Der Leitfaden der DSAG beschäftigt sich in der Hauptsache mit Aufbewahrungsfristen von Belegen gem. §§ 257 HGB bzw. 140 ff AO festgehalten und betreffen alle mit den Jahresabschluss im Zusammenhang stehende Dokumente.
Siehe auch:
https://www.dsag.de/fileadmin/media/downloads/20100114_Handlungsempfehlung_GDPdU_Update.pdf
Inwieweit die Benutzeranträger steuer- und handelsrechtlich unter der Aufbewahrungsfrist fallen, ist mir nicht ersichtlich.
Die meisten Berechtigungskonzepte legen allerdings ein entsprechendes Verfahren inklusive Aufbewahrungsfristen dieser Unterlagen dar.
Sofern ein IT-Audit im Unternehmen stattfindet sind entsprechende interne Aufbewahrungsfristen ebenfalls zu beachten (inwieweit hier das IT Grundschutzhandbuch des BSI Empfehlungen ausspricht bin ich mir gerade unsicher)
Eine direkte gesetzliche Vorgaben sind mir hier nicht bekannt. Ggf. ist hier dennoch eine Rücksprache mit euren Wirtschaftsprüfer sinnvoll.
