Löschpflicht: Europas Unternehmen scheitern an DSGVO

Die Umsetzung des Rechts auf Vergessenwerden bleibt für viele Unternehmen eine große Herausforderung. Zu diesem ernüchternden Fazit kommt der Europäische Datenschutzausschuss in seinem aktuellen Bericht. Die Aufsichtsbehörden bewerten das allgemeine Compliance-Niveau nur als durchschnittlich.

Europaweite Prüfung offenbart massive Defizite

Der Bericht fasst die Ergebnisse einer einjährigen, koordinierten Überprüfungsaktion aus 2025 zusammen. Zweiunddreißig Aufsichtsbehörden im Europäischen Wirtschaftsraum hatten insgesamt 764 Datenverantwortliche untersucht – von KMU über multinationale Konzerne bis zu öffentlichen Stellen. Neun Behörden leiteten daraufhin neue formelle Untersuchungen ein.

Das Recht auf Löschung nach Artikel 17 der DSGVO ist eines der am häufigsten genutzten Betroffenenrechte. Es erlaubt Personen, die dauerhafte Entfernung ihrer Daten zu verlangen. Doch viele Organisationen behandeln Löschungen noch immer als Ad-hoc-Aufgabe, nicht als systematische Pflicht.

Sieben kritische Schwachstellen identifiziert

Der Ausschuss benennt sieben Hauptprobleme. Ein zentraler Mangel sind fehlende, dokumentierte interne Verfahren. Oft gibt es keinen standardisierten Workflow, was zu Verzögerungen und inkonsistenter Anwendung führt. Hinzu kommt mangelhafte Mitarbeiterschulung.

Die größten Hürden sind jedoch technischer Natur. Unternehmen haben Schwierigkeiten, personenbezogene Daten aus verschlüsselten Backups zu isolieren und zu löschen, ohne die gesamte Notfallwiederherstellungs-Infrastruktur zu gefährden.

Ein weiteres Problem ist die Verwechslung von Pseudonymisierung und Anonymisierung. Viele Firmen glauben, mit Pseudonymisierung der Löschpflicht genügt zu haben. Doch pseudonymisierte Daten unterliegen weiterhin der DSGVO, da eine Re-Identifizierung möglich bleibt. Nur echte Anonymisierung, die Daten vollständig unidentifizierbar macht, gilt rechtlich als Löschung.

Zudem herrscht große Unsicherheit bei den gesetzlichen Ausnahmen. Das Recht auf Vergessenwerden ist nicht absolut. Unternehmen müssen komplexe Abwägungen treffen, etwa zwischen dem Löschwunsch und gesetzlichen Aufbewahrungsfristen für Steuerdaten.

Lage in Deutschland: Gemischtes Bild

In Deutschland wurden sechzig öffentliche und private Stellen überprüft. Die Datenschutzkonferenz bestätigt: Das Compliance-Niveau variiert stark je nach Unternehmensgröße, Branche und Anzahl der Löschanträge.

Die Aufsichtsbehörden in Niedersachsen und Brandenburg lieferten detaillierte Einblicke. In Niedersachsen schnitten die geprüften zehn Unternehmen und zehn Behörden insgesamt positiv ab. Sie verstanden die Verfahren und kommunizierten angemessen mit Betroffenen.

Anders bei zehn großen Wohnungsunternehmen in Brandenburg. Hier zeigten sich die europaweiten Probleme deutlich. Die Behörde betonte den dringenden Bedarf an automatisierten, routinemäßigen Löschprotokollen anstelle manueller Einzelfallprüfungen.

Herausforderungen für digitale Identität und Lieferketten

Die Löschpflicht stellt Unternehmen auch bei der Datenweitergabe vor immense Probleme. Wenn ein Verantwortlicher Daten öffentlich macht und später einen Löschantrag erhält, muss er „angemessene Schritte“ unternehmen, um andere Verarbeiter zu informieren.

Dies erfordert eine lückenlose Datenlandkarte, um nachzuvollziehen, wohin Informationen fließen. Der Bericht zeigt: Oft werden Löschanträge nicht an Dritte wie Cloud-Anbieter oder Marketingplattformen kommuniziert. Daten verbleiben so auf externen Servern.

Für Suchmaschinen ist die Last besonders hoch. Sie müssen stets abwägen, ob das öffentliche Interesse an Informationen das Persönlichkeitsrecht des Einzelnen auf Delisting überwiegt.

Ausblick: Schärfere Kontrollen und neuer Fokus für 2026

Die Aufsichtsbehörden fordern Unternehmen auf, sofort ihre Aufbewahrungsfristen, Backup-Protokolle und Anonymisierungstechniken zu überprüfen. Wer keine robusten Löschmechanismen implementiert, riskiert verstärkte Kontrollen.

Der regulatorische Fokus verschiebt sich bereits. Die koordinierte Überprüfungsaktion für 2026 wird sich nicht mehr mit dem Löschrecht befassen. Stattdessen untersuchen die Behörden die Transparenzpflichten nach den Artikeln 12, 13 und 14 der DSGVO. Unternehmen müssen dann nachweisen, dass ihre Datenschutzerklärungen und Hinweise transparent, leicht zugänglich und rechtlich umfassend sind.