← Alle Insights

Aufbewahrungspflichten die KI sauber durchsetzt.

Unternehmen stehen bei ihren Dokumenten vor zwei gegenläufigen Pflichten. Auf der einen Seite verlangen GoBD, HGB und Abgabenordnung, dass steuerlich und handelsrechtlich relevante Unterlagen über Jahre revisionssicher aufbewahrt werden — Rechnungen, Verträge, Buchungsbelege. Auf der anderen Seite verlangt die DSGVO, personenbezogene Daten zu löschen, sobald der Zweck entfallen ist. Beides gleichzeitig korrekt zu erfüllen, ist im Alltag erstaunlich schwer: Dokumente landen ungeordnet in Laufwerken und Postfächern, niemand weiß, welche Frist für welches Dokument gilt, und im Zweifel behält man lieber alles — was zu einem wuchernden Datenfriedhof führt, der selbst zum Risiko wird. KI kann hier Ordnung schaffen, indem sie Dokumente automatisch klassifiziert, ihnen die richtige Aufbewahrungs- oder Löschfrist zuordnet und Archivierung wie Löschung steuert. Dieser Beitrag zeigt, wie das funktioniert, welche Rechtssicherheit realistisch erreichbar ist und wo die Methode klare Grenzen hat.

Das Dilemma zwischen Aufbewahren und Löschen.

Die deutsche Rechtslage zwingt Unternehmen in einen Spagat. Handels- und steuerrechtlich gibt es klare Aufbewahrungsfristen — für viele buchungsrelevante Unterlagen mehrjährig, für bestimmte Belege kürzer oder länger. Wer diese Unterlagen zu früh vernichtet, riskiert Probleme bei der Betriebsprüfung.

Gleichzeitig verlangt die DSGVO Datensparsamkeit und Löschung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es einen legitimen Zweck gibt. Wer Bewerbungsunterlagen abgelehnter Kandidaten jahrelang hortet oder Kundendaten ohne Grund aufbewahrt, verstößt dagegen.

Das Tückische ist, dass beide Pflichten oft dasselbe Dokument betreffen können — eine Rechnung enthält personenbezogene Daten, unterliegt aber der steuerlichen Aufbewahrung. In solchen Fällen geht die gesetzliche Aufbewahrung in der Regel vor, die Löschung folgt erst nach Fristablauf. Diese Abwägung im Einzelfall richtig zu treffen, überfordert manuelle Prozesse schnell. Die bequeme Antwort — einfach alles behalten — ist rechtlich falsch und schafft mit jedem Jahr mehr Risiko.

Warum der Datenfriedhof selbst ein Risiko ist.

Viele Unternehmen lösen das Dilemma, indem sie nie etwas löschen. Das fühlt sich sicher an, ist es aber nicht. Ein unkontrolliert wachsender Bestand an Dokumenten — der Datenfriedhof — birgt mehrere konkrete Risiken.

Erstens der DSGVO-Verstoß: Wer personenbezogene Daten ohne Zweck und über die Frist hinaus aufbewahrt, handelt rechtswidrig und kann im Prüf- oder Beschwerdefall belangt werden. Zweitens das Sicherheitsrisiko: Je mehr Daten gespeichert sind, desto größer der Schaden bei einem Datenleck — Daten, die gelöscht wären, können nicht gestohlen werden. Drittens die Auskunftspflicht: Wenn eine betroffene Person Auskunft über ihre gespeicherten Daten verlangt, muss das Unternehmen alle Fundstellen finden — in einem Datenfriedhof eine kaum lösbare Aufgabe.

Hinzu kommt der schlichte Aufwand: Speicher kostet, und ein unstrukturierter Bestand macht jede Suche, jede Migration und jedes Audit teurer. Ordnung ist hier kein Selbstzweck, sondern senkt unmittelbar Risiko und Kosten. Genau diese Ordnung herzustellen ist die Aufgabe, bei der KI ansetzt.

Wie KI Dokumente klassifiziert und Fristen zuordnet.

Der Kern der Lösung ist die automatische Erkennung, um welche Art von Dokument es sich handelt — denn die Dokumentart bestimmt die Frist. Moderne Sprach- und Dokumentmodelle können Inhalte lesen und einordnen, auch wenn die Dateien nicht sauber benannt sind:

DokumentartTypische Frist (Richtwert)Grundlage
Buchungsbelege, Rechnungenmehrjährig (oft 8–10 Jahre)HGB, AO, GoBD
Handelsbriefemittelfristig (oft 6 Jahre)HGB, AO
Bewerbungsunterlagen (abgelehnt)kurz nach AbsageDSGVO, AGG-Fristen
Vertragsunterlagennach Vertragsende plus VerjährungBGB, DSGVO

Die konkreten Fristen variieren und ändern sich gelegentlich durch Gesetzesänderungen — deshalb sind die Werte hier ausdrücklich Richtwerte, keine verbindliche Rechtsauskunft. Die KI schlägt auf Basis der erkannten Dokumentart die passende Frist vor, berechnet das Löschdatum und kann auf Konflikte hinweisen, etwa wenn ein Dokument zugleich aufbewahrungspflichtig ist und personenbezogene Daten enthält. Diese Vorklassifizierung leistet die Fleißarbeit, die manuell niemand für Zehntausende Dokumente schafft.

Revisionssicherheit und das Löschkonzept.

Aufbewahren allein genügt nicht — die GoBD verlangt Revisionssicherheit. Das bedeutet vereinfacht: Dokumente müssen unveränderbar, vollständig, nachvollziehbar und über die gesamte Frist verfügbar abgelegt sein. Jede Änderung muss protokolliert, nichts darf spurlos verschwinden.

KI ersetzt das revisionssichere Archivsystem nicht, sondern arbeitet mit ihm zusammen: Sie sorgt dafür, dass die richtigen Dokumente in das richtige Archiv mit der richtigen Frist gelangen, und dokumentiert die Klassifikationsentscheidung nachvollziehbar. Das ist wichtig, denn auch die Begründung, warum ein Dokument wie eingeordnet wurde, gehört zur Nachweiskette.

Das Gegenstück ist das Löschkonzept — ein dokumentierter Plan, welche Datenarten wann und wie gelöscht werden. Die DSGVO setzt ein solches Konzept faktisch voraus. KI unterstützt, indem sie fällige Löschungen erkennt, bündelt und zur Freigabe vorlegt. Entscheidend ist hier die Freigabeschleife: Gelöscht wird nicht automatisch und unwiederbringlich, sondern erst nach menschlicher Bestätigung — denn eine fälschlich gelöschte aufbewahrungspflichtige Unterlage lässt sich nicht zurückholen.

Auskunft und Löschung auf Anfrage erleichtern.

Die DSGVO gibt betroffenen Personen Rechte, die Unternehmen schnell unter Druck setzen: das Recht auf Auskunft über die gespeicherten Daten und das Recht auf Löschung. Beide setzen voraus, dass das Unternehmen weiß, wo welche personenbezogenen Daten liegen — und genau dieses Wissen fehlt in einem ungeordneten Bestand.

Ein KI-gestütztes System, das Dokumente klassifiziert und mit Metadaten versieht, macht solche Anfragen handhabbar. Wird Auskunft verlangt, lassen sich die relevanten Dokumente gezielt auffinden, statt manuell ganze Laufwerke zu durchsuchen. Wird Löschung verlangt, kann das System die betroffenen Fundstellen zusammenstellen — und zugleich prüfen, ob einer Löschung eine Aufbewahrungspflicht entgegensteht.

Diese Verbindung beider Sichten ist der eigentliche Mehrwert: Das System kann gleichzeitig sagen „diese Dokumente betreffen die Person“ und „diese davon dürfen wegen Aufbewahrungspflicht noch nicht gelöscht werden, müssen aber für die übrige Verarbeitung gesperrt werden“. Diese differenzierte Antwort ist genau das, was die DSGVO im Konfliktfall verlangt — und was manuell extrem aufwendig wäre.

Grenzen, Fehlklassifikation und juristische Verantwortung.

Eine ehrliche Betrachtung der Grenzen ist hier besonders wichtig, weil Fehler rechtliche Folgen haben. Drei Punkte stehen im Vordergrund.

Erstens die Fehlklassifikation. Kein Modell ordnet jedes Dokument korrekt ein. Ein als Handelsbrief erkanntes Schreiben kann in Wahrheit ein aufbewahrungspflichtiger Beleg sein. Deshalb braucht es Sicherheitsnetze: hohe Schwellen vor jeder Löschung, Stichproben, eine menschliche Freigabe für kritische Kategorien. Im Zweifel gilt aufbewahren vor löschen.

Zweitens die juristische Verantwortung. Die KI liefert Vorschläge auf Basis hinterlegter Regeln — sie ersetzt keine Rechtsberatung. Welche Fristen konkret gelten, welche Sonderfälle existieren und wie mit Konflikten umzugehen ist, gehört in die Hand von Datenschutzbeauftragten, Steuerberatern und gegebenenfalls Juristen. Dieser Beitrag selbst ist ausdrücklich keine Rechtsberatung.

Drittens die Pflege der Regelbasis. Fristen und Anforderungen ändern sich durch Gesetzgebung und Rechtsprechung. Ein System, das einmal eingerichtet und nie aktualisiert wird, arbeitet nach veralteten Regeln. Die regelmäßige fachliche Pflege der hinterlegten Fristen ist kein Detail, sondern Voraussetzung für die Rechtssicherheit, die das System verspricht.

Einstieg, Aufwand und realistische Erwartungen.

Ein sinnvoller Einstieg beginnt bei einer klar abgegrenzten Dokumentgruppe mit hohem Volumen und klaren Regeln — etwa eingehende Rechnungen oder Bewerbungsunterlagen. Dort ist der Nutzen schnell sichtbar und das Risiko überschaubar. Die Ausweitung auf komplexere Dokumentarten folgt, sobald das System verlässlich klassifiziert.

Für einen ersten Anwendungsfall im Mittelstand liegt der Einrichtungsaufwand häufig im Bereich von 30.000 bis 80.000 Euro, abhängig von der Zahl der Dokumentarten, der Anbindung an das vorhandene Archiv- oder Dokumentenmanagementsystem und der Komplexität der Regeln. Laufende Kosten bewegen sich oft zwischen 800 und 3.000 Euro im Monat. Diese Werte sind Richtgrößen.

Die ehrlichste Erwartung lautet: KI bringt Ordnung und Konsistenz in einen Bereich, der manuell nicht zu bewältigen ist, und schafft die Grundlage für Rechtssicherheit — sie garantiert sie nicht allein. Der eigentliche Wert entsteht im Zusammenspiel aus Technik, einem sauber gepflegten Regelwerk und der menschlichen Freigabe an den kritischen Stellen. Wer das System als juristischen Autopiloten missversteht, riskiert teure Fehler. Wer es als gründlichen, dokumentierenden Assistenten einsetzt, gewinnt Überblick, senkt Risiko und macht aus dem Datenfriedhof ein geordnetes Archiv.

Ihr Dokumentenbestand wächst unkontrolliert und Sie sind unsicher, was Sie aufbewahren müssen und was Sie löschen dürfen? Unverbindlich anfragen — wir schauen gemeinsam mit Ihren Datenschutz- und Steuerverantwortlichen auf Ihre Dokumentarten und Ihr Archivsystem und legen einen pragmatischen, abgesicherten Einstieg fest.