„Recht auf Löschen“ in der Praxis – erhebliche Umsetzungsdefizite europaweit
Der Europäische Datenschutzausschuss (EDSA) hat am 18. Februar 2026 seinen Abschlussbericht zur vierten Runde des Coordinated Enforcement Framework (CEF) veröffentlicht. Thema des CEF 2025 war die Umsetzung des Rechts auf Löschung nach Art. 17 DSGVO. 32 europäische Aufsichtsbehörden beteiligten sich und übersandten einen einheitlichen Fragebogen an Verantwortliche; 764 Behörden, Unternehmen und weitere Stellen – darunter 60 in Deutschland – antworteten. Aus Deutschland nahmen die Landesdatenschutzbehörden aus Baden-Württemberg, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen und Rheinland-Pfalz sowie der Bundesbeauftragte teil. Neun Aufsichtsbehörden leiteten formelle Untersuchungen ein oder setzten laufende fort; 23 führten eine Tatsachenerhebung durch.
Sieben wiederkehrende Herausforderungen
Das Gesamtergebnis fällt ernüchternd aus: Das allgemeine Compliance-Niveau wird als „durchschnittlich“ bewertet. Sieben wiederkehrende Hauptprobleme wurden identifiziert, die jenen aus dem CEF 2024 zum Auskunftsrecht teilweise entsprechen – insbesondere das Fehlen angemessener interner Verfahren und unzureichende Informationen gegenüber betroffenen Personen.
Konkret benannt werden darüber hinaus: fehlende klare interne Regelungen zu Zeitpunkt und Modalitäten der Löschung, fehlende Schulungen sowie Rechtsunsicherheiten bei der Prüfung von Ausnahmetatbeständen, bei Aufbewahrungsfristen und bei den Anforderungen an die Löschung in Back-up-Systemen sowie an die Anonymisierung.
Zur Anonymisierung als Ersatz für Löschung formuliert der Bericht besondere Kritik: Einige Verantwortliche ersetzten die Löschung durch Anonymisierungsmaßnahmen, ohne hinreichende Garantien für deren Irreversibilität zu bieten. Bemerkenswert ist dabei, dass die Unternehmensgröße keine verlässliche Aussagekraft hat: Manche mittelgroßen Verantwortlichen setzten robuste Anonymisierungsverfahren ein, während einzelne große Unternehmen schwächere Maskierungstechniken nutzten.
Ausnahmetatbestände als Problembereich
Da das Löschrecht kein absolutes Recht ist, haben viele Verantwortliche Schwierigkeiten, die Voraussetzungen für seine Ausübung zu prüfen und die erforderlichen Abwägungen zwischen dem Löschrecht und anderen Rechten und Freiheiten vorzunehmen. Die am häufigsten angewandten Ausnahmen nach Art. 17 Abs. 3 DS-GVO sind die Erfüllung gesetzlicher Pflichten (lit. b) sowie die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (lit. e).
Folgemassnahmen und Ausblick
Die französische CNIL hat im Rahmen des CEF zwei formelle Hinweise erteilt, die zu Sanktionen führen können. Der deutsche Annex zum EU-Abschlussbericht enthält eine Vielzahl an Best Practices zu den abgefragten Themenkomplexen. Das CEF 2026 wird sich auf die Transparenz- und Informationspflichten nach Art. 12–14 DS-GVO konzentrieren – also die Compliance mit den Informationspflichten gegenüber betroffenen Personen.
Praxishinweis
Der Bericht liefert Datenschutzbeauftragten eine aktuelle Benchmark für interne Audits: Checklisten zu Art. 17 DS-GVO sollten insbesondere die Themen Back-up-Löschprozesse, Anonymisierungsstandards, Ausnahmeprüfung und interne Schulungen abdecken. Der nationale Annex mit deutschen Best Practices ist als Ergänzung zum EDSA-Hauptbericht gesondert abrufbar.
(Foto: Kreatif Studio – stock.adobe.com)
Letztes Update:07.03.26
Das könnte Sie auch interessieren
-
Folge 94: KI-Reallabore, Kinder und Gesundheit
Die unabhängige Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ hat am 24. Juni 2026 ihre Handlungsempfehlungen vorgelegt. Der Bericht trägt den Titel „Entwicklung stärken, Verantwortung übernehmen“ und befasst sich insbesondere mit den Auswirkungen Künstlicher Intelligenz auf Kinder und Jugendliche. Markus Beckedahl, der Gründer des Zentrums für Digitalrechte und Demokratie, diskutiert das „KI-Seepferdchen“ (HE 12),
Mehr erfahren -
Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts
Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO
Mehr erfahren -
Datenschutzverstoß beim Online-Recruiting
Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck
Mehr erfahren

