V-Hub by Vodafone Business Security SicherheitLöschung von personenbezogenen Daten: Standardisiert durch die DSGVO

So funktioniert die DSGVO-konforme Löschung personenbezogener Daten

Security

Löschung von personenbezogenen Daten: Standardisiert durch die DSGVO

23.09.2025

8 Min.

Jede Person hat ein „Recht auf Vergessenwerden“. Die Datenschutz-Grundverordnung (DSGVO) legt daher genau fest, wann und wie personenbezogene Daten gelöscht werden müssen. Erfahren Sie hier, welche Regeln und Ausnahmen gelten und wie Unternehmen einen Löschantrag korrekt umsetzen können.

Artikel 17 der DSGVO regelt eindeutig und umfassend, wann und durch wen personenbezogene Daten zu löschen sind. So bestimmt dieses Gesetz zum Beispiel auch, wann das berechtigte Interesse eines Unternehmens an der Datenspeicherung schwerer wiegt als der Widerspruch einer Person dagegen. In diesem Fall wäre eine Löschung nicht erforderlich.

Grundsätzlich sollten Betriebe heute alle Prozesse sowohl technisch als auch organisatorisch so gestalten, dass sie Löschanfragen effizient und DSGVO-konform bearbeiten können. Verstöße gefährden nicht nur das Vertrauen der Kunden, sondern können auch zu hohen Geldstrafen führen.

Inhaltsverzeichnis

Was bedeutet Datenlöschung laut DSGVO?Recht auf Vergessenwerden: Was besagt Art. 17 DSGVO?Wann müssen personenbezogene Daten gelöscht werden?So stellen Betroffene einen Antrag auf Datenlöschung

Was bedeutet Datenlöschung laut DSGVO?

Im digitalen Zeitalter ergibt sich aus dem Grundrecht der Menschenwürde auch ein Datenschutzrecht. In Deutschland wird dieses Recht maßgeblich durch die seit Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) konkretisiert.

Dieses Recht ist ein starkes Instrument. Es ist mit umfassenden Auskunfts- und Widerspruchsrechten verbunden – beispielsweise gegenüber Behörden und Unternehmen, die persönlichen Daten speichern.

Gleichzeitig berücksichtigt die DSGVO die Ziele und Bedürfnisse von Behörden und Unternehmen und sieht vor, dass diese bestimmte Daten auch nach Einlegung eines Widerspruchs weiter verarbeiten dürfen. Zum Beispiel zur Erfüllung gesetzlicher Pflichten oder zum Schutz berechtigter Geschäftsinteressen.

In solchen Fällen müssen Unternehmen möglicherweise auch nach Ablauf der üblichen gesetzlichen Aufbewahrungsfristen für Personaldaten keine langfristigen Vertraulichkeitsvereinbarungen löschen, selbst wenn die betreffenden Mitarbeitenden das Unternehmen bereits verlassen haben – und möglicherweise der weiteren Datenspeicherung widersprochen haben.

Wichtig: Sämtliche Löschpflichten beziehen sich auch auf sogenannte „B2B“-Daten, also personenbezogene Daten der Ansprechpartner von Kunden, externen Dienstleistern oder Zulieferern. Unternehmen müssen Mitarbeitende für die Datenlöschung und Betroffenenrechte schulen. Sie ist Teil der allgemeinen Datensicherheitsstrategie.

Für bestimmte Bereiche wie Telekommunikation, Medien, Kirchen oder öffentliche Stellen gelten Sonderregelungen.

Es ist ratsam, sich stets über die aktuellen Entwicklungen zu informieren, da sich einige DSGVO-Regelungen und die Rechtsprechung seit 2018 verändert haben. So mussten in einigen Fällen beispielsweise auch Beschäftigte haften, wenn sie gegen die DSGVO-Löschpflicht im Unternehmen eigenmächtig verstoßen haben.

Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

Whitepaper: Cyber Security

Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen

Jetzt kostenlos downloaden

Was sind personenbezogene Daten?

Sobald eine Person anhand von Daten identifiziert werden kann – und sei es auch nur in begrenztem Umfang oder in Verbindung mit weiteren Daten –, handelt es sich um geschützte personenbezogene Informationen. Dazu gehören zum Beispiel: Name, Anschrift, Geburtsdatum, Sozialversicherungsnummer, biometrische Daten, Bankverbindung, Kaufhistorie in Online-Shops, Cookie-Daten oder IP-Verlaufsdaten aus einem Browser.

So löschen Sie personenbezogene Daten DSGVO-konform

Gemäß der DSGVO muss eine Datenlöschung vollständig und sicher sein. Das heißt:

Physische Daten: müssen geschreddert werden (z.B. Papierakten)
Digitale Daten: müssen so gelöscht werden, dass sie nicht wiederhergestellt werden können
Backups und Cloud-Daten: sind bei Löschungen ebenfalls zu berücksichtigen
Links: sind bei Löschungen zu berücksichtigen, wenn sie auf persönliche Daten verweisen
An Dritte weitergegebene Daten: Datenschutzverantwortliche in Unternehmen müssen Dritte (z.B. externe Dienstleister), die personenbezogene Daten zur Verarbeitung erhalten haben, darüber informieren, dass diese Daten zu löschen sind.

Grundsätzlich dürfen Datenschutzbeauftragte in Unternehmen mit einer gesetzlich vorgeschriebenen Löschung nicht abwarten, bis Betroffene sich melden. Melden sich diese dennoch, sind die Datenschutzverantwortlichen verpflichtet, die Daten unverzüglich zu löschen.

Unternehmen sollten daher möglichst ein Löschkonzept entwickeln, das regelmäßige Prüfungen und automatisierte Prozesse umfasst.

Unternehmen brauchen ein gutes Löschkonzept für personenbezogene Daten

Datenschutzverstöße von Mitarbeitenden gegen die DSGVO-Löschpflicht sind keine Lappalie.

Recht auf Vergessenwerden: Was besagt Art. 17 DSGVO?

Artikel 17 der DSGVO legt grundsätzlich fest, dass personenbezogene Daten restlos zu löschen sind, wenn sie

für den ursprünglichen Zweck nicht mehr benötigt werden
die Einwilligung zur Verarbeitung widerrufen wurde oder
die Verarbeitung unrechtmäßig war (z. B. im Fall von Minderjährigen).

In Art. 17 Absatz 2 ist als eine Besonderheit der DSGVO auch das „Recht auf Vergessenwerden“ verankert. Angesichts der erheblichen Marktmacht von Websuchmaschinen gewinnt dieses Datenschutzrecht zunehmend an Bedeutung.

Datenschutzbeauftragte von Unternehmen und Behörden haben nicht nur die Aufgabe die betreffenden personenbezogenen Daten bei einem berechtigten Löschantrag intern vollständig zu löschen. Ferner müssen sie auch andere Stellen, die diese Daten verarbeiten – etwa Suchmaschinenbetreiber – aktiv darüber informieren.

Dies soll verhindern, dass personenbezogene Informationen bei unrechtmäßiger Verarbeitung öffentlich zugänglich bleiben.

Microsoft Defender for Business

Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.

Neu: Jetzt mit Vodafone Managed Endpoint Sercurity Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.

Schutz vor Ransomware, Phishing und anderen Bedrohungen
In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten

Das kann der Microsoft Defender

Wann müssen personenbezogene Daten gelöscht werden?

Personenbezogene Daten müssen in den folgenden Fällen komplett gelöscht werden:

Keine Speicherung (mehr) notwendig: Die personenbezogenen Daten sind für die damit verbundene Zweckerfüllung nicht mehr notwendig, z.B. wenn kein Arbeitsverhältnis mehr besteht. Es kann aber Anschlusszwecke geben, zum Beispiel eine Vertragserfüllung oder Aufbewahrungspflichten aus dem Steuer- und Handelsrecht.
Widerruf der Einwilligung: Eine betroffene Person widerruft eine zuvor erteilte Einwilligung zur Speicherung ihrer Daten.
Widerspruch: Trotz eines berechtigten Interesses des Unternehmens, Daten zu speichern, legt eine betroffene Person Widerspruch ein. Wenn die Überprüfung ergibt, dass die Person recht hat – zum Beispiel bei Direktwerbung –, müssen die Daten sofort gelöscht werden.
Unrechtmäßige Verarbeitung: Wenn keine gültige Rechtsgrundlage besteht, ist die Datenverarbeitung unzulässig. Grundlage muss ein Gesetzestext sein, ein davon abweichender, rein privatwirtschaftlicher Vertrag reicht nicht aus.
Gesetzliche Verpflichtung: Eine Datenlöschung ist erforderlich, wenn eine allgemeine rechtliche Verpflichtung hierzu besteht, z.B. wenn die gesetzlichen Aufbewahrungspflichten abgelaufen sind. Die Regelungen ergeben sich aus dem Unionsrecht der EU oder aus dem nationalen Recht einzelner EU-Mitgliedsstaaten.
Einwilligung Minderjähriger: Persönliche Daten von Kindern und Jugendlichen unterstehen einer besonderen Löschungspflicht. Wenn sich eine Person unter 17 Jahren zum Beispiel eigenständig bei einem sozialen Netzwerk oder für Online-Spiele angemeldet hat, sind diese Daten auf Wunsch sofort zu löschen.

Wie kann man die Einhaltung der Regeln überprüfen?

Sind Personen der Ansicht, dass ihre Datenschutzrechte verletzt wurden, können sie bei einer zuständigen Aufsichtsbehörde die verbindliche Überprüfung auf Datenlöschung beantragen. Die zuständigen Aufsichtsbehörden auf Bundes- und Landesebene können variieren, je nachdem, ob die Angelegenheit beispielsweise in den Bereich Rundfunk, Presse, Gesellschaftsrecht oder Religionsausübung fällt.

Welche Datenschutzaufsichtsbehörde im Einzelfall zuständig ist, können Sie auf den Serviceseiten des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) nachlesen.

So stellen Betroffene einen Antrag auf Datenlöschung

Ein Löschantrag sollte folgende Punkte enthalten:

Identifikation der betroffenen Person: z. B. Name, Kundennummer
Bezug zur Datenverarbeitung: z. B. Newsletter, Kundenkonto, Google-Eintrag
Begründung: z. B. Widerruf der Einwilligung, Zweck erfüllt
Fristsetzung: z. B. „Bitte bestätigen Sie die Löschung innerhalb von 30 Tagen“

Stadtansicht mit Symbolen für Verkehrsmittel

Mobile Cyber Security für Ihr Business

Mit unseren Sicherheitslösungen schützen Sie Ihr Unternehmen vor Viren, Industrie-Spionage, Cyber-Angriffen und unautorisiertem Zugriff auf Ihre Netze.

Sichere Kommunikation
Für Homeoffice und Büro
Globales, sicheres Log-in-Verfahren

Jetzt informieren

Pflichten für Unternehmen bei Löschanfragen

Wenn Anträge auf Löschung personenbezogener Daten eingehen, müssen Unternehmen diese unverzüglich gemäß den oben genannten Vorschriften prüfen und umgehend – spätestens innerhalb eines Monats – umsetzen. In sehr komplexen Fällen ist eine Ausweitung der Löschfrist um zwei Monate möglich, aber Unternehmen müssen die betroffene Person darüber informieren.

Das Auskunftsrecht schreibt vor, dass Unternehmen auf Anfrage in jedem Fall unmittelbar Auskunft darüber geben müssen, welche Daten sie verarbeiten. Kopien müssen kostenlos zur Verfügung gestellt werden, zumindest die erste Kopie.

Sind die darin enthaltenen Daten fehlerhaft, können die betroffenen Personen gemäß Art. 16 DSGVO (Recht auf Berichtigung) die sofortige kostenlose Korrektur verlangen.

Was passiert bei unterlassener Datenlöschung?

Die DSGVO sieht bei Verstößen gegen Datenschutzvorgaben empfindliche Bußgelder vor. Bis zu 20 Millionen Euro oder vier Prozent des Vorjahresumsatzes sind maximal möglich, je nachdem, welcher Wert höher ist. Relevant für die Höhe des Bußgelds ist auch die Menge der gespeicherten Daten und ihre Sensibilität. Dabei reicht die Bandbreite von 50.000 Euro für mangelhafte Verbraucherinformation bis zu Millionenstrafen für illegale Datenübermittlungen.

Ein besonders prominenter Fall ist das Rekordbußgeld von 1,2 Milliarden Euro gegen den Facebook-Mutterkonzern im Jahr 2023 in Irland. Grund war die systematische und rechtswidrige Übermittlung personenbezogener Daten europäischer Facebook-Nutzer:innen in die USA. Die Behörden sahen darin einen schwerwiegenden Verstoß gegen die DSGVO, da US-Geheimdienste potenziell Zugriff auf diese Daten erhalten könnten.

Ausnahmen von der Löschungspflicht

Es gibt verschiedene Ausnahmen von der Löschungspflicht, die über Artikel 17, DSGVO, im Absatz 3 in den Abschnitten „a“ bis „e“ geregelt sind:

Ausübung des Rechts auf freie Meinungsäußerung: Personenbezogene Daten, die für das Recht der freien Meinungsäußerung notwendig sind, unterliegen nicht den sonst üblichen Vorschriften zur Datenlöschung. Dies bezieht sich auch auf Social Media Portale. Für Rundfunk- und Medienanstalten gelten hierzu detaillierte Sonderregeln.
Geltendmachung von Rechtsansprüchen: Wenn die Verarbeitung bestimmter Rechtsansprüche dient, zum Beispiel in Rechtsverfahren, die sich über lange Zeiträume erstrecken.
Legitimes öffentliches Interesse: Daten müssen nicht gelöscht werden, wenn sie zum Beispiel der Forschung, Wissenschaft oder Statistik dienen und wenn ohne diese Daten die Zwecke ernsthaft beeinträchtigt würden.
Unverhältnismäßiger Aufwand: An die Stelle der Löschpflicht tritt das eingeschränkte Recht zur Datenverarbeitung, wenn eine Löschung unmöglich oder unzumutbar wäre, etwa bei historischen Archiven.
Aufbewahrungsfristen: Je nach Einzelfallentscheidung sind Löschungen nicht notwendig, wenn satzungsgemäße Aufbewahrungsfristen (z. B. in der Forschung) entgegenstehen.

Das Wichtigste zur DSGVO-konformen Löschung von personenbezogenen Daten in Kürze

Im Art. 17 der Datenschutz-Grundverordnung (DSGVO) ist seit 2018 das Recht auf Löschung geregelt.
Einen besonderen Stellenwert hat hier das „Recht auf Vergessenwerden“: es verpflichtet Datenschutzbeauftragte in Unternehmen dazu, personenbezogene Daten nicht nur intern zu löschen, sondern auch Dritte (zum Beispiel externe Dienstleister) über die Notwendigkeit der Datenlöschung zu informieren.
Bei berechtigten Löschanträgen durch Rechteinhaber:innen muss die Datenlöschung sicher und vollständig erfolgen.
Neben Pflichten zu den Löschfristen gibt es auch Ausnahmen und Sonderregelungen, zum Beispiel bei Unzumutbarkeit von Löschungen in historischen Archiven.

Freca Dumrese

23.09.2025

# Tags:Sicherheit Tipps Cybersecurity

SSL-Verschlüsselung: So trägt sie zur Sicherheit im Web bei

Secure Sockets Layer (SSL) und Transport Layer Security (TLS) sind die wohl wichtigsten Verschlüsselungsstandards im Internet. Erfahren Sie hier alles Wichtige über diese Technologie und warum SSL/TLS heute Grundlage für sicheres Surfen und sichere Online-Kommunikation ist.

Security

Botnets und Botnet-Angriffe

Ihr Unternehmens-Computer als Teil eines Cybercrime-Netzes: Ein Botnet ist ein Netzwerk infizierter Rechner, das Kriminelle für Spam, Malware-Verbreitung und DDoS-Angriffe nutzen. Solche Angriffe betreffen oft ganze Netzwerke, darunter sogar länderübergreifende Wide Area Networks (WAN). Durch neue KI-Methoden nimmt die Bedrohung für Firmen und Privatpersonen stetig zu. Laut der Bitkom-Studie „Wirtschaftsschutz und Cybercrime 2025“ gibt es immer mehr Angriffe auf Unternehmen und die Schäden steigen. Wie Sie sich und Ihre Unternehmens-Computer vor Botnetzen schützen, erfahren Sie hier.

Security

Ein digitales Schloss vor einer Computer Platine.

Datensicherung: Methoden, Strategien und Best Practices für Unternehmen

Daten bilden heute das Rückgrat unternehmerischer Prozesse. Kundeninformationen, Finanzdaten, Produktionspläne oder interne Kommunikation – all diese Informationen entscheiden über Effizienz, Wettbewerbsfähigkeit und Zukunftsfähigkeit. Gleichzeitig steigen die Risiken: Cyberangriffe, Systemausfälle und menschliche Fehler gefährden die Verfügbarkeit und Integrität geschäftskritischer Daten. Wer Verantwortung für ein Unternehmen trägt, muss sich mit der Frage beschäftigen: Wie lassen sich Daten zuverlässig sichern und im Ernstfall schnell wiederherstellen? Dieser Text bietet einen praxisnahen Überblick über Methoden, Strategien und Innovationen der Datensicherung – kompakt, verständlich und direkt umsetzbar.

Security

Sicher verschlüsseln mit identischen Codeschlüsseln

Symmetrische Verschlüsselung einfach erklärt

Sie möchten Ihre Geschäftsgeheimnisse vor Datenspionage schützen? Dann sollten Sie Ihre Daten durchgehend verschlüsseln. Welche Verfahren es dafür gibt und was eine symmetrische Verschlüsselung ist, erfahren Sie in diesem Artikel. Immer häufiger geraten Firmendaten in fremde Hände. Rund 87 Prozent aller deutschen Unternehmen wurden 2024 laut Branchenverband Bitkom Opfer von Spionage, Sabotage oder Diebstahl von Daten. Nie war Datenverschlüsselung so wichtig.

Security

Zwei-Faktor-Authentifizierung bei Google

Ein Passwort allein reicht heute nicht mehr aus. Mit der Zwei-Faktor-Authentifizierung (2FA) von Google schützen Sie Ihr Online-Konto effektiv vor Hackerangriffen. Erfahren Sie, wie Sie diese Sicherheitsfunktion einrichten und welche Anmeldemethoden sich am besten für Ihr Unternehmen eignen. Seit Anfang 2025 ist die 2FA für neue Google-Konten Standard. Sie wird automatisch auch für Cloudspeicher (Google Drive/Workspace) aktiviert. Dies verbessert den Schutz vor Datendiebstahl oder Identitätsmissbrauch erheblich. Für bestehende Unternehmenskonten läuft die Einführung der Google-2FA noch bis Ende 2025. Danach ist ein zweiter Bestätigungsschritt für die Anmeldung im Online-Account verpflichtend.

Vodafone Business

Zur Webseite

Löschung von personenbezogenen Daten: Standardisiert durch die DSGVO

Inhaltsverzeichnis

Was bedeutet Datenlöschung laut DSGVO?

Whitepaper: Cyber Security

Recht auf Vergessenwerden: Was besagt Art. 17 DSGVO?

Microsoft Defender for Business

Wann müssen personenbezogene Daten gelöscht werden?

Wie kann man die Einhaltung der Regeln überprüfen?

So stellen Betroffene einen Antrag auf Datenlöschung

Mobile Cyber Security für Ihr Business

Pflichten für Unternehmen bei Löschanfragen

Was passiert bei unterlassener Datenlöschung?

Ausnahmen von der Löschungspflicht

Das Wichtigste zur DSGVO-konformen Löschung von personenbezogenen Daten in Kürze

SSL-Verschlüsselung: So trägt sie zur Sicherheit im Web bei

Botnets und Botnet-Angriffe

Datensicherung: Methoden, Strategien und Best Practices für Unternehmen

Symmetrische Verschlüsselung einfach erklärt

Zwei-Faktor-Authentifizierung bei Google

Vodafone Business

Newsletter für Business-Kund:innen

Enterprise Plenum