Ist Ihr Löschkonzept DSGVO-fest?

Aufsichtsbehörden nehmen das "Recht auf Vergessenwerden" europaweit unter die Lupe

Unternehmen verlassen sich häufig darauf, dass Daten "irgendwann" gelöscht werden. Doch eine aktuelle, koordinierte Prüfaktion der europäischen Datenschutzbehörden (CEF-Aktion) macht deutlich: Diese Praxis wird zum unkalkulierbaren Compliance-Risiko. Der aktuelle Bericht des Europäischen Datenschutzausschusses (EDPB) aus dem Jahr 2025 zeigt eine kritische Lücke zwischen regulatorischem Anspruch und betrieblicher Wirklichkeit.
In vielen Fällen fehlt es an klaren Prozessen, dokumentierten Löschkonzepten oder technischen Möglichkeiten, personenbezogene Daten tatsächlich vollständig zu entfernen. Gerade für deutsche Unternehmen ist das ein Warnsignal.

Koordinierte Kontrolle in ganz Europa

Ziel der europaweiten Prüfung war es, die Umsetzung des "Rechts auf Löschung" (Art. 17 DSGVO) auf den Prüfstand zu stellen. Die Erkenntnisse der Behörden sind ein deutlicher Hinweis für die deutsche Wirtschaft: Es geht nicht mehr nur darum, ob gelöscht wird, sondern ob der Prozess systematisch, dokumentiert und technisch nachweisbar erfolgt.

Für Verantwortliche bedeutet das: Der Gedanke, Löschungen seien in komplexen IT-Strukturen oder umfangreichen Backup-Systemen technisch zu aufwendig, wird von der Aufsicht nicht länger akzeptiert.

Das Recht auf Löschung ist nicht optional

Art. 17 DSGVO gewährt betroffenen Personen das Recht, dass ihre personenbezogenen Daten gelöscht werden, etwa wenn Daten für den ursprünglichen Zweck nicht mehr erforderlich sind oder eine Einwilligung widerrufen wurde. Die Praxis zeigt jedoch: Zwischen rechtlicher Verpflichtung und tatsächlicher Umsetzung klafft häufig eine Lücke. Viele Organisationen haben keine konsistenten Verfahren zur Identifizierung aller betroffenen Datensätze. insbesondere in komplexen IT-Landschaften, Archivsystemen oder Backups.
Analyse der Fehlerquellen: Wo Löschkonzepte in der Praxis versagen

Ein zentrales Ergebnis der Prüfung ist, dass viele Löschrichtlinien in der Praxis ins Leere laufen. Der Bericht identifiziert klare strukturelle Schwachstellen:

  • Fragmentierte IT-Landschaften: Löschanfragen erreichen oft nicht alle relevanten Systeme, insbesondere Archive und Drittanbieter bleiben häufig außen vor.
  • Die Backup-Falle: Lange Zeit als technisch unantastbar geltend, rücken Datensicherungen nun explizit in den Fokus der Behörden. Ein fehlendes Konzept für den Umgang mit personenbezogenen Daten in Backups wird zunehmend als struktureller Verstoß gewertet.
  • Fehlende Dokumentation: Wer Löschfristen zwar einhält, dies aber nicht revisionssicher nachweisen kann, scheitert bereits an der Rechenschaftspflicht.

Löschung ist ein Compliance-Thema

Die Ergebnisse zeigen deutlich, dass Löschprozesse zum Prüfstein für die Datenschutz-Compliance werden. Wenn die Aufsicht die technische Implementierungstiefe und die operative Belastbarkeit der Systeme prüft, geht es um die Validierung der gesamten Datenschutz-Architektur eines Unternehmens.

Unternehmen sollten ihre bestehenden Konzepte daher einem Belastungstest unterziehen:

  • Sind Löschfristen technisch automatisiert oder nur manuell „vorgesehen“?
  • Gibt es klare Schnittstellen für Löschanfragen an Subunternehmer und Cloud-Dienstleister?
  • Wie wird mit dem „Recht auf Löschung“ in unveränderlichen Backup-Umgebungen umgegangen?

Bedeutung für die Praxis – und für Sie

Funktionierende Löschprozesse schützen nicht nur vor behördlichen Sanktionen, sondern schaffen die notwendige Transparenz für eine sichere digitale Transformation.
Sie möchten Ihre Löschprozesse auf den Prüfstand stellen oder Ihr bestehendes Konzept an die neuen europäischen Erwartungen anpassen?

Die Experten von Bitkom Consult unterstützen Sie dabei, Ihre Verfahren DSGVO-konform und praxistauglich auszugestalten, von der rechtlichen Bewertung Ihrer Backup-Strategie bis zur Implementierung belastbarer Löschfristen. Kontaktieren Sie uns gerne unter datenschutz@bitkom-consult.de.

 

Gespräch vereinbaren

 

Share