Das Recht auf Löschung nach der DSGVO: Praxisleitfaden für Unternehmen

Verfasst von Otis Benning

Veröffentlicht: 2025-06-26

Aktueller Handlungsdruck: Europaweite Prüfaktion 2025 läuft bereits

Das Recht auf Löschung steht derzeit im besonderen Fokus der europäischen Datenschutzbehörden. Der Europäische Datenschutzausschuss (EDSA) hat am 5. März 2025 seine koordinierte Durchsetzungsmaßnahme gestartet – 32 Aufsichtsbehörden aus ganz Europa prüfen aktuell die Umsetzung des Rechts auf Löschung bei Unternehmen und öffentlichen Stellen. In Deutschland beteiligen sich acht Datenschutzbehörden an dieser Initiative, darunter die Aufsichtsbehörden aus Baden-Württemberg, Nordrhein-Westfalen und weiteren Bundesländern.

Die Digitalisierung schreitet voran und mit ihr die Anforderungen an den Datenschutz. Das Recht auf Löschung, auch bekannt als "Recht auf Vergessenwerden", ist eines der zentralen Betroffenenrechte der DSGVO. Für Unternehmen bedeutet dies konkrete Pflichten – und bei Nichtbeachtung drohen empfindliche Bußgelder von bis zu 35 Millionen Euro, wie das Beispiel eines deutschen Textilunternehmens zeigt.

Was bedeutet das Recht auf Löschung?

Artikel 17 der DSGVO gewährt betroffenen Personen das Recht, von Unternehmen die unverzügliche Löschung ihrer personenbezogenen Daten zu verlangen. Dieses Recht ist nicht absolut, sondern an bestimmte Voraussetzungen geknüpft.

Das Recht auf Löschung umfasst:

  • Die Verpflichtung des Unternehmens, personenbezogene Daten zu entfernen

  • Die Möglichkeit für Betroffene, einen Löschantrag zu stellen (mündlich oder schriftlich)

  • Die Geltendmachung durch Dritte wie gesetzliche Vertreter

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit, bezeichnet das Recht auf Löschung als "zentralen Pfeiler des Datenschutzes", da es "Personen die Möglichkeit in die Hand gibt, die weitere Verarbeitung ihrer Daten beim Verantwortlichen tatsächlich zu beenden."

Wann müssen Unternehmen Daten löschen?

Die Löschpflicht tritt in verschiedenen typischen Situationen ein:

Häufige Löschgründe:

  • Zweckerreichung oder -wegfall: Wenn der ursprüngliche Verarbeitungszweck nicht mehr besteht (z.B. Löschung eines Kundenkontos)

  • Widerruf der Einwilligung: Sofern keine andere Rechtsgrundlage vorhanden ist

  • Widerspruch gegen die Verarbeitung: Wenn keine überwiegenden berechtigten Interessen des Unternehmens bestehen

  • Unrechtmäßige Verarbeitung: Bei unzulässiger Datenweitergabe oder anderen Rechtsverstößen

  • Gesetzliche Löschungspflichten: Nach nationalem Recht wie § 35 BDSG

Wichtige Ausnahmen vom Löschungsrecht

Nicht immer müssen Unternehmen dem Löschungsverlangen nachkommen. Wichtige Ausnahmen sind:

  • Rechtliche Verpflichtungen: Aufbewahrungsfristen nach HGB oder AO

  • Rechtsansprüche: Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

  • Öffentliches Interesse: Wahrnehmung von Aufgaben im öffentlichen Interesse

  • Forschungszwecke: Archiv-, wissenschaftliche oder historische Forschung

  • Meinungsfreiheit: Ausübung des Rechts auf freie Meinungsäußerung

⚠️ Aktuelle Änderung bei Aufbewahrungsfristen beachten

Wichtige Neuerung 2025: Mit dem Bürokratieentlastungsgesetz wurde die Aufbewahrungsfrist für Buchungsbelege von zehn auf acht Jahre verkürzt (§ 257 Abs. 1 Nr. 4, Abs. 4 HGB, ebenso §147 Abs. 3 AO). Die 10-jährige Aufbewahrungsfrist gilt nur noch für spezielle Unterlagen wie Handelsbücher, Jahresabschlüsse oder Konzernabschlüsse. Aktuell (Stand Juli 2025) wird jedoch darüber diskutiert, die Verkürzung der Aufbewahrungsfrist wieder zurückzunehmen.

Unternehmen sollten ihre Löschkonzepte entsprechend des Ausgangs dieser Diskussino anpassen, um dieser wichtigen rechtlichen Änderung Rechnung zu tragen.

Praxisbeispiele aus dem Unternehmensalltag

Beispiel 1: Newsletter-Abmeldung mit Löschantrag

Situation: Eine Kundin fordert per E-Mail die Abmeldung vom Newsletter und die Löschung aller Daten.

Vorgehen:

  1. Identitätsprüfung der Antragstellerin

  2. Prüfung der Löschvoraussetzungen und Ausnahmen

  3. Ermittlung aller betroffenen Daten

  4. Durchführung der Löschmaßnahmen

  5. Antwort an die Antragstellerin

  6. Dokumentation des Vorgangs

Besonderheit: Die E-Mail-Adresse kann für eine Blacklist gespeichert werden, wenn ein berechtigtes Interesse an der Verhinderung weiterer Werbung besteht. Als datenschutzfreundliche Lösung bietet sich die Anonymisierung an.

Beispiel 2: Bewerberdaten

Situation: Nach einer Stellenausschreibung vom 01.04. und Absagen am 01.05. stellt sich die Frage der Löschfristen.

Lösung: Bewerbungsunterlagen bei Absagen sollten spätestens nach 6 Monaten (also am 01.10.) gelöscht werden. Die Rechtsgrundlage für die Aufbewahrung ist das berechtigte Interesse im Zusammenhang mit möglichen AGG-Ansprüchen.

Bewerberpool: Eine längere Aufbewahrung ist möglich, wenn Bewerber ausdrücklich in einen Talent-Pool einwilligen – diese Einwilligung muss aktiv, zweckgebunden, informiert und widerrufbar sein.

Was prüfen die Datenschutzbehörden 2025?

Die aktuell laufende europaweite Prüfaktion konzentriert sich auf folgende Aspekte:

Kernprüfpunkte der CEF-Aktion 2025:

  • Verfahrensweisen zur Bearbeitung von Löschanträgen: Sind strukturierte Prozesse vorhanden?

  • Korrekte Anwendung von Bedingungen und Ausnahmen: Werden Löschpflichten und -ausnahmen richtig bewertet?

  • Technische Umsetzung: Können Daten vollständig und effizient gelöscht werden?

  • Dokumentation: Sind alle Löschvorgänge nachvollziehbar dokumentiert?

  • Mitarbeiterschulung: Kennen die verantwortlichen Mitarbeiter die rechtlichen Anforderungen?

Handlungsempfehlungen für Unternehmen

1. Sofortiger Handlungsbedarf durch laufende Prüfaktion

Da die Datenschutzbehörden bereits aktiv prüfen, sollten Unternehmen umgehend ihre Löschprozesse überprüfen und optimieren:

Checkliste für die Selbstprüfung:

  • ✅ Dokumentiertes Löschkonzept vorhanden?

  • ✅ Ggf. Aktualisierte Aufbewahrungsfristen berücksichtigt?

  • ✅ Strukturierter Prozess für Löschanträge etabliert?

  • ✅ Mitarbeiter geschult und informiert?

  • ✅ Technische Löschung in allen Systemen gewährleistet?

2. Löschkonzept entwickeln und aktualisieren

Zentrale Fragen klären:

  • Wo werden welche Daten gespeichert und verarbeitet?

  • Welche aktualisierten Aufbewahrungsfristen gelten für verschiedene Datenarten?

  • Wie erfolgt die Löschung – automatisiert oder manuell?

3. IT-Integration sicherstellen

Ein Löschkonzept ist nur effektiv, wenn es auch umgesetzt wird. Die Abstimmung mit der IT-Abteilung ist entscheidend für eine einheitliche und vollständige Datenlöschung.

4. Dokumentation und Prozesse

  • Einheitliche Bearbeitung von Löschanträgen etablieren

  • Dokumentation aller Löschvorgäge

  • Schulung der Mitarbeiter im Umgang mit Betroffenenanfragen

Datenschutz im Wandel: Neue Herausforderungen 2025

Der Datenschutz steht vor bedeutenden Veränderungen. Mit dem EU Data Act, der KI-Verordnung, DSGVO-Reformen und neuen Anforderungen an die Barrierefreiheit digitaler Angebote ab Juni 2025 müssen sich Unternehmen auf erweiterte Compliance-Anforderungen einstellen.

Die aktuelle CEF-Aktion zum Recht auf Löschung ist bereits die vierte koordinierte Durchsetzungsmaßnahme nach Prüfungen zu Cloud-Diensten (2022), Datenschutzbeauftragten (2023) und dem Auskunftsrecht (2024). Diese Systematik zeigt: Die Behörden intensivieren ihre Kontrollaktivitäten kontinuierlich.

Fazit

Das Recht auf Löschung ist mehr als nur eine rechtliche Verpflichtung – es ist ein wichtiger Baustein für das Vertrauen zwischen Unternehmen und Kunden. Die aktuell laufende europaweite Prüfaktion unterstreicht die Dringlichkeit einer korrekten Umsetzung.

Unternehmen sollten jetzt handeln:

  • Bestehende Löschprozesse überprüfen

  • Aktualisierte Aufbewahrungsfristen implementieren

  • Mitarbeiter schulen und sensibilisieren

  • Technische Löschsysteme optimieren

  • Dokumentation vervollständigen

Durch die Entwicklung klarer Prozesse, die Integration in IT-Systeme und die regelmäßige Schulung der Mitarbeiter können Unternehmen nicht nur rechtliche Risiken minimieren, sondern auch ihrer Verantwortung im Datenschutz gerecht werden – und damit Bußgelder in Millionenhöhe vermeiden.

Sie haben Fragen zum Recht auf Löschung oder benötigen Unterstützung bei der Umsetzung? Das Team von Kerberos Compliance steht Ihnen mit über 60 Experten zur Seite. Als externe Datenschutzbeauftragte, für Datenschutz-Audits oder mit unserem Datenschutz-Managementsystem ab 49€/Monat unterstützen wir Sie bei der rechtskonformen Umsetzung.

Kontaktieren Sie uns: Kontakt aufnehmen

Dieser Artikel basiert auf unserem Webinar "EU-Datenschutz-Offensive und das Recht auf Löschung" sowie aktuellen Entwicklungen der europaweiten Prüfaktion 2025.

Empfohlen
Sven Fus

Sven Fus
Senior Manager Compliance

Felix Nitsch

Felix Nietsch
Senior Associate Compliance

Otis Benning
Weiter

Geldwäsche im deutschen Immobiliensektor bleibt Milliardenproblem