Aufbewahrungsfristen und Datenschutzpflichten für Kanzleien im Überblick

Business

Für Kanzleien gelten beim Thema Aufbewahrungsfristen, Kanzlei-Datenschutz und ordnungsgemäße Aktenführung strenge Vorgaben aus verschiedenen Rechtsquellen gleichzeitig. Berufsrechtliche Pflichten, steuerrechtliche Anforderungen und die Datenschutz-Grundverordnung greifen ineinander und erzeugen ein komplexes Regelwerk, das im Kanzleialltag leicht zu Unsicherheiten führt. Wer eine Mandantenakte zu früh vernichtet, riskiert berufsrechtliche Konsequenzen. Wer sie zu lang aufbewahrt, verstößt möglicherweise gegen das Gebot der Datensparsamkeit nach der DSGVO. Der folgende Überblick zeigt Schritt für Schritt, wie Kanzleien den Anforderungen gerecht werden, welche Fristen für welche Unterlagen gelten, wie die datenschutzkonforme Vernichtung zu organisieren ist und welche Fehler sich in der Praxis besonders häufig einschleichen.

1. Rechtsgrundlagen verstehen

Berufsrecht, Steuerrecht und DSGVO im Zusammenspiel

Die rechtliche Grundlage für Aufbewahrungsfristen in Kanzleien ergibt sich nicht aus einer einzigen Vorschrift. Steuerrechtlich verpflichtet § 147 AO Unternehmen und damit auch Kanzleien dazu, Buchungsbelege, Rechnungen und Geschäftsbriefe grundsätzlich zehn Jahre aufzubewahren. Handelsbücher und Jahresabschlüsse unterliegen denselben Fristen. Sonstige geschäftliche Unterlagen, etwa allgemeiner Schriftverkehr, fallen unter eine sechsjährige Frist nach § 257 HGB.

Berufsrechtliche Sonderregelungen

Für Rechtsanwälte kommt das anwaltliche Berufsrecht hinzu. Die Bundesrechtsanwaltsordnung sowie die zugehörigen Berufsordnungen verpflichten zur sorgfältigen Aktenführung. Als Orientierungswert gilt in der Praxis eine Mindestaufbewahrung von fünf Jahren nach Abschluss des Mandats, was auf die allgemeinen Verjährungsfristen des BGB zurückgeführt wird. In einzelnen Rechtsbereichen, etwa bei Notaren oder in der Erbschaftssache, gelten teils deutlich längere Zeiträume von bis zu 30 Jahren.

2. Fristen nach Aktentyp bestimmen

Mandatsakten und Korrespondenz

Nicht jede Akte läuft nach demselben Schema. Mandatsakten, die steuerrechtlich relevante Belege enthalten, richten sich nach der zehnjährigen Frist der Abgabenordnung. Reine Korrespondenz ohne steuerlichen Bezug fällt oft unter die sechsjährige Frist. Für Strafverteidigungsakten empfehlen Fachverbände eine besonders lange Aufbewahrung, da Wiederaufnahmeverfahren theoretisch Jahrzehnte später noch möglich sind.

Personalakten und interne Unterlagen

Kanzleien sind zugleich Arbeitgeber. Lohnunterlagen müssen nach § 147 AO zehn Jahre vorgehalten werden. Bewerbungsunterlagen abgelehnter Kandidaten hingegen dürfen aus datenschutzrechtlichen Gründen nur sehr kurze Zeit aufbewahrt werden. In der Regel gilt hier ein Zeitraum von sechs Monaten nach Abschluss des Bewerbungsverfahrens als vertretbar.

3. Datenschutzanforderungen der DSGVO umsetzen

Grundsatz der Speicherbegrenzung

Die DSGVO kennt keinen Grundsatz der „sicherheitshalber länger aufbewahren“. Artikel 5 Abs. 1 lit. e DSGVO schreibt vor, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für den jeweiligen Zweck erforderlich ist. Für Kanzleien bedeutet das: Sobald die gesetzliche Aufbewahrungsfrist abgelaufen ist, entsteht aus datenschutzrechtlicher Sicht eine Pflicht zur Löschung beziehungsweise Vernichtung.

Verzeichnis von Verarbeitungstätigkeiten führen

Kanzleien mit mehr als 20 Mitarbeitenden sind nach Art. 30 DSGVO verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Kleinere Kanzleien sollten dieses Verzeichnis freiwillig anlegen, da es die Übersicht über Aufbewahrungsfristen und Datenkategorien erheblich erleichtert. Das Verzeichnis bildet auch die Grundlage für spätere Löschroutinen.

4. Lösch- und Vernichtungsprozesse organisieren

Systematische Löschkonzepte entwickeln

Ein strukturiertes Löschkonzept legt für jede Aktenkategorie fest, wann die Frist beginnt, wann sie endet und wer für die Vernichtung verantwortlich ist. Dabei beginnt die Frist in der Regel mit dem Ende des Kalenderjahres, in dem das Mandat abgeschlossen oder der letzte Beleg erzeugt wurde. Ein internes Fristenkennzeichnungssystem, sei es analog auf Aktendeckeln oder digital in der Kanzleisoftware, verhindert, dass Akten versehentlich zu früh oder zu spät vernichtet werden.

Physische Unterlagen fachgerecht vernichten

Wer Papierakten mit personenbezogenen Mandantendaten entsorgt, muss sicherstellen, dass ein unbefugter Zugriff auf die Inhalte ausgeschlossen ist. Das einfache Wegwerfen in den Papierkorb genügt datenschutzrechtlich nicht. Für die professionelle Aktenvernichtung gelten Sicherheitsstufen nach DIN 66399, wobei für vertrauliche Kanzleidokumente mindestens Stufe P-4 empfohlen wird. Die ordnungsgemäße Vernichtung sollte schriftlich dokumentiert und das Vernichtungsprotokoll ebenfalls aufbewahrt werden.

5. Digitale Akten und elektronische Archivierung

Grundsätze ordnungsgemäßer Buchführung einhalten

Für digital archivierte Unterlagen gelten die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form, kurz GoBD. Diese schreiben vor, dass elektronische Dokumente unveränderbar gespeichert, jederzeit lesbar und revisionssicher archiviert werden müssen. Ein nachträgliches Verändern archivierter Unterlagen ist unzulässig.

Datensicherung und Zugriffskontrolle

Bei digitalen Akten sind zusätzlich technische und organisatorische Maßnahmen nach Art. 32 DSGVO erforderlich. Dazu gehören Zugriffsbeschränkungen, Verschlüsselung, regelmäßige Datensicherungen und klare Berechtigungskonzepte. Auch gelöschte Daten müssen tatsächlich unwiederbringlich vernichtet werden, was bei physischen Datenträgern die zertifizierte Vernichtung einschließt.

6. Häufige Fehler bei Aufbewahrung und Datenschutz vermeiden

Folgende Fehler treten in Kanzleien besonders häufig auf:

  • Fristen werden nicht aktenkategoriespezifisch, sondern pauschal für alle Unterlagen angesetzt
  • Der Fristbeginn wird falsch berechnet, weil das Ende des Kalenderjahres nicht berücksichtigt wird
  • Abgelaufene Fristen werden nicht systematisch überwacht, sodass Akten jahrelang unnötig lagern
  • Physische Akten werden ohne datenschutzkonforme Vernichtung entsorgt
  • Für digitale Datenträger fehlt ein Vernichtungskonzept, obwohl auch auf alten Festplatten personenbezogene Daten gespeichert sind
  • Das Verarbeitungsverzeichnis wird nicht gepflegt oder fehlt gänzlich
  • Mandantinnen und Mandanten werden nicht über die Dauer der Datenspeicherung informiert, obwohl Informationspflichten nach Art. 13 DSGVO bestehen

Praktische Checkliste für Kanzleien

  1. Alle Aktenkategorien (Mandatsakten, Buchungsbelege, Personalunterlagen, Korrespondenz) erfassen und den jeweils geltenden gesetzlichen Fristen zuordnen.
  2. Fristbeginn für jede Akte korrekt festlegen: Ende des Kalenderjahres, in dem das Mandat endete oder der letzte Beleg erzeugt wurde.
  3. Ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO anlegen oder aktualisieren.
  4. Ein Löschkonzept dokumentieren, das Fristen, Verantwortlichkeiten und Vernichtungsverfahren für alle Aktenkategorien festlegt.
  5. Für physische Unterlagen einen Vernichtungsdienstleister beauftragen, der nach DIN 66399 arbeitet und Vernichtungsprotokolle ausstellt.
  6. Für digitale Datenträger sicherstellen, dass Daten unwiederbringlich gelöscht werden, und die Vernichtung dokumentieren.
  7. Mandantinnen und Mandanten bei Beginn des Mandats über Datenspeicherung und Aufbewahrungsdauer informieren.
  8. Fristen regelmäßig, mindestens einmal jährlich, in der Kanzleisoftware oder analog überprüfen und abgelaufene Akten fristgerecht vernichten.
  9. Mitarbeitende schulen, damit Fristen und Vernichtungspflichten im Kanzleialltag bekannt und eingehalten werden.
  10. Vernichtungsprotokolle und das Löschkonzept selbst für die gesetzlich vorgeschriebene Dauer aufbewahren.

Rechtliche Grundlagen und Datenschutzkonformität in der Kanzlei

Gesetzliche Vorgaben zur Dokumentenaufbewahrung

Für Kanzleien gelten beim Datenschutz klare Aufbewahrungsfristen, die sich aus verschiedenen Rechtsquellen speisen. Die Bundesrechtsanwaltsordnung, das Steuerrecht sowie die Datenschutz-Grundverordnung bilden dabei das normative Fundament. Anwälte und Steuerberater sind verpflichtet, Mandantenakten in der Regel zwischen sechs und zehn Jahren aufzubewahren, abhängig vom jeweiligen Dokumententyp. Handelsrelevante Unterlagen unterliegen nach § 257 HGB einer zehnjährigen Aufbewahrungspflicht, während Korrespondenz regelmäßig nach sechs Jahren vernichtet werden darf. Kanzleien müssen dabei sicherstellen, dass die Datenschutzanforderungen auch während der gesamten Aufbewahrungszeit eingehalten werden. Dies umfasst den Schutz sensibler Mandantendaten vor unbefugtem Zugriff sowie eine revisionssichere Archivierung.

Technische Umsetzung datenschutzkonformer Archivierung

Die praktische Implementierung stellt viele Kanzleien vor erhebliche Herausforderungen. Moderne Dokumentenmanagementsysteme helfen dabei, die in Kanzleien geltenden Datenschutz- und Aufbewahrungsfristen automatisiert zu verwalten. Solche Systeme erkennen Fristabläufe selbstständig und lösen entsprechende Löschprozesse aus, sobald die gesetzlichen Haltefristen enden. Besonderes Augenmerk liegt auf der Verschlüsselung gespeicherter Daten sowie auf Zugriffsprotokollen, die im Falle einer Datenschutzprüfung als Nachweisdokumente dienen. Kanzleien, die cloudbasierte Lösungen einsetzen, müssen zusätzlich sicherstellen, dass Auftragsverarbeitungsverträge mit den Dienstleistern rechtskonform abgeschlossen wurden und die Serverstandorte den europäischen Datenschutznormen entsprechen.