Recht auf Loeschung und gesetzliche Anforderungen Art 17

Die Löschung von Daten aus Backup-Systemen stellt eine besondere technische Herausforderung dar, da Backups meist als monolithische Blöcke oder auf Bandlaufwerken gespeichert werden, die ein punktuelles Entfernen einzelner Datensätze nicht ohne unverhältnismäßigen Aufwand ermöglichen. Nach herrschender Meinung der Aufsichtsbehörden ist eine sofortige Löschung im Backup daher nicht zwingend erforderlich, sofern die Daten im operativen System bereits entfernt wurden und sichergestellt ist, dass sie bei einer eventuellen Wiederherstellung des Backups (Restore) unmittelbar erneut gelöscht werden. Das Unternehmen muss diesen Prozess jedoch dokumentieren und durch technische Maßnahmen (z. B. Abgleichlisten beim Restore) absichern.

In der Praxis bedeutet dies, dass die Daten im Backup „virtuell“ gelöscht sind, bis das Medium durch den regulären Rotationszyklus überschrieben wird. Wichtig ist hierbei, dass der Verantwortliche während dieser Übergangszeit den Zugriff auf diese Backup-Daten streng limitiert und sie keinesfalls für produktive Zwecke nutzt. Eine dauerhafte Vorhaltung in Backups ohne Löschabsicht bei Systemwiederherstellung würde hingegen einen klaren Verstoß gegen die DSGVO darstellen. Unternehmen sollten daher klare Richtlinien für ihre Backup-Retention-Policies haben, die mit dem Löschkonzept harmonieren und im Falle einer Prüfung durch die Behörde vorgelegt werden können.

Ja, ein Löschungsersuchen kann teilweise abgelehnt werden, wenn die Verarbeitung der Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 17 Abs. 3 lit. e DSGVO). Solange eine Forderung gegen den Betroffenen besteht oder ein gerichtlicher Streit anhängig ist, hat das berechtigte Interesse des Unternehmens an der Beweissicherung Vorrang vor dem Löschungsrecht des Einzelnen. Dies gilt insbesondere für Stamm- und Vertragsdaten, die zur Identifikation der Person und zur Dokumentation des Anspruchsgrundes zwingend benötigt werden, um die Forderung rechtlich durchzusetzen.

Allerdings darf in einem solchen Fall nur die Löschung derjenigen Daten verweigert werden, die tatsächlich für den konkreten Rechtsanspruch relevant sind. Marketing-Präferenzen, Tracking-Daten oder andere für die Forderung nicht benötigte Informationen müssen dennoch entfernt werden. Das Unternehmen ist zudem verpflichtet, den Nutzer über die Teil-Ablehnung und die spezifischen Gründe zu informieren. Sobald die Forderung beglichen oder verjährt ist, entfällt dieser Ausnahmetatbestand, und die Daten müssen – sofern keine steuerlichen Aufbewahrungspflichten entgegenstehen – unverzüglich bereinigt werden.

Gesetzliche Aufbewahrungspflichten, wie sie beispielsweise im Handelsgesetzbuch (§ 257 HGB) oder in der Abgabenordnung (§ 147 AO) verankert sind, stellen eine vorrangige Rechtsgrundlage dar, die den Löschanspruch nach Art. 17 DSGVO temporär einschränkt. Wenn Daten für die Buchhaltung oder die Steuererklärung relevant sind (z. B. Rechnungen, Verträge, Buchungsbelege), müssen diese zwingend für sechs bis zehn Jahre aufbewahrt werden. Eine Löschung vor Ablauf dieser Fristen wäre ein Verstoß gegen deutsches Recht und könnte für das Unternehmen schwere steuerliche Konsequenzen nach sich ziehen, weshalb die DSGVO hier explizit eine Ausnahme vorsieht.

Der korrekte Umgang in diesem Szenario ist die sogenannte „Einschränkung der Verarbeitung“ oder Sperrung. Die Daten werden aus dem aktiven Kundensystem entfernt oder markiert, sodass sie für den Vertrieb und den Kundensupport nicht mehr zugänglich sind. Sie verbleiben lediglich in einer gesicherten Archivumgebung, auf die nur befugte Personen (z. B. für eine Betriebsprüfung) zugreifen können. Nach Ablauf der gesetzlichen Frist muss das System dann automatisch die endgültige Löschung einleiten. Das Unternehmen sollte dem Betroffenen in der Antwort auf sein Löschersuchen genau erklären, welche Datenkategorien bis zu welchem Jahr gespeichert bleiben müssen.

Die Bestätigung über die erfolgte Löschung sollte klar, transparent und rechtssicher formuliert sein, ohne dabei unnötig neue personenbezogene Daten zu verarbeiten. Es empfiehlt sich, dem Betroffenen mitzuteilen, dass seinem Ersuchen entsprochen wurde und welche Datenkategorien physisch gelöscht wurden. Falls bestimmte Daten aufgrund gesetzlicher Pflichten gesperrt statt gelöscht wurden, muss dies explizit unter Angabe der Rechtsgrundlage (z. B. Art. 17 Abs. 3 DSGVO i.V.m. § 257 HGB) begründet werden. Eine pauschale Aussage ohne Details führt oft zu Rückfragen oder Misstrauen aufseiten des Nutzers.

Ein wichtiger Aspekt ist die finale Kommunikation: Die Nachricht über die Löschung ist technisch gesehen die letzte rechtmäßige Datenverarbeitung. Sobald diese Bestätigung versendet wurde, sollte auch der Kontakt zum Versenden dieser Nachricht gelöscht werden, sofern keine Dokumentationspflicht gegenüber der Aufsichtsbehörde besteht. Es ist ratsam, einen neutralen, professionellen Ton zu wählen und auf werbliche Inhalte in dieser E-Mail komplett zu verzichten. Die Bestätigung dient der Rechtssicherheit beider Parteien und sollte im internen Compliance-System (anonymisiert oder als Metadaten) archiviert werden, um den Vollzug gegenüber Behörden nachweisen zu können.

Ja, das Recht auf Löschung umfasst auch Informationen, die im Internet öffentlich zugänglich gemacht wurden. Dies ist der Kern des berühmten „Urteils zum Recht auf Vergessenwerden“ des EuGH. Wenn ein Verantwortlicher Daten öffentlich gemacht hat (z. B. auf einer Website oder in einem sozialen Netzwerk), ist er bei einem berechtigten Löschantrag nicht nur verpflichtet, die Daten selbst zu entfernen, sondern muss auch „angemessene Maßnahmen“ ergreifen, um andere Verantwortliche (wie Google oder andere Suchmaschinen), die diese Daten verarbeiten, darüber zu informieren, dass der Betroffene die Löschung aller Links zu diesen Daten oder von Kopien oder Replikationen verlangt hat.

Dieser Prozess nach Art. 17 Abs. 2 DSGVO ist technisch komplex, da das Unternehmen keinen direkten Zugriff auf die Indizes von Drittanbietern hat. Die Verpflichtung beschränkt sich daher auf das unter den gegebenen Umständen Mögliche und Verhältnismäßige. In der Praxis bedeutet dies meist, dass Webmaster Anweisungen in der robots.txt hinterlegen oder De-Indexing-Anträge bei den großen Suchmaschinen stellen sollten. Der Betroffene muss verstehen, dass die vollständige Tilgung aus dem Internet Zeit in Anspruch nehmen kann, da Caches und Archivdienste außerhalb der direkten Kontrolle des ursprünglichen Verantwortlichen liegen.

Die selektive Löschung aus E-Mail-Archiven ist eine der größten technischen Hürden für die Compliance. Moderne Archivierungssysteme sind darauf ausgelegt, E-Mails revisionssicher und unveränderbar zu speichern, um gesetzlichen Anforderungen (z. B. GoBD) zu entsprechen. Das Löschen einer einzelnen E-Mail aus einem versiegelten Container widerspricht oft der technischen Grundstruktur dieser Systeme. Dennoch verlangt die DSGVO, dass personenbezogene Daten gelöscht werden, wenn kein rechtfertigender Grund mehr vorliegt. Dies führt zu einem direkten Konflikt zwischen Datenschutzrecht und Steuer- bzw. Handelsrecht.

Lösungsorientierte Ansätze sehen vor, dass E-Mail-Archive über starke Zugriffskontrollen verfügen. Wenn eine E-Mail nicht physisch gelöscht werden kann, ohne die Integrität des gesamten Archivs zu gefährden, muss sie für die normale Suche gesperrt und „logisch gelöscht“ werden. Nur in Ausnahmefällen, etwa bei einer gerichtlichen Anordnung, darf sie dann noch eingesehen werden. Aufsichtsbehörden akzeptieren diesen Weg meist, wenn das Unternehmen nachweisen kann, dass eine physische Löschung technisch unmöglich oder mit extrem unverhältnismäßigem Aufwand verbunden wäre. Langfristig sollten Unternehmen jedoch auf Systeme setzen, die „Deletion by Design“ unterstützen.

Ja, die Rechtmäßigkeit der ursprünglichen Erhebung schützt nicht dauerhaft vor einem späteren Löschanspruch. Sobald der Zweck, für den die Daten erhoben wurden, wegfällt (z. B. ein Gewinnspiel ist beendet, ein Nutzerkonto wurde gekündigt), entfällt die Rechtsgrundlage für die weitere Speicherung. Die DSGVO sieht vor, dass Daten nur so lange gespeichert werden dürfen, wie es für die Zwecke, für die sie verarbeitet werden, notwendig ist. Ein Betroffener kann daher jederzeit die Löschung verlangen, sobald diese Notwendigkeit nicht mehr objektiv begründbar ist.

Ein typisches Beispiel ist das Direktmarketing: Selbst wenn die Daten rechtmäßig über einen Kaufabschluss gewonnen wurden, muss das Unternehmen sie löschen (oder für Werbung sperren), sobald der Kunde widerspricht oder sein Konto löscht. Die einzige Ausnahme bilden wiederum gesetzliche Aufbewahrungspflichten für die Transaktionsbelege. Viele Unternehmen machen den Fehler, „Altdaten“ als wertvolles Asset zu betrachten und sie ohne aktiven Zweck vorzuhalten. Dies stellt ein hohes Haftungsrisiko dar, da die DSGVO eine proaktive Datenminimierung und regelmäßige Überprüfung der Speichernotwendigkeit fordert.

Das Recht auf Löschung nach der DSGVO ist ein höchstpersönliches Recht, das grundsätzlich nur lebenden natürlichen Personen zusteht. Mit dem Tod endet der Schutzbereich der DSGVO für die betroffene Person. Das bedeutet jedoch nicht, dass die Daten von Verstorbenen nun beliebig verarbeitet werden dürfen. In Deutschland und anderen EU-Staaten gibt es nationale Regelungen (wie das postmortale Persönlichkeitsrecht), die einen gewissen Schutz bieten. Erben können in bestimmten Fällen die Löschung verlangen, wenn sie ein berechtigtes Interesse nachweisen oder wenn die weitere Speicherung das Andenken des Verstorbenen verletzen würde.

In der Praxis sind viele Diensteanbieter (insbesondere soziale Netzwerke) dazu übergegangen, spezielle Prozesse für den Todesfall anzubieten, wie den „Gedenkzustand“ oder die Kontolöschung durch legitimierte Angehörige. Rechtlich gesehen müssen Unternehmen prüfen, ob durch die Speicherung der Daten Verstorbener auch personenbezogene Daten lebender Dritter (z. B. Kommunikationspartner in E-Mails) betroffen sind. In diesen Fällen greift die DSGVO wieder für die lebenden Beteiligten. Es empfiehlt sich für Unternehmen, eine klare Policy für den Umgang mit Nachlässen zu definieren, um pietätvoll und rechtlich sicher zu agieren.

Ja, das Recht auf Löschung existiert auch im Bereich der Strafverfolgung, unterliegt jedoch wesentlich strengeren Einschränkungen als im zivilen Bereich. Die Rechtsgrundlage hierfür ist oft nicht die DSGVO direkt, sondern die sogenannte „JI-Richtlinie“ (Richtlinie 2016/680) und deren nationale Umsetzung (in Deutschland z. B. im BDSG oder in den Polizeigesetzen der Länder). Daten müssen gelöscht werden, wenn sie für die Zwecke der Gefahrenabwehr oder Strafverfolgung nicht mehr erforderlich sind oder wenn eine gerichtliche Entscheidung die Unrechtmäßigkeit der Speicherung festgestellt hat.

Besonders relevant ist dies bei erkennungsdienstlichen Unterlagen oder Einträgen im Kriminalaktennachweis. Wenn ein Verfahren mit einem Freispruch endet oder die Unschuld zweifelsfrei feststeht, hat der Betroffene oft einen Anspruch auf Löschung. Allerdings dürfen die Behörden die Daten behalten, wenn eine „Wiederholungsgefahr“ begründet werden kann. Die Hürden für den Bürger sind hier höher: Er muss oft aktiv werden und die Löschung beantragen, wobei die Behörden einen weiten Beurteilungsspielraum haben. Dennoch zeigen viele Gerichtsurteile, dass die Polizei Daten nicht „auf Vorrat“ speichern darf, wenn kein konkreter Bezug zu künftigen Straftaten mehr erkennbar ist.

Eine Löschung darf nur dann erfolgen, wenn die Identität des Antragstellers zweifelsfrei mit der Identität des Datensubjekts übereinstimmt. Bei Namensgleichheit (z. B. „Max Müller“) besteht die Gefahr, dass Daten einer unbeteiligten Person gelöscht werden, was wiederum eine Verletzung der Datenintegrität und der Verfügbarkeit darstellt. Der Verantwortliche ist daher berechtigt und sogar verpflichtet, zusätzliche Informationen anzufordern, um die Identität zu verifizieren. Dies kann eine Kundennummer, ein Geburtsdatum oder die Verifizierung über eine hinterlegte E-Mail-Adresse sein.

Sollte der Antragsteller sich nicht eindeutig identifizieren können, muss das Unternehmen die Löschung ablehnen, um den Schutz der Daten des „echten“ Dateneigentümers zu gewährleisten. Dieser Prozess muss feinfühlig gestaltet werden: Einerseits darf das Unternehmen die Identitätsprüfung nicht als Vorwand nutzen, um die Löschung zu verzögern (Schikaneverbot), andererseits ist die Sicherheit der Datenbestände ein hohes Gut. Eine sorgfältige Dokumentation der Identifizierungsbemühungen ist in solchen Zweifelsfällen für die Entlastung gegenüber der Aufsichtsbehörde essenziell.