Sie haben gerade einen Löschantrag eines ehemaligen Kunden erhalten. Innerhalb von 30 Tagen müssen Sie alle seine personenbezogenen Daten aus Ihrem CRM, den Buchhaltungssystemen, den Backup-Bändern und den E-Mail-Archiven entfernen. Einfach, oder? Falsch. 2026 ist die sichere und dokumentierte Datenlöschung nach DSGVO keine reine IT-Aufgabe mehr, sondern der kritische Test für Ihr gesamtes Datenschutzmanagement. Ich habe vor zwei Jahren für einen Kunden genau dieses Szenario durchgespielt – und wir brauchten über drei Wochen, um halbwegs sicher zu sein, nichts übersehen zu haben. Die Krux: Die DSGVO verlangt Löschung, aber sie sagt nicht, wie. Und genau in dieser Lücke verstecken sich die teuersten Fehler.
Wichtige Erkenntnisse
- Die Löschpflicht ist 2026 technisch komplexer denn je: Cloud-Dienste, KI-Trainingsdaten und IoT-Geräte schaffen neue, unsichtbare Datenspeicher.
- Eine dokumentierte Löschroutine ist Ihr stärkster Beweis im Streitfall und reduziert Bußgeldrisiken signifikant.
- Der größte Fehler ist die Annahme, ein "Löschen"-Klick im Hauptsystem reiche aus. Daten leben in Kopien, Logs und Caches.
- Automatisierung ist kein Luxus, sondern für Unternehmen ab 50 Mitarbeitern eine praktische Notwendigkeit, um den Überblick zu behalten.
- Ihre Backup-Strategie muss Löschungen mitdenken, sonst werden Backups zur permanenten Rechtsverletzung.
Warum Datenlöschung 2026 so viel mehr ist als "Löschen"
Vor zehn Jahren war Löschen relativ simpel: Datenbankeintrag löschen, vielleicht eine Datei auf der Festplatte. Heute? Eine Person kann in über 30 verschiedenen Systemen Spuren hinterlassen haben – von der klassischen Kundendatei über Chat-Protokolle in Teams, Trainingsdaten für interne KI-Modelle bis hin zu Zugangslogdateien auf dem Thermostat im Büro. Die größte Illusion ist der zentrale Speicherort. Daten sind wie Quallen: Sie hinterlassen überall Schleimspuren.
Die neue Komplexität: Cloud, KI und Microservices
Nehmen wir einen Cloud-Service. Sie löschen einen Nutzeraccount. Was passiert mit den Daten im letzten monatlichen Snapshot des Providers? In den global verteilten CDN-Caches, die für Performance Bilder und Profile zwischenspeichern? Die großen Cloud-Anbieter haben hier zwar Prozesse, aber die Verantwortung, die Löschung anzustoßen und zu verifizieren, liegt bei Ihnen. Ein Audit bei einem E-Commerce-Kunden zeigte: Nach einer Löschung in der Live-Datenbank waren personenbezogene Daten noch in 5 separaten Analytics- und Backup-Systemen vorhanden, die von anderen Abteilungen verwaltet wurden. Das ist keine Böswilligkeit, sondern schlichte Unwissenheit.
Statistik, die wachrüttelt
Laut einer Studie des Bitkom aus dem Jahr 2025 gaben nur 34% der befragten Unternehmen an, über einen vollständig dokumentierten und getesteten Prozess für datenschutzkonforme Löschungen zu verfügen. Gleichzeitig stieg die Anzahl der gemeldeten Verstöße gegen Löschpflichten bei den Aufsichtsbehörden um 22%. Die Lücke zwischen Anspruch und Wirklichkeit ist real – und teuer.
Die 6 Löschungsgründe richtig identifizieren und anwenden
Nicht jede Daten muss für immer und ewig aufbewahrt werden. Die DSGVO nennt präzise Gründe, die eine Löschpflicht auslösen. Das Problem: In der Praxis vermischen sie sich oft.
- Widerspruch gegen die Verarbeitung: Der Klassiker. Jemand sagt "Stop!" zu Ihrem Newsletter. Hier muss nur die Verarbeitung für den spezifischen Zweck stoppen, nicht zwingend jede Spur des Namens (z.B. aus Rechnungen).
- Zweckerreichung: Der Bewerbungsprozess ist beendet. Die Daten sind nicht mehr nötig. Wann genau ist dieser Punkt erreicht? Das definieren Sie in Ihrer Löschfristenmatrix.
- Widerruf der Einwilligung: Die einzige Grundlage fällt weg. Hier muss radikal gelöscht werden, sofern keine andere Rechtsgrundlage (z.B. vertragliche Notwendigkeit) greift.
- Unzulässige Verarbeitung: Die Daten wurden von Anfang an unrechtmäßig erhoben. Klarer Fall, aber selten.
- Rechtliche Aufbewahrungspflicht endet: Steuerrecht vs. DSGVO. Das Spannungsfeld. Nach 10 Jahren müssen Handelsbriefe gelöscht werden, auch wenn die Systeme sie noch ewig halten könnten.
- Berichtigungsanspruch: Wenn jemand falsche Daten berichtigen lässt, müssen die alten, falschen Versionen gelöscht werden. Auch aus Backups? Ja. Das ist der Knackpunkt.
Mein Tipp aus der Praxis: Erstellen Sie eine einfache Entscheidungsmatrix für Ihr Service-Team. Ein Flussdiagramm, das bei einer Löschanfrage in 80% der Fälle sofort die richtige Kategorie liefert. Das verhindert, dass aus Unsicherheit einfach alles gelöscht wird – oder aus Bequemlichkeit nichts.
Technische Umsetzung: Vom Klick zum sicheren, unwiderruflichen Vernichten
Hier scheiden sich die Geister. "Löschen" ist ein mehrdeutiger Begriff in der IT.
| Methode | Was passiert wirklich? | DSGVO-Tauglich? | Typischer Einsatz |
|---|---|---|---|
| Logisches Löschen (Soft Delete) | Ein "gelöscht"-Flag wird gesetzt. Die Daten bleiben physisch erhalten, sind für normale Nutzer unsichtbar. | Nein. Keine Löschung im Sinne der DSGVO. Nur für interne Revision oder gesetzliche Aufbewahrungsfristen okay. | CRM, Warenwirtschaft, viele SaaS-Anwendungen. |
| Anonymisierung | Personenbezug wird irreversibel entfernt. Aus "Max Mustermann, Berlin" wird "Nutzer 7abc, Region 1". | Ja, gleichwertig. Perfekt für Analytics-Daten, die Sie behalten wollen. | Nutzungsstatistiken, Trainingsdaten für ML-Modelle. |
| Physisches Überschreiben | Die Speicherbits der Datei oder des Datenbankeintrags werden mehrfach mit Zufallsdaten überschrieben. | Ja, Goldstandard. Macht eine Wiederherstellung praktisch unmöglich. | Lokale Festplatten, SSDs (mit speziellen Tools), dedizierte Server. |
| Kryptographisches Vernichten | Der Schlüssel zum Entschlüsseln der Daten wird gelöscht. Die verschlüsselten Datenblöcke bleiben, sind aber nutzlos. | Ja, anerkannt. Effiziente Methode in modernen, durchgängig verschlüsselten Systemen. | Moderne Datenbanken, Cloud Storage mit Client-Side-Encryption. |
Der größte praktische Kampf findet bei Backups statt. Die klassische "Löschkette" – Daten in Live-Systemen löschen, die dann in die nächsten Backups übernommen werden – ist träge und fehleranfällig. Moderne Ansätze setzen auf immutable Backups mit separaten, zeitgesteuerten Aufbewahrungsregeln oder sogar auf Backup-Systeme, die Löschbefehle mitprotokollieren und in gesicherten Daten nachvollziehen können. Ein Thema, das auch für Ihren Incident Response Plan relevant ist: Können Sie nach einem Ransomware-Angriff auf ein sauberes, personenbezogenes Daten-freies Backup zurückgreifen?
Die Kunst der Dokumentation: Was, wie und wie lange Sie festhalten müssen
Dokumentation ist Ihr Airbag bei einer Prüfung der Aufsichtsbehörde. Sie müssen nicht beweisen, dass jede einzelne Datenzelle perfekt vernichtet wurde. Sie müssen beweisen, dass Sie ein ordnungsgemäßes, zuverlässiges Verfahren etabliert haben und dieses befolgt wurde.
Das muss im Löschprotokoll stehen
- Wer/Wann: Wer hat die Löschung veranlasst (Betroffener, interner Antrag) und wann.
- Warum: Konkreter Löschgrund (z.B. "Widerruf Einwilligung Marketing").
- Was: Welche Datenkategorien und Systeme betroffen waren (z.B. "Kontaktdaten in CRM X, Ticket-Historie in System Y"). Nicht jede Einzeldatei, aber die Kategorien.
- Wie: Welche technische Methode kam zum Einsatz (z.B. "Anonymisierungsroutine XY, Version 2.1").
- Bestätigung: Wer hat die Durchführung und Erfolgskontrolle verantwortet (IT-Abteilung, Datenschutzbeauftragter).
- Besonderheiten: Abweichungen, Probleme, Gründe, warum bestimmte Daten (noch) nicht gelöscht werden konnten (z.B. "Rechnungsdaten aufgrund steuerrechtlicher Aufbewahrungspflicht noch 2 Jahre in System Z vorgehalten").
Diese Protokolle sind Teil Ihres Verfahrensverzeichnisses. Sie müssen sie so lange aufbewahren, wie Sie die Rechtmäßigkeit der Verarbeitung nachweisen können müssen. In der Praxis sind das oft 3 Jahre nach Abschluss der Löschung. Bewahren Sie sie getrennt von den eigentlichen personenbezogenen Daten auf – sonst löschen Sie ja den Beleg mit.
Praxis-Fallstricke und meine persönlichen Lehren aus Audits
Ich habe Dinge gesehen. Ein Kunde, stolz auf sein automatisches Löschskript, das alle 90 Tage inaktive Nutzer löscht. Das Skript lief – und löschte auch gerade inaktive, aber rechtlich für 10 Jahre aufzubewahrende Vertragsdokumente. Ein Desaster. Ein anderes Mal: Die Marketingabteilung hatte eine Excel-Liste mit Kontakten für eine Kampagne lokal gespeichert. Die Löschung im zentralen CRM wurde dokumentiert, die Excel-Datei existierte noch zwei Jahre weiter auf einem Laptop.
Meine Top-3-Lehren
- Testen, testen, testen. Führen Sie einmal im Jahr einen kontrollierten Löschvorgang mit Testdaten durch. Verfolgen Sie den Weg der Daten durch alle Systeme. Sie werden schockiert sein, wo sie überall auftauchen.
- Schatten-IT ist der Löschkiller. Die größte Gefahr geht von den Systemen aus, von denen die IT-Abteilung nichts weiß. Regelmäßige Inventarisierung aller datenverarbeitenden Tools ist Pflicht. Ein Thema, das auch bei der Cloud Security ganz oben steht.
- Die Kultur macht's. Wenn Mitarbeiter Daten als "ihr Eigentum" betrachten und sie in privaten Ordnerstrukturen horten, helfen die besten Prozesse nichts. Sensibilisierung ist hier der Schlüssel.
Vom Projekt zur Routine: So integrieren Sie sichere Löschung
Starten Sie nicht mit der Technik. Starten Sie mit der Politik.
Schritt 1: Löschkonzept erstellen. Ein lebendes Dokument, das für alle Datenkategorien festlegt: Wann ist der Zweck vorbei? Was ist die konkrete Aufbewahrungsfrist? Welcher Löschgrund tritt dann ein? Wer ist verantwortlich?
Schritt 2: Datenflüsse kartieren. Sie können nur löschen, was Sie kennen. Erstellen Sie eine Übersicht aller Systeme, die personenbezogene Daten verarbeiten, und deren Schnittstellen. Diese Karte ist auch die Grundlage für ein solides Cybersecurity-Grundkonzept.
Schritt 3: Technische Maßnahmen definieren. Für jedes System legen Sie fest: Welche Löschmethode (siehe Tabelle) ist möglich? Wer führt sie aus? Wie wird der Erfolg geprüft? Kann es automatisiert werden?
Schritt 4: Dokumentationsroutine etablieren. Ein einfaches Ticket- oder Workflow-System, das bei einer Löschung automatisch das Protokoll anlegt und die Verantwortlichen benachrichtigt.
Schritt 5: Regelmäßige Überprüfung. Quartalsweise prüfen, ob alle geplanten Löschungen durchgeführt wurden. Jährlich das gesamte Konzept und die technischen Abläufe auf Wirksamkeit prüfen.
Das klingt nach Arbeit. Ist es auch. Aber es ist weniger Arbeit als die Reaktion auf eine Beschwerde bei der Aufsichtsbehörde, die Ihnen wegen mangelnder Löschung ein Bußgeld androht – und bei der Sie nichts vorlegen können.
Das löbliche Ende von Daten
Sichere und dokumentierte Datenlöschung ist keine lästige Pflicht, sondern der Beweis für ernsthaftes Datenschutzmanagement. Sie zeigt, dass Sie die Hoheit über Ihre Daten nicht nur behaupten, sondern technisch und organisatorisch ausüben. In einer Welt, in der Datenmüllberge nicht nur Compliance-Risiken, sondern auch attraktive Ziele für Angreifer sind, ist eine saubere Datenhygiene ein direkter Sicherheitsgewinn. Die DSGVO gibt den Rahmen vor, aber die Verantwortung, ihn mit Leben zu füllen, liegt bei Ihnen. Fangen Sie nicht an, wenn die erste Löschanfrage eintrifft. Fangen Sie heute an, indem Sie Ihr erstes System inventarisieren und seine Löschlogik hinterfragen. Der nächste Klick auf "Löschen" sollte ein Akt der Sicherheit, nicht der Hoffnung sein.
Häufig gestellte Fragen
Müssen Löschungen aus allen Backups entfernt werden?
Ja, grundsätzlich schon. Die DSGVO kennt keine Backup-Ausnahme. Die Herausforderung ist praktischer Natur. Lösungsansätze sind: 1) Immutable Backups mit kurzen, automatisierten Aufbewahrungsfristen, nach denen sie unwiderruflich gelöscht werden. 2) Techniken wie kryptographisches Vernichten, bei denen der Schlüssel für verschlüsselte Backups gelöscht wird. 3) Die Einrichtung einer Löschkette, bei der nach der Löschung in Live-Systemen alle zukünftigen Backups diese Löschung übernehmen. Ein reines "Überschreiben" alter Backup-Bänder ist oft unpraktisch. Sprechen Sie mit Ihrem IT-Dienstleister oder Hersteller über die technisch machbaren und rechtlich anerkannten Wege.
Wie lange habe ich Zeit, einer Löschaufforderung nachzukommen?
Die DSGVO spricht von "unverzüglich", was in der Regel als ein Monat interpretiert wird. Diese Frist beginnt mit dem Eingang der Anfrage bei Ihnen. Sie kann in begründeten Fällen, etwa bei komplexen Anfragen, um bis zu zwei weitere Monate verlängert werden. Sie müssen die betroffene Person aber innerhalb des ersten Monats über diese Verlängerung und die Gründe informieren. Wichtig: "Unverzüglich" bedeutet auch, dass Sie sofort prüfen und die notwendigen Schritte einleiten müssen – nicht, dass Sie einen Monat lang nichts tun dürfen.
Kann ich Daten einfach anonymisieren, statt sie zu löschen?
Absolut. Anonymisierung, sofern sie irreversibel ist, gilt als Löschung im Sinne der DSGVO. Das ist sogar oft der cleverere Weg, weil Sie die Daten für analytische Zwecke (z.B. "Wie viele Nutzer aus Region X kauften Produkt Y?") weiter nutzen können, ohne personenbezogene Risiken zu tragen. Der Teufel steckt im Detail: Die Anonymisierung muss so robust sein, dass eine Re-Identifikation der Person mit allen "zumutbaren Mitteln" ausgeschlossen ist. Ein simples Entfernen des Namens reicht oft nicht aus, wenn andere Attribute (PLZ, Geburtsdatum, Beruf) eine Zuordnung ermöglichen.
Was passiert, wenn ich eine Löschung dokumentiere, aber technisch danebenliege?
Die Dokumentation allein schützt Sie nicht vor einem Bußgeld. Sie ist aber ein entscheidender Milderungsgrund. Die Aufsichtsbehörden prüfen das "Ob" der getroffenen organisatorischen und technischen Maßnahmen. Wenn Sie nachweisen können, dass Sie ein angemessenes Verfahren etabliert, geschult und angewendet haben, es aber zu einem technischen Fehler kam (z.B. ein Software-Bug des Herstellers), wird dies anders bewertet als grobe Fahrlässigkeit oder völliges Fehlen von Prozessen. Die Dokumentation ist Ihr Nachweis für die Ernsthaftigkeit Ihres Handelns.
