Go to landing page.
Willkommen bei PrivacyXperts
Registrierung per Kundennummer

Prüfen Sie, ob zu löschende Daten auch wirklich weg sind 

Fakt ist: Jedes Unternehmen verarbeitet personenbezogene Daten. Und klar ist auch: Personenbezogene Daten dürfen nicht für immer und ewig verarbeitet werden. Irgendwann kommt der Zeitpunkt, an dem sie gelöscht werden müssen. Doch nicht selten passiert genau das eben nicht. Das ist unter Datenschutzaspekten hoch problematisch und daher auch ein Thema für Sie.

Andreas Würtz

23.10.2025 · 8 Min Lesezeit

Darum ist Löschen so wichtig

Die Pflicht zur Löschung von personenbezogenen Daten ist ein wichtiges Prinzip der Datenschutz-Grundverordnung (DSGVO).

Doch nicht jedem erschließt sich auf Anhieb, warum sich der mit dem Löschen verbundene Aufwand tatsächlich lohnt.

Damit nicht nur die Notwendigkeit, sondern auch die Vorteile erkannt werden, sollten Sie folgende Aspekte erläutern, beispielsweise in einer Beratung oder in einem Gespräch: 

Damit nicht nur die Notwendigkeit, sondern auch die Vorteile erkannt werden, sollten Sie folgende Aspekte erläutern, beispielsweise in einer Beratung oder in einem Gespräch: 

  • Gesetzliche Anforderungen werden umgesetzt
    Den Rahmen gibt Art. 17 DSGVO vor. Sind die dort festgelegten Rahmenbedingungen erfüllt, muss Ihr Unternehmen personenbezogene Daten löschen.

    Will man Daten weiterhin verarbeiten, liegt ggf. eine Zweckänderung vor, weil an die Stelle des ursprünglichen und erfüllten Zwecks ein anderer tritt.

    Ob eine solche Änderung zulässig ist, muss genau geprüft werden. Die Rahmenbedingungen ergeben sich aus Art. 6 Abs. 4 DSGVO. 

  • Bußgelder werden vermieden
    Werden personenbezogene Daten weiterhin gespeichert, obwohl sie zu löschen wären, liegt ein Verstoß gegen Art. 17 DSGVO vor. Doch auch unter anderen Aspekten kann ein Bußgeld drohen.

    So z. B., weil die organisatorischen Maßnahmen nicht passen (Art. 24 Abs. 1 DSGVO). Andernfalls wären die Daten bereits gelöscht worden.

    Solche Verstöße können von der Datenschutzaufsichtsbehörde geahndet werden. Je nach Lage der Dinge kann ein schmerzhaftes Bußgeld die Folge sein. 

  • Umsetzung von Betroffenenrechten wird beschleunigt und
    kostengünstiger
    Betroffenenrechte umzusetzen, kann eine große Herausforderung sein. Und das nicht nur organisatorisch und personell.

    Die Umsetzung kann je nach Umständen des Einzelfalls hohe Kosten verursachen, etwa wenn ein Betroffener eine Kopie seiner Daten fordert. Generell müssen bei einer begehrten Kopie alle relevanten personenbezogenen Daten herausgegeben werden.

    Insofern sind auch Daten betroffen, die es eigentlich nicht mehr geben dürfte. Das kann dann wiederum zum Problem werden, weil ein Datenschutzverstoß für den Betroffenen offensichtlich wird. Besser ist es also: Was gelöscht werden kann, sollte gelöscht werden.

    Denn was nicht mehr da ist, kann auch nicht beauskunftet werden. 

  • Risiken für Missbrauch und Pannen werden gemindert
    Auch hier gilt: Weniger ist mehr! Löscht Ihr Unternehmen personenbezogene Daten, wenn die Berechtigung zur Verarbeitung entfallen ist, dann gilt:

    Diese Daten können kein Risiko mehr darstellen, wenn trotz aller Schutzmaßnahmen Cyberkriminelle einmal Erfolg haben sollten. Sie können nämlich nicht klauen oder zwecks Lösegelderpressung verschlüsseln, was nicht mehr existiert.

    Insofern ist das Löschen von Daten auch eine wichtige Maßnahme, um angemessen mit Risiken umzugehen. 

  • Kosten für Speicherung werden reduziert
    Machen Sie klar: Hier sollte man nicht nur an die Kosten für den Speicherplatz für den eigentlich zu löschenden Datensatz denken.

    Macht man die Rechnung auf, müssen auch andere Kosten einkalkuliert werden. So z. B. für das Personal, Gebäude, Redundanzsysteme, Back-up, Schutz- und Sicherheitsmaßnahmen, Software und vieles mehr.

    Werden Daten reduziert, kann schnell eine ganz schöne Stange Geld zusammenkommen. Und das lässt sich anderswo besser investieren. 

  • Verschlankung fördert Flexibilität und Agilität
    Je größer Datenbestände werden, desto teurer wird nicht nur ihr Unterhalt. Ihr Unternehmen wird unter Umständen schwerfälliger, weil es auch viel Ballast herumschleppt.

    Diesen irgendwann zu entsorgen, kann in Zukunft selbst zur großen und teuren Herausforderung werden. Insofern ist es besser, das „Löschproblem“ anzugehen, wenn es noch gut zu lösen ist. 

Richtig löschen: Lassen Sie sich das Vorgehen erklären 

Beim Löschen werden gern Fehler gemacht, manchmal aus Unkenntnis oder aus Bequemlichkeit. So werden Dateien einfach mit einem normalen Befehl zum Entfernen oder Löschen entsorgt bzw. einfach in einen Papierkorb abgelegt.

Das bedeutet jedoch oftmals nicht, dass die entsprechenden Daten auch tatsächlich verschwunden und nicht wiederherstellbar sind.

Daher ist wichtig: Belassen Sie es nicht einfach bei der Aussage „Das wurde gelöscht“. Hinterfragen Sie, wie man beim Löschen vorgeht.

Klären Sie, warum man sich sicher ist, dass die betreffenden Daten vernichtet sind und nicht wiederhergestellt werden können. 

Vergessen Sie Ihre Dienstleister nicht 

Setzt Ihr Unternehmen bei der Verarbeitung personenbezogener Daten auf Dienstleister oder Anbieter von Datenverarbeitungslösungen, liegt oft ein Fall der Auftragsverarbeitung nach Art. 28 DSGVO vor.

Als Profi wissen Sie sofort: In einem solchen Fall muss so einiges in einer Vereinbarung zwischen Verantwortlichem und Auftragsverarbeiter geregelt werden. Der Mindestinhalt ergibt sich aus Art. 28 Abs. 3 DSGVO. 

Ganz wichtig im Zusammenhang mit dem Löschen ist jedoch: Nach Ende der vereinbarten Verarbeitung durch den Dienstleister müssen die betreffenden Daten zurückgegeben oder gelöscht werden.

Dabei sehen Aufsichtsbehörden bzw. auch Gerichte das nicht als eine Sache an, die man einfach nur regeln muss.

Im Gegenteil: Ihr Unternehmen muss unter Umständen prüfen bzw. sich nachweisen oder zumindest bestätigen lassen, dass die betreffenden Daten tatsächlich gelöscht wurden.

Wird das unterlassen und löscht der Dienstleister nicht, kann das für Ihr Unternehmen zum Problem werden.

Schließlich ist und bleibt es Verantwortlicher für die Verarbeitung und damit auch dafür, dass der Dienstleister die DSGVO bzw. den Vertrag einhält. 

Dokumentation muss sein 

Machen Sie immer den Kollegen klar: Ihr Unternehmen unterliegt hinsichtlich der Einhaltung der DSGVO einer Rechenschaftspflicht.

Diese ergibt sich aus Art. 5 Abs. 2 DSGVO und ist etwa auch in Art. 24 Abs. 1 DSGVO wiederzufinden.

Das bedeutet, dass Ihr Unternehmen nachweisen können muss, dass es den Anforderungen entspricht, eben auch hinsichtlich der Löschung von personenbezogenen Daten. 

Allerdings ist nicht festgelegt, wie dokumentiert werden muss. Daher sollten Sie hier situations- und risikoangemessen an die Sache herangehen.

Je schutzwürdiger personenbezogene Daten sind bzw. je wichtiger deren Löschung ist, desto nachvollziehbarer sollte die Löschung dokumentiert werden.

Allerdings ist hier wiederum wichtig: Es darf durch die Dokumentation nicht dazu kommen, dass die eigentlich zu löschenden Daten in der Dokumentation fortbestehen.

Damit würde man dem Löschen und dem Datenschutz an sich einen Bärendienst erweisen. Also gilt: Es reicht aus, allgemein festzuhalten, welche Datensätze gelöscht wurden, etwa „Ungenutzte Kundenkonten aus 2014“. 

Sie wollen die Umsetzung des Löschens prüfen? So können
Sie vorgehen


Schritt 1: Beschaffen Sie sich Informationen zur Verarbeitung und zum Verarbeitungsverfahren 

Hier ist entscheidend, dass Sie sich zunächst einen Überblick verschaffen. Dazu kann es sinnvoll sein, dass Sie zunächst einen Blick in das Verzeichnis von Verarbeitungstätigkeiten werfen.

Hier sollten Informationen zu den Kategorien der verarbeiteten personenbezogenen Daten genauso enthalten sein wie Löschfristen für die verschiedenen Datenkategorien (Art. 30 Abs. 1 Satz 2 Buchst. f DSGVO). 

Schritt 2: Klären Sie, inwieweit Dienstleister eingebunden sind

Gerade wenn Ihr Unternehmen Dienstleister für die Verarbeitung einsetzt oder Datenspeicher oder Software in der Cloud nutzt, sollten Sie ein Auge auf die zwischen Ihrem Unternehmen und dem Dienstleister getroffene Vereinbarung werfen.

Im Falle einer Auftragsverarbeitung sollte es auch eine Festlegung zur Rückgabe von Daten bzw. zu deren Löschung enthalten. 

Fordern Sie den letzten Stand an 
Gerade bei langen Geschäftsbeziehungen gibt es oft Vertragsanpassungen. Lassen Sie sich alle Dokumente vorlegen, auch Anpassungen oder per E-Mail erteilte Weisungen. 


Schritt 3: Untersuchen Sie, welche Vorgaben zur Aufbewahrung bzw. Löschung von personenbezogenen Daten es gibt 

In Festlegungen zu einer Verarbeitung sollte auch definiert sein, welche personenbezogenen Daten wie lange verarbeitet werden, wann und wie diese gelöscht werden.

Gern wird hier auch von einem Löschkonzept gesprochen, sprich der Definition der Rahmenbedingungen.

Lassen Sie sich das entsprechende Dokument vorlegen und schauen Sie, ob alle relevanten Daten bzw. Datenarten erfasst sind. Haben Sie ein Auge auf das letzte Update des Dokuments. 


Schritt 4: Bewerten Sie, inwieweit die Festlegungen passen 

Als Datenschutzbeauftragter sollten Sie die festgelegten Zeiträume in erster Linie unter Datenschutzaspekten prüfen.

Orientierung bietet Ihnen hier Art. 17 DSGVO. Dazu ein Beispiel: Ist der Zweck der Verarbeitung erreicht und liegen keine relevanten Aufbewahrungspflichten vor, ist der nächste logische Schritt das Löschen der Daten.

So ist es beispielsweise mit Adressdaten aus einem Gewinnspiel. Ist der Gewinner ermittelt, ist der Zweck erfüllt.

Die Daten der anderen Teilnehmer können gelöscht werden, weil es hier keine Aufbewahrungspflichten gibt. Eine Weiterverwendung für einen anderen Zweck ist nicht machbar. 

Schritt 5: Prüfen Sie die Vorgaben zur Umsetzung

Als Datenschutzbeauftragter wissen Sie: Es muss nicht immer alles technisch umgesetzt werden.

Beim Löschen kann das zielführend sein, wenn es einerseits technisch machbar ist und es andererseits zu keinen Fehlern in der Umsetzung kommt.

Allerdings kann es auch Verarbeitungen geben, wie z. B. ein klassisches Gewinnspiel per Postkarte, bei dem alles manuell passieren muss. Insofern bedarf es hier konkreter Regelungen zum richtigen Vorgehen beim Löschen.

Nehmen Sie diese kritisch unter die Lupe und fragen Sie insbesondere danach, wer was wann wie machen muss. Nicht selten hakt es hier massiv und es passiert nichts. 

Schritt 6: Kontrollieren Sie, inwieweit die Vorgaben
tatsächlich umgesetzt sind

Belassen Sie es hier nicht bei schönen Worten und Zusicherungen. Schauen Sie mit den Kollegen konkret nach, ob bei der betreffenden Verarbeitung auch tatsächlich zu löschende Informationen nicht mehr vorhanden sind.

Suchen Sie dazu beispielsweise nach Datensätzen aus einem Zeitraum, bei dem es keine Datensätze mehr geben dürfte. Finden Sie welche, sollten Sie mit den Kollegen klären, warum diese noch vorhanden sind. 

Schritt 7: Adressieren Sie Verbesserungs- und Handlungsbedarf 

Haben Sie aus Ihrer Sicht Defizite beim Löschen erkannt, ist das kein Grund für Ärger. Vielmehr ist klar, was zu tun ist. Die Defizite müssen behoben werden.

Machen Sie mit den Kollegen die Gründe aus und leiten Sie Maßnahmen ab, um die Defizite abzubauen und in Zukunft zu vermeiden. 

Wie hat Ihnen dieser Artikel gefallen?

1
0
Andreas Würtz
119
0
138
Andreas Würtz ist Rechtsanwalt und widmet sich in erster Linie Fragen aus dem Datenschutz- und Arbeitsrecht. Er ist zertifizierter Datenschutzbeauftragter, Privacy Professional (CIPP/E, CIPM, FIP), ISO-27001-Lead-Auditor und Krisenkommunikationsmanager. Seit 2005 […]

Ausgaben

Ausgaben

Datenschutz aktuell professional

OKT II 2025

·

23.10.2025

Inhaltsverzeichnis

Inhaltsverzeichnis

Darum ist Löschen so wichtig Richtig löschen: Lassen Sie sich das Vorgehen erklären  Vergessen Sie Ihre Dienstleister nicht  Dokumentation muss sein  Sie wollen die Umsetzung des Löschens prüfen? So könnenSie vorgehen

Mehr interessante Beiträge