Löschbegehren (Art. 17 DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) gibt betroffenen Personen starke Rechte, um Kontrolle über ihre eigenen Daten zu behalten. Eines der wichtigsten Rechte ist das Recht auf Löschung, auch bekannt als „Recht auf Vergessenwerden“ (Art. 17 DSGVO).

Betroffene können von Unternehmen verlangen, dass sie betreffende personenbezogene Daten gelöscht werden, sobald bestimmte Voraussetzungen erfüllt sind. Für Unternehmen bedeutet das: Sie müssen klare und strukturierte Prozesse haben, um Löschbegehren fristgerecht und rechtssicher zu bearbeiten; sonst drohen hohe Bußgelder und Imageschäden.

Beispiel: Ein Kunde kündigt seinen Vertrag und fordert, dass alle seine Daten aus dem CRM-System entfernt werden. Das Unternehmen muss prüfen, welche Daten tatsächlich gelöscht werden dürfen, und welche aufgrund gesetzlicher Aufbewahrungspflichten noch nicht gelöscht werden können.

Art. 17 Abs. 1 DSGVO regelt, wann eine betroffene Person die Löschung ihrer personenbezogenen Daten verlangen kann. Es gelten folgende Fristen zur Bearbeitung eines Löschbegehrens:

  • Unternehmen haben einen Monat Zeit, um auf ein Löschbegehren zu reagieren (Art. 12 Abs. 3 DSGVO).
  • In komplexen Fällen kann die Frist um weitere zwei Monate verlängert werden; dies muss jedoch begründet und kommuniziert werden.

Gründe für ein Löschbegehren

Ein Unternehmen muss personenbezogene Daten löschen, wenn einer der folgenden Punkte zutrifft:

  1. Zweckentfall
    2. Die Daten sind für den ursprünglichen Zweck nicht mehr erforderlich.
    Beispiel: Ein Bewerber wurde abgelehnt und seine Daten werden nicht mehr benötigt.
  2. Widerruf der Einwilligung
    3. Die betroffene Person widerruft ihre Einwilligung zur Verarbeitung der Daten.
    Beispiel: Abmeldung vom Newsletter.
  3. Widerspruch nach Art. 21 DSGVO
    4. Die betroffene Person legt Widerspruch gegen die Verarbeitung ein.
  4. Unrechtmäßige Verarbeitung
    5. Die Daten wurden ohne rechtliche Grundlage verarbeitet.
  5. Erfüllung einer rechtlichen Pflicht
    6. Gesetzliche Vorschriften verlangen die Löschung.
  6. Datenverarbeitung von Kindern
    7. Daten von Minderjährigen, die ohne ausreichende Schutzmaßnahmen erhoben wurden.

Ausnahmen vom Löschungsrecht

Nicht jedes Löschbegehren kann sofort umgesetzt werden. Art. 17 Abs. 3 DSGVO nennt Fälle, in denen Daten nicht gelöscht werden dürfen, z. B.:

  • Erfüllung gesetzlicher Aufbewahrungspflichten
    Z. B. journalistische Inhalte, handels- oder steuerrechtliche Vorgaben zur Aufbewahrung (§ 257 HGB, § 147 AO).
  • Ausübung des Rechts auf freie Meinungsäußerung und Information
    Z. B. journalistische Inhalte.
  • Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
    Z. B. Daten, die für ein laufendes Gerichtsverfahren benötigt werden.

Wichtig: Unternehmen müssen transparent begründen, wenn ein Löschbegehren abgelehnt wird.


Anforderungen (in groben Zügen)

Ein strukturierter Prozess ist entscheidend, um rechtliche Anforderungen einzuhalten.

  1. Eingang prüfen und Identität feststellen
    • Überprüfung, ob der Antrag tatsächlich von der betroffenen Person stammt.
    • Identitätsprüfung, z. B. durch Kopie eines Ausweises oder digitale Authentifizierung.
  2. Ermittlung der Daten
    • Alle Systeme prüfen: CRM, ERP, Cloud-Dienste, E-Mail-Postfächer, Papierakten.
    • Berücksichtigung externer Dienstleister (z. B. Cloud-Anbieter).
    • Dokumentation der Verarbeitungsschritte.
  3. Rechtliche Prüfung
    • Dürfen die Daten gelöscht werden oder bestehen Aufbewahrungspflichten? (siehe oben)
    • Berücksichtigung externer Dienstleister, z. B. Cloud-Anbieter (siehe unten).
    • Dokumentation der Verarbeitungsschritte.
  4. Durchführung der Löschung
    • Daten sicher und endgültig entfernen.
    • Physische Akten nach DIN 66399 / ISO 21964 vernichten; siehe auch LINK zu „Datenschutzkonforme Vernichtung“.
  5. Dokumentation
    • Alle Schritte sind revisionssicher festhalten.
    • Anfertigung von Nachweisen, z. B. Löschprotokoll, für Aufsichtsbehörden im Falle einer Prüfung.
  6. Rückmeldung an die betroffene Person
    • Mitteilung über erfolgte Löschung oder begründete Ablehnung.

Besonderheiten bei externen Dienstleistern

Wenn personenbezogene Daten bei Auftragsverarbeitern gespeichert sind, muss auch dort die Löschung erfolgen (Art. 28 DSGVO). Dazu sind klare Verträge und Kommunikationswege notwendig.

Beispiel: Ein Newsletter-System wie Mailchimp muss Daten löschen, sobald das Unternehmen dazu verpflichtet ist. Der Prozess muss im Auftragsverarbeitungsvertrag geregelt sein.


Herausforderungen für Unternehmen

Wenn personenbezogene Daten bei Auftragsverarbeitern gespeichert sind, muss auch dort die Löschung erfolgen (Art. 28 DSGVO). Dazu sind klare Verträge und Kommunikationswege notwendig.

  • Unübersichtliche Datenlandschaften
    Viele Systeme, in denen Daten gespeichert werden.
  • Fehlende Prozesse
    Keine klaren Abläufe für die Bearbeitung von Löschbegehren.
  • Konflikt mit Aufbewahrungspflichten
    Abwägung zwischen Löschung und gesetzlicher Pflicht zur Speicherung.
  • Fehlende Dokumentation
    Ohne Nachweis drohen Sanktionen bei Prüfungen.

Beispiel: Ein Unternehmen speichert Kundendaten gleichzeitig im CRM, im E-Mail-Archiv und in Cloud-Systemen. Ohne automatisierte Prozesse ist eine vollständige Löschung kaum möglich.

Folgen bei Missachtung:

Unternehmen, die Auskunftsersuchen nicht oder nur unvollständig beantworten, riskieren erhebliche Konsequenzen:

  • Bußgelder bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes
  • Schadensersatzansprüche der betroffenen Person (Art. 82 DSGVO)
  • Abmahnungen durch Verbraucherverbände
  • Vertrauensverlust bei Kunden, Mitarbeitern und Bewerbern sowie Partnern

Unsere Leistungen: Unterstützung bei Löschbegehren

Als externe Datenschutzbeauftragte bzw. Datenschutzberater helfen wir Unternehmen, rechtssichere Prozesse für die Bearbeitung von Löschbegehren aufzubauen.

  1. Analyse der Datenlandschaft
    Wir identifizieren alle Systeme, in denen personenbezogene Daten gespeichert sind.
  2. Entwicklung eines Löschkonzepts
    • Erstellung klarer Prozesse zur Bearbeitung von Löschbegehren
    • Definition von Zuständigkeiten und Fristen
  3. Schulung der Mitarbeitenden
    Wir sensibilisieren Ihr Team für den Umgang mit Anfragen und Löschpflichten.
  4. Dokumentation und Nachweisführung
    Wir liefern Vorlagen für Dokumentation und Kommunikation mit Betroffenen und Behörden.
  5. Technische Beratung
    Unterstützung bei der Auswahl von Softwarelösungen für automatisierte Löschprozesse.

Das Recht auf Löschung nach Art. 17 DSGVO ist nicht nur eine Pflicht, sondern auch eine Chance, das Vertrauen von Kunden, Mitarbeitern und Partnern zu stärken. Mit klaren Prozessen und professioneller Unterstützung lassen sich rechtliche Risiken minimieren und Datenschutz aktiv leben.


Checkliste: Ist Ihr Unternehmen vorbereitet?

  • Gibt es einen dokumentierten Prozess für Löschbegehren?
  • Werden Fristen von 30 Tagen eingehalten?
  • Gibt es klare Regeln für die Identitätsprüfung?
  • Sind alle relevanten Systeme und Datenquellen bekannt?
  • Werden Aufbewahrungspflichten rechtssicher berücksichtigt?
  • Werden alle Schritte revisionssicher dokumentiert?

Wenn Sie hier Lücken feststellen, besteht dringender Handlungsbedarf. Wir helfen Ihnen, diese zu schließen.

+49 911 7903034

info@it-rechtsberater.de


© 2025 IT Rechtsberater – Datenschutzbeauftragter. All rights reserved. Impressum I Datenschutzerklärung