„Recht auf Löschen“ in der Praxis – erhebliche Umsetzungsdefizite europaweit

Der Europäische Datenschutzausschuss (EDSA) hat am 18. Februar 2026 seinen Abschlussbericht zur vierten Runde des Coordinated Enforcement Framework (CEF) veröffentlicht. Thema des CEF 2025 war die Umsetzung des Rechts auf Löschung nach Art. 17 DSGVO. 32 europäische Aufsichtsbehörden beteiligten sich und übersandten einen einheitlichen Fragebogen an Verantwortliche; 764 Behörden, Unternehmen und weitere Stellen – darunter 60 in Deutschland – antworteten. Aus Deutschland nahmen die Landesdatenschutzbehörden aus Baden-Württemberg, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen und Rheinland-Pfalz sowie der Bundesbeauftragte teil. Neun Aufsichtsbehörden leiteten formelle Untersuchungen ein oder setzten laufende fort; 23 führten eine Tatsachenerhebung durch.

Sieben wiederkehrende Herausforderungen

Das Gesamtergebnis fällt ernüchternd aus: Das allgemeine Compliance-Niveau wird als „durchschnittlich“ bewertet. Sieben wiederkehrende Hauptprobleme wurden identifiziert, die jenen aus dem CEF 2024 zum Auskunftsrecht teilweise entsprechen – insbesondere das Fehlen angemessener interner Verfahren und unzureichende Informationen gegenüber betroffenen Personen.

Konkret benannt werden darüber hinaus: fehlende klare interne Regelungen zu Zeitpunkt und Modalitäten der Löschung, fehlende Schulungen sowie Rechtsunsicherheiten bei der Prüfung von Ausnahmetatbeständen, bei Aufbewahrungsfristen und bei den Anforderungen an die Löschung in Back-up-Systemen sowie an die Anonymisierung.

Zur Anonymisierung als Ersatz für Löschung formuliert der Bericht besondere Kritik: Einige Verantwortliche ersetzten die Löschung durch Anonymisierungsmaßnahmen, ohne hinreichende Garantien für deren Irreversibilität zu bieten. Bemerkenswert ist dabei, dass die Unternehmensgröße keine verlässliche Aussagekraft hat: Manche mittelgroßen Verantwortlichen setzten robuste Anonymisierungsverfahren ein, während einzelne große Unternehmen schwächere Maskierungstechniken nutzten.

Ausnahmetatbestände als Problembereich

Da das Löschrecht kein absolutes Recht ist, haben viele Verantwortliche Schwierigkeiten, die Voraussetzungen für seine Ausübung zu prüfen und die erforderlichen Abwägungen zwischen dem Löschrecht und anderen Rechten und Freiheiten vorzunehmen. Die am häufigsten angewandten Ausnahmen nach Art. 17 Abs. 3 DS-GVO sind die Erfüllung gesetzlicher Pflichten (lit. b) sowie die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (lit. e).

Folgemassnahmen und Ausblick

Die französische CNIL hat im Rahmen des CEF zwei formelle Hinweise erteilt, die zu Sanktionen führen können. Der deutsche Annex zum EU-Abschlussbericht enthält eine Vielzahl an Best Practices zu den abgefragten Themenkomplexen. Das CEF 2026 wird sich auf die Transparenz- und Informationspflichten nach Art. 12–14 DS-GVO konzentrieren – also die Compliance mit den Informationspflichten gegenüber betroffenen Personen.

Praxishinweis

Der Bericht liefert Datenschutzbeauftragten eine aktuelle Benchmark für interne Audits: Checklisten zu Art. 17 DS-GVO sollten insbesondere die Themen Back-up-Löschprozesse, Anonymisierungsstandards, Ausnahmeprüfung und interne Schulungen abdecken. Der nationale Annex mit deutschen Best Practices ist als Ergänzung zum EDSA-Hauptbericht gesondert abrufbar.

(Foto: Kreatif Studio – stock.adobe.com)