DSGVO und SEPA-Mandatsaufbewahrung: was aufbewahren und wie lange

DSGVO und SEPA-Mandatsaufbewahrung: Was aufbewahren und wie lange

Die Aufbewahrung von SEPA-Mandaten unterliegt zwei Rechtsrahmen gleichzeitig: der SEPA-Verordnung EU 260/2012 (mindestens 14 Monate nach dem letzten Einzug) und der Datenschutz-Grundverordnung (DSGVO) (Grundsatz der Speicherbegrenzung und Rechenschaftspflicht).

Kurzübersicht

Das Mandat (Original-Unterschrift oder elektronische Signatur) muss mindestens 14 Monate nach dem letzten Einzug aufbewahrt werden. Die DSGVO verlangt die Begründung der Rechtsgrundlage und die Möglichkeit für den Schuldner, sich abzumelden.

SEPA-Aufbewahrungspflichten

Situation	Mindestfrist
Mandat aktiv	Gesamte Laufzeit
Nach dem letzten Einzug	14 Monate
Steuerprüfung (HGB/AO)	10 Jahre (Handelsbücher)
Allgemeine Geschäftsunterlagen	6 Jahre

Die SEPA-14-Monate-Frist ist das operative Minimum; steuerrechtliche Pflichten überwiegen in der Praxis.

DSGVO-Anforderungen

Rechtsgrundlage

Die Verarbeitung von Schuldnerdaten (Name, IBAN, Unterschrift) im Mandat stützt sich auf: - Art. 6(1)(b) DSGVO: Vertragserfüllung — der Einzug setzt das Mandat voraus. - Art. 6(1)(c) DSGVO: Rechtliche Verpflichtung — SEPA-Verordnung und Steuergesetze.

Speicherbegrenzung

Nach Ablauf aller gesetzlichen Fristen müssen Mandatsdaten gelöscht oder anonymisiert werden. Eine unbegrenzte Aufbewahrung ist unzulässig.

Informationspflicht

Schuldner müssen in der Datenschutzerklärung über die Mandatsdaten-Verarbeitung informiert werden, einschließlich: - Verarbeitungszweck. - Aufbewahrungsdauer. - Recht auf Auskunft, Berichtigung und Löschung.

Format und Nachvollziehbarkeit

Aufzubewahrende Unterlagen: - Ursprüngliches Mandat (Papier-Scan oder elektronische Kopie mit Hash). - Unterschriftsprotokoll (bei E-Mandaten: Datum, IP-Adresse, Methode). - Änderungsnachweise (Änderungen der UMR, IBAN oder GID).

Praktische Empfehlung

Richten Sie eine automatische Löschroutine ein, die: 1. Das Mandatsdatum und den letzten Einzug erfasst. 2. Nach 14 Monaten eine Überprüfung auslöst. 3. Mandatsdaten nach Ablauf aller anwendbaren Fristen anonymisiert.

Mit GenerateSEPA testen

Laden Sie eine Testdatei auf GenerateSEPA hoch und vergleichen Sie den Ablauf mit Ihrem aktuellen Setup. Validieren Sie immer mit unserem SEPA-XML-Validator.

Fazit

Es gibt keine universelle Antwort. Aber mit diesen Kriterien können Sie datenbasiert entscheiden – und gleichzeitig DSGVO-konform bleiben.

Häufig gestellte Fragen

Was sollte ich 2026 im Blick behalten?

SCT Inst ist seit Oktober 2025 für alle SEPA-Banken verpflichtend (EU 2024/886) und die Migration auf pain.001.001.09 ist im Gange.

Benötige ich einen Rechtsberater für die Umsetzung?

Bei regulatorischen Fragen (DSGVO, EU 260/2012, AML) ja. Für operative Themen reicht die offizielle EPC-Dokumentation.

Kann ich den Anbieter mitten im Jahr wechseln?

Ja. SEPA-Mandate sind übertragbar, solange Sie den Nachweis der Unterzeichnung aufbewahren.

Wie lange müssen SEPA-Mandate nach dem letzten Einzug aufbewahrt werden?

Die EPC-Regeln schreiben eine Aufbewahrungsfrist von mindestens 14 Monaten nach dem letzten Einzug vor. Zusätzlich können steuerrechtliche Anforderungen eine längere Aufbewahrung verlangen – in Deutschland zum Beispiel bis zu 10 Jahre für steuerrelevante Dokumente. Mandate sollten in unveränderlicher Form (z. B. als PDF/A oder Scan) gespeichert werden.

Convierte tu fichero a SEPA XML

Probar ahora →

¿Te ha sido útil este artículo?

Verwandte Artikel

DSGVO und SEPA-Mandatsaufbewahrung: Was aufbewahren und wie lange