsfirma für die Aktenvernichtung beauftragen, ist auch hier Einiges zu beachten, u. a.:
Abschluss Vertrag zur Auftragsverarbeitung
Datentonne (verschließbarer & ausreichend großer Behälter)
Abholung der Datentonne nur durch autorisiertes Personal
Empfangsbestätigung für die abgeholte Datentonne
Aufbewahrung des Vernichtungsprotokoll für 6 Jahre
Die Verantwortung, einen geeigneten Entsorger auszuwählen und mit diesem den Abschluss eines datenschutzkonformen Vertrages zur Auftragsverarbeitung zu schließen, verbleibt bei Ihnen.
Fazit für die Aktenvernichtung nach Aufbewahrungsfristen – Datenschutzkonform
Die datenschutzkonforme Aktenvernichtung gehört zu den Routineaufgaben nach dem Jahreswechsel. Überprüfen Sie im Vorfeld die Aufbewahrungsfrist anhand Ihres Datenschutzkonzeptes und ggf. Ihres Löschkonzeptes. Prüfen Sie die externen und/ oder internen Aktenvernichtungsprozesse und Dienstleister.