Stellen Sie sich einen Verwalter mit 18 Jahren Bestand vor. Vierundzwanzig Wandschränke voller Aktenordner, ein digitales Archiv mit knapp 480 Gigabyte gescannter Belege, und seit drei Jahren die immer gleiche Frage in jeder Vorstandssitzung: Was davon dürfen wir eigentlich löschen, und was müssen wir behalten. Niemand traut sich, die alten Wirtschaftspläne aus 2011 zu schreddern, weil unklar ist, ob die Frist mit dem Beschluss-Datum, dem Abrechnungsjahr oder der letzten Buchung beginnt. Niemand traut sich, die Mieter-Akte eines vor sechs Jahren ausgezogenen Mieters zu löschen, weil die Kautionsabrechnung möglicherweise noch nachhängt. Und gleichzeitig häuft sich der Berg an Daten, die längst hätten gelöscht werden müssen — DSGVO-Verstoß inklusive.
Aufbewahrungsfristen sind in der Hausverwaltung kein Buchhaltungs-Detail. Sie sind die Stelle, an der Steuerrecht, Zivilrecht, WEG-Recht und Datenschutz aufeinandertreffen, und an der ein einzelner falsch gesetzter Status gleichzeitig zwei Welten verletzen kann: die Welt der Betriebsprüfung, die jeden Beleg sehen will, und die Welt des Datenschutzes, die jedes überflüssige Datenfeld als Verstoß gegen Art. 5 Abs. 1 lit. e DSGVO wertet. Dieser Artikel erklärt, welche Frist welches Dokument trägt, warum der Fristbeginn der eigentlich schwierige Teil ist, und wie ein halb-automatischer Vernichtungs-Workflow die Compliance trägt, ohne dass am Ende ein Cronjob versehentlich die Beschluss-Sammlung der WEG aus 1997 löscht.
Warum Aufbewahrungsfristen mehr sind als Buchhaltungs-Bürokratie
Die meisten Verwalter denken bei Aufbewahrung an die zehn Jahre für Buchungsbelege und sind damit fertig. Diese Verkürzung ist der Hauptgrund, warum Archive entweder zu klein oder zu groß sind. Ein zu früh gelöschter Beleg kann eine Betriebsprüfung kosten — das Finanzamt darf bei fehlenden Unterlagen schätzen, und die Schätzung ist selten zugunsten des Verwalters. Eine zu lang aufbewahrte Mieter-Akte hingegen verletzt die Speicherbegrenzung der DSGVO und ist bei einer Aufsichtsbehörden-Prüfung ein dokumentierbarer Verstoß. Beide Fehler kosten Geld, beide entstehen aus derselben Ursache: Niemand hat die Fristen je systematisch erfasst, und niemand hat einen Prozess, der sie automatisch durchsetzt.
Die zweite Verkürzung ist, dass Fristen für alle Dokumente gleich seien. Sie sind es nicht. Buchungsbelege haben zehn Jahre, Kautionsforderungen können dreißig Jahre laufen, eine WEG-Beschluss-Sammlung ist nach §24 Abs. 7 WEG zeitlich unbegrenzt zu führen, und Mahnungen sind streng genommen nur mit der dahinterliegenden Forderung verbunden. Wer alles über einen Kamm schert, macht entweder zu wenig oder zu viel.
Die wichtigsten Fristen im Überblick
| Dokumenttyp | Frist | Rechtsgrundlage |
|---|---|---|
| Buchungsbelege, Hausgeldabrechnungen, Wirtschaftspläne | 10 Jahre | HGB §257 Abs. 4, AO §147 Abs. 1 Nr. 4 |
| Nebenkostenabrechnungen, Heizkostenabrechnungen | 10 Jahre | HGB §257 Abs. 4, AO §147 Abs. 1 Nr. 4 |
| Prüfprotokolle Aufzug, Brandschutz, Elektro | 10 Jahre | BetrSichV §14 Abs. 7 |
| Kautionsabrechnungen, Kündigungs-Dokumente | bis 30 Jahre | BGB §195 i. V. m. §197 Abs. 1 Nr. 3 |
| Mahnungen, Zahlungsaufforderungen | 6 Jahre praktisch (3 Jahre Verjährung + Puffer) | BGB §195 |
| WEG-Beschluss-Sammlung, ETV-Protokolle | unbegrenzt | WEG §24 Abs. 7 |
| Geschäftskorrespondenz | 6 Jahre | HGB §257 Abs. 4 |
| Personenbezogene Daten ohne Aufbewahrungsgrund | nach Zweckwegfall zu löschen | Art. 5 Abs. 1 lit. e DSGVO |
Die zehn Jahre sind dabei kein willkürlicher Wert. §257 Abs. 4 HGB nennt zehn Jahre für Buchungsbelege und sechs Jahre für empfangene Handelsbriefe und Kopien abgesandter Handelsbriefe. §147 Abs. 1 Nr. 4 AO zieht die zehn Jahre für alle steuerlich relevanten Belege nach. Die Tatsache, dass beide Normen denselben Zeitraum nennen, ist kein Zufall — sie sind aufeinander abgestimmt, damit ein Buchungsbeleg nicht durch das Steuerrecht länger gelten muss als durch das Handelsrecht.
Was den Fristbeginn verschiebt — der eigentlich schwierige Teil
Eine Frist nützt nichts, wenn der Beginn unklar ist. §257 Abs. 5 HGB und §147 Abs. 4 AO regeln das gleichlautend: Die Frist beginnt mit dem Schluss des Kalenderjahres, in dem die letzte Eintragung in das Buch gemacht, das Inventar aufgestellt, die Eröffnungsbilanz oder der Jahresabschluss festgestellt, der Handelsbrief empfangen oder abgesandt oder der Buchungsbeleg entstanden ist. Ein Beleg vom 14. März 2014 hat damit eine Frist, die am 31. Dezember 2024 endet — nicht am 14. März 2024. Diese eine Regel ist die häufigste Fehlerquelle in handgepflegten Archiven.
Bei Verträgen läuft die Frist in der Regel ab Vertragsende, nicht ab Vertragsschluss. Ein Mietvertrag von 2010, gekündigt zum 30. April 2024, beginnt die zehnjährige Frist erst mit dem Schluss des Jahres 2024 — der Vertrag muss also bis Ende 2034 verfügbar bleiben. Bei Kautionen verschiebt sich das nochmals: Die regelmäßige Verjährung beträgt nach §195 BGB drei Jahre, aber rechtskräftig festgestellte Ansprüche unterliegen nach §197 Abs. 1 Nr. 3 BGB einer dreißigjährigen Verjährung. Wer eine Kautionsabrechnung wegwirft, weil der Mieter vor sieben Jahren ausgezogen ist, kann bei einem Titel aus einem späteren Verfahren in eine schwer reparierbare Beweisnot geraten.
Bei Prüfprotokollen nach BetrSichV §14 beginnt die zehnjährige Frist mit dem Datum der Prüfung. Beim Wirtschaftsplan einer WEG ist es das Beschlussdatum bzw. das Wirtschaftsjahr. Diese Vielfalt ist der Grund, warum eine zentrale Fristentabelle in der Software liegen muss — und nicht im Kopf des Verwalters.
Der versteckte Konflikt zwischen Steuerrecht und DSGVO
Das Steuerrecht verlangt zehn Jahre Aufbewahrung. Die DSGVO verlangt, personenbezogene Daten so kurz wie möglich zu speichern. Das ist kein Widerspruch, sondern ein Auflösungspunkt: Die DSGVO schließt eine längere Aufbewahrung nicht aus, wenn ein gesetzlicher Aufbewahrungsgrund besteht — sie verlangt aber, dass die Daten nach Zweckwegfall in den Status der eingeschränkten Verarbeitung wechseln. Das ist Art. 18 DSGVO. Konkret bedeutet das: Eine Kautionsabrechnung mit personenbezogenen Daten darf zehn Jahre liegen bleiben, weil §147 AO es verlangt, aber sie darf in dieser Zeit nicht mehr für andere Zwecke ausgewertet, in Reports gezogen oder zur Auftragsverarbeitung herangezogen werden. Sie ist ein steuerlich verfügbarer, aber operativ gesperrter Datensatz.
In der Praxis heißt das, dass ein gutes Archiv-System drei Status-Stufen kennen muss: aktiv, archiviert, vernichtungsreif. Aktiv ist im laufenden Betrieb verfügbar. Archiviert ist nur noch auf explizite Anforderung (Steuerprüfung, juristisches Verfahren) lesbar — alle Reports und Auswertungen ignorieren diese Datensätze. Vernichtungsreif ist die letzte Stufe vor der physischen Löschung, und sie verlangt einen menschlichen Bestätigungsschritt, weil ein versehentlich gelöschter Beleg nicht zurückgeholt werden kann.
Vernichtungs-Workflow als Compliance-Werkzeug
Ein automatisierter Lösch-Cronjob ohne Review ist gefährlich. Ein vollständig manueller Lösch-Prozess wird nicht durchgehalten. Die Antwort ist ein zweistufiger, halb-automatischer Workflow, der die Maschine die Routine machen lässt und den Menschen die Entscheidung.
Stufe 1 — Cron-Scan, monatlich: Ein Job läuft am Anfang jedes Monats über alle archivierten Dokumente und findet diejenigen, deren Aufbewahrungsfrist innerhalb der nächsten sechs Monate endet. Für jeden Treffer wird ein Vorschlag erzeugt — ein Datensatz mit Quelltabelle, Quell-ID, Frist-Ende, Rechtsgrundlage und einem Status pending. Der Scan ist idempotent: Wenn ein Dokument bereits einen offenen Vorschlag hat, wird kein zweiter erzeugt. Das wird in der Datenbank über einen Partial-Unique-Index abgesichert, sodass parallele Cron-Läufe keine Duplikate produzieren können.
Stufe 2 — Admin-Review: Jeder Vorschlag erscheint in einer Liste, sortiert nach Dringlichkeit. Der Mandanten-Admin sichtet die Treffer einzeln, prüft auf laufende Verfahren oder Klagen und entscheidet: freigeben, ablehnen, vertagen. Eine Freigabe verlangt einen Kommentar, eine Ablehnung verlangt einen Grund, eine Vertagung verschiebt den Vorschlag um einen definierten Zeitraum. Kein Vorschlag wird ohne menschliche Bestätigung ausgeführt — das ist die wichtigste Sicherheits-Linie des gesamten Systems.
Stufe 3 — Cron-Execution, täglich: Ein zweiter Job läuft täglich und findet alle Vorschläge mit Status approved. Er führt die kaskadierte Löschung durch — Datensatz in der Quelltabelle, abhängige Records, zugehörige Datei in MinIO. Schlägt eine FK-Verletzung zu, wechselt der Vorschlag in den Status execution_failed mit einer Begründung. Kein stilles Schlucken, keine halben Löschungen. Erfolgreiche Ausführungen werden in einem Audit-Log dokumentiert: Wer hat freigegeben, wann, was wurde gelöscht, mit welcher Rechtsgrundlage.
Praxis-Beispiel: Wirtschaftsplan 2014
Der Wirtschaftsplan 2014 einer WEG wurde am 18. Mai 2014 beschlossen und betraf das Wirtschaftsjahr 2014. Die zehnjährige Frist beginnt mit dem Schluss des Jahres 2014 (HGB §257 Abs. 5, AO §147 Abs. 4) und endet am 31. Dezember 2024. Seit dem 1. Januar 2025 ist der Datensatz im Status vernichtungsreif. Im Februar 2025 läuft der monatliche Scan und erzeugt einen Vorschlag mit Frist-Ende 2024-12-31 und Rechtsgrundlage HGB §257 Abs. 4 / AO §147 Abs. 1 Nr. 4.
Der Mandanten-Admin sichtet den Vorschlag, prüft im internen Vorgangs-System, ob es offene Klagen aus 2014 gibt — keine. Er gibt frei mit dem Kommentar “Frist regulär abgelaufen, keine offenen Verfahren”. Der nächtliche Execution-Cron läuft, löscht den Wirtschaftsplan-Datensatz, die zugehörigen Einzel-Buchungen und die PDF-Datei in MinIO. Im Audit-Log steht: 2025-02-13 03:14 UTC, executor=cron, approved_by=admin@verwaltung.de, source=wirtschaftsplan, source_id=4517, file=mn-archive/2014/wp-4517.pdf, status=executed.
Das ist die Schleife, die Sie sich wünschen — und das ist die Schleife, die manuelle Archivpflege niemals leisten kann.
Wie ImmoGenio das umsetzt
Drei Migrationen tragen die Mechanik. Migration 105 erzeugt eine UNION-View archiv_items_v über siebzehn Quell-Tabellen. Buchungen, Wirtschaftspläne, Hausgeldabrechnungen, NK-Abrechnungen, Heizkosten-Abrechnungen, Beschlüsse, ETV-Protokolle, Mietverträge, Kautionen, Mahnungen, Prüfprotokolle, Verträge, Korrespondenz und weitere — jede Zeile mit source_type, source_id, created_at, tenant_id und einem berechneten retention_until. Das Archiv ist damit eine einzige Abfrage, nicht ein Sammelsurium aus siebzehn separaten Listen.
Migration 106 legt die Tabelle retention_proposals an, mit RLS auf tenant_id, einem partial-unique Index auf (source_type, source_id) WHERE status='pending' und einem Status-Lifecycle pending → approved → executed (oder rejected, postponed, execution_failed). Migration 107 ergänzt die Datei-Download-View, die für die Vorschau im Review-Schritt verwendet wird.
Elf Default-Aufbewahrungsfristen sind in data_retention_policies vorinitialisiert, jede mit einer Rechtsgrundlage. Die Funktionen runRetentionProposalScan() und runRetentionExecution() nutzen pg_try_advisory_lock pro Tenant, sodass parallele Läufe sich nicht in die Quere kommen. Der Default-Modus ist Dry-Run — Vorschläge werden erzeugt, Execution ist deaktiviert. Die scharfe Schaltung erfolgt erst, nachdem die Rechtsberatung des Verwalters die Fristentabelle abgenommen hat. Dieser Schritt ist nicht verhandelbar, weil eine fehlerhafte Frist im Default sich auf alle Mandanten auswirken würde.
Sicherheits-Mechanik
Die retention_proposals-Tabelle steht unter Row-Level-Security. Jeder Tenant sieht nur seine eigenen Vorschläge, jeder Cron-Lauf läuft unter einem expliziten Tenant-Kontext. Wer das Mandantentrennungs-Modell genauer verstehen will, findet die Hintergründe im Artikel über Row-Level-Security und Multi-Tenancy.
Der Scan ist idempotent — ein doppelter Lauf erzeugt keine Duplikate, weil der partial-unique Index pending-Vorschläge eindeutig hält. Die Execution ist transaktional: Entweder werden Datensatz und Datei gelöscht, oder keines von beidem. Eine FK-Verletzung führt zum Status execution_failed mit einer Fehlermeldung — niemals zu einer halben Löschung, niemals zu einem stillen Verschlucken. Das Audit-Log in retention_cleanup_log ist append-only, kein Update, kein Delete, und damit selbst Beweismittel im Streitfall.
Verbindung zu anderen Modulen
Die Beschluss-Sammlung der WEG hat nach §24 Abs. 7 WEG keine Frist — sie ist unbegrenzt zu führen. Der Workflow erkennt das, weil die Quelltabelle in der Default-Policy als retention=null markiert ist und damit nie in einen Vernichtungsvorschlag läuft. Wie die Beschluss-Sammlung digital geführt wird, beschreibt der Artikel über die digitale Eigentümerversammlung.
Buchungsbelege müssen vor einer eventuellen Vernichtung in einem GoBD-konformen Format exportierbar sein — der Steuerberater muss Zugriff behalten, auch wenn der Verwalter den Datensatz aus dem aktiven Bestand entfernt. Der DATEV-Export liefert genau dieses Format, dokumentiert im Artikel über DATEV-Export Format 7.
Bei Kautionen ist die dreißigjährige Verjährung nach §197 BGB der härteste Fristtreiber im gesamten Archiv. Wie die tagesgenaue Berechnung der Kautionszinsen funktioniert und warum die Abrechnung selbst nach Auszug noch lange relevant bleibt, erklärt der Artikel über die Kautionsverwaltung nach §551 BGB.
Grenzen der aktuellen Umsetzung
Die Software klassifiziert keine neu hochgeladenen Dokumente automatisch. Wer eine PDF in das Archiv lädt, muss den Dokumenttyp explizit setzen — eine OCR-getriggerte Frist-Anwendung ist in v1 nicht vorgesehen, weil die Trefferquote bei Hausverwaltungs-Dokumenten zu niedrig wäre, um sie compliance-relevant zu nutzen. Eine Fehlklassifikation würde entweder zu früh löschen oder zu lange aufbewahren, beides ist teuer.
Auch die Default-Fristen sind ein Vorschlag, kein Diktat. Jeder Verwalter hat individuelle Verträge, individuelle Vereinbarungen mit Eigentümergemeinschaften, individuelle Praxis bei Geschäftskorrespondenz. Die Fristentabelle ist daher pro Mandant überschreibbar, und die Übersteuerung wird im Audit-Log mitprotokolliert.
Wo wir stehen
Der Workflow ist produktiv im Dry-Run-Modus. Vorschläge werden monatlich erzeugt, sind im Admin-Bereich sichtbar und reviewbar, aber die Execution-Stufe ist deaktiviert. Die Freischaltung ist an die rechtliche Abnahme der Default-Fristentabelle gebunden — eine Stelle, an der wir bewusst nicht beschleunigen. Wer einmal eine zu früh gelöschte Buchung in einer Betriebsprüfung erlebt hat, versteht, warum dieser Schritt nicht parallel zur Software-Entwicklung laufen darf.
Was schon jetzt Mehrwert bringt: Der monatliche Vorschlag zeigt, wie groß der Lösch-Bedarf wirklich ist. Bei einem typischen mittelgroßen Verwalter sind das nach acht bis zwölf Jahren Bestand zwischen vier- und zwölftausend Dokumente, deren Frist jährlich abläuft. Diese Zahl ohne Werkzeug zu bewältigen ist nicht realistisch — und genau das ist der Grund, warum die Wandschränke voll sind und das digitale Archiv ungelöscht überquillt.
Sie kennen das Problem aus dem eigenen Bestand?
Wenn Sie wissen wollen, wie ein zentrales Archiv mit Aufbewahrungsfristen-Workflow in Ihrem Bestand aussehen würde — wie viele Dokumente jährlich Vorschlag werden, wie der Review-Prozess in Ihren Tagesablauf passt und wann sich das Aufräumen rechnet — sprechen Sie mit uns. Wir zeigen Ihnen den Dry-Run an einem Mandanten Ihrer Wahl, mit Ihren echten Fristen und Ihrer rechtlichen Lage.
Schreiben Sie an kontakt@immogenio.de oder buchen Sie ein Gespräch über die Kontaktseite. Eine erste Bestandsaufnahme dauert etwa vierzig Minuten, und am Ende wissen Sie, wie viel Compliance-Risiko gerade in Ihren Wandschränken und auf Ihrem Fileserver schläft.