Das Recht auf Löschung DSGVO — auch bekannt als Recht auf Vergessenwerden — ist eines der bekanntesten und zugleich in der Praxis anspruchsvollsten Betroffenenrechte der Datenschutz-Grundverordnung. Gemäß Artikel 17 DSGVO hat jede betroffene Person das Recht, vom Verantwortlichen die unverzügliche Löschung sie betreffender personenbezogener Daten zu verlangen, wenn bestimmte Voraussetzungen erfüllt sind. Aufsichtsbehörden haben in der EU erhebliche Bußgelder speziell wegen Verstößen gegen das Recht auf Löschung DSGVO verhängt, was die praktische Bedeutung dieses Rechts unterstreicht.
Dieser Leitfaden erklärt die Voraussetzungen, Ausnahmen und Fristen des Löschungsrechts und gibt praktische Hinweise für die Umsetzung in Unternehmen. Für den englischsprachigen Überblick empfehlen wir unseren Artikel zum Right to Erasure under GDPR.
Was ist das Recht auf Löschung nach der DSGVO?
Das Recht auf Löschung DSGVO ist in Artikel 17 der Datenschutz-Grundverordnung verankert. Es gibt betroffenen Personen das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, und verpflichtet den Verantwortlichen, diese Daten unverzüglich zu löschen, wenn einer der in Artikel 17 Absatz 1 genannten Gründe vorliegt.
Ursprung und Verhältnis zur Speicherbegrenzung
Das Recht auf Vergessenwerden wurde erstmals im wegweisenden Urteil des Europäischen Gerichtshofs im Fall Google Spain aus dem Jahr 2014 anerkannt. Der EuGH entschied, dass Suchmaschinenbetreiber verpflichtet sind, Links zu Webseiten mit personenbezogenen Informationen aus Suchergebnissen zu entfernen, wenn die betroffene Person dies verlangt. Die DSGVO hat dieses Prinzip in Artikel 17 kodifiziert und wesentlich erweitert.
Das Recht auf Löschung DSGVO ergänzt den in Artikel 5 Absatz 1 Buchstabe e DSGVO verankerten Grundsatz der Speicherbegrenzung. Dieser Grundsatz verlangt, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist. Das Löschungsrecht gibt betroffenen Personen ein aktives Instrument, um diese Begrenzung durchzusetzen. Die DSGVO Anforderungen zur Speicherbegrenzung und zur Löschung sind eng miteinander verzahnt und sollten daher gemeinsam betrachtet werden.
Wann besteht ein Recht auf Löschung?
Artikel 17 Absatz 1 DSGVO nennt sechs Gründe, die einen Löschungsanspruch auslösen. Der Verantwortliche ist zur unverzüglichen Löschung verpflichtet, wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind; die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage fehlt; die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe vorliegen; die Daten unrechtmäßig verarbeitet wurden; die Löschung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist; oder die Daten in Bezug auf Dienste der Informationsgesellschaft erhoben wurden, die einem Kind angeboten werden.
Informationspflicht gegenüber Dritten
Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht, muss er gemäß Artikel 17 Absatz 2 DSGVO unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen treffen, um andere Verantwortliche, die diese Daten verarbeiten, darüber zu informieren, dass die betroffene Person die Löschung aller Links, Kopien oder Replikationen verlangt hat. Dies betrifft insbesondere Situationen, in denen Daten über das Internet verbreitet wurden. Die praktische Umsetzung dieser Verpflichtung stellt Unternehmen vor erhebliche technische Herausforderungen, da Daten in einer Vielzahl von Systemen und bei unterschiedlichen Empfängern gespeichert sein können.
Welche Ausnahmen gelten beim Recht auf Löschung?
Das Recht auf Löschung DSGVO ist kein absolutes Recht. Artikel 17 Absatz 3 DSGVO nennt wichtige Ausnahmen, bei denen der Löschungsanspruch nicht besteht.
Meinungsfreiheit und gesetzliche Aufbewahrungspflichten
Wenn die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist, besteht kein Löschungsanspruch. Diese Ausnahme ist insbesondere für journalistische, wissenschaftliche und künstlerische Tätigkeiten relevant. Die Abwägung zwischen Datenschutz und Meinungsfreiheit ist stets im Einzelfall vorzunehmen und gehört zu den komplexesten Fragestellungen des Datenschutzrechts.
Zahlreiche gesetzliche Vorschriften schreiben darüber hinaus die Aufbewahrung bestimmter Daten vor. In Deutschland gelten unter anderem handelsrechtliche Aufbewahrungspflichten von sechs Jahren nach dem HGB und steuerrechtliche Aufbewahrungspflichten von zehn Jahren nach der Abgabenordnung. Solange diese Fristen laufen, besteht kein Löschungsanspruch, aber der Verantwortliche muss die Verarbeitung auf die Aufbewahrung beschränken. Weitere Ausnahmen bestehen für Zwecke der öffentlichen Gesundheit, für im öffentlichen Interesse liegende Archivzwecke und zur Geltendmachung von Rechtsansprüchen. Das Auskunftsrecht nach DSGVO bleibt von diesen Ausnahmen unberührt.
Praktische Umsetzung des Löschungsrechts
Die praktische Umsetzung des Rechts auf Löschung DSGVO ist eine der größten technischen Herausforderungen für Unternehmen. Ein strukturiertes Löschkonzept ist unerlässlich und sollte folgende Elemente umfassen: eine Übersicht aller Systeme, in denen personenbezogene Daten gespeichert werden; definierte Aufbewahrungsfristen für jede Datenkategorie; automatisierte Löschroutinen für reguläre Löschungen; ein Verfahren für die Bearbeitung individueller Löschungsanfragen; und eine Dokumentation aller durchgeführten Löschungen. Die DSGVO Checkliste kann als Grundlage für die Erstellung eines umfassenden Löschkonzepts dienen.
Technische Herausforderungen
Die technische Löschung personenbezogener Daten erfordert eine sorgfältige Planung. In Backup-Systemen müssen Daten ebenfalls gelöscht oder bei der nächsten Rotation überschrieben werden. In verteilten Systemen und Microservice-Architekturen können Daten in mehreren Diensten gespeichert sein, was die Löschung erheblich komplizierter macht. Personenbezogene Daten in Log-Dateien müssen identifiziert und entfernt werden. Auch in Archiven gespeicherte Daten unterliegen dem Löschungsanspruch. Alle Auftragsverarbeiter müssen über die Löschung informiert und zur Umsetzung aufgefordert werden. Eine Datenschutz-Folgenabschätzung kann helfen, die technischen Herausforderungen der Löschung im Vorfeld zu identifizieren und angemessene Lösungen zu konzipieren.
Löschung versus Anonymisierung
In der Praxis stellt sich häufig die Frage, ob eine vollständige Löschung oder eine Anonymisierung der Daten die angemessene Methode ist. Die Löschung bedeutet die vollständige und unwiederbringliche Entfernung personenbezogener Daten aus allen Systemen. Die Anonymisierung hingegen verändert die Daten so, dass kein Personenbezug mehr hergestellt werden kann. Anonymisierte Daten fallen nicht mehr unter die DSGVO und können weiterhin für statistische oder analytische Zwecke genutzt werden. Beide Methoden können grundsätzlich zur Erfüllung des Löschungsanspruchs geeignet sein, wobei die Anonymisierung nur dann als gleichwertig anerkannt wird, wenn die Rückführung auf einzelne Personen tatsächlich und dauerhaft ausgeschlossen ist. Eine Pseudonymisierung reicht hierfür ausdrücklich nicht aus, da pseudonymisierte Daten weiterhin als personenbezogene Daten gelten und dem vollen Schutz der DSGVO unterliegen.
Fristen und Konsequenzen bei Verstößen
Die DSGVO verlangt die unverzügliche Löschung nach Eingang eines berechtigten Löschungsantrags. Analog zum Auskunftsrecht gilt eine Bearbeitungsfrist von einem Monat. Innerhalb dieser Frist muss der Verantwortliche die Löschung durchführen oder die betroffene Person über die Gründe informieren, warum die Löschung nicht erfolgt. Bei komplexen Anfragen kann die Frist um zwei weitere Monate verlängert werden, wobei die betroffene Person innerhalb des ersten Monats über die Verlängerung informiert werden muss.
Verstöße gegen die Löschungspflicht können mit Bußgeldern von bis zu 4% des weltweiten Jahresumsatzes geahndet werden. Die EDPB-Leitlinien betonen, dass Unternehmen nachweisen müssen, dass sie über funktionierende Prozesse zur Bearbeitung von Löschungsanfragen verfügen. Weitere Informationen zur Bußgeldpraxis finden Sie in unserem Artikel zu GDPR Fines.
FAQ
Müssen alle Daten gelöscht werden, wenn eine Löschungsanfrage eingeht?
Nein, gelöscht werden müssen nur die Daten, für die ein Löschungsgrund nach Artikel 17 Absatz 1 DSGVO vorliegt und keine Ausnahme nach Absatz 3 greift. Daten, die aufgrund gesetzlicher Aufbewahrungspflichten weiterhin gespeichert werden müssen, sind von der Löschung ausgenommen, aber die Verarbeitung muss auf die Aufbewahrung beschränkt werden.
Kann ein Unternehmen die Löschung verweigern?
Ja, die Löschung kann verweigert werden, wenn eine der Ausnahmen nach Artikel 17 Absatz 3 DSGVO greift — etwa bei gesetzlichen Aufbewahrungspflichten, zur Ausübung der Meinungsfreiheit oder zur Geltendmachung von Rechtsansprüchen. Der Verantwortliche muss die betroffene Person über die Gründe der Verweigerung informieren und auf das Beschwerderecht bei der Aufsichtsbehörde hinweisen.
Was passiert mit Daten in Backup-Systemen?
Daten in Backup-Systemen unterliegen grundsätzlich ebenfalls dem Löschungsanspruch. In der Praxis akzeptieren Aufsichtsbehörden jedoch, dass Daten in Backups bei der nächsten regulären Rotation überschrieben werden, sofern die Daten in den aktiven Systemen bereits gelöscht wurden und die Backup-Daten nicht aktiv genutzt werden. Die Datenschutzkonferenz (DSK) hat Anfang 2026 unter dem Vorsitz von Baden-Württemberg Reformvorschläge zur DSGVO vorgelegt, die unter anderem eine stärkere Verantwortung der Hersteller von Standardsoftware für die technische Umsetzbarkeit von Löschanforderungen fordern.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
