Löschkonzepte: Neue EuGH-Urteil und Millionen-Strafe verschärfen Regeln

Datenschutzverstöße werden teuer: Ein neues EuGH-Urteil und eine Rekordstrafe aus Hamburg zwingen Unternehmen zu automatisierten Löschkonzepten. Wer jetzt nicht handelt, riskiert siebenstellige Bußgelder.

Die datenschutzrechtliche Landschaft hat sich im vierten Quartal 2025 grundlegend verändert. Das Urteil des Europäischen Gerichtshofs (EuGH) vom 2. Dezember im Fall Russmedia Digital verschärft die Haftung für Online-Plattformen. Parallel wirkt seit September die volle Anwendung des EU Data Act. Diese Entwicklungen treffen auf die jährliche Datenbereinigungswelle zum Jahreswechsel – und auf den Schock einer 900.000-Euro-Strafe aus Hamburg für mangelhafte Löschpraktiken.

EuGH-Urteil weitet Haftung für Plattformen massiv aus

Am 2. Dezember entschied der EuGH, dass Betreiber von Online-Marktplätzen neben ihren Nutzern als gemeinsame Verantwortliche nach der DSGVO gelten können. Das Gericht sah es als erwiesen an, dass Plattformen durch ihre Allgemeinen Geschäftsbedingungen, die Inhaltsmoderation und die Indexierung von Anzeigen die „Zwecke und Mittel“ der Datenverarbeitung mitbestimmen.

Passend zum Thema Löschpflichten und Prüfungsrisiken – ein lückenhaftes Verzeichnis der Verarbeitungstätigkeiten macht Sie angreifbar. Diese kostenlose, editierbare Excel-Vorlage führt Sie systematisch durch Art. 30 DSGVO, dokumentiert Zwecke, Aufbewahrungsfristen und Verantwortlichkeiten und hilft so, automatisierte Löschroutinen prüfungssicher zu machen. Ideal für Datenschutzbeauftragte und Geschäftsführer, die Bußgelder vermeiden wollen. Verarbeitungsverzeichnis nach Art. 30 kostenlos herunterladen

Die Konsequenz? Plattformen können sich nicht länger als neutrale „Host-Provider“ verstehen. Sie müssen proaktiv die Richtigkeit von Daten prüfen und vor allem für deren rechtzeitige Löschung sorgen, sobald der Zweck einer Anzeige erfüllt ist oder ein Nutzer sie entfernt. Das Urteil schreibt damit automatisierte Löschroutinen vor, die an Nutzeraktionen gekoppelt sind. Eine zentrale Grauzone für „Zombie-Daten“ auf Servern ist damit geschlossen.

Die 900.000-Euro-Lektion aus Hamburg

Während das EuGH-Urteil den rechtlichen Rahmen setzt, zeigt eine Strafe aus Hamburg die praktischen Kosten von Verstößen. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit verhängte eine Geldbuße von 900.000 Euro gegen einen Inkassodienstleister. Grund waren systematische Mängel beim Löschen von Daten.

Die Prüfung ergab, dass das Unternehmen sensible Schuldnerdaten teils fünf Jahre länger aufbewahrte, als gesetzlich erlaubt. Der zentrale Vorwurf: das Fehlen eines automatisierten, rechtssicheren Löschkonzepts. Die manuellen und stichprobenartigen Löschvorgänge genügten den Anforderungen der DSGVO nicht. Die Strafe richtet sich nicht nur gegen das Speichern, sondern gegen das Fehlen eines systematischen Prozesses zum Entfernen von Daten – ein Verstoß gegen Artikel 17 DSGVO.

Data Act: Neue Pflichten seit September

Seit dem 12. September 2025 gilt der EU Data Act in vollem Umfang. Er ergänzt die Lösch- und Portabilitätspflichten der DSGVO. Hersteller vernetzter Geräte und Dienstleister müssen ihre Datenarchitektur anpassen.

Nutzer haben nun ein Recht, von ihren Produkten erzeugte Daten abzurufen und weiterzugeben. Im Gegenzug müssen Unternehmen Daten, für die sie keine Nutzererlaubnis mehr haben, isolieren und löschen. Branchenberichte der letzten Tage zeigen: Viele Firmen kämpfen damit, diese neuen Portabilitätsanfragen mit ihren bestehenden DSGVO-Löschplänen in Einklang zu bringen. Eine große technische Hürde im vierten Quartal ist das Löschen personenbezogener Daten aus „gemischten“ Datensätzen, ohne die Dienstqualität für andere Nutzer zu beeinträchtigen.

Ausblick 2026: Automatisierung wird überlebenswichtig

Das Modell der manuellen Löschung ist damit obsolet. Die Kombination aus EuGH-Rechtsprechung und Data Act macht automatisierte Datenverwaltung zur Pflicht.

Handlungsempfehlungen für das neue Jahr:
* Gemeinsame Verantwortung prüfen: Plattformen müssen ihre Vereinbarungen nach Artikel 26 DSGVO aktualisieren und Löschverantwortlichkeiten klar regeln.
* Aufbewahrungsfristen auditieren: Die Hamburg-Strafe zeigt: „Vergessene“ Daten sind ein Risiko. Automatisierte Skripte sollten täglich oder wöchentlich, nicht nur jährlich laufen.
* Data Act einbinden: Portabilitätsanfragen nach dem Data Act dürfen nicht im Widerspruch zu Löschpflichten nach der DSGVO stehen.

Der Europäische Datenschutzausschuss hat „effektive Löschung“ bereits als Schwerpunkt für 2024-2025 benannt. Die Messlatte liegt höher. Der Ansatz „Löschen als Standard“ wandelt sich vom Best-Practice zum Überlebenskonzept für jedes datenverarbeitende Unternehmen.

PS: Sie müssen Löschkonzepte und Verzeichnisse vor dem Jahreswechsel prüfen? Mit der kostenlosen Excel-Vorlage für das Verarbeitungsverzeichnis erstellen Sie in kurzer Zeit ein prüfungssicheres Dokument – inklusive Pflichtfeldern, Anleitung und Hinweisen für automatische Löschroutinen. So dokumentieren Sie Aufbewahrungsfristen, Verantwortlichkeiten und Bereinigungsprozesse rechtskonform und reduzieren das Risiko hoher Bußgelder. Jetzt Verarbeitungsverzeichnis-Excel herunterladen