zur Übersicht

Aktion der Aufsichtsbehörden zu Löschanfragen – 7 Problembereiche und was Unternehmen tun können

Mit der Veröffentlichung des Berichts des Europäischen Datenschutzausschusses (EDSA) vom 10. Februar 2026 liegen nun die konsolidierten Ergebnisse der im Jahr 2025 durchgeführten europaweiten Prüfaktion zur Umsetzung des in Art. 17 DSGVO normierten Rechts auf Löschung vor. Wir berichteten von der Aktion bereits in unserem Beitrag vom 30. Juni 2025.

Insgesamt haben europaweit 764 Verantwortliche an der im Rahmen der Prüfaktion durchgeführten Abfrage teilgenommen. Die Ergebnisse zeigen, dass während einige Unternehmen bereits über strukturierte Prozesse verfügen, in vielen Fällen deutliche Defizite im Rahmen der Umsetzung von Löschanfragen bestehen.

Der EDSA identifiziert zusammengefasst sieben wiederkehrende Problembereiche, zu denen er Handlungsempfehlungen formuliert. Diese geben Verantwortlichen eine verlässliche Orientierung für notwendige Anpassungen im Umgang mit Löschanfragen.

1. Fehlende oder unzureichende interne Prozesse bzgl. Löschanfragen

Problem

Viele Unternehmen verfügen weder über dokumentierte noch regelmäßig aktualisierte Verfahrensanweisungen. Das birgt Risiken z. B. für Fristverstöße, unvollständige Löschungen oder fehlerhafte Ablehnungen.

Handlungsempfehlungen für Unternehmen
  • Regelmäßig zu aktualisierende interne Prozesse inklusive Zuweisung der Zuständigkeiten und Nennung der Fristen festlegen.
  • Verzeichnis der Verarbeitungstätigkeiten (VVT) nutzen, um Löschbereiche zu identifizieren.

2. Fehlende oder unzureichende Schulungen zu Löschanfragen

Problem

Mitarbeitende erkennen Löschanträge nicht oder wissen nicht, wie sie weiterzuleiten sind. Auch die rechtlichen Anforderungen von Art. 17 DSGVO sind oft unbekannt.

Handlungsempfehlungen für Unternehmen
  • Rollenspezifische Schulungen für Fachbereiche, Helpdesks, HR und IT
  • Regelmäßige Auffrischung, z. B. jährlich oder anlassbezogen
  • Einsatz von E‑Learning mit praktischen Tests (z. B. Erkennung fingierter Löschanfragen)

3. Unzureichende Informationen an betroffene Personen zu Löschanfragen

Problem

Viele Datenschutzinformationen erwähnen das Recht auf Löschung nicht zufriedenstellend, z. B., wenn Hinweise zu den Möglichkeiten der Antragsstellung fehlen.

Handlungsempfehlungen für Unternehmen
  • Datenschutzinformationen prüfen und gegebenenfalls um das Recht auf Löschung und dessen Voraussetzungen ergänzen und das Verfahren zur Ausübung erläutern.
  • Kommunikationskanäle etablieren (z. B. Web-Formular, dedizierte E‑Mail-Adresse).
  • Eingangsbestätigungen und transparente Bearbeitungshinweise senden.

4. Unsicherheit bei der Anwendung der Ausnahmen (Art. 17 Abs. 3 DSGVO) bei Löschanfragen

Problem

Der Bericht zeigt deutliche Unsicherheiten bei vielen Verantwortlichen bei der Anwendung der Ausnahmen gemäß Artikel 17 Abs. 3 DSGVO. In einigen Fällen werden Ausnahmen automatisch als anwendbar erachtet, ohne dass eine Einzelfallprüfung durchgeführt wird.

Handlungsempfehlungen für Unternehmen
  • Jede Ablehnung sauber dokumentieren.
  • Juristische Prüfung einbeziehen (Compliance/Legal).

5. Schwierigkeiten bei der Festlegung und Umsetzung von Aufbewahrungsfristen

Problem

Besonders KMU tun sich schwer, unterschiedliche gesetzliche oder betriebliche Fristen auseinanderzuhalten.

Handlungsempfehlungen für Unternehmen
  • Zentrales Lösch- und Aufbewahrungskonzept mit klar zugeordneten Fristen
  • Dokumentation im VVT: Nennung aller geltenden gesetzlichen Verpflichtungen, die die Aufbewahrung der personenbezogenen Daten für einen bestimmten Zeitraum rechtfertigen

6. Umgang mit Löschung in Backups

Problem

Backups werden von vielen Unternehmen ohne ausreichende Begründung pauschal von der Löschung ausgenommen.

Handlungsempfehlungen für Unternehmen
  • Technische und organisatorische Maßnahmen definieren, wie Löschungen nachträglich berücksichtigt werden (z. B. beim Restore).
  • Backup-Richtlinien definieren: Aufbewahrungsfristen, Überschreibzyklen, technische Grenzen.

7. Herausforderungen bei der Anonymisierung

Problem

Eine gängige Praxis unter den Verantwortlichen ist es, sich auf die Anonymisierung als Ersatz für eine dauerhafte Löschung personenbezogener Daten zu stützen.

Handlungsempfehlungen für Unternehmen
  • Nur echte Anonymisierung als Löschalternative einsetzen (auf Re‑Identifizierungsrisiko achten).
  • Technische Standards berücksichtigen (z. B. ISO/IEC 27001).
  • Prüfen, ob überhaupt ein berechtigtes Interesse für anonymisierte Weiterverarbeitung besteht.

Fazit

Wir erwarten, dass die Aufsichtsbehörden die Feststellungen aus dem Bericht bei ihren Prüfungen in den Fokus nehmen werden. Unternehmen sollten im Blick behalten, ob die Aufsichtsbehörden weiteren Empfehlungen des Berichts folgend auch praktische Anleitungen zum Thema veröffentlichen.

Unternehmen, die sich bislang nur punktuell mit Löschprozessen befasst haben, sollten den Ergebnisbericht des EDSA zum Anlass nehmen, ein umfassendes und rechtssicheres Verfahren zur Behandlung von Löschanfragen zu etablieren und dabei den Fokus insbesondere auf Transparenz, Sensibilisierung, Dokumentation und technische Umsetzbarkeit legen.

Wir sind Ihnen bei der Erstellung und Umsetzung oder der Überprüfung eines Verfahrens zum Umgang mit Löschersuchen oder eines Löschkonzepts gerne behilflich. Sprechen Sie uns gerne an!

Und abonnieren Sie unseren Newsletter, um bei allen weiteren Themen zum Datenschutz immer auf dem aktuellen Stand zu sein.