Wie sich das Recht auf Löschung besser umsetzen lässt

Prüfaktion zeigt Herausforderungen bei Umsetzung der Löschpflichten

Die Auswertungen der Datenschutzaufsichtsbehörden zeigen: Wesentliche Herausforderungen waren für Verantwortliche, dass mitunter klare interne Regelungen fehlen, wann und wie zu löschen ist, dass teilweise keine internen Schulungen durchgeführt werden und Rechtsunsicherheiten bei der Prüfung von Ausnahmetatbeständen und Aufbewahrungsfristen sowie bei den Anforderungen an die Löschung personenbezogener Daten in Backups und bei den Anforderungen an die Anonymisierung von Daten bestehen.

Es sind also mehrere Punkte, die Unternehmen angehen und optimieren müssen, um das Recht auf Löschung nach Datenschutz-Grundverordnung in Zukunft besser umzusetzen. Dabei wurden auch verschiedene Branchen untersucht.

So erklärte der an der Aktion beteiligte Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (https://www.datenschutz-mv.de), dass die Einhaltung der Datenschutzanforderungen des Artikel 17 DSGVO (Recht auf Löschung / Recht auf Vergessenwerden) abhängig ist von der Größe, dem Sektor und der Branche, sowie der Anzahl der erhaltenen Löschersuchen, Verarbeitungsvorgängen sowie Kategorien personenbezogener Daten, die verarbeitet werden.

Erkenntnisse zur Umsetzung der Löschpflichten für unterschiedliche Branchen

Die beteiligten Aufsichtsbehörden haben bei der Prüfaktion deshalb unterschiedliche Schwerpunkte gesetzt und verschiedene Branchen untersucht. Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg zum Beispiel beteiligte sich an der Aktion und wählte für die Prüfung zehn größere Wohnungsunternehmen mit Sitz in Brandenburg aus.

Dazu stellt die Landesbeauftragte Dagmar Hartge fest: „Im Ergebnis zeigt sich, wie wichtig es ist, interne Löschroutinen zu etablieren. Schulungen sollten rechtliche und technisch-organisatorische Kenntnisse rund um das sogenannte Recht auf Vergessenwerden auf allen Ebenen vermitteln. Mietinteressentinnen und Mietinteressenten sowie Mieterinnen und Mieter müssen sich darauf verlassen können, dass ihre personenbezogenen Daten nicht unbefugt verarbeitet werden.“

Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) dagegen hat in einer Stichprobe zehn Unternehmen und zehn Behörden in Niedersachsen zu ihrem Umgang mit dem Recht auf Löschung gemäß Artikel 17 der Datenschutz-Grundverordnung (DSGVO) geprüft.

In ihrer Untersuchung stellte die Datenschutzaufsicht Niedersachsen keine gravierenden Mängel fest: „Alle angefragten Stellen konnten einen sachgemäßen Umgang mit Löschanträgen gemäß der DSGVO vorweisen“, so Denis Lehmkemper, Landesbeauftragter für den Datenschutz Niedersachsen, „sowohl beim Löschverhalten als auch bei der Kommunikation mit den Betroffenen.“

Überraschend war aber die geringe Zahl an Löschanträgen, die die Unternehmen und Verwaltungen meldeten: 8 von 20 hatten im gesamten Jahr 2025 keinen einzigen Löschantrag erhalten, nur bei zwei Stellen waren mehr als zehn Löschanträge eingegangen.

Datenschutzbehörden geben Empfehlungen zur besseren Umsetzung

Ein Ziel der europaweiten Prüfaktionen ist es, den Unternehmen im Nachgang konkret Hinweise geben zu können, wie sich die geprüfte Umsetzung eines bestimmten Betroffenenrechts in Zukunft verbessern lässt.

Aus den Ergebnissen der Befragung haben die Aufsichtsbehörden auch diesmal Empfehlungen für Verantwortliche (PDF) erarbeitet, darunter:

• Unternehmen sollten Verfahren mit klaren Fristen und Schritten erstellen und aktualisieren sowie die Verantwortlichkeiten für die Bearbeitung und Dokumentation von Löschungsanträgen den beteiligten Akteuren zuweisen.
• Unternehmen sollten Ressourcen bereitstellen, um regelmäßige rollenspezifische Schulungen in verschiedenen Formaten zu ermöglichen. Bei Bedarf können die von den Aufsichtsbehörden veröffentlichten Ressourcen genutzt werden.
• Die Datenschutzerklärung sollte regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass Betroffene klare und verständliche Informationen zur Ausübung ihres Rechts auf Löschung erhalten.
• Unternehmen sollten sicherstellen, dass Compliance- oder Rechtsabteilungen in Entscheidungsprozesse bezüglich der Ablehnung oder Verschiebung von Löschanträgen einbezogen werden.
• Unternehmen sollten Aufbewahrungsfristen dokumentieren, zum Beispiel in den Verarbeitungsverzeichnissen, und alle anwendbaren Rechtsvorschriften angeben, die die Aufbewahrung personenbezogener Daten für einen bestimmten Zeitraum rechtfertigen.
• Unternehmen sollten etablierte Standards befolgen, um Daten sicher und strukturiert zu löschen und zu vernichten.

Erneut zeigt sich, dass die Prüfungen der Aufsichtsbehörden nicht etwa nur Sanktionen als wesentliches Ziel haben, sondern insbesondere das Aufdecken von Verbesserungsmöglichkeiten, damit so wichtige Betroffenenrechte wie das Recht auf Löschung in Zukunft noch besser umgesetzt werden.