EDPB-Studie zum Recht auf Löschung: Warum Art. 17 DSGVO in der Praxis oft zum Problem wird

Ein bekanntes Recht – und eine aktuelle Bestandsaufnahme des EDPB

Eine aktuelle koordinierte Prüfaktion des Europäischen Datenschutzausschusses (EDPB) zum Recht auf Löschung zeigt, wie Organisationen Art. 17 DSGVO in der Praxis tatsächlich umsetzen. Dafür haben 32 Datenschutzaufsichtsbehörden in Europa im Jahr 2025 untersucht, wie Verantwortliche Art. 17 DSGVO in der Praxis umsetzen. Der Bericht bündelt die Erkenntnisse aus 764 Antworten von Organisationen unterschiedlicher Größe und aus verschiedenen Sektoren.

Gerade deshalb ist die Auswertung so interessant: Sie zeigt nicht abstrakt, wie das Recht auf Löschung dogmatisch funktioniert, sondern wo Unternehmen und Behörden in der Praxis tatsächlich scheitern. Die zentrale Erkenntnis ist klar: Das Problem liegt meist nicht im fehlenden Bewusstsein, sondern in der Umsetzung. Viele Organisationen haben sich mit dem Thema befasst, arbeiten aber mit lückenhaften Abläufen, unklaren Zuständigkeiten oder technisch schwer beherrschbaren Systemlandschaften.

Das ist heikel, weil das Recht auf Löschung weit mehr ist als ein simples „Daten entfernen“. Verantwortliche müssen prüfen, ob überhaupt ein Löschanspruch besteht, welche Daten betroffen sind, ob Ausnahmen greifen, welche Systeme einbezogen werden müssen und wie die Entscheidung nachvollziehbar dokumentiert wird.

Wann ein Anspruch auf Löschung besteht – und wann nicht

Art. 17 DSGVO gewährt keinen pauschalen Anspruch auf sofortige Löschung. Ein Anspruch besteht nur dann, wenn ein gesetzlicher Löschgrund vorliegt – etwa weil die Daten für den ursprünglichen Zweck nicht mehr erforderlich sind, eine Einwilligung widerrufen wurde, ein wirksamer Widerspruch greift, die Verarbeitung unrechtmäßig war oder eine gesetzliche Löschpflicht besteht.

Genauso wichtig ist die andere Seite: Das Recht auf Löschung ist nicht absolut. Eine Löschung kann im Einzelfall ausscheiden, etwa wegen gesetzlicher Aufbewahrungspflichten oder weil Daten noch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden.

Für die Praxis heißt das: Verantwortliche müssen nicht nur prüfen, ob gelöscht werden muss, sondern auch warum, in welchem Umfang und ob ausnahmsweise Gründe gegen eine sofortige Löschung sprechen. Dazu kommen die Vorgaben aus Art. 12 DSGVO, insbesondere zu Fristen, Kommunikation und Begründungspflichten.

Wo Organisationen in der Praxis besonders häufig scheitern

Die Prüfung zeigt wiederkehrende Muster. Nicht jedes Problem ist neu – aber viele Organisationen haben sie noch nicht sauber gelöst.

1. Unklare Prozesse und Zuständigkeiten

Der häufigste Schwachpunkt liegt im Verfahren selbst. Fehlen klare interne Abläufe, werden Löschanfragen je nach Abteilung oder zuständiger Person unterschiedlich behandelt. Mal wird eine Anfrage sofort weitergeleitet, mal bleibt sie zu lange liegen, mal wird sie unvollständig beantwortet.

Für ein sensibles Betroffenenrecht ist das riskant. Wer Löschanfragen rechtssicher bearbeiten will, braucht einen alltagstauglichen Prozess mit klaren Rollen zwischen Fachbereich, Datenschutz, IT und gegebenenfalls Legal oder Compliance.

2. Datenbestände sind oft nicht vollständig im Blick

Viele Probleme beginnen nicht erst bei der Rechtsfrage, sondern schon bei der Suche nach den betroffenen Daten. In komplexen Organisationen liegen personenbezogene Daten selten nur an einer Stelle. Sie finden sich in Fachsystemen, E-Mails, Archiven, Nutzerkonten, Protokollen oder Sicherungssystemen.

Wer diese Datenlandschaft nicht sauber kennt, kann Löschansprüche kaum konsistent erfüllen. Gerade deshalb sind ein belastbares Dateninventar und ein gut gepflegtes Verzeichnis von Verarbeitungstätigkeiten in der Praxis so wertvoll.

3. Aufbewahrungsfristen werden zu pauschal gehandhabt

Ein weiterer Dauerbrenner sind Aufbewahrungsfristen. In der Praxis fehlt häufig eine differenzierte Regelung danach, welche Daten zu welchem Zweck verarbeitet werden und wie lange sie tatsächlich gespeichert werden dürfen oder müssen.

Stattdessen werden nicht selten pauschale Fristen verwendet – oder vorsorglich die längste denkbare Frist angesetzt. Das mag intern bequem sein, ist datenschutzrechtlich aber riskant. Denn die Löschpflicht hängt unmittelbar davon ab, ob Daten noch erforderlich sind oder ob gesetzliche Pflichten eine weitere Speicherung verlangen.

4. Backups bleiben ein besonders heikler Bereich

Backups sind für die Integrität und Wiederherstellbarkeit von Systemen wichtig. Genau deshalb lassen sie sich nicht immer ohne Weiteres verändern. Das entbindet Verantwortliche aber nicht davon, Löschbegehren auch hier ernsthaft zu berücksichtigen.

Problematisch wird es vor allem dann, wenn Backup-Daten pauschal ausgeklammert werden. Erforderlich sind vielmehr nachvollziehbare Regeln: Wie werden Löschbegehren dokumentiert? Was passiert im Fall eines Restore? Und wie wird sichergestellt, dass Daten nicht länger als nötig weiterverarbeitet werden?

5. Account-Löschung ist nicht automatisch Datenlöschung

Gerade bei digitalen Diensten, Plattformen und Apps wird ein Punkt oft unterschätzt: Ein gelöschtes oder deaktiviertes Konto bedeutet noch nicht, dass auch alle personenbezogenen Daten tatsächlich gelöscht wurden.

Wenn im Hintergrund weiterhin Protokolle, Kommunikationsdaten, Sicherungen oder andere Datensätze bestehen, ist das Recht auf Löschung damit nicht automatisch erfüllt. Die sichtbare Nutzeroberfläche sagt also noch nichts darüber aus, was im System wirklich passiert.

Was gute Löschpraxis ausmacht

Die gute Nachricht: Die Prüfung zeigt nicht nur Defizite, sondern auch, worauf es in der Praxis ankommt. Besonders wichtig sind dabei:

• klare Zuständigkeiten für Eingang, Prüfung und technische Umsetzung,
• verständliche Prozesse für Mitarbeitende,
• eine belastbare Übersicht über Datenbestände und Speicherorte,
• differenzierte Aufbewahrungs- und Löschkonzepte,
• nachvollziehbare Regeln für Backups,
• transparente Kommunikation gegenüber Betroffenen.

Gerade bei Ablehnungen ist Sorgfalt entscheidend. Wer sich auf eine Ausnahme stützt, sollte den Einzelfall sauber prüfen, die Entscheidung dokumentieren und verständlich begründen. In schwierigen Fällen kann es außerdem sinnvoll sein, die Verarbeitung vorübergehend einzuschränken, statt vorschnell zu löschen oder pauschal abzulehnen.

Was Unternehmen jetzt konkret prüfen sollten

Wer das Thema sauber aufstellen will, sollte sich vor allem diese Fragen stellen:

• Gibt es einen dokumentierten Prozess für Löschanfragen?
• Sind Rollen und Verantwortlichkeiten klar geregelt?
• Ist bekannt, in welchen Systemen die relevanten Daten liegen?
• Sind Aufbewahrungsfristen nachvollziehbar und differenziert festgelegt?
• Gibt es ein belastbares Vorgehen für Backups und Restore-Fälle?

Schon dieser Kurz-Check zeigt oft, ob das Recht auf Löschung in der Organisation wirklich beherrscht wird – oder ob es bislang eher vom Einzelfall und vom Engagement einzelner Personen abhängt.

Fazit

Das Hauptproblem beim Recht auf Löschung ist meist nicht der Gesetzestext, sondern die Umsetzung im Unternehmen. Schwächen zeigen sich vor allem bei Prozessen, Datenübersicht, Aufbewahrungsfristen und Backups.

Die wichtigste Erkenntnis lautet deshalb: Wer Art. 17 DSGVO rechtssicher erfüllen will, braucht nicht nur juristisches Wissen, sondern belastbare Abläufe, klare Zuständigkeiten und technisch tragfähige Löschkonzepte.

Die praktische Empfehlung ist klar: Unternehmen sollten ihre Löschprozesse jetzt nicht isoliert, sondern gemeinsam mit Datenschutz, IT, Fachbereichen und gegebenenfalls Legal oder Compliance überprüfen. Genau dort entscheidet sich, ob das Recht auf Löschung in der Praxis funktioniert.