Art. 17 DSGVO Löschrecht: Löschgründe, Aufbewahrungspflichten, DIN 66398, Löschkonzept, Nachweise und typische Fehler in der Praxis.
RL
Robert LozoPartner · CIPP/E · CIPM · CISM
01. MAI 2026
Das Recht auf Löschung (auch „Recht auf Vergessenwerden") nach Art. 17 DSGVO verpflichtet Verantwortliche, personenbezogene Daten zu löschen, wenn einer von sechs Löschgründen erfüllt ist. In der Praxis kollidiert das Löschungsrecht häufig mit gesetzlichen Aufbewahrungspflichten aus HGB, AO, GoBD und branchenspezifischen Vorgaben — die korrekte Abwägung ist die zentrale Herausforderung. Ein strukturiertes Löschkonzept nach DIN 66398 definiert die Löschfristen pro Datenkategorie und sorgt für rechtssichere Umsetzung. Bei Verletzung des Löschungsrechts drohen Bußgelder bis 20 Mio. EUR oder 4 % weltweiter Jahresumsatz — und in der Bußgeldpraxis 2024/2025 ist die Verletzung des Löschungsrechts einer der drei häufigsten Sanktionsgründe.
Kerntatsachen
Sechs Löschgründe nach Art. 17 Abs. 1 — vom Wegfall der Erforderlichkeit über Widerruf der Einwilligung bis zu rechtswidriger Verarbeitung.
Frist für die Löschung:„unverzüglich" — typischerweise binnen 1 Monat in Analogie zu Art. 12 DSGVO.
Aufbewahrungspflichten nach HGB, AO, GoBD und Spezialgesetzen sind das wichtigste Gegen-Argument zur Löschung.
Mitteilungspflicht an Empfänger nach Art. 19 DSGVO — Empfänger müssen über Löschung informiert werden.
Recht auf Vergessenwerden nach Art. 17 Abs. 2 — bei öffentlichen Daten zusätzliche Pflicht zur Information anderer Verantwortlicher.
BRAUCHEN SIE UNTERSTÜTZUNG?
Von der Klassifizierung zur Konformität.
Wir helfen Organisationen in der EU, ihre KI-Systeme zu klassifizieren, die technische Dokumentation aufzubauen und die geforderte Governance einzurichten. Starten Sie mit einem 30-Minuten-Termin.
Weiterlesen.
Sieben Ausnahmen nach Art. 17 Abs. 3 — Meinungsfreiheit, Aufbewahrungspflicht, öffentliches Interesse, Forschung, Rechtsanspruch.
Löschkonzept nach DIN 66398 ist der Standard — strukturierte Aufstellung aller Datenkategorien mit Aufbewahrungs- und Löschfristen.
Bußgeldpraxis: typisch 25.000–500.000 EUR — bei systematischer Verletzung deutlich höher.
Das Recht auf Löschung verpflichtet den Verantwortlichen, personenbezogene Daten zu löschen, wenn einer von sechs Löschgründen erfüllt ist. Es ist eines der stärksten Betroffenenrechte der DSGVO.
Zwei Komponenten
Komponente
Inhalt
Löschungspflicht
Daten werden physisch und logisch entfernt
Mitteilungspflicht
Empfänger der Daten werden informiert
Wer kann das Recht ausüben?
Jede natürliche Person, deren personenbezogene Daten verarbeitet werden. Die Ausübung kann formlos erfolgen — schriftlich, per E-Mail, telefonisch.
Kennzahl
Etwa 35 % aller DSGVO-Beschwerden bei deutschen Aufsichtsbehörden betreffen das Löschungsrecht — von verspäteten Löschungen bis zu kompletter Verweigerung. Die meisten dieser Beschwerden enden mit einer behördlichen Anordnung zur Löschung — bei systematischen Verstößen mit Bußgeld.
Sechs Löschgründe
Art. 17 Abs. 1 listet sechs Tatbestände, bei deren Vorliegen die Löschungspflicht besteht.
Grund 1 — Daten nicht mehr erforderlich
„Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig."
Klassische Anwendung: Beendigung eines Vertragsverhältnisses, Ablauf eines Probearbeitsverhältnisses ohne Einstellung, Ende eines Werbe-Aufmarschs.
Grund 2 — Widerruf der Einwilligung
„Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung."
Wichtige Einschränkung: Der Widerruf führt nur dann zur Löschpflicht, wenn keine andere Rechtsgrundlage greift (z. B. berechtigtes Interesse, Vertragserfüllung, gesetzliche Verpflichtung).
Grund 3 — Widerspruch gegen Verarbeitung
„Die betroffene Person legt gemäß Art. 21 Abs. 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Art. 21 Abs. 2 Widerspruch gegen die Verarbeitung ein."
Der Widerspruch nach Art. 21 Abs. 2 (gegen Direktwerbung) ist immer wirksam — keine Abwägung erforderlich. Der allgemeine Widerspruch nach Art. 21 Abs. 1 erfordert eine Interessenabwägung.
Grund 4 — Rechtswidrige Verarbeitung
„Die personenbezogenen Daten wurden unrechtmäßig verarbeitet."
Beispiel: Daten ohne Rechtsgrundlage erhoben, ohne Einwilligung verarbeitet, gegen Zweckbindung verstoßen.
Grund 5 — Rechtliche Verpflichtung zur Löschung
„Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt."
Beispiel: Branchenspezifische Löschpflichten, etwa nach abgelaufener Speicherfrist im Versicherungswesen.
Grund 6 — Daten von Kindern
„Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 erhoben."
Spezialfall für Daten, die im Kontext von Online-Diensten von Kindern erhoben wurden.
Bei mehreren Gründen
Wenn mehrere Gründe einschlägig sind: schon einer reicht aus, um die Löschpflicht auszulösen.
Aufbewahrungspflichten
Aufbewahrungspflichten sind das wichtigste Gegen-Argument zur Löschung. Wenn gesetzliche Aufbewahrungspflichten greifen, ist die Löschung nicht zulässig.
Standard-Aufbewahrungspflichten in Deutschland
Datenkategorie
Aufbewahrungsfrist
Rechtsgrundlage
Buchungsbelege, Bilanzen, Geschäftsbücher
10 Jahre
§ 257 HGB
Geschäftsbriefe (Eingang/Ausgang)
6 Jahre
§ 257 HGB
Steuerunterlagen
10 Jahre
§ 147 AO
Rechnungen
10 Jahre
§ 14b UStG
Lohn- und Gehaltsabrechnungen
6 Jahre
§ 41 Abs. 1 EStG
Personalakten
3 Jahre nach Beendigung (mindestens)
rechtsprechungsabhängig, oft 10 Jahre wegen Steuer- und Sozialversicherungs-Bezug
Bewerbungsunterlagen abgelehnter Bewerber
6 Monate nach Ablehnung
rechtsprechungsabhängig
Versicherungs-Vertragsdaten
bis zu 30 Jahre
je nach Versicherungsart
Patientendaten Krankenhaus
30 Jahre
Krankenhausgesetze, Berufsordnungen
Bauunterlagen
5–30 Jahre
je nach Art und Bundesland
Geldwäsche-Unterlagen
5 Jahre
§ 8 GwG
Praxis-Konsequenz
Bei einem Löschantrag muss der Verantwortliche systematisch prüfen:
Ist ein Löschgrund nach Art. 17 Abs. 1 erfüllt?
Greift eine gesetzliche Aufbewahrungspflicht?
Falls ja: kann Einschränkung der Verarbeitung nach Art. 18 DSGVO erfolgen?
Einschränkung der Verarbeitung als Alternative
Bei Aufbewahrungspflicht: die Daten dürfen nicht gelöscht werden, aber sie müssen aus aktiven Verarbeitungs-Systemen entfernt und nur noch zur Aufbewahrung archiviert werden. Praktische Umsetzung:
Daten aus aktiven Datenbanken entfernen
in Archiv-Systeme mit reduzierten Zugriffsrechten verlagern
Verarbeitung nur noch zur Erfüllung der Aufbewahrungspflicht
Markierung der Daten als „aufbewahrungspflichtig nach §§ XYZ"
Sieben Ausnahmen
Art. 17 Abs. 3 listet sieben Ausnahmen, bei denen die Löschungspflicht nicht besteht.
(c) öffentliches Interesse im Bereich der öffentlichen Gesundheit
Pandemie-Bekämpfung, Gesundheitsstatistik
(d) Archivzwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschungszwecke, statistische Zwecke
Bibliotheken, Archive, Forschungseinrichtungen
(e) Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
bei laufenden oder absehbaren Gerichtsverfahren
Praktische Anwendung
Die häufigste Ausnahme ist (b) — rechtliche Verpflichtung. Steuerliche und handelsrechtliche Aufbewahrungspflichten greifen in fast jedem Unternehmen.
Die Ausnahme (e) — Rechtsansprüche ist relevant bei:
laufenden oder absehbaren Gerichtsverfahren
Garantie- und Gewährleistungsfällen
Verjährungsfristen (regelmäßig 3 Jahre, in Sonderfällen 30 Jahre)
Recht auf Vergessenwerden
Art. 17 Abs. 2 DSGVO regelt einen Sonderfall: Wenn der Verantwortliche personenbezogene Daten öffentlich gemacht hat (z. B. auf der Website, im Internet), muss er nicht nur löschen, sondern auch andere Verantwortliche informieren, dass die Daten zu löschen sind.
Anwendung
Konstellation
Pflicht
Öffentlich publizierte Daten
Löschung + Information anderer Verantwortlicher
Rein interne Daten
nur Löschung
Beispiel-Szenarien
Ein Unternehmen veröffentlicht eine Pressemitteilung mit Mitarbeiter-Foto. Bei späterem Löschverlangen muss das Unternehmen auch andere Websites informieren, die die Pressemitteilung übernommen haben.
Eine Rezension auf einer Bewertungsplattform mit Klarnamen — die Plattform muss auf Löschverlangen die Rezension löschen und ggf. Suchmaschinen über die Löschung informieren.
Verhältnismäßigkeit
Art. 17 Abs. 2 verlangt nur „angemessene Schritte" unter Berücksichtigung der verfügbaren Technologie und Implementierungskosten. Eine vollständige Beseitigung im Internet ist nicht immer möglich (z. B. Wayback-Machine-Archivierungen).
EuGH C-131/12 (Google Spain)
Das berühmte „Recht auf Vergessenwerden"-Urteil des EuGH von 2014 hat die Grundlage für Art. 17 Abs. 2 gelegt. Suchmaschinen müssen auf Antrag der Betroffenen unter bestimmten Bedingungen Suchergebnisse entfernen.
Mitteilungspflicht
Art. 19 DSGVO regelt die Mitteilungspflicht an Empfänger.
Pflicht
Der Verantwortliche muss alle Empfänger, denen er die Daten offengelegt hat, über die Löschung informieren — sofern dies sich nicht als unmöglich erweist oder mit unverhältnismäßigem Aufwand verbunden wäre.
Empfänger im Sinne der Pflicht
Empfänger
Mitteilungspflicht?
Auftragsverarbeiter (z. B. Hosting)
ja — automatisch via AVV
Eigene Dienstleister
ja, falls Daten weitergegeben
Behörden (auf Anforderung)
nicht erforderlich
Geschäftspartner mit weitergegebenen Daten
ja
Suchmaschinen (bei öffentlichen Daten)
je nach Konstellation
Information des Betroffenen
Auf Anfrage des Betroffenen muss der Verantwortliche die Empfänger benennen, die er informiert hat (Art. 19 Satz 2). Praktische Konsequenz: Empfänger-Liste pro Datenverarbeitung muss dokumentiert sein.
Technisches Löschen
Was bedeutet „Löschen" technisch?
Drei Stufen
Stufe
Bedeutung
Logisches Löschen
Daten als „gelöscht" markiert, aber physisch noch vorhanden — nicht ausreichend für DSGVO
Physisches Löschen
Daten aus aktiven Systemen entfernt, aber ggf. noch in Backups
Vollständiges Löschen
Daten aus allen Speichern (aktiv + Backup) endgültig entfernt
Backup-Problematik
Backups stellen eine besondere Herausforderung dar:
Daten in regulär rotierenden Backups sind temporär noch vorhanden
Backup-Aufbewahrungsfristen (typisch 30–90 Tage) sind in der Regel akzeptiert
Längere Backup-Aufbewahrung muss durch Aufbewahrungspflicht oder berechtigte Interessen begründet werden
Empfehlung der Aufsichtsbehörden
Die Datenschutzkonferenz (DSK) und die meisten Landes-DPAs akzeptieren:
Aktive Daten: sofortige Löschung
Backup-Daten: Löschung im nächsten regulären Backup-Zyklus (typ. 30–90 Tage)
Dokumentation des Löschprozesses pro Datensatz
DIN 66399 — Datenschutzgerechte Vernichtung
Bei physischen Datenträgern ist DIN 66399 der Standard für sichere Vernichtung:
Schutzklasse
Sicherheitsstufe
1
normale Daten
2
sensible Daten
3
besonders sensible Daten
Löschkonzept DIN 66398
Ein Löschkonzept nach DIN 66398 ist die strukturierte Aufstellung aller Datenkategorien mit den jeweiligen Aufbewahrungs- und Löschfristen.
Aufbau eines Löschkonzepts
Spalte
Inhalt
Datenkategorie
konkret bezeichnet (z. B. „Bewerbungsunterlagen abgelehnter Bewerber")
System / Speicherort
wo werden die Daten gespeichert
Rechtsgrundlage
warum dürfen sie verarbeitet werden
Aufbewahrungspflicht
gesetzlich oder vertraglich
Aufbewahrungsfrist
konkreter Zeitraum
Löschfrist
wann muss gelöscht werden
Löschtrigger
Ereignis, das den Lauf der Frist beginnt
Verantwortliche Person / Abteilung
wer ist zuständig
Löschverfahren
wie wird gelöscht
Dokumentation
wie wird die Löschung nachgewiesen
Beispielzeile
Datenkategorie
System
Aufbewahrungs-Frist
Löschverfahren
Bewerbungsunterlagen abgelehnter Bewerber
Bewerbermanagement-System
6 Monate nach Ablehnung
automatischer Job-Lauf, monatlich, mit Lösch-Log
Pflege des Löschkonzepts
Aktivität
Frequenz
Vollständigkeits-Review
jährlich
Aktualisierung bei neuen Verarbeitungen
sofort
Wirksamkeits-Check (Stichproben)
quartalsweise
Schulung der Verantwortlichen
jährlich
Workflow
Ein effizienter Workflow für die Bearbeitung von Löschanträgen.
bei Ablehnung: schriftliche Begründung an Antragsteller
Phase 3 — Umsetzung (Tag 10–25)
Löschung in allen relevanten Systemen
Information an Auftragsverarbeiter
Information an Empfänger nach Art. 19
Backup-Lösch-Trigger setzen
Phase 4 — Bestätigung (Tag 25–30)
Bestätigung der Löschung an Antragsteller
Dokumentation im Antrags-Katalog
ggf. Nachweis (Löschprotokoll)
Häufige Fehler
Aus der Praxis — die zehn häufigsten Fehler bei Löschanträgen.
Top-10 Fehler
Fehler
Häufigkeit
Auswirkung
Frist verpasst
35 %
Bußgeld + Schadensersatz
Pauschale Ablehnung wegen „Aufbewahrungspflicht"
30 %
Verhältnismäßigkeitsprüfung versäumt
Nur logisches Löschen statt physisch
25 %
DSGVO-Verstoß
Backups nicht berücksichtigt
30 %
Verarbeitung dauert weiter an
Empfänger nicht informiert
35 %
Art. 19-Verstoß
Mitteilungspflicht öffentliche Daten versäumt
20 %
Art. 17 Abs. 2-Verstoß
Kein Löschkonzept
50 %
systematische Schwäche
Einschränkung statt Löschung nicht geprüft
25 %
unverhältnismäßige Ablehnung
Auftragsverarbeiter nicht eingebunden
30 %
unvollständige Löschung
Dokumentation der Löschung fehlt
40 %
nicht nachweisbar
Bußgeldpraxis
Jahr
Behörde
Sektor
Bußgeld
Hauptgrund
2024
LfDI BW
E-Commerce
305.000 EUR
systematische Verzögerung von Löschanträgen
2023
BlnBDI
Wohnungsunternehmen
14,5 Mio. EUR
systematisches Behalten alter Daten ohne Rechtsgrundlage
2023
LDI NRW
Versandhandel
105.000 EUR
unvollständige Löschung in Auftragsverarbeitern
2022
BayLDA
Plattform
65.500 EUR
Backup-Daten nicht gelöscht
FAQ
Wann muss ich personenbezogene Daten löschen?+
Bei Vorliegen eines der sechs Löschgründe nach Art. 17 Abs. 1 DSGVO — mit Ausnahme der sieben Tatbestände nach Abs. 3 (insbesondere gesetzliche Aufbewahrungspflichten).
Welche Frist gilt für die Löschung?+
„Unverzüglich" — in der Praxis binnen eines Monats in Analogie zu Art. 12 DSGVO. Bei Komplexität verlängerbar um zwei Monate mit schriftlicher Begründung.
Was ist mit Backups?+
Backup-Daten dürfen typisch 30–90 Tage länger aufbewahrt werden — bis zum nächsten regulären Backup-Zyklus. Daraus dürfen aber keine aktiven Verarbeitungen mehr stattfinden.
Was ist ein Löschkonzept?+
Ein strukturiertes Dokument nach DIN 66398, das alle Datenkategorien mit ihren Aufbewahrungs- und Löschfristen sowie Löschtriggern und Verantwortlichen auflistet.
Welche Aufbewahrungspflichten gibt es in Deutschland?+
HGB (10 Jahre Bilanzen, 6 Jahre Geschäftsbriefe), AO (10 Jahre Steuerunterlagen), EStG (6 Jahre Lohnabrechnungen), branchenspezifische Pflichten (Versicherungen, Krankenhäuser, GwG).
Was bedeutet „Recht auf Vergessenwerden"?+
Bei öffentlich gemachten Daten zusätzliche Pflicht: andere Verantwortliche (z. B. Suchmaschinen) müssen über die Löschung informiert werden — soweit angemessen und technisch möglich.
Muss ich Empfänger über die Löschung informieren?+
Ja, nach Art. 19 DSGVO — soweit nicht unmöglich oder unverhältnismäßig.
Was kostet eine Löschungs-Verweigerung an Bußgeld?+
Bis 20 Mio. EUR oder 4 % weltweiter Jahresumsatz. In der Praxis: typisch 25.000–500.000 EUR; bei systematischen Verstößen siebenstellig.
Kann ich Löschung statt Einschränkung verlangen?+
Bei Aufbewahrungspflicht: Einschränkung der Verarbeitung nach Art. 18 DSGVO als Alternative — Daten werden archiviert, aber nicht aktiv verarbeitet.
Wie weise ich die Löschung nach?+
Durch ein Löschprotokoll — Datum, betroffene Daten, ausführende Person, Verfahren. Für die Beweisführung in Beschwerde- oder Gerichtsverfahren essentiell.
Das Recht auf Löschung ist eines der rechtlich anspruchsvollsten Betroffenenrechte der DSGVO — die Abwägung zwischen Löschungsrecht und Aufbewahrungspflicht erfordert detaillierte Kenntnis des Gesetzesrahmens. Drei strategische Empfehlungen:
Erstens, ein strukturiertes Löschkonzept nach DIN 66398. Ohne dokumentierte Löschfristen ist jede Löschungsentscheidung ein Einzelfall — fehleranfällig und zeitaufwändig.
Zweitens, automatisierte Löschverfahren wo möglich. Manuelles Löschen erhöht das Fehlerrisiko erheblich und ist bei großen Datenbeständen praktisch nicht durchführbar.
Drittens, klare Empfänger-Dokumentation — wer hat welche Daten von uns erhalten? Ohne diese Information ist die Mitteilungspflicht nach Art. 19 DSGVO nicht erfüllbar.
Vision Compliance unterstützt Unternehmen bei der Erstellung von Löschkonzepten, der Implementierung von Lösch-Workflows und der Audit-Vorbereitung — als Teil unserer Datenschutz-Beratung und externen DSB-Bestellung. Sprechen Sie uns an für ein kostenloses Erstgespräch mit individueller Lösch-Konzept-Bewertung.
ÜBER DEN AUTOR
RL
Robert Lozo
Partner · CIPP/E · CIPM · CISM
Robert berät Organisationen zu DSGVO, NIS2, EU AI Act und Finanzregulierung — mit auditfähiger Dokumentation und Compliance-Programmen für regulierte Branchen.