Wissensbasis

Lade … ← Übersicht Vorgänge

Stand: 28.5.2026 · Thema: Betroffenenrechte · DSGVO Art. 17, 18

Löschungsersuchen nach Art. 17 DSGVO

Das „Recht auf Vergessenwerden” ist im Alltag deutlich enger, als der Begriff suggeriert. Die meisten Löschanträge führen am Ende zu einer Einschränkung der Verarbeitung (Art. 18), nicht zu einer vollständigen Löschung.

Wann gelöscht werden muss (Art. 17 Abs. 1)

  • Zweck der Verarbeitung ist entfallen.
  • Einwilligung wurde widerrufen und keine andere Rechtsgrundlage greift.
  • Widerspruch nach Art. 21 wurde erhoben und es gibt keine zwingenden berechtigten Gründe.
  • Unrechtmäßige Verarbeitung.
  • Erfüllung einer rechtlichen Verpflichtung zur Löschung.
  • Daten eines Kindes, erhoben für Dienste der Informationsgesellschaft.

Wann gerade NICHT gelöscht werden darf (Art. 17 Abs. 3)

  • Recht auf freie Meinungsäußerung und Information (Presse, Wissenschaft).
  • Rechtliche Verpflichtung zur Aufbewahrung — typischerweise:
    • Steuerlich relevante Unterlagen: 10 Jahre (§ 147 AO).
    • Handelsbriefe, Buchungsbelege: 8 Jahre (§ 257 HGB, neu seit 2025).
    • Lohnunterlagen: 6 Jahre.
    • Personalakten: 3 Jahre nach Beendigung (Vorhalte für Klagen aus dem Arbeitsverhältnis), AGG-Frist für Bewerber 6 Monate.
  • Aufgabe im öffentlichen Interesse oder hoheitliche Ausübung.
  • Archivzwecke im öffentlichen Interesse, Forschung, Statistik.
  • Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Vorgehen bei Aufbewahrungspflichten

Wenn Löschung scheitert, weil eine Aufbewahrungspflicht greift:

  1. Verarbeitung einschränken (Art. 18) — die Daten dürfen nur noch zur Erfüllung der Pflicht genutzt werden, kein operatives Marketing, kein Kundenmanagement.
  2. Technisch umsetzen: Marker im CRM (gesperrt), Ausschluss aus Selects für Marketing/Service.
  3. Person informieren: Welche Daten bleiben, warum, wie lange.
  4. Löschtermin festhalten — z.B. „Löschung nach 31.12.2034” — und beim Aufräumen wirklich umsetzen.

Häufige Fehler

  • Komplette Löschung von Buchhaltungsdaten auf Bitten der Person → Verstoß gegen § 147 AO.
  • Kein technisches Sperren — Marketing-Mail geht weiter, weil das Sperr-Flag nirgends ausgewertet wird.
  • Vermischung mit Backup-Löschung — Live-System gelöscht, Backup unverändert: bei Restore wäre Person plötzlich wieder im System. Lösung: bei Backup-Restore Re-Anwendung der Löschliste.
  • Stillschweigende Ablehnung statt schriftlicher Begründung der Aufbewahrung.

Antwortvorlage

Eine Antwort sollte enthalten: Was wird gelöscht (sofort/zum Datum X) · Was bleibt mit welcher Rechtsgrundlage · Wann das Bleibende ebenfalls gelöscht wird · Hinweis auf Beschwerderecht bei der Aufsichtsbehörde.

Wenn wir DSB sind

Wir liefern den juristischen Begründungstext für die Antwort und prüfen, ob die Aufbewahrungspflicht im konkreten Fall wirklich greift — gerade bei alten CRM-Einträgen ist die Antwort oft: löschen, weil keine echte AO/HGB-Bindung besteht.

Quelle: FS/CS GmbH