Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen zur sicheren und vollständigen Datenlöschung. Betroffene Personen haben nicht nur das Recht auf Löschung ihrer personenbezogenen Daten, sondern auch auf das sogenannte „Recht auf Vergessenwerden“. Für Unternehmen bedeutet das eine komplexe technische und organisatorische Herausforderung – unabhängig von Branche oder Unternehmensgröße.
Auf dieser Seite erfahren Sie von den Experten bei Evernex, welche gesetzlichen Anforderungen zur Datenlöschung bestehen, welche Risiken bei Missachtung drohen und wie eine datenschutzkonforme Umsetzung in der Praxis gelingt.
Artikel 17 DSGVO: Gesetzliche Grundlage der Datenlöschung
Der Artikel 17 der Datenschutzgrundverordnung (DSGVO) regelt, welche Pflichten Verantwortliche in Unternehmen in Bezug auf die Löschung von nicht mehr benötigten Daten haben. Eine Pflicht zur Datenlöschung besteht nach Absatz 1 in mehreren Fällen:
- Es wurden Daten eines Kindes verarbeitet, welches das 16. Lebensjahr zum Zeitpunkt der Datenverarbeitung noch nicht vollendet hatte.
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben bzw. verarbeitet wurden, nicht mehr erforderlich.
- Die betroffene Person widerruft Ihre Einwilligung. Es ist keine sonstige Rechtsgrundlage für die Verarbeitung der Daten vorhanden.
Jeder der oben genannten Gründe löst die Pflicht zur Datenlöschung aus. Es darf nach der Löschung keine Möglichkeit zur nochmaligen Verwertung der Daten geben. Die Datenlöschung nach DSGVO muss umgehend erfolgen.
„Das Recht auf Vergessenwerden“
Aus dem Recht auf Datenlöschung folgt das sogenannte „Recht auf Vergessenwerden” (Artikel 17 Absatz 2). Interessenten, Kunden und Mitarbeiter des Unternehmens haben dieses Recht, wenn ihre personenbezogenen Daten der Öffentlichkeit zugänglich gemacht wurden. Die entsprechenden Daten sind sofort von den genutzten Speichermedien zu entfernen.
Nutzt das Unternehmen einen Cloud-Dienst, handelt es sich rechtlich gesehen um eine Drittpartei. Das Recht auf Vergessenwerden gilt auch in einem solchen Fall. Der Anbieter wird über das Verlangen auf Datenlöschung informiert und angewiesen, die personenbezogenen Daten zu entfernen.
Ob diese Anweisung zeitnah umgesetzt wird, steht auf einem anderen Blatt. Praktisch gesehen hat das zur Datenlöschung verpflichtete Unternehmen wenig Einfluss darauf, wie viel Zeit der Cloud-Dienst für die Löschung benötigt.
Sowohl Absatz 1 als auch Absatz 2 des Artikels 17 gelten nicht, wenn die Datenverarbeitung zur Ausübung des Rechts auf freie Information und Meinungsäußerung notwendig ist.
Es existieren weitere Ausnahmen, die z. B. eine Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der Gesundheit umfassen. Auch eine Verarbeitung zur Geltendmachung von Rechtsansprüchen ist zulässig.
Praktische Probleme bei der Löschung von Daten

Selbst der Datenschutzbeauftragte des Unternehmens verliert dabei schnell den Überblick.
Von der Pflicht zur Datenlöschung sind alle Mitarbeiter des Unternehmens betroffen – auch solche, die ausscheiden oder freie Mitarbeiter ohne Arbeitsvertrag sind.
Viele Angestellte speichern Unternehmensdaten in einer privaten Cloud oder auf dem heimischen Zweitrechner. Die gespeicherten Daten bleiben dort über Jahre, bis sie mit den dazugehörigen Speichermedien in den Elektroschrott wandern.
Konkrete Maßnahmen zur Datenlöschung
Wer die Pflicht zur Datenlöschung nicht beachtet, läuft Gefahr, Gesetzesverstöße zu begehen und vielleicht ein Bußgeld zahlen zu müssen. Damit es nicht so weit kommt, empfehlen wir Ihnen die folgenden Maßnahmen:
- Löschkonzept erstellen – Die Erstellung eines Löschkonzeptes ist der erste Schritt zur sicheren Datenlöschung (siehe nächster Abschnitt). Hierbei können Sie auf zahlreiche Vorlagen zurückgreifen, die teils kostenlos zu bekommen sind.
- Klare Kommunikation – Pflegen Sie im Hinblick auf die Datenlöschung eine klare Kommunikation gegenüber festangestellten und freien Mitarbeitern.
- Unangekündigte Audits – Unangekündigte Audits durch den Datenschutzbeauftragten können das Bewusstsein für die Datenschutzproblematik unter den Mitarbeitern deutlich erhöhen.
Die Erstellung eines Datenlöschkonzeptes ist keine freiwillige, sondern eine obligatorische Maßnahme. Sie wird durch die DSGVO festgeschrieben. Was die Kommunikation betrifft, sind die Verantwortlichen gut beraten, klare Anweisungen zu geben und dem Thema Datenschutz eine hohe Priorität einzuräumen.
Technische Tipps für die Datenlöschung
Für die Datenlöschung stehen mittlerweile zahlreiche Anwendungen bereit. Jedoch erfüllen bei Weitem nicht alle Apps den Zweck, die nicht mehr benötigten Daten sicher zu löschen. Unsere Experten haben eine Liste mit Kriterien erstellt, die die genutzte Löschanwendung erfüllen sollte:
| 1. | Die Löschanwendung sollte alle vorgesehenen Typen von Endgeräten und Speichersystemen unterstützen. Hierbei ist darauf zu achten, dass auch alle genutzten Betriebssysteme unterstützt werden. |
| 2. | Die Anwendung sollte zum Zeitpunkt der Löschung Zugriff auf alle verwendeten Speichermedien und Endgeräte haben. |
| 3. | Die Anwendung sollte ein aktuelles Löschverfahren verwenden. |
| 4. | Die App sollte alle Löschprozesse protokollieren, ohne die zu löschenden Daten zu speichern. |
| 5. | Die App ist dazu geeignet, das interne Löschkonzept in allen Punkten umzusetzen (auch mit Blick auf die Löschfristen). |
So erstellen Sie ein Löschkonzept
Ein Konzept für die Datenlöschung zu erstellen, ist einfacher, als es auf den ersten Blick scheint. Grundsätzlich müssen bei der Erstellung eines Löschkonzepts nach DIN 66398 folgende Schritte durchgeführt werden:
- ✅ Bestimmen Sie die Datenarten, die in Datenbeständen Ihres Unternehmens existieren.
- ✅ Fassen Sie die Daten in Löschklassen zusammen.
- ✅ Definieren Sie für die einzelnen Datenarten verbindliche Löschregeln.
- ✅ Definieren Sie konkrete Umsetzungsregeln.
- ✅ Legen Sie fest, welche Mitarbeiter mit der Umsetzung des Löschkonzeptes betraut werden.
- ✅ Dokumentieren Sie alle Schritte.
In der Praxis hat sich der sogenannte Zwei-Stufen-Check bewährt. Bevor die beauftragten Mitarbeiter eine Datenlöschung vornehmen, sollten diese beiden Schritte erledigt werden:
Prüfen Sie, ob es eine Pflicht zur Datenlöschung gibt. Ist dies der Fall, sollte geprüft werden, innerhalb welcher Frist die Daten von den Speichermedien entfernt werden müssen.
Anschließend ist zu klären, ob die Daten dennoch länger gespeichert werden müssen bzw. dürfen. Dies kann gegeben sein, wenn es Aufbewahrungspflichten gibt, die z. B. durch das Steuerrecht vorgeschrieben werden.
Vertrauen Sie auf sichere Datenlöschung mit Evernex
Löschen Sie sensible Daten vollständig, nachvollziehbar und gesetzeskonform – mit zertifizierten Lösungen von Evernex.
FAQ (Häufig gestellte Fragen)
Datenlöschung: Worum geht es?
Datenlöschung bezieht sich auf den sicheren Prozess der Entfernung von Daten aus digitalen Speichergeräten, um sicherzustellen, dass sie nicht wiederhergestellt werden können. Die Datenlöschung ist besonders wichtig, da sie die Privatsphäre der Personen schützt. Sie ist außerdem eine gesetzliche Anforderung für Unternehmen.
Was sind die wichtigsten Pflichten zur Datenlöschung nach der DSGVO?
Unternehmen müssen personenbezogene Daten löschen, wenn diese unrechtmäßig verarbeitet wurden oder nicht mehr erforderlich sind. Auch bei Widerruf der Einwilligung besteht Löschpflicht.
Warum ist ein Löschkonzept für Unternehmen notwendig?
Ein Löschkonzept stellt sicher, dass Daten systematisch und rechtzeitig gelöscht werden, um gesetzliche Vorgaben zu erfüllen und Bußgelder zu vermeiden. Das Konzept hilft den Verantwortlichen, organisatorische und technische Herausforderungen zu bewältigen.
Welche Kriterien sollte eine Löschanwendung erfüllen?
Eine geeignete Löschanwendung muss alle Endgeräte unterstützen, ein aktuelles Löschverfahren nutzen und alle Löschprozesse protokollieren, ohne die Daten zu speichern.

