BEG IV zwingt Unternehmen zur Überarbeitung ihrer Löschkonzepte

Die aktuelle „Löschsaison“ stellt deutsche Unternehmen vor eine kritische Datenschutz-Prüfung. Der seit Januar 2025 geltende Bürokratieentlastungsgesetz IV (BEG IV) zeigt erst jetzt seine volle praktische Wirkung. Er verkürzt die Aufbewahrungsfrist für Buchungsbelege von zehn auf acht Jahre. Das bedeutet: Rechnungen und Belege aus dem Jahr 2017 dürfen seit dem 31. Dezember 2025 gelöscht werden – zwei Jahre früher als bisher.

Doch die Umstellung ist komplex. Viele ERP-Systeme und Archivlösungen sind noch auf die alte Zehn-Jahres-Logik programmiert. Werden die Parameter nicht angepasst, verstößt das Unternehmen gegen das Grundprinzip der Speicherbegrenzung (Art. 5 DSGVO). Die Daten werden länger als nötig vorgehalten, was ein erhebliches Compliance-Risiko darstellt.

Praktische Hürden und unterschätzte Risiken

Trotz des Entlastungsziels des Gesetzes hinkt die Umsetzung in der Praxis hinterher. Besonders kleine und mittlere Unternehmen (KMU) operieren oft noch mit veralteten Löschkonzepten. Die Gefahren sind vielfältig:

Viele Unternehmen unterschätzen die Kontrolle ihres Verzeichnisses der Verarbeitungstätigkeiten (VVT) – und genau hier prüfen Aufsichtsbehörden zuerst. Eine sofort einsetzbare Excel-Vorlage hilft Ihnen, das Verarbeitungsverzeichnis nach Art. 30 DSGVO in kurzer Zeit lückenlos zu erstellen: mit fertigen Feld-Vorlagen, Praxisbeispielen und einer Schritt-für-Schritt-Anleitung, die typische Prüfungsfragen beantwortet. So reduzieren Sie Prüfungsrisiken und vermeiden Bußgelder. Verarbeitungsverzeichnis (Art. 30) jetzt gratis herunterladen

• DSGVO-Verstoß: In Buchungsbelegen stecken häufig personenbezogene Daten wie Kunden- oder Mitarbeiternamen. Deren Aufbewahrung über acht Jahre hinaus ist ohne gesonderte Rechtsgrundlage rechtswidrig.
• Schattenarchive: Selbst wenn die Primärsysteme angepasst sind, bleiben oft Backups oder dezentrale Speicher unberücksichtigt. Dort lagern dann weiterhin nicht-konforme Datenbestände.

Die Gesellschaft für Datenschutz und Datensicherheit (GDD) betonte erst kürzlich zum Europäischen Datenschutztag, dass das Verständnis für konkrete Löschfristen eine Kernkompetenz von Datenschutzbeauftragten sei – und gleichzeitig eine häufige Fehlerquelle.

Mehr Bürokratie durch Entlastungsgesetz?

Ironischerweise bedeutet die „Entlastung“ durch das BEG IV für Datenschutzverantwortliche zunächst mehr Arbeit. Sie müssen das Verzeichnis der Verarbeitungstätigkeiten (VVT) prüfen, das Löschkonzept dokumentarisch aktualisieren und die technische Umsetzung überwachen.

Diese zusätzliche Belastung steht im Kontrast zur politischen Zielsetzung. Volker Geyer, Bundesvorsitzender des dbb beamtenbund und tarifunion, kritisierte jüngst das mangelhafte „Preis-Leistungs-Verhältnis“ des Staates. Gesetze wie das BEG IV versprächen Entlastung, die spürbare Wirkung bleibe aber oft aus.

Doppelbelastung: E-Evidence-Richtlinie kommt hinzu

Die Lage wird durch eine weitere EU-Regulierung verschärft. Ab dem 18. Februar 2026 müssen die Mitgliedsstaaten die E-Evidence-Richtlinie umgesetzt haben. Sie ermöglicht Strafverfolgungsbehörden, elektronische Beweismittel direkt bei Dienstleistern in anderen EU-Ländern anzufordern.

Für Unternehmen entsteht ein Zielkonflikt: Während das BEG IV eine frühere Löschung vorschreibt, kann die E-Evidence-Richtlinie die schnelle Sicherstellung und Konservierung genau dieser Daten für Ermittlungen verlangen. Diese gegenläufigen Anforderungen machen eine durchdachte Löschlogik noch dringlicher.

Ausblick auf weiteren regulatorischen Wandel

Der regulatorische Druck wird nicht nachlassen. Der von der EU-Kommission Ende 2025 vorgelegte „Digital Omnibus“-Vorschlag zielt darauf ab, verschiedene Digitalvorschriften – inklusive der DSGVO – zu straffen. Noch ist das Gesetzgebungsverfahren nicht abgeschlossen. Klar ist aber: Die Definition und der Umgang mit personenbezogenen Daten könnten sich erneut ändern.

Die Priorität für Februar 2026 ist dennoch eindeutig: Unternehmen müssen ihre Archivsysteme überprüfen, die Acht-Jahres-Regel technisch aktivieren und alle Anpassungen am Löschkonzept lückenlos dokumentieren. Nur so bleiben sie gegenüber Finanz- und Datenschutzbehörden auf der sicheren Seite.

PS: Sie wollen schnell nachweisen, welche Verarbeitungstätigkeiten betroffen sind und wie Sie Löschfristen dokumentieren? Die gleiche Verarbeitungsverzeichnis-Vorlage enthält zusätzlich Hinweise zu typischen Prüfungsfragen, Beispiel-Einträgen und einer Checkliste für Backup- und Archivsysteme – ideal für Datenschutzbeauftragte, die die Acht-Jahres-Regel sofort rechtssicher umsetzen müssen. Jetzt Verarbeitungsverzeichnis-Vorlage herunterladen