DSGVO 2026: Was sich bei der Archivierung ändert

Letzte Woche saß ich mit einem Steuerberater zusammen, der ziemlich frustriert war. „Die DSGVO wird immer komplizierter", meinte er. Und er hat recht. Ab 2026 kommen wieder neue Anforderungen, die besonders die digitale Archivierung betreffen.

Ich versuche mal, das Ganze etwas zu entwirren.

Automatische Löschung wird Pflicht

Bisher war es okay, wenn man sich Erinnerungen gesetzt hat: „In 6 Monaten müssen wir die Bewerbungsunterlagen löschen." Ab 2026 reicht das nicht mehr. Das System muss das automatisch machen.

Klingt erstmal kompliziert, ist aber eigentlich ganz praktisch. Man definiert einmal die Regeln – zum Beispiel „Bewerbungen nach 6 Monaten löschen, außer bei laufenden Verfahren" – und das DMS kümmert sich darum. Keine vergessenen Fristen mehr, keine Notizzettel, die verloren gehen.

Das größte Problem dabei ist tatsächlich nicht die Technik, sondern zu wissen, was man überhaupt wie lange aufbewahren muss. Steuerunterlagen 10 Jahre, Handelsbrief 6 Jahre, aber was ist mit E-Mails? Oder Protokollen? Da wird es schnell unübersichtlich.

Verschlüsselung auch im Ruhezustand

Neu ist auch: Verschlüsselung reicht nicht mehr nur beim Übertragen, sondern auch wenn die Daten auf dem Server liegen. „Encryption at Rest" nennt sich das.

Ehrlich gesagt verstehe ich nicht ganz, warum das erst jetzt kommt. In Zeiten, wo ständig irgendwo Daten geklaut werden, sollte das eigentlich Standard sein. Bei Aktenplatz machen wir das schon länger so – einfach weil es sicherer ist.

Für Sie als Anwender ändert sich dadurch übrigens nichts. Das läuft im Hintergrund. Sie merken davon nichts, außer dass Ihre Daten besser geschützt sind.

Zugriffsprotokolle für alles

Jeder Zugriff auf personenbezogene Daten muss protokolliert werden. Wer hat wann auf welches Dokument zugegriffen? Von wo? Was hat die Person damit gemacht?

Das klingt nach Überwachung, ist aber eigentlich Schutz. Wenn mal was schiefgeht – jemand hackt sich ein oder ein Mitarbeiter missbraucht Zugriffe – dann kann man nachvollziehen, was passiert ist. Und oft merkt man an den Protokollen schon vorher, dass etwas komisch läuft.

Die Protokolle müssen 3 Jahre aufbewahrt werden. Das bedeutet natürlich auch: Die Protokolle selbst müssen geschützt werden. Sonst könnte ja jemand einfach seine Spuren verwischen.

Was Sie jetzt tun sollten

Wenn Sie noch ein älteres System haben oder noch viel auf Papier arbeiten, wird 2026 knapp. Die Umstellung dauert länger als man denkt. Nicht wegen der Technik – die ist meist schnell eingerichtet. Sondern weil man sich überlegen muss: Welche Daten haben wir eigentlich? Wo liegen die? Wer braucht Zugriff?

Wie lange müssen wir was aufbewahren?

Bei uns in der Kanzlei haben wir damals auch gedacht „ach, das machen wir mal schnell". Hat dann doch 4 Monate gedauert. Allein die alten Akten zu sichten und zu entscheiden, was davon noch wichtig ist...

Der beste Tipp, den ich geben kann: Fangen Sie mit dem Neuen an. Alle Dokumente, die ab jetzt reinkommen, laufen direkt ins neue System. Die Altlasten arbeiten Sie dann nach und nach ab. Sonst werden Sie nie fertig.

Ist das alles übertrieben?

Manchmal frage ich mich das auch. Ist dieser ganze DSGVO-Aufwand wirklich nötig? Dann lese ich wieder von einem Datenleck, wo Millionen Datensätze gestohlen wurden. Oder von jemandem, dessen Daten missbraucht wurden.

Und dann denke ich: Nein, eigentlich nicht übertrieben. Nur manchmal unnötig kompliziert formuliert. Im Kern geht es um etwas ganz Einfaches: Daten nur so lange behalten, wie nötig. Und dabei aufpassen, dass kein Unbefugter rankommt.

Das sollte eigentlich selbstverständlich sein. Dass es das nicht ist, dafür braucht es halt die DSGVO.

Wenn Sie Fragen zu den neuen Anforderungen haben oder wissen wollen, wie Sie das bei sich umsetzen – melden Sie sich einfach. Wir helfen gerne.