ISO 27001: Aufbewahrungsfristen zwischen GoBD und DSGVO

Stellen Sie sich vor, Sie sind mitten in der Implementierung Ihres Informationssicherheits-Managementsystems (ISMS) nach ISO 27001. Die Controls sind definiert, die Risiken bewertet – Sie sind auf einem guten Weg. Doch dann tauchen Begriffe wie GoBD, HGB und DSGVO auf und werfen alles durcheinander. Plötzlich sollen Sie nicht nur Informationssicherheitsexperte sein, sondern auch Steuerrechtler und Datenschutzjurist.

‍

Sie fragen sich: „Wie lange muss ich diese E-Mail jetzt aufbewahren? Sagt die DSGVO nicht, ich muss alles so schnell wie möglich löschen, aber das Finanzamt will Unterlagen für 10 Jahre sehen? Und was hat das alles mit meiner ISO-Zertifizierung zu tun?“

‍

Wenn Ihnen das bekannt vorkommt, sind Sie nicht allein. Diese Verwirrung ist eine der größten Hürden für Unternehmen im DACH-Raum. Die gute Nachricht: Es ist einfacher als es aussieht, wenn man versteht, wie die Puzzleteile zusammenpassen. Dieser Leitfaden ist Ihre Brücke zwischen den Welten der ISO 27001, des Datenschutzes und der deutschen Gesetze. Wir verwandeln das Chaos in ein klares, umsetzbares System.

‍

Das Kernproblem: Drei Regelwerke, ein gemeinsames Ziel

‍

Die Herausforderung besteht darin, dass Unternehmen im DACH-Raum drei verschiedene Arten von Anforderungen gleichzeitig erfüllen müssen:

‍

1. ISO 27001: Die Norm verlangt einen systematischen Umgang mit Informationen über deren gesamten Lebenszyklus, einschließlich sicherer Aufbewahrung und Löschung. Sie gibt aber keine konkreten Zeiträume vor.
   ‍
2. DSGVO (Datenschutz-Grundverordnung): Sie fordert den Grundsatz der „Speicherbegrenzung“. Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Zweck, für den sie erhoben wurden, notwendig ist.
   ‍
3. Nationale Gesetze (HGB, AO, GoBD): Das deutsche Handels- und Steuerrecht schreibt für bestimmte Geschäftsunterlagen (z. B. Rechnungen, Bilanzen) starre Mindestaufbewahrungsfristen von 6 oder 10 Jahren vor.

‍

Auf den ersten Blick wirkt das wie ein unlösbarer Widerspruch. Doch in Wahrheit ergänzen sich diese Regelwerke. Man muss nur ihre jeweilige Rolle im Gesamtbild verstehen.

‍

Die drei Säulen eines soliden Löschkonzepts: ISO 27001, DSGVO & GoBD/HGB

‍

Der Schlüssel zu einer funktionierenden und audit-sicheren Datenaufbewahrung liegt darin, die drei Säulen nicht isoliert zu betrachten, sondern als ein integriertes System.

‍

Säule 1: Das Rahmenwerk – Was ISO 27001 wirklich verlangt

‍

Die ISO 27001 ist Ihr Management-Framework. Sie ist der Bauplan für Ihr Haus, gibt aber nicht die Farbe der Wände vor. Konkret fordert die Norm im Anhang A unter der Kontrolle A.5.33 („Schutz von Aufzeichnungen“), dass Aufzeichnungen vor Verlust, Zerstörung und unbefugtem Zugriff geschützt werden – und das über ihre gesamte Lebensdauer hinweg.

‍

Das bedeutet: Die ISO 27001 sagt Ihnen dass Sie Regeln für die Aufbewahrung und Löschung von Daten brauchen und diese in einem Prozess verankern müssen. Sie sagt Ihnen aber nicht, wie lange eine Rechnung aufbewahrt werden muss. Diesen Teil füllen die nationalen Gesetze. Ein zentraler Aspekt einer professionellen ISO 27001 Implementierung ist es, diese externen Anforderungen in das eigene System zu integrieren.

‍

Säule 2: Die Datenschutz-Prinzipien – Die Rolle der DSGVO

‍

Die DSGVO bringt die Prinzipien für den Umgang mit personenbezogenen Daten ins Spiel. Die wichtigsten sind hier:

‍

• Speicherbegrenzung (Art. 5 Abs. 1e DSGVO): Daten müssen gelöscht werden, wenn der ursprüngliche Zweck der Verarbeitung entfällt. Eine Bewerbung eines abgelehnten Kandidaten muss also nach wenigen Monaten gelöscht werden.
  ‍
• Zweckbindung (Art. 5 Abs. 1b DSGVO): Daten dürfen nur für den festgelegten, eindeutigen und legitimen Zweck verarbeitet werden.

‍

Hier kommt der entscheidende „Aha-Moment“: Die DSGVO erkennt an, dass es rechtliche Verpflichtungen gibt, die eine längere Speicherung erfordern. In Art. 6 Abs. 1c DSGVO heißt es, dass die Verarbeitung rechtmäßig ist, wenn sie „zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist“.

‍

Das bedeutet: Die 10-jährige Aufbewahrungspflicht für eine Rechnung nach dem Handelsgesetzbuch (HGB) ist eine solche rechtliche Verpflichtung. Sie ist die legitime Rechtsgrundlage, die den Grundsatz der Speicherbegrenzung für diesen spezifischen Fall außer Kraft setzt. Eine strukturierte GDPR Implementation berücksichtigt diese Ausnahmen von Anfang an.

‍

Säule 3: Die konkreten Regeln – Deutsche Gesetze (GoBD, HGB, AO)

‍

Dies ist die Säule, die Ihnen die konkreten Zahlen liefert. Gesetze wie das Handelsgesetzbuch (HGB) und die Abgabenordnung (AO) definieren die exakten Mindestaufbewahrungsfristen für kaufmännische und steuerrechtlich relevante Unterlagen. Die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) regeln zusätzlich, wie diese digitalen Unterlagen revisionssicher aufzubewahren sind.

‍

Diese Gesetze sind keine Empfehlungen, sondern knallharte Vorgaben. Ein Verstoß kann zu empfindlichen Strafen führen.

‍

‍

Der Aha-Moment: Wie die drei Säulen in der Praxis zusammenspielen

‍

Lassen Sie uns den Entscheidungsprozess an einem einfachen Beispiel durchspielen: der Eingangsrechnung eines Lieferanten.

‍

1. Die Frage: Wie lange müssen wir diese Rechnung aufbewahren?
   ‍
2. Blick in die ISO 27001: Die Norm sagt: „Ihr braucht einen dokumentierten Prozess für den Lebenszyklus von Eingangsrechnungen, der Aufbewahrung und Löschung regelt.“
   ‍
3. Blick in die DSGVO: Die Rechnung enthält personenbezogene Daten (z. B. Name des Sachbearbeiters beim Lieferanten). Die DSGVO sagt: „Nachdem die Rechnung bezahlt und der Vertrag erfüllt ist, ist der ursprüngliche Zweck erfüllt. Grundsätzlich müsstet ihr die Daten jetzt löschen, es sei denn…“
   ‍
4. Blick in HGB/AO: …es gibt eine rechtliche Verpflichtung. Und die gibt es: § 257 HGB und § 147 AO sagen eindeutig: „Buchungsbelege, und dazu gehören Rechnungen, müssen 10 Jahre aufbewahrt werden.“
   ‍
5. Die Entscheidung: Die rechtliche Verpflichtung aus HGB/AO ist die Rechtsgrundlage nach DSGVO, die Rechnung für 10 Jahre zu speichern. Dieser Prozess wird im Rahmen des ISMS nach ISO 27001 dokumentiert.

‍

Problem gelöst. Der scheinbare Konflikt ist in Wirklichkeit eine klare Hierarchie von Regeln.

‍

‍

Die ultimative Referenz: Aufbewahrungsfristen im DACH-Raum

‍

Um Ihnen die praktische Umsetzung zu erleichtern, haben wir die gängigsten Aufbewahrungsfristen nach deutschem Recht nach Funktionsbereichen geordnet. Diese Tabelle dient als Ausgangspunkt für Ihr eigenes Löschkonzept.

‍

Hinweis: Diese Tabelle ist eine allgemeine Orientierung und ersetzt keine Rechtsberatung. Prüfen Sie immer die für Ihre Branche und Ihr Unternehmen spezifischen Anforderungen.

‍

‍

Die systematische Verwaltung dieser Fristen ist ein zentraler Bestandteil im Umgang mit dokumentierte Informationen und fundamental für eine gute Informationssicherheit.

‍

Schritt für Schritt zum Löschkonzept: Eine praktische Anleitung

‍

Ein „Löschkonzept“ ist das zentrale Dokument, das Ihre Regeln zur Aufbewahrung und Löschung formal festhält. Es ist für Auditoren (sowohl ISO 27001 als auch Datenschutz) ein entscheidender Nachweis.

‍

1. Inventarisierung (Was haben wir?): Erfassen Sie, welche Arten von Daten und Dokumenten in welchen Systemen (ERP, CRM, E-Mail-Server, etc.) gespeichert werden.
   ‍
2. Regeln definieren (Wie lange?): Ordnen Sie jeder Datenkategorie eine Aufbewahrungsfrist und eine Rechtsgrundlage zu (z. B. „Eingangsrechnungen: 10 Jahre gemäß § 147 AO“).
   ‍
3. Prozesse festlegen (Wie wird gelöscht?): Definieren Sie den technischen und organisatorischen Prozess der Löschung. Wer ist verantwortlich? Geschieht es automatisch oder manuell?
   ‍
4. Dokumentation: Fassen Sie alle Regeln und Prozesse im Löschkonzept zusammen. Dieses Dokument gehört zu Ihrer ISMS-Dokumentation. Die Kontrollen im ISO 27001 Annex A bieten einen guten Rahmen dafür.
   ‍
5. Umsetzung & Überprüfung: Implementieren Sie die Prozesse und überprüfen Sie regelmäßig deren Wirksamkeit.

‍

Häufige Fehler und wie Sie sie vermeiden

‍

• Fehler 1: Beginn der Frist falsch berechnen. Die 10-Jahres-Frist für eine Rechnung aus dem März 2023 beginnt nicht im März 2023, sondern erst am Ende des Kalenderjahres 2023, also am 31.12.2023. Sie endet somit am 31.12.2033.
  ‍
• Fehler 2: Löschung nicht dokumentieren. Insbesondere bei der manuellen Löschung von sensiblen Daten ist ein Nachweis (Löschprotokoll) Gold wert.
  ‍
• Fehler 3: Backups vergessen. Daten müssen auch aus den Backups entfernt werden können. Eine Ausnahme können unveränderliche Backups sein, die aus Sicherheitsgründen nicht manipuliert werden dürfen – hier müssen die Löschfristen im Backup-Konzept gesondert betrachtet werden.

‍

Fazit: Compliance als Chance, nicht als Last

‍

Die Anforderungen an die Aufbewahrung von Dokumenten im DACH-Raum mögen auf den ersten Blick komplex erscheinen. Doch indem Sie die ISO 27001 als Management-Rahmen, die DSGVO als Prinzipiengeber und die nationalen Gesetze als konkrete Regelgeber verstehen, schaffen Sie ein klares und logisches System.

‍

Ein durchdachtes Löschkonzept ist mehr als nur eine lästige Pflicht. Es ist ein Akt der Datenhygiene, der Risiken minimiert, Speicherkosten senkt und die Effizienz erhöht. Es ist ein Eckpfeiler einer robusten Informationssicherheitsstrategie und zeigt Auditoren, dass Sie die Kontrolle über den gesamten Lebenszyklus Ihrer Informationen haben. Dieses Verständnis ist auch hilfreich, wenn Sie Synergien nutzen und die Gemeinsamkeiten von Normen wie ISO 27001 vs 9001 betrachten.

‍

Indem Sie diese drei Säulen meistern, verwandeln Sie eine regulatorische Last in einen strategischen Vorteil für Ihr Unternehmen.

‍

FAQ: Häufig gestellte Fragen zu Aufbewahrungsfristen

‍

Setzt die ISO 27001 selbst Fristen fest?

‍

‍Nein. Die ISO 27001 verlangt, dass Sie einen Prozess und dokumentierte Regeln für Aufbewahrungsfristen haben, die auf gesetzlichen, regulatorischen und vertraglichen Anforderungen basieren. Den Inhalt dieser Regeln müssen Sie aus anderen Quellen, wie dem HGB oder der DSGVO, ableiten.

‍

Was hat Vorrang: DSGVO-Löschpflicht oder HGB-Aufbewahrungspflicht?

‍

‍Die gesetzliche Aufbewahrungspflicht (z. B. aus dem HGB oder der AO) hat Vorrang. Sie stellt eine „rechtliche Verpflichtung“ im Sinne der DSGVO dar und ist somit die Rechtsgrundlage für die Speicherung der Daten für den vorgeschriebenen Zeitraum. Ein Kunde kann also nicht die Löschung seiner Rechnungsdaten nach 2 Jahren verlangen, wenn das Gesetz 10 Jahre vorschreibt.

‍

Was genau ist ein Löschkonzept?

‍

‍Ein Löschkonzept ist ein formales, schriftliches Dokument, das die Regeln, Verantwortlichkeiten und Prozesse für die Aufbewahrung und das Löschen von Daten in einem Unternehmen festlegt. Es ist ein zentraler Nachweis für die Einhaltung der DSGVO und ein wichtiger Bestandteil eines ISMS nach ISO 27001.

‍

Wo fange ich am besten an?

‍

‍Beginnen Sie mit einer Inventur Ihrer wichtigsten Geschäftsdokumente, insbesondere im Finanz- und Personalwesen, da hier die klarsten gesetzlichen Vorgaben existieren. Erfassen Sie, welche Dokumente Sie haben, wo sie liegen und wenden Sie dann die entsprechenden Fristen aus der obigen Tabelle an.

‍