DSGVO-konforme Datenlöschung

Mehr als nur „Datei löschen“

Die DSGVO hat den Umgang mit personenbezogenen Daten auf ein neues Niveau gehoben. Im Zentrum stehen die Rechte der betroffenen Personen. Eines dieser Rechte ist das „Recht auf Löschung“ gemäß Artikel 17 DSGVO – auch bekannt als „Recht auf Vergessenwerden“. Es verpflichtet Unternehmen dazu, personenbezogene Daten zu löschen, wenn:

der ursprüngliche Zweck der Verarbeitung entfällt,
keine gesetzliche Aufbewahrungsfrist mehr besteht oder
die betroffene Person die Löschung verlangt und keine vorrangigen Gründe dagegensprechen.

In der Praxis ist die Datenlöschung jedoch in vielen Unternehmen kein fester Bestandteil etablierter Prozesse. Die Folge: Bußgelder, Reputationsschäden und Vertrauensverlust bei Kunden und Mitarbeitenden.

Was bedeutet „löschen“ im digitalen Kontext?

Im Gegensatz zu einem Blatt Papier, das man einfach durch den Reißwolf schickt, ist das Löschen digitaler Daten komplexer. Eine Datei in den virtuellen Papierkorb zu ziehen, reicht nicht aus. In der Regel bleiben Daten auf Festplatten, Servern oder in Cloud-Systemen weiterhin physisch vorhanden – nur der Zugriff wird entfernt. Wirklich gelöscht ist eine Information erst, wenn sie nicht mehr rekonstruierbar ist.

Deshalb spricht man auch von sicherer Löschung oder Datenvernichtung. Diese erfolgt mithilfe spezieller Softwarelösungen, die Daten mehrfach überschreiben oder Datenträger physisch zerstören. Wichtig: Auch Backups, E-Mails, Archivsysteme und mobile Geräte dürfen dabei nicht vergessen werden.

Technische und organisatorische Maßnahmen

Für eine DSGVO-konforme Datenlöschung müssen Unternehmen eine ganze Reihe von Maßnahmen umsetzen, sowohl auf technischer als auch auf organisatorischer Ebene. Dazu gehören vor allem folgende Konzepte, Aufgaben und Lösungen.

Verfahrensverzeichnis: Nur wer weiß, wo und welche personenbezogenen Daten gespeichert sind, kann diese gezielt löschen. Ein vollständiges Verzeichnis der Verarbeitungstätigkeiten ist deshalb Pflicht.
Löschkonzepte: Ein strukturiertes Löschkonzept hilft dabei, Regelungen zur Fristenkontrolle und Löschverantwortung festzulegen. Empfehlenswert ist hier der Standard des Bundesamts für Sicherheit in der Informationstechnik (BSI), z. B. das IT-Grundschutz-Kompendium.
Automatisierte Prozesse: Gerade bei großen Datenmengen oder komplexen IT-Landschaften lohnt sich der Einsatz von Automatisierungslösungen, die regelmäßig prüfen, welche Daten zu löschen sind.
Schulung der Mitarbeitenden: Datenschutz lebt vom Bewusstsein der handelnden Personen. Regelmäßige Schulungen und klare Richtlinien sind essenziell.

Besondere Herausforderungen der DSGVO-konformen Datenlöschung in der Praxis

Die Umsetzung der DSGVO-konformen Datenlöschung stellt Unternehmen in der Praxis vor erhebliche Herausforderungen. Während die gesetzlichen Anforderungen klar formuliert sind, gestaltet sich die praktische Umsetzung häufig schwierig – insbesondere, weil Theorie und Realität nicht immer übereinstimmen.

Unklare Verantwortlichkeiten

Ein zentrales Problem besteht in unklaren Verantwortlichkeiten. In vielen Organisationen ist nicht eindeutig geregelt, wer für die Datenlöschung zuständig ist. Ist es die IT-Abteilung, das Datenschutzteam oder die jeweilige Fachabteilung? Ohne klare Zuständigkeiten besteht die Gefahr, dass Löschpflichten übersehen oder unvollständig umgesetzt werden.

Langfristige Archivsysteme

Ein weiterer Stolperstein sind langfristige Archiv- und Aufbewahrungssysteme, die häufig nicht auf regelmäßige Löschvorgänge ausgelegt sind. Viele dieser Systeme speichern Daten über viele Jahre, teilweise ohne technische Möglichkeiten zur selektiven Löschung einzelner Datensätze. Dies führt dazu, dass personenbezogene Daten selbst dann noch vorhanden sind, wenn sie längst hätten gelöscht werden müssen – was zu einem Verstoß gegen Artikel 17 DSGVO führen kann.

Nutzung von Cloud-Diensten/externen IT-Dienstleistern

Hinzu kommt die Nutzung von Cloud-Diensten und externen IT-Dienstleistern. Gerade hier ist die Durchsetzung der Löschpflicht besonders anspruchsvoll, da Unternehmen oft nur begrenzte Kontrolle über die Datenverarbeitung außerhalb der eigenen Infrastruktur haben.

Es reicht nicht aus, die Löschung beim Dienstleister zu beauftragen. Unternehmen müssen vertraglich sicherstellen, dass eine DSGVO-konforme Datenlöschung tatsächlich durchgeführt wird. Dies geschieht im Rahmen sogenannter Verträge zur Auftragsverarbeitung (AVV) gemäß Artikel 28 DSGVO. Diese Verträge sollten klare Regelungen zur Datenlöschung, Fristen, Dokumentation und Nachweisführung enthalten.

Technische Hürden

Auch technische Hürden sind nicht zu unterschätzen: Unterschiedliche IT-Systeme, Datenformate und Schnittstellen erschweren eine durchgängige Löschstrategie. Besonders in gewachsenen Systemlandschaften mit historischen Datenbeständen kann es sehr aufwändig sein, Löschroutinen zu implementieren, die zuverlässig und revisionssicher funktionieren.

Faktor Mensch

Nicht zuletzt spielt der Faktor Mensch eine große Rolle. Unwissenheit, fehlende Sensibilisierung oder Unsicherheiten im Umgang mit Löschanforderungen führen dazu, dass Löschpflichten nicht konsequent eingehalten werden. Eine nachhaltige Datenschutzkultur ist daher unerlässlich – sie beginnt bei der Schulung der Mitarbeitenden und reicht bis zur Integration von Datenschutzaspekten in alle IT- und Geschäftsprozesse.

Löschung als Teil der Datenschutzstrategie

DSGVO-konforme Datenlöschung ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess – eingebettet in ein ganzheitliches Datenschutzmanagement. Wer personenbezogene Daten effektiv schützen will, muss auch dafür sorgen, dass sie zum richtigen Zeitpunkt sicher und vollständig verschwinden.

Denn nur, wenn Daten, die nicht mehr benötigt werden, tatsächlich gelöscht werden, kann das Vertrauen in einen verantwortungsvollen Umgang mit Informationen dauerhaft gesichert werden.

Sie haben Fragen oder wünschen ein Beratungsgespräch?

Buchen Sie gern hier Ihr kostenfreies Erstgespräch!
Per E-Mail stehen Ihnen unsere Experten für das Thema DSGVO-konforme Datenlöschung unter support-it@m-it-connect.de zur Verfügung.

12.06.2025
Artikel
Kontakt

Wir sind gern für Sie da

Sie haben eine dringende Anfrage oder ein spezielles Anliegen, das sich am besten persönlich klären lässt? Rufen Sie uns einfach an:

Zentrale Hallstadt: 0951 9624-0
Niederlassung Hof: 09281 8903-0

Nutzen Sie gern unser Ticketsystem, um eine Supportanfrage zu stellen:
Zum Ticketsystem

Sie haben Fragen oder einen Auftrag, wünschen sich einen Beratungstermin oder ein Strategiegespräch?
Dann füllen Sie unsere Kontaktanfrage aus! Wir freuen uns darauf, Sie von unserer langjährigen Expertise profitieren zu lassen!

Name*

Telefon

E-Mail*

Anliegen

Wie dürfen wir Ihnen helfen?

* Pflichtfeld

Verbindung herstellen

Ihre Nachricht wurde verschickt. Vielen Dank!

M.IT Connect verpflichtet sich, Ihre Privatsphäre zu schützen und zu respektieren. Wir verwenden Ihre persönlichen Daten zur Geschäftsanbahnung, zur Erfüllung vertraglicher und gesetzlicher Pflichten, zur Durchführung des Vertragsverhältnisses, zum Anbieten von Produkten und Dienstleistungen sowie zur Stärkung der Kundenbeziehung.

Sie möchten weiterhin über attraktive Angebote und interessante Neuigkeiten aus der IT-Branche, zu Produkten, Dienstleistungen und Veranstaltungen von M.IT Connect und Partnern informiert werden?

Einverständniserklärung

Ich bin damit einverstanden, dass meine Daten - wie oben beschrieben - verarbeitet und gespeichert werden, damit ich von M.IT Connect weiterhin informiert werden kann. Für andere Zwecke werden meine Daten nicht verwendet.

Ja Nein

Anhand unserer Datenschutzerklärung können Sie sich über den Umgang mit personenbezogenen Daten in unserem Unternehmen informieren. Diese Einverständniserklärung kann jederzeit widerrufen werden. Hierfür können Sie sich z.B. per Mail an dsb@m-it-connect.de wenden oder unser Widerrufsformular verwenden.