15 min Zuletzt auktualisiert: 06.05.2025

Art. 17 DSGVO: Löschpflichten einfach erklärt

In der digitalen Welt hinterlassen wir täglich Spuren – sei es durch Online-Einkäufe oder Newsletter-Anmeldungen. Doch was passiert mit diesen persönlichen Daten, wenn wir sie nicht mehr teilen möchten? Genau hier greift das Recht auf Löschung nach Art. 17 der Datenschutz-Grundverordnung, das Unternehmen verpflichtet, personenbezogene Daten auf Anfrage sicher und vollständig zu löschen. 

Aber wann genau greifen die Löschpflichten? Und wie können Unternehmen sicherstellen, dass sie den gesetzlichen Vorgaben gerecht werden? Dieser Artikel erklärt, was das „Recht auf Vergessenwerden“ für Ihr Unternehmen bedeutet und wie Sie gesetzliche Vorgaben sicher umsetzen.

Warum sind Löschpflichten im Datenschutz notwendig?

Personenbezogene Daten müssen gemäß Gesetz gelöscht werden, sobald sie für den ursprünglichen Zweck der Verarbeitung nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungsfristen bestehen. Art. 17 der DSGVO gewährt betroffenen Personen zudem das Recht, die Löschung ihrer Daten zu verlangen, bekannt als „Recht auf Vergessenwerden“. Dieses Recht stellt sicher, dass personenbezogene Daten nur so lange verarbeitet oder gespeichert werden, wie es notwendig ist. Unternehmen sind verpflichtet, auf entsprechende Anfragen zu reagieren und die Daten zu löschen, sofern keine Ausnahmen vorliegen. Die Löschpflichten ergeben sich dabei direkt aus der DSGVO und betreffen alle Unternehmen, die personenbezogene Daten verarbeiten.

Wann gilt eine Löschpflicht für personenbezogene Daten?

Laut Art. 17 DSGVO müssen personenbezogene Daten unter folgenden Bedingungen gelöscht werden:

  • Zweckentfall: Die Daten sind nicht mehr notwendig für die Zwecke, für die sie ursprünglich erhoben oder verarbeitet wurden. Dies ist ein häufiger Fall, etwa wenn der Vertrag zwischen Unternehmen und KundInnen beendet wurde und die Aufbewahrung der Daten keinen weiteren legitimen Zweck erfüllt.
  • Widerruf der Einwilligung: Wenn die betroffene Person ihre Einwilligung zur Verarbeitung ihrer Daten widerruft und es keine anderweitige Rechtsgrundlage für die Verarbeitung gibt.
  • Widerspruch gegen die Verarbeitung: Wenn eine betroffene Person gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe des Unternehmens vorliegen.
  • Unrechtmäßige Verarbeitung: Wenn die Verarbeitung der Daten von Anfang an gegen die DSGVO verstößt, zum Beispiel, weil keine gültige Rechtsgrundlage vorliegt oder die Daten für unzulässige Zwecke verwendet wurden. 
  • Erfüllung einer rechtlichen Verpflichtung: Die Löschung ist erforderlich, wenn eine rechtliche Verpflichtung zur Löschung besteht. Das kann zum Beispiel der Fall sein, wenn gesetzliche Aufbewahrungspflichten abgelaufen sind (z.B. aus Steuer- oder Handelsgesetzen oder branchenspezifische Vorschriften vorgeben, wann Daten gelöscht werden müssen.

In der unternehmerischen Praxis ergeben sich hierbei je nach Unternehmensbereich Unterschiede in der Ausgestaltung der Löschpflichten im Datenschutz. Um sicherzustellen, dass alle betroffenen Abteilungen korrekt mit personenbezogenen Daten umgehen, ist es entscheidend, die Mitarbeitenden regelmäßig zu den aktuellen datenschutzrechtlichen Anforderungen zu schulen. Besonders hilfreich sind hier praxisnahe E-Learnings, die gezielt auf die Anforderungen der jeweiligen Unternehmensbereiche eingehen, und damit sowohl Führungskräfte als auch Mitarbeitende im Marketing sowie Mitarbeitende im Personalwesen fit für den Umgang mit Pflichten und Anforderungen im Datenschutz machen.

Wann gelten Ausnahmen von Löschpflichten?

Es gibt einige Fälle, in denen die Löschpflichten nicht gelten. Dazu gehören:

  • Recht auf freie Meinungsäußerung und Information: Wenn die Verarbeitung zur Wahrung der Meinungsfreiheit und des Informationsrechts erforderlich ist.
  • Erfüllung einer gesetzlichen Verpflichtung: Wenn die Verarbeitung notwendig ist, um eine gesetzliche Verpflichtung zu erfüllen, der das Unternehmen unterliegt.
  • Öffentliches Interesse oder Ausübung öffentlicher Gewalt: Wenn die Datenverarbeitung im Rahmen einer Aufgabe im öffentlichen Interesse oder der Ausübung öffentlicher Gewalt erfolgt.
  • Öffentliches Interesse im Bereich der Gesundheit: Wenn die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erfolgt.
  • Archivzwecke, Forschung und Statistik: Wenn die Daten für Archivzwecke, wissenschaftliche oder historische Forschung sowie statistische Zwecke benötigt werden.
  • Rechtsansprüche: Wenn die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig sind.

Diese Ausnahmen stellen sicher, dass die Löschpflichten nicht zu einer Beeinträchtigung anderer wichtiger Interessen führen.

Wie müssen Unternehmen auf Löschanfragen reagieren?

Art. 17 Abs. 2 DSGVO verlangt, dass Unternehmen angemessene technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass personenbezogene Daten ordnungsgemäß gelöscht werden können.

Unternehmen müssen auf Löschanfragen unverzüglich reagieren und die Daten löschen, wenn die oben genannten Bedingungen erfüllt sind. Wichtig ist, dass die Anfrage verifiziert und überprüft wird, ob eine der Ausnahmen greift. Falls die Löschung erfolgt, sollte dies den Betroffenen bestätigt werden.

Die Einhaltung der Löschpflichten erfordert deshalb klare interne Abläufe und Schritte:

  • Anfrage verifizieren: Bevor Daten gelöscht werden, muss das Unternehmen prüfen, ob die Löschanfrage berechtigt ist und ob eine der Ausnahmen nach Art. 17 Abs. 3 DSGVO greift.
  • Löschung durchführen: Wenn die Anfrage berechtigt ist, müssen die Daten unverzüglich gelöscht werden. Die DSGVO schreibt vor, dass dies „ohne unangemessene Verzögerung“ zu geschehen hat. Datenträger müssen datenschutzkonform vernichtet werden (z. B. Schreddern bei Papierunterlagen, physische Zerstörung oder mehrfaches Überschreiben bei elektronischen Daten).
  • Betroffene informieren: Unternehmen sind verpflichtet, die betroffene Person über die erfolgte Löschung oder über die Gründe, warum die Löschung nicht erfolgt, zu informieren (Art. 12 DSGVO).
  • Dokumentation: Unternehmen sollten die Anfragen und Löschvorgänge dokumentieren, um bei eventuellen Prüfungen durch die Aufsichtsbehörden nachweisen zu können, dass sie den Löschpflichten nachgekommen sind.

Anonymisierung als Alternative zur Löschung

Nach dem BfdI kann die Anonymisierung von Daten der Löschung gleichgestellt werden, da in beiden Fällen personenbezogene Identifizierungsmerkmale entfernt und nicht weiterverarbeitet werden. Dies gilt jedoch nur, wenn eine Re-Identifizierung vollständig ausgeschlossen ist. Falls eine Zuordnung zu einer Person nachträglich möglich ist, handelt es sich um eine Pseudonymisierung, bei der die DSGVO weiterhin greift. Für eine ausreichende Datenlöschung gemäß Art. 17 DSGVO muss der Personenbezug vollständig vernichtet sein.

Löschkonzept in Unternehmen: So erfüllen Sie Ihre Löschpflichten richtig

Ein Löschkonzept hilft Unternehmen, die DSGVO-Anforderungen zur Löschung personenbezogener Daten zu erfüllen. Es sorgt dafür, dass Daten nach Ablauf ihres Verarbeitungszwecks oder gesetzlicher Aufbewahrungsfristen sicher und rechtskonform gelöscht werden. Art. 17 der DSGVO verpflichtet Unternehmen, Daten zu löschen, sobald der Zweck entfällt, und ein Löschkonzept stellt sicher, dass dieser Prozess systematisch erfolgt und Ausnahmen sowie Aufbewahrungsfristen berücksichtigt werden.

Praktische Schritte zur Umsetzung eines Löschkonzepts

  1. Bestimmung der Datenarten im Unternehmen
    Alle personenbezogenen Daten im Unternehmen (z. B. Mitarbeiter- und Kundendaten) müssen identifiziert werden. Dabei sollten alle Abteilungen einbezogen werden, um sicherzustellen, dass sämtliche Datenquellen – sowohl digital als auch physisch – erfasst werden.
  2. Zusammenfassung der Datenarten in Löschklassen
    Nachdem die Datenarten identifiziert wurden, sollten sie in Löschklassen gruppiert werden, um die Umsetzung der Löschpflichten zu vereinfachen.
  3. Definition von Löschregeln
    Für jede Löschklasse müssen spezifische Löschregeln festgelegt werden. Diese Regeln definieren, wann die Löschung der jeweiligen Daten erfolgen muss und welche Aufbewahrungsfristen gelten. Dabei sollten sowohl gesetzliche Vorgaben (z. B. Steuer- oder Handelsgesetze) als auch interne Unternehmensrichtlinien berücksichtigt werden.
  4. Definition von Umsetzungsregeln
    Die Umsetzungsregeln konkretisieren die Löschregeln und legen fest, welche technischen und organisatorischen Maßnahmen zur Löschung ergriffen werden müssen. Dazu gehören die Art der Löschung, sowie der genaue Prozess zur Durchführung.
  5. Definition der Verantwortlichen
    Es muss klar festgelegt werden, welche Abteilungen oder Personen für die Umsetzung der Löschregeln verantwortlich sind, z. B. IT für digitale Daten.

Best Practices für Unternehmen zur Einhaltung der Löschpflichten

Um Löschpflichten effektiv umzusetzen, sollten Unternehmen neben der Umsetzung eines Löschkonzeptes einige Best Practices beachten:

  • Datenlöschung in Backups: Eine der größten Herausforderungen bei der Umsetzung der Löschpflicht betrifft die Daten, die in Backups gespeichert sind. Unternehmen müssen sicherstellen, dass personenbezogene Daten auch in ihren Backups nach Ablauf ihrer Speicherfrist oder auf Anfrage gelöscht werden.
  • Protokollierung der Löschungen: Jedes Unternehmen sollte ein Protokoll führen, in dem alle Löschvorgänge dokumentiert werden, einschließlich der Begründungen für eine etwaige Nicht-Löschung.
  • Schulung der Mitarbeitenden: Mitarbeitende sollten umfassend zum Datenschutz geschult sein, um sicherzustellen, dass alle Abteilungen mit personenbezogenen Daten vertraut sind und wissen, wie Löschanfragen zu behandeln sind.
  • Regelmäßige Überprüfung und Aktualisierung des Löschkonzepts: Das Löschkonzept sollte regelmäßig überprüft und an neue gesetzliche Anforderungen, technische Veränderungen oder organisatorische Umstellungen angepasst werden. Ein jährlicher Review-Prozess hilft, die Einhaltung der Löschpflichten dauerhaft sicherzustellen. 
  • Einbindung externer Dienstleister: Auch bei der Nutzung externer Dienstleister (z.B. Cloud-Dienste oder IT-Dienstleister) müssen die Löschpflichten berücksichtigt werden. Unternehmen sollten vertraglich regeln, wie gespeicherte personenbezogene Daten gelöscht werden müssen, und sich Nachweise über die Umsetzung einholen.

Fazit

Löschpflichten sind kein bloßes “Abhaken” gesetzlicher Anforderungen, sondern ein wichtiger Baustein einer funktionierenden Datenschutzpraxis. Unternehmen müssen nicht nur wissen, wann und wie Daten zu löschen sind, sondern auch, wie sie Ausnahmen berücksichtigen, Anfragen korrekt bearbeiten und Löschprozesse dokumentieren. All das erfordert durchdachte Strategien, klare Verantwortlichkeiten und eine enge Zusammenarbeit zwischen Fachabteilungen wie IT, Recht und Compliance. Wer diese Herausforderungen systematisch angeht, schafft nicht nur Sicherheit für sich selbst, sondern auch eine Grundlage, auf der langfristig Vertrauen und Transparenz im Umgang mit Daten wachsen können.

Inhaltsangabe

Quellen

Unsere Auszeichnungen

Unsere Partner

lawpilots GmbH
c/o Indy by Industrious
Eichhornstraße 3
10785 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.5210066202529 von 5 Sternen 2647 Bewertungen auf ProvenExpert.com

Schulungen

Expertise

Unternehmen

Ressourcen

Verkauf nur an UnternehmerInnen, Gewerbetreibende, FreiberuflerInnen und öffentliche Einrichtungen. Kein Verkauf an VerbraucherInnen im Sinne des § 13 BGB.
Meldestelle für HinweisgeberInnen: lawpilots@hinweis.hb-ecommerce.eu; 0151 / 19461497